डेटा को एन्क्रिप्ट (सुरक्षित) करें और उसे डिक्रिप्ट करें

इस गाइड में बताया गया है कि Google Workspace के क्लाइंट-साइड एन्क्रिप्शन एपीआई का इस्तेमाल करके, डेटा एन्क्रिप्ट (सुरक्षित) करने और उसे डिक्रिप्ट करने की सुविधा कैसे काम करती है.

आपको उपयोगकर्ताओं की ओर से इस्तेमाल की जाने वाली, आइडेंटिटी प्रोवाइडर (IdP) की सेवाओं को अनुमति वाली सूची में शामिल करना होगा एन्क्रिप्ट (सुरक्षित) की गई फ़ाइलें शेयर करने के लिए किया जाता है. आम तौर पर, आपको आईडीपी (IdP) की जानकारी यहां मिल सकती है: सार्वजनिक रूप से उपलब्ध .well-known फ़ाइल; अगर ऐसा नहीं है, तो संगठन के Google Workspace एडमिन से संपर्क करके, अपने आईडीपी (IdP) की जानकारी मांगी जा सकती है.

डेटा एन्क्रिप्ट करें

जब Google Workspace का कोई उपयोगकर्ता, क्लाइंट-साइड एन्क्रिप्शन वाले कॉन्टेंट को सेव या सेव करने का अनुरोध करता है (सीएसई) डेटा, Google Workspace एक wrap भेजता है आपके KACLS एंडपॉइंट यूआरएल को एन्क्रिप्ट (सुरक्षित) करने का अनुरोध करेगा. 'शामिल होना ज़रूरी नहीं है' के अलावा सुरक्षा जांच, जैसे कि पेरीमीटर और JWT के दावे पर आधारित जांच, तो आपके KACLS को ये ज़रूरी शर्तें पूरी करनी होंगी यह तरीका अपनाएं:

  1. अनुरोध करने वाले उपयोगकर्ता की पुष्टि करें.

    • पुष्टि करने वाले टोकन की पुष्टि करें और ऑथराइज़ेशन टोकन.
    • यह जांच करें कि ऑथराइज़ेशन और पुष्टि करने वाले टोकन एक ही उपयोगकर्ता के लिए हैं. इसके लिए, यह तरीका अपनाएं: ईमेल के दावों के लिए केस-इनसेंसिटिव मैच करना.
    • जब पुष्टि करने वाले टोकन में वैकल्पिक google_email दावा शामिल होता है, तो इसकी तुलना ऑथराइज़ेशन टोकन में मौजूद ईमेल दावे से की जानी चाहिए केस-इनसेंसिटिव तरीके का इस्तेमाल किया जा सकता है. इसमें ईमेल दावे का इस्तेमाल न करें: इस तुलना के लिए प्रमाणीकरण टोकन.
    • ऐसे मामलों में जहां पुष्टि करने वाले टोकन में वैकल्पिक टोकन मौजूद नहीं होता google_email दावा, पुष्टि करने वाले टोकन में मौजूद ईमेल दावा की तुलना ऑथराइज़ेशन टोकन में मौजूद ईमेल पर किए गए दावे से की जानी चाहिए, केस-इनसेंसिटिव तरीके का इस्तेमाल किया जा सकता है.
    • उन मामलों में जहां Google किसी ईमेल पते के लिए, अनुमति वाला टोकन जारी करता है अगर आपका खाता Google खाते से जुड़ा है, तो email_type दावा मौजूद होना चाहिए. ये मेहमान ऐक्सेस की सुविधा का एक अहम हिस्सा हैं. बाहरी डोमेन पर अतिरिक्त सुरक्षा उपाय लागू करने के लिए KACLS को जानकारी उपयोगकर्ता.
      • KACLS इस जानकारी का इस्तेमाल कैसे कर सकता है, इसके कुछ उदाहरण यहां दिए गए हैं:
      • अतिरिक्त लॉगिंग आवश्यकताएं लागू करने के लिए.
      • पुष्टि करने वाला टोकन जारी करने वाले को, खास मेहमान आईडीपी (IdP) तक सीमित करने के लिए.
      • पुष्टि करने वाले टोकन पर अतिरिक्त दावे करने के लिए.
      • अगर किसी ग्राहक ने 'मेहमान के तौर पर ऐक्सेस' कॉन्फ़िगर नहीं किया है, तो सभी अनुरोध जहां email_type को google-visitor पर सेट किया गया हो या customer-idp को अस्वीकार कर दिया गया. google के email_type वाले या सेट नहीं किए गए अनुरोध email_type को स्वीकार करना जारी रखना चाहिए.
    • यह पक्का करें कि अनुमति देने वाले टोकन में role दावा "लेखक" है या "अपग्रेडर".
    • यह जांच लें कि ऑथराइज़ेशन टोकन में मौजूद kacls_url दावा मेल खाता हो मौजूदा KACLS का यूआरएल हो सकता है. इस जांच से, संभावित नतीजों का पता चलता है इनसाइडर या नुकसान पहुंचाने वाले डोमेन के ज़रिए कॉन्फ़िगर किए गए मैन-इन-द-मिडल सर्वर एडमिन.
    • प्रमाणीकरण और प्राधिकरण, दोनों का उपयोग करके परिधि की जांच करें दावे.

