Votre service de liste de contrôle d'accès aux clés (KACLS) est configuré sans le protocole et leur implication. Vous trouverez ci-dessous des détails sur les paramètres courants et les bonnes pratiques pour configuration de votre service.
Paramètres opérationnels
L'API ne doit être disponible que via HTTPS avec TLS 1.2 ou version ultérieure, avec un Certificat X.509.
Le serveur d'API doit gérer le protocole CORS. pour accéder au point de terminaison autorisé de Google:
https://client-side-encryption.google.com
.Nous recommandons une latence maximale de 200 ms pour 99% des requêtes.
Paramètres du fournisseur d'autorisation
Utilisez les paramètres ci-dessous pour valider l'attestation jetons d'autorisation chiffrement côté client (CSE):
Contexte de l'application Google Workspace | URL du point de terminaison JWKS | Émetteur de jeton d'autorisation | Audience du jeton d'autorisation |
---|---|---|---|
Google Drive et les outils de création collaborative de contenus tels que Docs et Sheets | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
cse-authorization |
Découvrez le CSE | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
cse-authorization |
Moteur de recherche personnalisé pour les agendas | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
cse-authorization |
CSE Gmail | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
cse-authorization |
Migration de KACLS | https://www.googleapis.com/service_accounts/v1/jwk/apps-security-cse-kaclscommunication@system.gserviceaccount.com |
apps-security-cse-kaclscommunication@system.gserviceaccount.com |
cse-authorization |
Paramètres du fournisseur d'identité
Les paramètres ci-dessous sont obligatoires pour chaque fournisseur d'identité (IdP) autre que Google fonctionne avec:
- Méthode de validation des jetons. Les jetons sont généralement validés par l'URL JSON Web Key Set (JWKS), mais il peut aussi s'agir des clés publiques elles-mêmes.
- Valeurs de l'émetteur et de l'audience:champs
iss
(émetteur) etaud
(audience) utilisées par chaque fournisseur d'identité.
Paramètres du périmètre
Le concept de périmètre dans le chiffrement côté client (CSE) Google Workspace est utilisé pour fournir un contrôle d’accès aux clés de chiffrement via la KACLS. Les périmètres sont des vérifications supplémentaires facultatives effectuées sur les niveaux de jetons dans la KACLS.
Les périmètres permettent de:
- Autorisez uniquement les utilisateurs des domaines de la liste d'autorisation à déchiffrer des clés.
- Ajouter des utilisateurs à la liste de blocage, tels que les administrateurs Google Workspace.
- Définissez des restrictions avancées. Exemple :
- Restrictions temporelles pour les employés d'astreinte ou les personnes en vacances
- des restrictions de géolocalisation pour empêcher l'accès depuis des emplacements ou réseaux
- Accès basé sur le type ou le rôle utilisateur, tel qu'il est revendiqué par un fournisseur d'identité
Vérifier votre configuration KACLS
Pour vérifier si votre KACLS est actif et correctement configuré, envoyez une
Requête status
. Autocontrôles internes
comme l'accessibilité KMS ou l'état
du système de journalisation.