您的密钥访问控制列表服务 (KACLS) 是在没有 Google 参与的情况下配置的。下面详细介绍了配置服务的常见设置和最佳做法。
操作设置
该 API 应仅通过 HTTPS 和 TLS 1.2 或更高版本以及有效的 X.509 证书提供。
API 服务器应处理 CORS,以访问 Google 的授权端点:
https://client-side-encryption.google.com。我们建议 99% 的请求的最大延迟时间为 200 毫秒。
授权提供方设置
使用以下设置可以在客户端加密 (CSE) 期间验证 Google 颁发的授权令牌:
| Google Workspace 应用上下文 | JWKS 端点网址 | 授权令牌颁发者 | 授权令牌受众群体 |
|---|---|---|---|
| Google 云端硬盘和协作内容创建工具,例如文档和表格 | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
cse-authorization |
| Meet CSE | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
cse-authorization |
| 日历 CSE | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
cse-authorization |
| Gmail CSE | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
cse-authorization |
| KACLS 迁移 | https://www.googleapis.com/service_accounts/v1/jwk/apps-security-cse-kaclscommunication@system.gserviceaccount.com |
apps-security-cse-kaclscommunication@system.gserviceaccount.com |
cse-authorization |
身份提供方设置
对于与您的服务合作的每个非 Google 身份提供方 (IdP),都需要进行以下设置:
- 验证令牌的方法。令牌通常通过 JSON Web 密钥集 (JWKS) 文件的网址进行验证,但也可以是公钥本身。
- 颁发者和受众群体值:每个身份提供方使用的
iss(颁发者)和aud(受众)字段值。
边界设置
Google Workspace 客户端加密功能 (CSE) 中的边界概念用于通过 KACLS 提供对加密密钥的访问权限控制。边界是对 KACLS 中的身份验证和授权令牌执行的额外检查。
边界可用于:
- 仅允许许可名单网域中的用户解密密钥。
- 将用户(例如 Google Workspace 管理员)列入屏蔽名单。
- 提供高级限制。例如:
- 针对值班员工或休假人员设置基于时间的限制
- 地理定位限制,防止从特定位置或网络访问
- 基于用户角色或类型的访问(如身份提供者所声明)
验证您的 KACLS 配置
如需检查您的 KACLS 是否处于活跃状态以及是否配置正确,请发送 status 请求。您还可以执行内部自检,例如 KMS 可访问性或日志记录系统运行状况。