Bu kılavuzda, Google Workspace Client-side Encryption API ile şifreleme ve şifre çözme işlemlerinin işleyiş şekli açıklanmaktadır.
Kullanıcıların kullandığı Kimlik Sağlayıcı (IdP) hizmetlerini izin verilenler listesine eklemeniz gerekir şifrelenmiş dosyaları paylaşma. Gerekli IdP ayrıntılarını genellikle herkesin kullanımına açık .well-known dosyası; yoksa, ilgili kuruluşun Google Workspace yöneticisi ile iletişime geçin.
Verileri şifrele
Bir Google Workspace kullanıcısı, istemci tarafında şifrelenmiş kaydetmeyi veya depolamayı istediğinde
(İTŞ) verilerini, Google Workspace tarafından bir wrap
şifreleme için KACLS uç nokta URL'sine yapılan istek. İsteğe bağlı
çevre ve JWT hak talebine dayalı denetimler gibi güvenlik denetimlerinden sonra
şu adımları uygulayın:
İstekte bulunan kullanıcıyı doğrulayın.
- Hem kimlik doğrulama jetonunu hem de ve yetkilendirme jetonu.
- Yetkilendirme ve kimlik doğrulama jetonlarının aynı kullanıcıya ait olduğundan emin olmak için e-posta hak taleplerinde büyük/küçük harfe duyarlı olmayan bir eşleştirme yapıyor.
- Kimlik doğrulama jetonu isteğe bağlı
google_email
talebini içerdiğinde , yetkilendirme jetonundaki e-posta talebiyle karşılaştırılmalıdır. büyük/küçük harfe duyarlı olmayan bir yaklaşım kullanın. E-posta hak talebini kimlik doğrulama jetonunuzdur. - Kimlik doğrulama jetonunda isteğe bağlı
google_email
talebi, kimlik doğrulama jetonundaki e-posta hak talebi yetkilendirme jetonundaki e-posta talebiyle karşılaştırılmalıdır. büyük/küçük harfe duyarlı olmayan bir yöntem kullanarak. - Google'ın, izin verilmeyen bir e-posta için yetkilendirme
bir Google Hesabı ile ilişkiliyse
email_type
hak talebinin mevcut olması gerekir. Bu, Misafir Erişimi özelliğinin çok önemli bir parçasıdır. harici güvenlik önlemlerinin uygulanmasına yönelik yardımcı olur.- KACLS'nin bu bilgileri nasıl kullanabileceğine dair bazı örnekler:
- Ek günlük kaydı gereksinimleri uygulamak.
- Kimlik doğrulama jetonunu veren kuruluşu özel bir Misafir IdP'si ile kısıtlamak için:
- Kimlik doğrulama jetonunda ek hak taleplerini zorunlu kılmak için.
- Müşteri, Misafir Erişimi'ni yapılandırmadıysa tüm istekler
Burada
email_type
değerigoogle-visitor
veyacustomer-idp
olarak ayarlandığında reddedildi.email_type
değerigoogle
olan veya ayarlanmamış istekleremail_type
kabul edilmeye devam etmelidir.
- Yetkilendirme jetonundaki
role
hak talebinin "yazar" olduğundan emin olun veya "Yükseltici" olarak adlandırılır. - Yetkilendirme jetonundaki
kacls_url
hak talebinin Geçerli KACLS URL'si. Bu kontrol, potansiyel incelemelerin Kuruluş içindenler veya sahte alan adları tarafından yapılandırılan ortadaki adam sunucuları yöneticileri içindir. - Hem kimlik doğrulama hem de yetkilendirme kullanarak çevre kontrolü gerçekleştirme hak talebi.
Kimliği doğrulanmış bir şifreleme algoritması kullanarak aşağıdaki bölümleri şifreleyin:
- Veri Şifreleme Anahtarı (DEK)
- Yetkilendirme jetonundaki
resource_name
veperimeter_id
değerleri - Diğer hassas veriler
İşlemi oluşturan kullanıcı,
resource_name
ve istekte geçirilen nedendir.Birlikte Google Workspace tarafından depolanacak opak ikili nesneyi döndürün şifrelenmiş nesne ve sonraki herhangi bir anahtar sarmalama açma işleminde olduğu gibi gönderilir işlemidir. Dilerseniz yapılandırılmış hata yanıtı da yayınlayabilirsiniz.