  2. पुष्टि किए गए एन्क्रिप्ट (सुरक्षित) करने के तरीके वाला एल्गोरिदम इस्तेमाल करके, यहां दिए गए हिस्सों को एन्क्रिप्ट (सुरक्षित) करें:

    • डेटा एन्क्रिप्शन कुंजी (डीईके)
    • ऑथराइज़ेशन टोकन से resource_name और perimeter_id की वैल्यू
    • कोई अन्य संवेदनशील जानकारी

  3. ऑपरेशन को लॉग करने के साथ-साथ, इसे जनरेट करने वाले उपयोगकर्ता का नाम, resource_name और अनुरोध में दी गई वजह.

  4. Google Workspace में सेव किया जाने वाला ओपेक बाइनरी ऑब्जेक्ट लौटाना एन्क्रिप्ट (सुरक्षित) किया गया ऑब्जेक्ट और उसे बाद में किसी भी कुंजी अनरैपिंग में भेजा जाता है कार्रवाई. इसके अलावा, गड़बड़ी के स्ट्रक्चर्ड जवाब का इस्तेमाल करके भी जवाब दिया जा सकता है.

    • बाइनरी ऑब्जेक्ट में, एन्क्रिप्ट (सुरक्षित) किए गए DEK की एक ही कॉपी होनी चाहिए, लागू करने से जुड़ा खास डेटा इसमें सेव किया जा सकता है.

डेटा डिक्रिप्ट करें

जब Google Workspace का कोई उपयोगकर्ता, क्लाइंट-साइड एन्क्रिप्शन (सीएसई) डेटा को खोलने का अनुरोध करता है, तो Google Workspace एक unwrap अनुरोध भेजता है आपके KACLS एंडपॉइंट यूआरएल को डिक्रिप्ट करता है. वैकल्पिक सुरक्षा के अलावा जांच करते हैं, जैसे कि पेरीमीटर और JWT के दावे पर आधारित जांच, तो आपके केएसीएलएस को यहां बताया गया तरीका अपनाएं:

  1. अनुरोध करने वाले उपयोगकर्ता की पुष्टि करें.

