إنشاء خدمة إدارة مفاتيح تشفير مخصَّصة لميزة "التشفير من جهة العميل"

يمكنك استخدام مفاتيح التشفير الخاصة بك لتشفير بيانات مؤسستك، بدلاً من استخدام التشفير الذي توفّره Google Workspace. باستخدام ميزة "التشفير من جهة العميل" (CSE) في Google Workspace، يتم التعامل مع تشفير الملفات في متصفّح العميل قبل تخزينها في مساحة التخزين المستنِدة إلى السحابة الإلكترونية من Google Drive. وبهذه الطريقة، لا يمكن لخوادم Google الوصول إلى مفاتيح التشفير، وبالتالي لا يمكنها فك تشفير بياناتك. لمزيد من التفاصيل، يُرجى الاطّلاع على المقالة لمحة عن ميزة "التشفير من جهة العميل".

تتيح لك واجهة برمجة التطبيقات هذه التحكّم في مفاتيح التشفير ذات المستوى الأعلى التي تحمي بياناتك باستخدام خدمة إدارة مفاتيح تشفير خارجية مخصّصة. بعد إنشاء خدمة إدارة مفاتيح تشفير خارجية باستخدام واجهة برمجة التطبيقات هذه، يمكن لمشرفي Google Workspace الربط بها وتفعيل ميزة "التشفير من جهة العميل" للمستخدمين.

المصطلحات المهمة

في ما يلي قائمة بالمصطلحات الشائعة الاستخدام في Google Workspace Client-side Encryption API:

التشفير من جهة العميل (CSE)

التشفير الذي يتم التعامل معه في متصفّح العميل قبل تخزينه في مساحة تخزين مستندة إلى السحابة الإلكترونية ويحمي هذا الإجراء الملف من أن يقرأه مقدّم خدمة التخزين. مزيد من المعلومات

خدمة قائمة التحكّم بالوصول إلى مفاتيح التشفير (KACLS)

خدمة إدارة المفاتيح الخارجية التي تستخدم واجهة برمجة التطبيقات هذه للتحكّم في الوصول إلى مفاتيح التشفير المخزّنة في نظام خارجي

موفِّر الهوية (IdP)

الخدمة التي تصادق على المستخدمين قبل أن يتمكّنوا من تشفير الملفات أو الوصول إلى الملفات المشفّرة

التشفير وفك التشفير

مفتاح تشفير البيانات (DEK)

المفتاح الذي يستخدمه Google Workspace في برنامج العميل على المتصفّح لتشفير البيانات نفسها

مفتاح تشفير المفتاح (KEK)

مفتاح من خدمتك يُستخدَم لتشفير مفتاح تشفير البيانات (DEK).

التحكم في الدخول

قائمة التحكّم بالوصول (ACL)

قائمة بالمستخدمين أو المجموعات التي يمكنها فتح ملف أو قراءته

رمز JSON المميّز للويب (JWT) للمصادقة

رمز مميّز لحامل البطاقة (JWT: RFC 7519) صادر عن موفِّر الهوية (IdP) لإثبات هوية المستخدم.

رمز JSON المميّز للويب (JWT) الخاص بالتفويض

رمز مميّز من النوع Bearer (JWT: RFC 7519) صادر عن Google للتحقّق من أنّ مقدّم الطلب لديه الإذن بتشفير مورد أو فك تشفيره.

مجموعة مفاتيح الويب JSON (JWKS)

عنوان URL لنقطة نهاية للقراءة فقط يشير إلى قائمة بالمفاتيح العامة المستخدَمة للتحقّق من صحة رموز JSON المميّزة للويب (JWT).

المحيط

عمليات التحقّق الإضافية التي يتم إجراؤها على رموز المصادقة والترخيص في KACLS للتحكّم في الوصول

عملية التشفير من جهة العميل

بعد أن يفعّل المشرف ميزة "التشفير من جهة العميل" في مؤسسته، يمكن للمستخدمين الذين تم تفعيل هذه الميزة لهم اختيار إنشاء مستندات مشفَّرة باستخدام أدوات إنشاء المحتوى التعاوني في Google Workspace، مثل "مستندات Google" و"جداول بيانات Google"، أو تشفير الملفات التي يحمّلونها إلى Drive، مثل ملفات PDF.

بعد أن يشفّر المستخدم مستندًا أو ملفًا:

1. ينشئ Google Workspace مفتاح تشفير البيانات في متصفّح العميل لتشفير المحتوى.

2. يرسل Google Workspace مفتاح تشفير البيانات ورموز المصادقة إلى نظام إدارة مفاتيح التشفير الخارجي التابع لجهة خارجية من أجل التشفير، وذلك باستخدام عنوان URL تقدّمه إلى مشرف مؤسسة Google Workspace.

3. يستخدم نظام إدارة مفاتيح التشفير هذا واجهة برمجة التطبيقات لتشفير مفتاح تشفير البيانات، ثم يعيد إرسال مفتاح تشفير البيانات المشوّش والمشفّر إلى Google Workspace.

4. يخزّن Google Workspace البيانات المشفّرة والمشوّشة في السحابة الإلكترونية. يمكن فقط للمستخدمين الذين لديهم إذن الوصول إلى نظام KACLS الوصول إلى البيانات.

لمزيد من التفاصيل، يُرجى الاطّلاع على تشفير الملفات وفك تشفيرها.

الخطوات التالية

• كيفية ضبط إعدادات خدمتك
• كيفية تشفير البيانات وفك تشفيرها