Konfigurowanie usługi

Usługa listy kontroli dostępu do kluczy (KACLS) jest skonfigurowana bez udziału Google. Poniżej znajdziesz informacje o typowych ustawieniach i sprawdzonych metodach konfigurowania usługi.

Ustawienia operacyjne

  • Interfejs API powinien być dostępny tylko przez HTTPS z TLS 1.2 lub nowszym z ważnym certyfikatem X.509.

  • Serwer interfejsu API powinien obsługiwać CORS, aby uzyskać dostęp do autoryzowanego punktu końcowego Google: https://client-side-encryption.google.com.

  • Zalecamy maksymalne opóźnienie 200 ms w przypadku 99% żądań.

Ustawienia dostawcy autoryzacji

Aby zweryfikować tokeny autoryzacji wydane przez Google podczas szyfrowania po stronie klienta (CSE), użyj tych ustawień:

Kontekst aplikacji Google Workspace Adres URL punktu końcowego JWKS Wydawca tokena autoryzacji Lista odbiorców tokena autoryzacji
Dysk Google i narzędzia do wspólnego tworzenia treści, takie jak Dokumenty i Arkusze https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com gsuitecse-tokenissuer-drive@system.gserviceaccount.com cse-authorization
Szyfrowanie po stronie klienta w Google Meet https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-meet@system.gserviceaccount.com gsuitecse-tokenissuer-meet@system.gserviceaccount.com cse-authorization
szyfrowanie po stronie klienta w Kalendarzu, https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-calendar@system.gserviceaccount.com gsuitecse-tokenissuer-calendar@system.gserviceaccount.com cse-authorization
Szyfrowanie po stronie klienta w Gmailu https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-gmail@system.gserviceaccount.com gsuitecse-tokenissuer-gmail@system.gserviceaccount.com cse-authorization
Migracja KACLS https://www.googleapis.com/service_accounts/v1/jwk/apps-security-cse-kaclscommunication@system.gserviceaccount.com apps-security-cse-kaclscommunication@system.gserviceaccount.com cse-authorization

Ustawienia dostawcy tożsamości

Te ustawienia są wymagane w przypadku każdego dostawcy tożsamości innego niż Google, z którego usług korzysta Twoja usługa:

  • Metoda weryfikacji tokenów. Tokeny są zwykle weryfikowane za pomocą adresu URL do pliku JWKS (JSON Web Key Set), ale mogą to być też same klucze publiczne.
  • Wartości dotyczące wystawcy i listy odbiorców: wartości pól iss (wystawca) i aud (odbiorcy) używane przez poszczególnych dostawców tożsamości.

Ustawienia perymetru

Koncepcja obwodu w szyfrowaniu po stronie klienta Google Workspace służy do zapewniania kontroli dostępu do kluczy szyfrowania za pomocą KACLS. Peryferia to opcjonalne dodatkowe kontrole wykonywane na tokenach uwierzytelniania i autoryzacji w ramach KACLS.

Granic można używać do:

  • Zezwalaj na odszyfrowywanie kluczy tylko użytkownikom z domen umieszczonych na liście dozwolonych.
  • blokować użytkowników, np. administratorów Google Workspace;
  • Ustaw zaawansowane ograniczenia. Na przykład:
    • Ograniczenia czasowe dla pracowników dyżurujących lub osób na urlopie
    • Ograniczenia dotyczące geolokalizacji, które uniemożliwiają dostęp z określonych lokalizacji lub sieci.
    • Dostęp na podstawie roli lub typu użytkownika, jak stwierdza dostawca tożsamości.

Sprawdzanie konfiguracji KACLS

Aby sprawdzić, czy usługa KACLS jest aktywna i prawidłowo skonfigurowana, wyślij prośbę status. Można też przeprowadzać wewnętrzne kontrole, takie jak dostępność KMS czy stan systemu rejestrowania.