Verileri şifrele ve şifresini çöz

Bu kılavuzda, Google Workspace Client-side Encryption API ile şifreleme ve şifre çözme işlemlerinin işleyiş şekli açıklanmaktadır.

Kullanıcıların kullandığı Kimlik Sağlayıcı (IdP) hizmetlerini izin verilenler listesine eklemeniz gerekir şifrelenmiş dosyaları paylaşma. Gerekli IdP ayrıntılarını genellikle herkesin kullanımına açık .well-known dosyası; yoksa, ilgili kuruluşun Google Workspace yöneticisi ile iletişime geçin.

Verileri şifrele

Bir Google Workspace kullanıcısı, istemci tarafında şifrelenmiş kaydetmeyi veya depolamayı istediğinde (İTŞ) verilerini, Google Workspace tarafından bir wrap şifreleme için KACLS uç nokta URL'sine yapılan istek. İsteğe bağlı çevre ve JWT hak talebine dayalı denetimler gibi güvenlik denetimlerinden sonra şu adımları uygulayın:

  1. İstekte bulunan kullanıcıyı doğrulayın.

    • Hem kimlik doğrulama jetonunu hem de ve yetkilendirme jetonu.
    • Yetkilendirme ve kimlik doğrulama jetonlarının aynı kullanıcıya ait olduğundan emin olmak için e-posta hak taleplerinde büyük/küçük harfe duyarlı olmayan bir eşleştirme yapıyor.
    • Kimlik doğrulama jetonu isteğe bağlı google_email talebini içerdiğinde , yetkilendirme jetonundaki e-posta talebiyle karşılaştırılmalıdır. büyük/küçük harfe duyarlı olmayan bir yaklaşım kullanın. E-posta hak talebini kimlik doğrulama jetonunuzdur.
    • Kimlik doğrulama jetonunda isteğe bağlı google_email talebi, kimlik doğrulama jetonundaki e-posta hak talebi yetkilendirme jetonundaki e-posta talebiyle karşılaştırılmalıdır. büyük/küçük harfe duyarlı olmayan bir yöntem kullanarak.
    • Google'ın, izin verilmeyen bir e-posta için yetkilendirme bir Google Hesabı ile ilişkiliyse email_type hak talebinin mevcut olması gerekir. Bu, Misafir Erişimi özelliğinin çok önemli bir parçasıdır. harici güvenlik önlemlerinin uygulanmasına yönelik yardımcı olur.
      • KACLS'nin bu bilgileri nasıl kullanabileceğine dair bazı örnekler:
      • Ek günlük kaydı gereksinimleri uygulamak.
      • Kimlik doğrulama jetonunu veren kuruluşu özel bir Misafir IdP'si ile kısıtlamak için:
      • Kimlik doğrulama jetonunda ek hak taleplerini zorunlu kılmak için.
      • Müşteri, Misafir Erişimi'ni yapılandırmadıysa tüm istekler Burada email_type değeri google-visitor veya customer-idp olarak ayarlandığında reddedildi. email_type değeri google olan veya ayarlanmamış istekler email_type kabul edilmeye devam etmelidir.
    • Yetkilendirme jetonundaki role hak talebinin "yazar" olduğundan emin olun veya "Yükseltici" olarak adlandırılır.
    • Yetkilendirme jetonundaki kacls_url hak talebinin Geçerli KACLS URL'si. Bu kontrol, potansiyel incelemelerin Kuruluş içindenler veya sahte alan adları tarafından yapılandırılan ortadaki adam sunucuları yöneticileri içindir.
    • Hem kimlik doğrulama hem de yetkilendirme kullanarak çevre kontrolü gerçekleştirme hak talebi.

  2. Kimliği doğrulanmış bir şifreleme algoritması kullanarak aşağıdaki bölümleri şifreleyin:

    • Veri Şifreleme Anahtarı (DEK)
    • Yetkilendirme jetonundaki resource_name ve perimeter_id değerleri
    • Diğer hassas veriler

  3. İşlemi oluşturan kullanıcı, resource_name ve istekte geçirilen nedendir.

