سرویس فهرست کنترل دسترسی کلیدی (KACLS) شما بدون دخالت گوگل پیکربندی شده است. در زیر جزئیاتی در مورد تنظیمات رایج و بهترین شیوهها برای پیکربندی سرویس شما آمده است.
تنظیمات عملیاتی
این API فقط باید از طریق HTTPS با TLS 1.2 یا بالاتر و با گواهی معتبر X.509 در دسترس باشد.
سرور API باید CORS را مدیریت کند تا به نقطه پایانی مجاز گوگل دسترسی پیدا کند:
https://client-side-encryption.google.com.ما حداکثر تأخیر ۲۰۰ میلیثانیه را برای ۹۹٪ درخواستها توصیه میکنیم.
تنظیمات ارائه دهنده مجوز
از تنظیمات زیر برای اعتبارسنجی توکنهای مجوز صادر شده توسط گوگل در طول رمزگذاری سمت کلاینت (CSE) استفاده کنید:
| زمینه برنامه Google Workspace | آدرس اینترنتی نقطه پایانی JWKS | صادرکننده توکن مجوز | مخاطبان توکن مجوز |
|---|---|---|---|
| گوگل درایو و ابزارهای تولید محتوای مشارکتی، مانند Docs و Sheets | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com | gsuitecse-tokenissuer-drive@system.gserviceaccount.com | cse-authorization |
| با CSE آشنا شوید | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-meet@system.gserviceaccount.com | gsuitecse-tokenissuer-meet@system.gserviceaccount.com | cse-authorization |
| تقویم CSE | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-calendar@system.gserviceaccount.com | gsuitecse-tokenissuer-calendar@system.gserviceaccount.com | cse-authorization |
| جیمیل CSE | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-gmail@system.gserviceaccount.com | gsuitecse-tokenissuer-gmail@system.gserviceaccount.com | cse-authorization |
| مهاجرت KACLS | https://www.googleapis.com/service_accounts/v1/jwk/apps-security-cse-kaclscommunication@system.gserviceaccount.com | apps-security-cse-kaclscommunication@system.gserviceaccount.com | cse-authorization |
تنظیمات ارائه دهنده هویت
تنظیمات زیر برای هر ارائهدهنده هویت غیر گوگل (IdP) که سرویس شما با آن کار میکند، الزامی است:
- روشی برای اعتبارسنجی توکنها. توکنها معمولاً توسط URL به یک فایل JSON Web Key Set (JWKS) اعتبارسنجی میشوند، اما میتوانند خود کلیدهای عمومی نیز باشند.
- مقادیر صادرکننده و مخاطب: مقادیر فیلد
iss(صادرکننده) وaud(مخاطب) که توسط هر ارائهدهنده هویت استفاده میشود.
تنظیمات پیرامونی
مفهوم محیط در رمزگذاری سمت کلاینت (CSE) در فضای کاری گوگل برای ارائه کنترل دسترسی به کلیدهای رمزگذاری از طریق KACLS استفاده میشود. محیطها، بررسیهای اضافی اختیاری هستند که روی توکنهای احراز هویت و مجوز در KACLS انجام میشوند.
از حاشیهها میتوان برای موارد زیر استفاده کرد:
- فقط به کاربرانی که در دامنههای مجاز قرار دارند، اجازه رمزگشایی کلیدها را بدهید.
- کاربرانی مانند مدیران Google Workspace را در لیست مسدود قرار دهید.
- محدودیتهای پیشرفته ارائه دهید. برای مثال:
- محدودیتهای زمانی برای کارمندان آماده به کار یا افراد در تعطیلات
- محدودیتهای موقعیت جغرافیایی برای جلوگیری از دسترسی از مکانها یا شبکههای خاص
- دسترسی مبتنی بر نقش یا نوع کاربر، همانطور که توسط یک ارائه دهنده هویت (Identity Provider) تعیین میشود
پیکربندی KACLS خود را تأیید کنید
برای بررسی فعال و پیکربندی صحیح KACLS خود، یک درخواست status ارسال کنید. بررسیهای داخلی مانند دسترسی به KMS یا ثبت سلامت سیستم نیز میتوانند انجام شوند.