שירות רשימת המפתחות של בקרת הגישה (KACLS) מוגדר ללא מעורבות של Google. בהמשך מפורטים פרטים על הגדרות נפוצות ושיטות מומלצות להגדרת השירות.
הגדרות תפעוליות
ה-API צריך להיות זמין רק דרך HTTPS עם TLS 1.2 ואילך, עם אישור X.509 תקף.
שרת ה-API צריך לטפל ב-CORS כדי לגשת לנקודת הקצה המורשית של Google:
https://client-side-encryption.google.com.מומלץ להגדיר חביון מקסימלי של 200 אלפיות השנייה ל-99% מהבקשות.
הגדרות של ספק הרשאות
משתמשים בהגדרות שבהמשך כדי לאמת את אסימוני ההרשאה שהונפקו על ידי Google במהלך הצפנה בצד הלקוח (CSE):
| הקשר של אפליקציות Google Workspace | כתובת ה-URL של נקודת הקצה של JWKS | הנפקת טוקן הרשאה | קהל של טוקן הרשאה |
|---|---|---|---|
| Google Drive וכלים לשיתוף פעולה ביצירת תוכן, כמו Docs ו-Sheets | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
cse-authorization |
| הצפנה מצד הלקוח (CSE) ב-Meet | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
cse-authorization |
| הצפנה מצד הלקוח ביומן | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
cse-authorization |
| Gmail CSE | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
cse-authorization |
| העברה של KACLS | https://www.googleapis.com/service_accounts/v1/jwk/apps-security-cse-kaclscommunication@system.gserviceaccount.com |
apps-security-cse-kaclscommunication@system.gserviceaccount.com |
cse-authorization |
הגדרות של ספק הזהויות
ההגדרות הבאות נדרשות לכל ספק זהויות (IdP) שאינו של Google שהשירות שלכם פועל איתו:
- שיטה לאימות אסימונים. בדרך כלל, האסימונים מאומתים באמצעות כתובת ה-URL לקובץ JSON Web Key Set (JWKS), אבל יכול להיות שהם גם המפתחות הציבוריים עצמם.
- ערכי המנפיק והקהל: הערכים של השדות
iss(מנפיק) ו-aud(קהל) שבהם נעשה שימוש בכל ספק זהויות.
הגדרות ההיקף
המושג 'היקף' בהצפנה מצד הלקוח (CSE) ב-Google Workspace משמש כדי לספק בקרת גישה למפתחות ההצפנה באמצעות KACLS. ההיקפים הם בדיקות נוספות אופציונליות שמבוצעות על אסימוני האימות וההרשאה בתוך KACLS.
אפשר להשתמש בגבולות כדי:
- רק משתמשים בדומיינים שברשימת ההיתרים יכולים לפענח מפתחות.
- משתמשים ברשימת החסימה, כמו אדמינים ב-Google Workspace.
- הגבלות מתקדמות. לדוגמה:
- הגבלות לפי שעות לעובדים שזמינים למענה לשיחות או לאנשים שנמצאים בחופשה
- הגבלות מיקום גיאוגרפי כדי למנוע גישה ממיקומים או מרשתות ספציפיים
- גישה שמבוססת על תפקיד או סוג משתמש, כפי שנקבע על ידי ספק הזהויות
אימות ההגדרה של KACLS
כדי לבדוק אם KACLS פעיל ומוגדר בצורה נכונה, שולחים בקשת status. אפשר גם לבצע בדיקות עצמיות פנימיות, כמו נגישות ל-KMS או תקינות של מערכת הרישום ביומן.