Configurer votre service

Votre service de liste de contrôle d'accès aux clés (KACLS) est configuré sans l'intervention de Google. Vous trouverez ci-dessous des informations sur les paramètres courants et les bonnes pratiques à suivre pour configurer votre service.

Paramètres opérationnels

  • L'API ne doit être disponible que via HTTPS avec TLS 1.2 ou version ultérieure avec un certificat X.509 valide.

  • Le serveur de l'API doit gérer CORS pour accéder au point de terminaison autorisé de Google: https://client-side-encryption.google.com.

  • Nous recommandons une latence maximale de 200 ms pour 99% des requêtes.

Paramètres du fournisseur d'autorisation

Utilisez les paramètres ci-dessous pour valider les jetons d'autorisation émis par Google lors du chiffrement côté client (CSE):

Contexte d'application Google Workspace URL du point de terminaison JWKS Émetteur du jeton d'autorisation Audience du jeton d'autorisation
Google Drive et les outils de création de contenu collaboratif, comme Docs et Sheets https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com gsuitecse-tokenissuer-drive@system.gserviceaccount.com cse-authorization
Chiffrement côté client Meet https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-meet@system.gserviceaccount.com gsuitecse-tokenissuer-meet@system.gserviceaccount.com cse-authorization
CSE Agenda https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-calendar@system.gserviceaccount.com gsuitecse-tokenissuer-calendar@system.gserviceaccount.com cse-authorization
CSE Gmail https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-gmail@system.gserviceaccount.com gsuitecse-tokenissuer-gmail@system.gserviceaccount.com cse-authorization
Migration KACLS https://www.googleapis.com/service_accounts/v1/jwk/apps-security-cse-kaclscommunication@system.gserviceaccount.com apps-security-cse-kaclscommunication@system.gserviceaccount.com cse-authorization

Paramètres du fournisseur d'identité

Les paramètres ci-dessous sont obligatoires pour chaque fournisseur d'identité (IdP) autre que Google avec lequel votre service fonctionne:

  • Méthode permettant de valider les jetons. Les jetons sont généralement validés par l'URL d'un fichier JSON Web Key Set (JWKS), mais peuvent également être les clés publiques elles-mêmes.
  • Valeurs de l'émetteur et de l'audience:valeurs des champs iss (émetteur) et aud (audience) utilisées par chaque fournisseur d'identité.

Paramètres du périmètre

Le concept de périmètre dans le chiffrement côté client (CSE, Client-Side Encryption) Google Workspace permet de contrôler l'accès aux clés de chiffrement via les KACLS. Les périmètres sont des vérifications supplémentaires facultatives effectuées sur les jetons d'authentification et d'autorisation dans le KACLS.

Les périmètres peuvent être utilisés pour:

  • Autorisez uniquement les utilisateurs des domaines de la liste d'autorisation à déchiffrer les clés.
  • Ajouter des utilisateurs à la liste de blocage, comme les administrateurs Google Workspace
  • Fournissez des restrictions avancées. Exemple :
    • Restrictions temporelles pour les employés de garde ou les personnes en vacances
    • Restrictions de géolocalisation pour empêcher l'accès depuis des zones ou des réseaux spécifiques
    • Accès basé sur le rôle ou le type d'utilisateur, tel qu'affirmé par un fournisseur d'identité

Vérifier votre configuration KACLS

Pour vérifier si votre KACLS est actif et correctement configuré, envoyez une requête status. Des auto-vérifications internes, telles que l'accessibilité du KMS ou l'état du système de journalisation, peuvent également être effectuées.