आपकी कुंजी ऐक्सेस कंट्रोल लिस्ट सेवा (केएसीएलएस) को Google की मदद के बिना कॉन्फ़िगर किया गया है. यहां सेवा को कॉन्फ़िगर करने के लिए, सामान्य सेटिंग और सबसे सही तरीकों के बारे में जानकारी दी गई है.
ऑपरेशनल सेटिंग
एपीआई सिर्फ़ एचटीटीपीएस पर उपलब्ध होना चाहिए. साथ ही, इसमें TLS 1.2 या इसके बाद का वर्शन और मान्य X.509 सर्टिफ़िकेट होना चाहिए.
एपीआई सर्वर को CORS को मैनेज करना चाहिए, ताकि Google के ऑथराइज़ किए गए एंड-पॉइंट:
https://client-side-encryption.google.comको ऐक्सेस किया जा सके.हमारा सुझाव है कि 99% अनुरोधों के लिए, ज़्यादा से ज़्यादा 200 मि॰से॰ की लेटेन्सी होनी चाहिए.
अनुमति देने वाली कंपनी की सेटिंग
क्लाइंट-साइड एन्क्रिप्शन (सीएसई) के दौरान, Google की ओर से जारी किए गए अनुमति टोकन की पुष्टि करने के लिए, यहां दी गई सेटिंग का इस्तेमाल करें:
| Google Workspace ऐप्लिकेशन का कॉन्टेक्स्ट | JWKS एंडपॉइंट यूआरएल | ऑथराइज़ेशन टोकन जारी करने वाली संस्था | अनुमति वाले टोकन की ऑडियंस |
|---|---|---|---|
| Google Drive और साथ मिलकर कॉन्टेंट बनाने वाले टूल, जैसे कि Docs और Sheets | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
cse-authorization |
| Meet CSE | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
cse-authorization |
| Calendar CSE | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
cse-authorization |
| Gmail CSE | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
cse-authorization |
| KACLS माइग्रेशन | https://www.googleapis.com/service_accounts/v1/jwk/apps-security-cse-kaclscommunication@system.gserviceaccount.com |
apps-security-cse-kaclscommunication@system.gserviceaccount.com |
cse-authorization |
आइडेंटिटी प्रोवाइडर की सेटिंग
यहां दी गई सेटिंग, Google से बाहर की हर उस आइडेंटिटी प्रोवाइडर (आईडीपी) के लिए ज़रूरी हैं जिसके साथ आपकी सेवा काम करती है:
- टोकन की पुष्टि करने का तरीका. आम तौर पर, टोकन की पुष्टि JSON Web Key Set (JWKS) फ़ाइल के यूआरएल से की जाती है. हालांकि, ऐसा सार्वजनिक कुंजियों से भी किया जा सकता है.
- जारी करने वाले और ऑडियंस की वैल्यू: हर आइडेंटिटी प्रोवाइडर,
iss(जारी करने वाला) औरaud(ऑडियंस) फ़ील्ड की वैल्यू का इस्तेमाल करता है.
सीमा की सेटिंग
Google Workspace के क्लाइंट-साइड एन्क्रिप्शन (सीएसई) में पेरीमीटर के कॉन्सेप्ट का इस्तेमाल किया जाता है. इससे KACLS के ज़रिए एन्क्रिप्शन कुंजियों के ऐक्सेस को कंट्रोल किया जा सकता है. पेरीमीटर, KACLS में पुष्टि करने और अनुमति देने वाले टोकन पर की जाने वाली अतिरिक्त जांचें हैं. हालांकि, ये जांचें ज़रूरी नहीं हैं.
जियोफ़ेंसिंग का इस्तेमाल इन कामों के लिए किया जा सकता है:
- सिर्फ़ अनुमति वाली सूची में शामिल डोमेन के उपयोगकर्ताओं को कुंजियां डिक्रिप्ट करने की अनुमति दें.
- ब्लॉक की गई सूची में शामिल उपयोगकर्ता, जैसे कि Google Workspace एडमिन.
- ऐडवांस पाबंदियां लागू करें. उदाहरण के लिए:
- फ़ोन पर मौजूद कर्मचारियों या छुट्टी पर गए लोगों के लिए, समय के हिसाब से पाबंदियां
- जगह की जानकारी से जुड़ी पाबंदियां, ताकि कुछ जगहों या नेटवर्क से ऐक्सेस न किया जा सके
- उपयोगकर्ता की भूमिका या टाइप के आधार पर ऐक्सेस, जैसा कि पहचान देने वाली सेवा ने दावा किया है
KACLS कॉन्फ़िगरेशन की पुष्टि करना
यह देखने के लिए कि आपका KACLS चालू है और सही तरीके से कॉन्फ़िगर किया गया है या नहीं, status अनुरोध भेजें. इसके अलावा, इंटरनल सेल्फ चेक भी किए जा सकते हैं. जैसे, केएमएस की ऐक्सेसिबिलिटी या लॉगिंग सिस्टम की सेहत.