تشفير البيانات وفك تشفيرها

يوضِّح هذا الدليل طريقة عمل التشفير وفك التشفير باستخدام واجهة برمجة التطبيقات لميزة "التشفير من جهة العميل" في Google Workspace.

يجب إضافة أي خدمات موفِّر هوية (IdP) يستخدمها المستخدمون إلى القائمة المسموح بها. مشاركة الملفات المشفّرة. يمكنك عادةً العثور على التفاصيل المطلوبة لموفِّر الهوية في ملف .well-known متاح للجميع وإلا، فيمكن الاتصال بمدير مشرف Google Workspace لمعرفة تفاصيل موفِّر الهوية (idP).

تشفير البيانات

عندما يطلب مستخدم Google Workspace حفظ البيانات المشفّرة من جهة العميل أو تخزينها بيانات (التشفير من جهة العميل)، ترسل Google Workspace wrap طلب إلى عنوان URL لنقطة نهاية KACLS للتشفير. بالإضافة إلى الخيارات الاختيارية فحوصات الأمان، مثل عمليات التحقّق من البيئة المحيطة وعمليات التحقّق المستندة إلى مطالبات JWT، يجب أن يكون لدى خدمة KACLS إجراء الخطوات التالية:

  1. تحقَّق من هوية المستخدم الذي قدّم الطلب.

    • تحقَّق من صحة كل من الرمز المميّز للمصادقة والرمز المميّز للتفويض
    • تحقق من أن الرموز المميزة للتفويض والمصادقة تخص المستخدم نفسه من خلال إجراء مطابقة غير حساسة لحالة الأحرف على مطالبات البريد الإلكتروني.
    • عندما يحتوي الرمز المميّز للمصادقة على مطالبة اختيارية google_email، يجب مقارنته بالمطالبة المرسَلة عبر البريد الإلكتروني في الرمز المميّز للتفويض باستخدام نهج غير حساس لحالة الأحرف. لا تستخدِم المطالبة عبر البريد الإلكتروني ضمن رمز المصادقة لهذه المقارنة.
    • في السيناريوهات التي يفتقر فيها الرمز المميز للمصادقة إلى العنصر الاختياري مطالبة واحدة (google_email)، المطالبة عبر البريد الإلكتروني ضمن الرمز المميّز للمصادقة بالمطالبة بالبريد الإلكتروني في الرمز المميز للتفويض، باستخدام طريقة غير حساسة لحالة الأحرف.
    • في السيناريوهات التي تُصدر فيها Google رمزًا مميزًا للتفويض لبريد إلكتروني لا المرتبطة بحساب Google، يجب أن تكون المطالبة email_type موجودة. وهذا يشكل جزءًا مهمًا من ميزة "وصول الضيف"، فهو يقدم خدمة KACLS لفرض إجراءات أمان إضافية على جهات الاتصال المستخدمين.
      • في ما يلي بعض الأمثلة حول كيفية استخدام خدمة KACLS لهذه المعلومات:
      • فرض متطلبات تسجيل إضافية
      • قصر جهة إصدار الرمز المميّز للمصادقة على موفِّر هوية ضيف مخصّص فقط
      • لطلب مطالبات إضافية بالرمز المميز للمصادقة.
      • إذا لم يضبط العميل ميزة "وصول الضيف"، سيتم عندها ضبط جميع الطلبات حيث يمكن ضبط email_type على google-visitor أو customer-idp مرفوض. الطلبات التي تحتوي على email_type من google أو التي لم يتم ضبطها يجب مواصلة قبول email_type.
    • تأكَّد من أنّ المطالبة role في الرمز المميّز للتفويض هي "writer". أو "ترقية".
    • تأكَّد من أنّ المطالبة kacls_url في الرمز المميّز للتفويض تتطابق مع عنوان URL الحالي لخدمة KACLS. تسمح عملية الفحص هذه برصد خوادم وسيطة تمت تهيئتها من قِبل أشخاص داخليين أو نطاق مخادع المشرفين.
    • إجراء فحص محيط باستخدام كلٍ من المصادقة والترخيص المطالبات.

  2. تشفير الأجزاء التالية باستخدام خوارزمية تشفير تمت مصادقتها:

    • مفتاح تشفير البيانات (DEK)
    • القيمتان resource_name وperimeter_id من الرمز المميّز للتفويض
    • أي بيانات حساسة إضافية

  3. تسجيل العملية، بما في ذلك المستخدم الذي أطلقها وresource_name السبب الذي تم تمريره في الطلب.

