您的密钥访问控制列表服务 (KACLS) 未采用 Google 的 参与度。下面详细介绍了 配置服务
操作设置
该 API 应通过 HTTPS 使用,搭配 TLS 1.2 或更高版本且具有有效的 X.509 证书。
API 服务器应处理 CORS 访问 Google 的授权端点:
https://client-side-encryption.google.com。我们建议 99% 的请求的延迟时间上限为 200 毫秒。
授权提供方设置
使用以下设置验证 Google 签发的 授权令牌(更新期间) 客户端加密功能 (CSE):
| Google Workspace 应用上下文 | JWKS 端点网址 | 授权令牌颁发者 | 授权令牌受众群体 |
|---|---|---|---|
| Google 云端硬盘和协作内容创建工具,例如文档和表格 | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
cse-authorization |
| Meet 客户端加密功能 | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
cse-authorization |
| 日历客户端加密功能 | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
cse-authorization |
| Gmail 客户端加密功能 | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
cse-authorization |
| KACLS 迁移 | https://www.googleapis.com/service_accounts/v1/jwk/apps-security-cse-kaclscommunication@system.gserviceaccount.com |
apps-security-cse-kaclscommunication@system.gserviceaccount.com |
cse-authorization |
身份提供方设置
您的每个非 Google 身份提供方 (IdP) 都必须进行以下设置 服务可与以下产品搭配使用:
- 验证令牌的方法。令牌通常通过指向 JSON Web 密钥集 (JWKS) 文件,但也可以是公钥本身。
- Issuer and audience values(颁发者和受众群体值):
iss(颁发者)和aud(目标设备)字段 每个身份提供者使用的值。
边界设置
Google Workspace 客户端加密功能 (CSE) 中采用边界概念 通过 KACLS 提供对加密密钥的访问权限控制。边界 是针对身份验证和授权服务执行的其他可选检查 KACLS 内的相应令牌。
边界可用于:
- 仅允许列入许可名单的网域中的用户解密密钥。
- 将用户(例如 Google Workspace 管理员)列入屏蔽名单。
- 提供高级限制。例如:
- 针对随时待命或休假的员工有时间限制
- 设置地理位置限制,以防止从特定位置或 网络
- 基于用户角色或类型的访问权限,由身份提供者声明
验证您的 KACLS 配置
要检查您的 KACLS 是否有效以及配置是否正确,请发送
status 请求。内部自检
KMS 可访问性或日志记录系统运行状况等任务,也可以执行。