  4. Birlikte Google Workspace tarafından depolanacak opak ikili nesneyi döndürün şifrelenmiş nesne ve sonraki herhangi bir anahtar sarmalama açma işleminde olduğu gibi gönderilir işlemidir. Dilerseniz yapılandırılmış hata yanıtı da yayınlayabilirsiniz.

    • İkili program nesnesi, şifrelenmiş DEK'nin tek kopyasını içermelidir. verilerin depolanabilmesini istiyorum.
ziyaret edin.

Verilerin şifresini çözme

Bir Google Workspace kullanıcısı, istemci tarafında şifrelenmiş (İTŞ) verileri açmak istediğinde: Google Workspace, bir unwrap isteği gönderir ekleyin. İsteğe bağlı güvenlik seçeneklerine ek olarak çevre ve JWT hak talebine dayalı denetimler gibi denetimlerin gerçekleştirilmesi için KACLS'nizin şu adımları uygulayın:

  1. İstekte bulunan kullanıcıyı doğrulayın.

    • Hem kimlik doğrulama jetonunu hem de ve yetkilendirme jetonu.
    • Yetkilendirme ve kimlik doğrulama jetonlarının aynı kullanıcıya ait olduğundan emin olmak için e-posta hak taleplerinde büyük/küçük harfe duyarlı olmayan bir eşleştirme yapıyor.
    • Kimlik doğrulama jetonu isteğe bağlı google_email talebini içerdiğinde , yetkilendirme jetonundaki e-posta talebiyle karşılaştırılmalıdır. büyük/küçük harfe duyarlı olmayan bir yaklaşım kullanın. E-posta hak talebini kimlik doğrulama jetonunuzdur.
    • Kimlik doğrulama jetonunda isteğe bağlı google_email talebi, kimlik doğrulama jetonundaki e-posta hak talebi yetkilendirme jetonundaki e-posta talebiyle karşılaştırılmalıdır. büyük/küçük harfe duyarlı olmayan bir yöntem kullanarak.
    • Google'ın, izin verilmeyen bir e-posta için yetkilendirme bir Google Hesabı ile ilişkiliyse email_type hak talebinin mevcut olması gerekir. Bu, Misafir Erişimi özelliğinin çok önemli bir parçasıdır. harici güvenlik önlemlerinin uygulanmasına yönelik yardımcı olur.
      • KACLS'nin bu bilgileri nasıl kullanabileceğine dair bazı örnekler:
      • Ek günlük kaydı gereksinimleri uygulamak.
      • Kimlik doğrulama jetonunu veren kuruluşu özel bir Misafir IdP'si ile kısıtlamak için:
      • Kimlik doğrulama jetonunda ek hak taleplerini zorunlu kılmak için.
      • Müşteri, Misafir Erişimi'ni yapılandırmadıysa tüm istekler Burada email_type değeri google-visitor veya customer-idp olarak ayarlandığında reddedildi. email_type değeri google olan veya ayarlanmamış istekler email_type kabul edilmeye devam etmelidir.
    • Yetkilendirme jetonundaki role hak talebinin "okuyucu" olduğundan emin olun veya "yazar".
    • Yetkilendirme jetonundaki kacls_url hak talebinin Geçerli KACLS URL'si. Bu, potansiyel ortadaki adamın algılanmasına olanak tanır Kuruluş içinden veya sahte alan adı yöneticileri tarafından yapılandırılan sunucular.

  2. Kimliği doğrulanmış bir şifreleme algoritması kullanarak aşağıdaki bölümlerin şifresini çözün:

    • Veri Şifreleme Anahtarı (DEK)
    • Yetkilendirme jetonundaki resource_name ve perimeter_id değerleri
    • Diğer hassas veriler

  3. Yetkilendirme jetonu ve şifresi çözülmüş blob'daki resource_name öğesinin olup olmadığını kontrol edin eşleşmesini sağlar.

  4. Hem kimlik doğrulama hem de yetkilendirme taleplerini kullanarak çevre kontrolü gerçekleştirin.

  5. İşlemi oluşturan kullanıcı, resource_name ve istekte geçirilen nedendir.

  6. Sarmalanmamış DEK'yi veya yapılandırılmış hata yanıtını döndürün.

ziyaret edin. sayfasını inceleyin.