  4. إرجاع عنصر ثنائي غير شفاف لتخزّنه Google Workspace بجانب الكائن المشفر ويتم إرساله كما هو في أي مفتاح لاحق يتم فك التفافه العملية. أو عرض رد على خطأ منظَّم.

    • يجب أن يحتوي الكائن الثنائي على النسخة الوحيدة من DEK المشفر، إمكانية تخزين بيانات محددة للتنفيذ فيها.

فك تشفير البيانات

عندما يطلب مستخدم Google Workspace فتح البيانات المشفَّرة من جهة العميل، إرسال طلب من Google Workspace لطلب unwrap إلى عنوان URL لنقطة نهاية خدمة KACLS لفك التشفير. بالإضافة إلى إجراءات الأمان الاختيارية عمليات التحقّق، مثل عمليات التحقّق من المحيط وJWT المستندة إلى المطالبات، يجب أن تنفّذ خدمة KACLS الخطوات التالية:

  1. تحقَّق من هوية المستخدم الذي قدّم الطلب.

    • تحقَّق من صحة كل من الرمز المميّز للمصادقة والرمز المميّز للتفويض
    • تحقق من أن الرموز المميزة للتفويض والمصادقة تخص المستخدم نفسه من خلال إجراء مطابقة غير حساسة لحالة الأحرف على مطالبات البريد الإلكتروني.
    • عندما يحتوي الرمز المميّز للمصادقة على مطالبة اختيارية google_email، يجب مقارنته بالمطالبة المرسَلة عبر البريد الإلكتروني في الرمز المميّز للتفويض باستخدام نهج غير حساس لحالة الأحرف. لا تستخدِم المطالبة عبر البريد الإلكتروني ضمن رمز المصادقة لهذه المقارنة.
    • في السيناريوهات التي يفتقر فيها الرمز المميز للمصادقة إلى العنصر الاختياري مطالبة واحدة (google_email)، المطالبة عبر البريد الإلكتروني ضمن الرمز المميّز للمصادقة بالمطالبة بالبريد الإلكتروني في الرمز المميز للتفويض، باستخدام طريقة غير حساسة لحالة الأحرف.
    • في السيناريوهات التي تُصدر فيها Google رمزًا مميزًا للتفويض لبريد إلكتروني لا المرتبطة بحساب Google، يجب أن تكون المطالبة email_type موجودة. وهذا يشكل جزءًا مهمًا من ميزة "وصول الضيف"، فهو يقدم خدمة KACLS لفرض إجراءات أمان إضافية على جهات الاتصال المستخدمين.
      • في ما يلي بعض الأمثلة حول كيفية استخدام خدمة KACLS لهذه المعلومات:
      • فرض متطلبات تسجيل إضافية
      • قصر جهة إصدار الرمز المميّز للمصادقة على موفِّر هوية ضيف مخصّص فقط
      • لطلب مطالبات إضافية بالرمز المميز للمصادقة.
      • إذا لم يضبط العميل ميزة "وصول الضيف"، سيتم عندها ضبط جميع الطلبات حيث يمكن ضبط email_type على google-visitor أو customer-idp مرفوض. الطلبات التي تحتوي على email_type من google أو التي لم يتم ضبطها يجب مواصلة قبول email_type.
    • تأكَّد من أنّ المطالبة role في الرمز المميّز للتفويض هي "قارئ". أو "الكاتب".
    • تأكَّد من أنّ المطالبة kacls_url في الرمز المميّز للتفويض تتطابق مع عنوان URL الحالي لخدمة KACLS. وهذا يسمح باكتشاف الوسيط المحتمل خوادم يضبطها مستخدمون داخليون أو مشرفون محتالون للنطاقات.

  2. فك تشفير الأجزاء التالية باستخدام خوارزمية تشفير تمت مصادقتها:

    • مفتاح تشفير البيانات (DEK)
    • القيمتان resource_name وperimeter_id من الرمز المميّز للتفويض
    • أي بيانات حساسة إضافية

  3. تأكَّد من أنّ resource_name في الرمز المميّز للتفويض والرمز الثنائي الكبير غير المشفّر مطابقة.

  4. أجرِ فحصًا المحيط باستخدام كل من مطالبات المصادقة والترخيص.

  5. تسجيل العملية، بما في ذلك المستخدم الذي أطلقها وresource_name السبب الذي تم تمريره في الطلب.

  6. اعرض ملف DEK غير المغلف أو رد على خطأ منظَّم.