Configurare il servizio

Il servizio elenco di controllo dell'accesso per le chiavi (KACLS) è configurato senza il coinvolgimento di Google. Di seguito sono riportati i dettagli sulle impostazioni comuni e sulle best practice per la configurazione del servizio.

Impostazioni di funzionamento

  • L'API deve essere disponibile solo tramite HTTPS con TLS 1.2 o versioni successive e un certificato X.509 valido.

  • Il server API deve gestire CORS per accedere all'endpoint autorizzato di Google: https://client-side-encryption.google.com.

  • Consigliamo una latenza massima di 200 ms per il 99% delle richieste.

Impostazioni del provider di autorizzazione

Utilizza le impostazioni riportate di seguito per convalidare i token di autorizzazione emessi da Google durante la crittografia lato client (CLS):

Contesto dell'applicazione Google Workspace URL endpoint JWKS Emittente del token di autorizzazione Segmento di pubblico del token di autorizzazione
Google Drive e strumenti di creazione collaborativa di contenuti, come Documenti e Fogli https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com gsuitecse-tokenissuer-drive@system.gserviceaccount.com cse-authorization
Crittografia lato client di Meet https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-meet@system.gserviceaccount.com gsuitecse-tokenissuer-meet@system.gserviceaccount.com cse-authorization
Crittografia lato client di Calendar https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-calendar@system.gserviceaccount.com gsuitecse-tokenissuer-calendar@system.gserviceaccount.com cse-authorization
Crittografia lato client di Gmail https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-gmail@system.gserviceaccount.com gsuitecse-tokenissuer-gmail@system.gserviceaccount.com cse-authorization
Migrazione di KACLS https://www.googleapis.com/service_accounts/v1/jwk/apps-security-cse-kaclscommunication@system.gserviceaccount.com apps-security-cse-kaclscommunication@system.gserviceaccount.com cse-authorization

Impostazioni del provider di identità

Le impostazioni riportate di seguito sono obbligatorie per ogni provider di identità (IdP) non Google con cui il tuo servizio è compatibile:

  • Metodo per convalidare i token. I token vengono generalmente convalidati dall'URL di un file JSON Web Key Set (JWKS), ma potrebbero essere anche le chiavi pubbliche stesse.
  • Valori emittente e pubblico: i valori dei campi iss (emittente) e aud (pubblico) utilizzati da ciascun provider di identità.

Impostazioni del perimetro

Il concetto di perimetro nella crittografia lato client (CSE) di Google Workspace viene utilizzato per fornire il controllo dell'accesso alle chiavi di crittografia tramite i KACLS. I perimetri sono controlli aggiuntivi facoltativi eseguiti sui token di autenticazione e autorizzazione all'interno dei KACLS.

I perimetri possono essere utilizzati per:

  • Consenti solo agli utenti dei domini inclusi nella lista consentita di decriptare le chiavi.
  • Inserisci nella lista bloccata gli utenti, ad esempio gli amministratori di Google Workspace.
  • Fornisci limitazioni avanzate. Ad esempio:
    • Limitazioni basate sul tempo per dipendenti disponibili o persone in vacanza
    • Limitazioni di geolocalizzazione per impedire l'accesso da località o reti specifiche
    • Accesso basato sul ruolo o sul tipo di utente, come affermato da un provider di identità

Verifica la configurazione di KACLS

Per verificare se il tuo KACLS è attivo e configurato correttamente, invia una richiesta status. È possibile eseguire anche controlli automatici interni, come l'accessibilità della KMS o l'integrità del sistema di registrazione.