    • पुष्टि करने वाले टोकन की पुष्टि करें और ऑथराइज़ेशन टोकन.
    • यह जांच करें कि ऑथराइज़ेशन और पुष्टि करने वाले टोकन एक ही उपयोगकर्ता के लिए हैं. इसके लिए, यह तरीका अपनाएं: ईमेल के दावों के लिए केस-इनसेंसिटिव मैच करना.
    • जब पुष्टि करने वाले टोकन में वैकल्पिक google_email दावा शामिल होता है, तो इसकी तुलना ऑथराइज़ेशन टोकन में मौजूद ईमेल दावे से की जानी चाहिए केस-इनसेंसिटिव तरीके का इस्तेमाल किया जा सकता है. इसमें ईमेल दावे का इस्तेमाल न करें: इस तुलना के लिए प्रमाणीकरण टोकन.
    • ऐसे मामलों में जहां पुष्टि करने वाले टोकन में वैकल्पिक टोकन मौजूद नहीं होता google_email दावा, पुष्टि करने वाले टोकन में मौजूद ईमेल दावा की तुलना ऑथराइज़ेशन टोकन में मौजूद ईमेल पर किए गए दावे से की जानी चाहिए, केस-इनसेंसिटिव तरीके का इस्तेमाल किया जा सकता है.
    • उन मामलों में जहां Google किसी ईमेल पते के लिए, अनुमति वाला टोकन जारी करता है अगर आपका खाता Google खाते से जुड़ा है, तो email_type दावा मौजूद होना चाहिए. ये मेहमान ऐक्सेस की सुविधा का एक अहम हिस्सा हैं. बाहरी डोमेन पर अतिरिक्त सुरक्षा उपाय लागू करने के लिए KACLS को जानकारी उपयोगकर्ता.
      • KACLS इस जानकारी का इस्तेमाल कैसे कर सकता है, इसके कुछ उदाहरण यहां दिए गए हैं:
      • अतिरिक्त लॉगिंग आवश्यकताएं लागू करने के लिए.
      • पुष्टि करने वाला टोकन जारी करने वाले को, खास मेहमान आईडीपी (IdP) तक सीमित करने के लिए.
      • पुष्टि करने वाले टोकन पर अतिरिक्त दावे करने के लिए.
      • अगर किसी ग्राहक ने 'मेहमान के तौर पर ऐक्सेस' कॉन्फ़िगर नहीं किया है, तो सभी अनुरोध जहां email_type को google-visitor पर सेट किया गया हो या customer-idp को अस्वीकार कर दिया गया. google के email_type वाले या सेट नहीं किए गए अनुरोध email_type को स्वीकार करना जारी रखना चाहिए.
    • देखें कि अनुमति देने वाले टोकन में role दावा "रीडर" है या "लेखक".
    • यह जांच लें कि ऑथराइज़ेशन टोकन में मौजूद kacls_url दावा मेल खाता हो मौजूदा KACLS का यूआरएल हो सकता है. इससे उन लोगों का पता लगाने में मदद मिलती है जो दिव्यांग हैं इनसाइडर या नुकसान पहुंचाने वाले डोमेन एडमिन के कॉन्फ़िगर किए गए सर्वर.

  2. पुष्टि किए गए एन्क्रिप्शन के एल्गोरिदम का इस्तेमाल करके, इन हिस्सों को डिक्रिप्ट करें:

    • डेटा एन्क्रिप्शन कुंजी (डीईके)
    • ऑथराइज़ेशन टोकन से resource_name और perimeter_id की वैल्यू
    • कोई अन्य संवेदनशील जानकारी

  3. देखें कि अनुमति देने वाले टोकन में मौजूद resource_name और डिक्रिप्ट किए गए ब्लॉब में से किसका इस्तेमाल किया गया है मिलान.

  4. प्रमाणीकरण और प्राधिकरण दावों, दोनों का उपयोग करके परिधि की जांच करें.

  5. ऑपरेशन को लॉग करने के साथ-साथ, इसे जनरेट करने वाले उपयोगकर्ता का नाम, resource_name और अनुरोध में दी गई वजह.

  6. रैप नहीं किया गया डीईके या गड़बड़ी वाला स्ट्रक्चर्ड जवाब दिखाएं.