配置服务

您的密钥访问控制列表服务 (KACLS) 未采用 Google 的 参与度。下面详细介绍了 配置服务

操作设置

  • 该 API 应通过 HTTPS 使用,搭配 TLS 1.2 或更高版本且具有有效的 X.509 证书。

  • API 服务器应处理 CORS 访问 Google 的授权端点:https://client-side-encryption.google.com

  • 我们建议 99% 的请求的延迟时间上限为 200 毫秒。

授权提供方设置

使用以下设置验证 Google 签发的 授权令牌(更新期间) 客户端加密功能 (CSE):

Google Workspace 应用上下文 JWKS 端点网址 授权令牌颁发者 授权令牌受众群体
Google 云端硬盘和协作内容创建工具,例如文档和表格 https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com gsuitecse-tokenissuer-drive@system.gserviceaccount.com cse-authorization
Meet 客户端加密功能 https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-meet@system.gserviceaccount.com gsuitecse-tokenissuer-meet@system.gserviceaccount.com cse-authorization
日历客户端加密功能 https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-calendar@system.gserviceaccount.com gsuitecse-tokenissuer-calendar@system.gserviceaccount.com cse-authorization
Gmail 客户端加密功能 https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-gmail@system.gserviceaccount.com gsuitecse-tokenissuer-gmail@system.gserviceaccount.com cse-authorization
KACLS 迁移 https://www.googleapis.com/service_accounts/v1/jwk/apps-security-cse-kaclscommunication@system.gserviceaccount.com apps-security-cse-kaclscommunication@system.gserviceaccount.com cse-authorization

身份提供方设置

您的每个非 Google 身份提供方 (IdP) 都必须进行以下设置 服务可与以下产品搭配使用:

  • 验证令牌的方法。令牌通常通过指向 JSON Web 密钥集 (JWKS) 文件,但也可以是公钥本身。
  • Issuer and audience values(颁发者和受众群体值):iss(颁发者)和 aud(目标设备)字段 每个身份提供者使用的值。

边界设置

Google Workspace 客户端加密功能 (CSE) 中采用边界概念 通过 KACLS 提供对加密密钥的访问权限控制。边界 是针对身份验证和授权服务执行的其他可选检查 KACLS 内的相应令牌。

边界可用于:

  • 仅允许列入许可名单的网域中的用户解密密钥。
  • 将用户(例如 Google Workspace 管理员)列入屏蔽名单。
  • 提供高级限制。例如:
    • 针对随时待命或休假的员工有时间限制
    • 设置地理位置限制,以防止从特定位置或 网络
    • 基于用户角色或类型的访问权限,由身份提供者声明

验证您的 KACLS 配置

要检查您的 KACLS 是否有效以及配置是否正确,请发送 status 请求。内部自检 KMS 可访问性或日志记录系统运行状况等任务,也可以执行。