Konfigurowanie usługi

Usługa listy kontroli dostępu do kluczy (KACLS) jest konfigurowana bez udziału Google. Poniżej znajdziesz szczegóły dotyczące typowych ustawień i sprawdzonych metod konfigurowania usługi.

Ustawienia operacyjne

  • Interfejs API powinien być dostępny tylko przez HTTPS z protokołem TLS w wersji 1.2 lub nowszej z ważnym certyfikatem X.509.

  • Serwer interfejsu API powinien obsługiwać CORS, aby uzyskać dostęp do autoryzowanego punktu końcowego Google: https://client-side-encryption.google.com.

  • Zalecamy, aby w przypadku 99% żądań opóźnienie nie przekraczało 200 ms.

Ustawienia dostawcy autoryzacji

Aby weryfikować wydane przez Google tokeny autoryzacji podczas szyfrowania po stronie klienta, użyj tych ustawień:

Kontekst aplikacji Google Workspace URL punktu końcowego JWKS Wystawca tokena autoryzacji Odbiorcy tokena autoryzacji
Dysk Google i narzędzia do wspólnego tworzenia treści, takie jak Dokumenty i Arkusze https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com gsuitecse-tokenissuer-drive@system.gserviceaccount.com cse-authorization
Szyfrowanie po stronie klienta w Meet https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-meet@system.gserviceaccount.com gsuitecse-tokenissuer-meet@system.gserviceaccount.com cse-authorization
Szyfrowanie po stronie klienta w Kalendarzu https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-calendar@system.gserviceaccount.com gsuitecse-tokenissuer-calendar@system.gserviceaccount.com cse-authorization
Szyfrowanie po stronie klienta w Gmailu https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-gmail@system.gserviceaccount.com gsuitecse-tokenissuer-gmail@system.gserviceaccount.com cse-authorization
Migracja KACLS https://www.googleapis.com/service_accounts/v1/jwk/apps-security-cse-kaclscommunication@system.gserviceaccount.com apps-security-cse-kaclscommunication@system.gserviceaccount.com cse-authorization

Ustawienia dostawcy tożsamości

Poniższe ustawienia są wymagane w przypadku każdego dostawcy tożsamości innego niż Google, z którym współpracuje Twoja usługa:

  • Metoda weryfikacji tokenów. Tokeny są zwykle weryfikowane przez adres URL do pliku zestawu kluczy sieciowych JSON (JWKS), ale mogą to być też same klucze publiczne.
  • Wartości wystawcy i odbiorców: wartości pól iss (wystawca) i aud (odbiorcy) używane przez każdego dostawcę tożsamości.

Ustawienia granicy

Koncepcja perymetru w szyfrowaniu po stronie klienta Google Workspace służy do kontrolowania dostępu do kluczy szyfrowania za pomocą usługi KACLS. Obwody to opcjonalne dodatkowe kontrole przeprowadzane na tokenach uwierzytelniania i autoryzacji w ramach KACLS.

Perymetry mogą służyć do:

  • Zezwalaj na odszyfrowywanie kluczy tylko użytkownikom z domen umieszczonych na liście dozwolonych.
  • blokować użytkowników, np. administratorów Google Workspace;
  • Podaj zaawansowane ograniczenia. Na przykład:
    • Ograniczenia czasowe dla pracowników dyżurujących lub osób na urlopie
    • Ograniczenia geolokalizacji, które uniemożliwiają dostęp z określonych lokalizacji lub sieci
    • Dostęp na podstawie roli lub typu użytkownika, zgodnie z zapewnieniami dostawcy tożsamości

Sprawdzanie konfiguracji KACLS

Aby sprawdzić, czy usługa KACLS jest aktywna i prawidłowo skonfigurowana, wyślij żądanie status. Można też przeprowadzać wewnętrzne kontrole stanu, takie jak dostępność KMS czy stan systemu logowania.