Il tuo Key Access Control List Service (KACLS) è configurato senza coinvolgimento. Di seguito sono riportati i dettagli sulle impostazioni più comuni e le best practice per alla configurazione del servizio.
Impostazioni operative
L'API deve essere disponibile solo tramite HTTPS con TLS 1.2 o versioni successive con un Certificato X.509.
Il server API deve gestire CORS. per accedere all'endpoint autorizzato di Google:
https://client-side-encryption.google.com.Consigliamo una latenza massima di 200 ms per il 99% delle richieste.
Impostazioni provider di autorizzazione
Utilizza le impostazioni seguenti per convalidare il documento fornito da Google token di autorizzazione durante crittografia lato client:
| Contesto dell'applicazione Google Workspace | URL endpoint JWKS | Emittente token di autorizzazione | Segmento di pubblico token di autorizzazione |
|---|---|---|---|
| Google Drive e strumenti collaborativi per la creazione di contenuti, come Documenti e Fogli | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
cse-authorization |
| La crittografia lato client di Meet | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
cse-authorization |
| Motore di ricerca personalizzato di Calendar | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
cse-authorization |
| Motore di ricerca personalizzato di Gmail | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
cse-authorization |
| Migrazione KACLS | https://www.googleapis.com/service_accounts/v1/jwk/apps-security-cse-kaclscommunication@system.gserviceaccount.com |
apps-security-cse-kaclscommunication@system.gserviceaccount.com |
cse-authorization |
Impostazioni del provider di identità
Le impostazioni seguenti sono obbligatorie per ogni provider di identità (IdP) non Google funziona con:
- Metodo per convalidare i token. I token vengono generalmente convalidati dall'URL che rimanda a un JSON Web Key Set (JWKS), ma potrebbe trattarsi anche delle chiavi pubbliche.
- Valori relativi a emittente e pubblico:i campi
iss(emittente) eaud(pubblico) usati da ogni provider di identità.
Impostazioni del perimetro
Il concetto di perimetro nella crittografia lato client di Google Workspace viene utilizzato per fornire il controllo dell'accesso alle chiavi di crittografia tramite KACLS. I perimetri sono controlli aggiuntivi facoltativi eseguiti sull'autenticazione e sull'autorizzazione all'interno dei KACLS.
I perimetri possono essere utilizzati per:
- Consenti solo agli utenti dei domini inclusi nella lista consentita di decriptare le chiavi.
- Inserire gli utenti nella lista bloccata, ad esempio gli amministratori di Google Workspace.
- Fornisci limitazioni avanzate. Ad esempio:
- Limitazioni temporali per dipendenti con servizio di reperibilità o persone in vacanza
- Limitazioni di geolocalizzazione per impedire l'accesso da posizioni specifiche o reti
- Accesso basato sul ruolo o sul tipo dell'utente, come dichiarato da un provider di identità
Verifica la configurazione KACLS
Per verificare se il tuo KACLS è attivo e configurato correttamente, invia un
Richiesta status. Autocontrolli interni,
come l'accessibilità KMS o il logging dell'integrità del sistema.