Votre service de liste de contrôle d'accès aux clés (KACLS) est configuré sans l'intervention de Google. Vous trouverez ci-dessous des informations sur les paramètres courants et les bonnes pratiques à suivre pour configurer votre service.
Paramètres opérationnels
L'API ne doit être disponible que via HTTPS avec TLS 1.2 ou version ultérieure avec un certificat X.509 valide.
Le serveur de l'API doit gérer CORS pour accéder au point de terminaison autorisé de Google:
https://client-side-encryption.google.com
.Nous recommandons une latence maximale de 200 ms pour 99% des requêtes.
Paramètres du fournisseur d'autorisation
Utilisez les paramètres ci-dessous pour valider les jetons d'autorisation émis par Google lors du chiffrement côté client (CSE):
Contexte d'application Google Workspace | URL du point de terminaison JWKS | Émetteur du jeton d'autorisation | Audience du jeton d'autorisation |
---|---|---|---|
Google Drive et les outils de création de contenu collaboratif, comme Docs et Sheets | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
cse-authorization |
Chiffrement côté client Meet | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
cse-authorization |
CSE Agenda | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
cse-authorization |
CSE Gmail | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
cse-authorization |
Migration KACLS | https://www.googleapis.com/service_accounts/v1/jwk/apps-security-cse-kaclscommunication@system.gserviceaccount.com |
apps-security-cse-kaclscommunication@system.gserviceaccount.com |
cse-authorization |
Paramètres du fournisseur d'identité
Les paramètres ci-dessous sont obligatoires pour chaque fournisseur d'identité (IdP) autre que Google avec lequel votre service fonctionne:
- Méthode permettant de valider les jetons. Les jetons sont généralement validés par l'URL d'un fichier JSON Web Key Set (JWKS), mais peuvent également être les clés publiques elles-mêmes.
- Valeurs de l'émetteur et de l'audience:valeurs des champs
iss
(émetteur) etaud
(audience) utilisées par chaque fournisseur d'identité.
Paramètres du périmètre
Le concept de périmètre dans le chiffrement côté client (CSE, Client-Side Encryption) Google Workspace permet de contrôler l'accès aux clés de chiffrement via les KACLS. Les périmètres sont des vérifications supplémentaires facultatives effectuées sur les jetons d'authentification et d'autorisation dans le KACLS.
Les périmètres peuvent être utilisés pour:
- Autorisez uniquement les utilisateurs des domaines de la liste d'autorisation à déchiffrer les clés.
- Ajouter des utilisateurs à la liste de blocage, comme les administrateurs Google Workspace
- Fournissez des restrictions avancées. Exemple :
- Restrictions temporelles pour les employés de garde ou les personnes en vacances
- Restrictions de géolocalisation pour empêcher l'accès depuis des zones ou des réseaux spécifiques
- Accès basé sur le rôle ou le type d'utilisateur, tel qu'affirmé par un fournisseur d'identité
Vérifier votre configuration KACLS
Pour vérifier si votre KACLS est actif et correctement configuré, envoyez une requête status
. Des auto-vérifications internes, telles que l'accessibilité du KMS ou l'état du système de journalisation, peuvent également être effectuées.