- İkili program nesnesi, şifrelenmiş DEK'nin tek kopyasını içermelidir. verilerin depolanabilmesini istiyorum.
Verilerin şifresini çözme
Bir Google Workspace kullanıcısı, istemci tarafında şifrelenmiş (İTŞ) verileri açmak istediğinde:
Google Workspace, bir unwrap
isteği gönderir
ekleyin. İsteğe bağlı güvenlik seçeneklerine ek olarak
çevre ve JWT hak talebine dayalı denetimler gibi denetimlerin gerçekleştirilmesi için KACLS'nizin
şu adımları uygulayın:
İstekte bulunan kullanıcıyı doğrulayın.
- Hem kimlik doğrulama jetonunu hem de ve yetkilendirme jetonu.
- Yetkilendirme ve kimlik doğrulama jetonlarının aynı kullanıcıya ait olduğundan emin olmak için e-posta hak taleplerinde büyük/küçük harfe duyarlı olmayan bir eşleştirme yapıyor.
- Kimlik doğrulama jetonu isteğe bağlı
google_email
talebini içerdiğinde , yetkilendirme jetonundaki e-posta talebiyle karşılaştırılmalıdır. büyük/küçük harfe duyarlı olmayan bir yaklaşım kullanın. E-posta hak talebini kimlik doğrulama jetonunuzdur. - Kimlik doğrulama jetonunda isteğe bağlı
google_email
talebi, kimlik doğrulama jetonundaki e-posta hak talebi yetkilendirme jetonundaki e-posta talebiyle karşılaştırılmalıdır. büyük/küçük harfe duyarlı olmayan bir yöntem kullanarak. - Google'ın, izin verilmeyen bir e-posta için yetkilendirme
bir Google Hesabı ile ilişkiliyse
email_type
hak talebinin mevcut olması gerekir. Bu, Misafir Erişimi özelliğinin çok önemli bir parçasıdır. harici güvenlik önlemlerinin uygulanmasına yönelik yardımcı olur.- KACLS'nin bu bilgileri nasıl kullanabileceğine dair bazı örnekler:
- Ek günlük kaydı gereksinimleri uygulamak.
- Kimlik doğrulama jetonunu veren kuruluşu özel bir Misafir IdP'si ile kısıtlamak için:
- Kimlik doğrulama jetonunda ek hak taleplerini zorunlu kılmak için.
- Müşteri, Misafir Erişimi'ni yapılandırmadıysa tüm istekler
Burada
email_type
değerigoogle-visitor
veyacustomer-idp
olarak ayarlandığında reddedildi.email_type
değerigoogle
olan veya ayarlanmamış istekleremail_type
kabul edilmeye devam etmelidir.
- Yetkilendirme jetonundaki
role
hak talebinin "okuyucu" olduğundan emin olun veya "yazar". - Yetkilendirme jetonundaki
kacls_url
hak talebinin Geçerli KACLS URL'si. Bu, potansiyel ortadaki adamın algılanmasına olanak tanır Kuruluş içinden veya sahte alan adı yöneticileri tarafından yapılandırılan sunucular.
Kimliği doğrulanmış bir şifreleme algoritması kullanarak aşağıdaki bölümlerin şifresini çözün:
- Veri Şifreleme Anahtarı (DEK)
- Yetkilendirme jetonundaki
resource_name
veperimeter_id
değerleri - Diğer hassas veriler
Yetkilendirme jetonu ve şifresi çözülmüş blob'daki
resource_name
öğesinin olup olmadığını kontrol edin eşleşmesini sağlar.Hem kimlik doğrulama hem de yetkilendirme taleplerini kullanarak çevre kontrolü gerçekleştirin.
İşlemi oluşturan kullanıcı,
resource_name
ve istekte geçirilen nedendir.Sarmalanmamış DEK'yi veya yapılandırılmış hata yanıtını döndürün.