Usługa listy kontroli dostępu do kluczy (KACLS) jest skonfigurowana bez udziału Google. Poniżej znajdziesz szczegółowe informacje o typowych ustawieniach i sprawdzonych metodach konfigurowania usługi.
Ustawienia operacyjne
Interfejs API powinien być dostępny tylko przez HTTPS z protokołem TLS 1.2 lub nowszym z ważnym certyfikatem X.509.
Serwer API powinien obsługiwać CORS, aby uzyskać dostęp do autoryzowanego punktu końcowego Google:
https://client-side-encryption.google.com.W przypadku 99% żądań zalecamy maksymalny czas oczekiwania wynoszący 200 ms.
Ustawienia dostawcy autoryzacji
Za pomocą poniższych ustawień możesz zweryfikować wydane przez Google tokeny autoryzacji podczas szyfrowania po stronie klienta:
| Kontekst aplikacji Google Workspace | URL punktu końcowego JWKS | Wydawca tokena autoryzacji | Odbiorcy tokenów autoryzacji |
|---|---|---|---|
| Dysk Google i narzędzia do współpracy, takie jak Dokumenty i Arkusze | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
cse-authorization |
| Szyfrowanie po stronie klienta w Google Meet | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
cse-authorization |
| Szyfrowanie po stronie klienta | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
cse-authorization |
| Szyfrowanie po stronie klienta w Gmailu | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
cse-authorization |
| Migracja KACLS | https://www.googleapis.com/service_accounts/v1/jwk/apps-security-cse-kaclscommunication@system.gserviceaccount.com |
apps-security-cse-kaclscommunication@system.gserviceaccount.com |
cse-authorization |
Ustawienia dostawcy tożsamości
Poniższe ustawienia są wymagane w przypadku każdego dostawcy tożsamości innego niż Google, z którym współpracuje Twoja usługa:
- Metoda weryfikacji tokenów. Tokeny są zwykle weryfikowane przez adres URL pliku JWKS (JSON Web Key Set), ale mogą też być same kluczami publicznymi.
- Wartości dotyczące wydawcy i odbiorców: wartości pól
iss(wydawca) iaud(odbiorcy) używane przez poszczególnych dostawców tożsamości.
Ustawienia granicy
Koncepcja granicy w szyfrowaniu po stronie klienta w Google Workspace służy do zapewnienia kontroli dostępu do kluczy szyfrowania przez KACLS. Granice to opcjonalne dodatkowe testy wykonywane w przypadku tokenów uwierzytelniania i autoryzacji w obrębie identyfikatora KACLS.
Granic można używać do:
- Zezwalaj na odszyfrowywanie kluczy tylko użytkownikom z domen znajdujących się na liście dozwolonych.
- Użytkownicy z listy zablokowanych, na przykład administratorzy Google Workspace.
- Podaj zaawansowane ograniczenia. Na przykład:
- Ograniczenia czasowe dla pracowników dyspozytorskich lub osób przebywających na urlopie
- Ograniczenia geolokalizacji zapobiegające dostępowi z określonych lokalizacji lub sieci
- Dostęp na podstawie roli lub typu użytkownika na podstawie roli dostawcy tożsamości
Sprawdź konfigurację KACLS
Aby sprawdzić, czy lista KACLS jest aktywna i prawidłowo skonfigurowana, wyślij żądanie status. Możesz też przeprowadzać wewnętrzne samodzielne sprawdzanie, np. o ułatwienia dostępu KMS czy logowanie stanu systemu.