Il servizio elenco di controllo dell'accesso per le chiavi (KACLS) è configurato senza il coinvolgimento di Google. Di seguito sono riportati i dettagli sulle impostazioni comuni e sulle best practice per la configurazione del servizio.
Impostazioni di funzionamento
L'API deve essere disponibile solo tramite HTTPS con TLS 1.2 o versioni successive e un certificato X.509 valido.
Il server API deve gestire CORS per accedere all'endpoint autorizzato di Google:
https://client-side-encryption.google.com
.Consigliamo una latenza massima di 200 ms per il 99% delle richieste.
Impostazioni del provider di autorizzazione
Utilizza le impostazioni riportate di seguito per convalidare i token di autorizzazione emessi da Google durante la crittografia lato client (CLS):
Contesto dell'applicazione Google Workspace | URL endpoint JWKS | Emittente del token di autorizzazione | Segmento di pubblico del token di autorizzazione |
---|---|---|---|
Google Drive e strumenti di creazione collaborativa di contenuti, come Documenti e Fogli | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
cse-authorization |
Crittografia lato client di Meet | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
cse-authorization |
Crittografia lato client di Calendar | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
cse-authorization |
Crittografia lato client di Gmail | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
cse-authorization |
Migrazione di KACLS | https://www.googleapis.com/service_accounts/v1/jwk/apps-security-cse-kaclscommunication@system.gserviceaccount.com |
apps-security-cse-kaclscommunication@system.gserviceaccount.com |
cse-authorization |
Impostazioni del provider di identità
Le impostazioni riportate di seguito sono obbligatorie per ogni provider di identità (IdP) non Google con cui il tuo servizio è compatibile:
- Metodo per convalidare i token. I token vengono generalmente convalidati dall'URL di un file JSON Web Key Set (JWKS), ma potrebbero essere anche le chiavi pubbliche stesse.
- Valori emittente e pubblico: i valori dei campi
iss
(emittente) eaud
(pubblico) utilizzati da ciascun provider di identità.
Impostazioni del perimetro
Il concetto di perimetro nella crittografia lato client (CSE) di Google Workspace viene utilizzato per fornire il controllo dell'accesso alle chiavi di crittografia tramite i KACLS. I perimetri sono controlli aggiuntivi facoltativi eseguiti sui token di autenticazione e autorizzazione all'interno dei KACLS.
I perimetri possono essere utilizzati per:
- Consenti solo agli utenti dei domini inclusi nella lista consentita di decriptare le chiavi.
- Inserisci nella lista bloccata gli utenti, ad esempio gli amministratori di Google Workspace.
- Fornisci limitazioni avanzate. Ad esempio:
- Limitazioni basate sul tempo per dipendenti disponibili o persone in vacanza
- Limitazioni di geolocalizzazione per impedire l'accesso da località o reti specifiche
- Accesso basato sul ruolo o sul tipo di utente, come affermato da un provider di identità
Verifica la configurazione di KACLS
Per verificare se il tuo KACLS è attivo e configurato correttamente, invia una richiesta status
. È possibile eseguire anche controlli automatici interni, come l'accessibilità della KMS o l'integrità del sistema di registrazione.