שירות רשימת בקרת הגישה למפתחות (KACLS) מוגדר ללא מעורבות פעילה. בהמשך ניתן למצוא פרטים על הגדרות נפוצות ושיטות מומלצות עבור הגדרת השירות שלך.
הגדרות תפעוליות
ה-API צריך להיות זמין רק ב-HTTPS עם TLS מגרסה 1.2 ואילך עם ערך תקין של אישור X.509.
שרת ה-API צריך לטפל ב-CORS כדי לגשת לנקודת הקצה (end-point) המורשה של Google:
https://client-side-encryption.google.com.מומלץ שזמן האחזור המקסימלי הוא 200 אלפיות השנייה עבור 99% מהבקשות.
ההגדרות של ספק ההרשאות
יש להשתמש בהגדרות הבאות כדי לאמת את אסימוני הרשאה במהלך הצפנה מצד הלקוח (CSE):
| הקשר של אפליקציות Google Workspace | כתובת ה-URL של נקודת הקצה של JWKS | המנפיק של אסימון ההרשאה | קהל של אסימון הרשאה |
|---|---|---|---|
| Google Drive וכלים לשיתוף פעולה ביצירת תוכן, כמו Docs ו-Sheets | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
cse-authorization |
| הצפנה מצד הלקוח ב-Meet | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
cse-authorization |
| CSE של היומן | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
cse-authorization |
| ההצפנה מצד הלקוח (CSE) ב-Gmail | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
cse-authorization |
| העברה של KACLS | https://www.googleapis.com/service_accounts/v1/jwk/apps-security-cse-kaclscommunication@system.gserviceaccount.com |
apps-security-cse-kaclscommunication@system.gserviceaccount.com |
cse-authorization |
הגדרות ספק הזהויות
ההגדרות הבאות נדרשות לכל ספק זהויות (IdP) שאינו של Google השירות פועל עם:
- שיטה לאימות אסימונים. האסימונים בדרך כלל מאומתים על ידי כתובת ה-URL קובץ JSON Web Key Set (JWKS), אבל יכול להיות גם המפתחות הציבוריים עצמם.
- ערכים של המנפיק והקהל: השדה
iss(המנפיק) והשדהaud(קהל) והערכים של כל ספק זהויות.
הגדרות היקף
אנחנו משתמשים בקונספט 'גבולות גזרה' בהצפנה מצד הלקוח (CSE) ב-Google Workspace כדי לספק בקרת גישה למפתחות ההצפנה דרך ה-KACLS. גבולות הגזרה הן בדיקות אופציונליות נוספות המבוצעות לאימות ולהרשאה בתוך ה-KACLS.
ניתן להשתמש בגבולות גזרה כדי:
- צריך לאפשר רק למשתמשים בדומיינים מרשימת ההיתרים לפענח מפתחות.
- משתמשים ברשימת חסימה, כמו אדמינים ב-Google Workspace.
- מגדירים הגבלות מתקדמות. לדוגמה:
- הגבלות מבוססות-זמן לעובדים או לאנשים שנמצאים בחופשה
- הגבלות על מיקום גיאוגרפי כדי למנוע גישה ממיקומים ספציפיים או רשתות
- גישה מבוססת תפקיד או סוג של משתמש, כפי שהוצהר על ידי ספק זהויות
אימות ההגדרות של KACLS
כדי לבדוק אם ה-KACLS פעיל ומוגדר נכון, צריך לשלוח
בקשת status. בדיקות עצמיות פנימיות,
אפשר לבצע גם נגישות של KMS או תקינות מערכת הרישום ביומן.