คุณกำหนดค่าบริการรายการควบคุมการเข้าถึงคีย์ (KACLS) ได้โดยที่ Google ไม่ได้มีส่วนเกี่ยวข้อง ด้านล่างนี้เป็นรายละเอียดเกี่ยวกับการตั้งค่าทั่วไปและแนวทางปฏิบัติแนะนำสำหรับการกำหนดค่าบริการ
การตั้งค่าการดำเนินการ
API ควรใช้งานได้ผ่าน HTTPS ที่ใช้ TLS 1.2 ขึ้นไปที่มีใบรับรอง X.509 ที่ถูกต้องเท่านั้น
เซิร์ฟเวอร์ API ควรจัดการ CORS เพื่อเข้าถึงปลายทางที่ได้รับอนุญาตของ Google:
https://client-side-encryption.google.com
เราขอแนะนำให้ใช้เวลาในการตอบสนองสูงสุด 200 มิลลิวินาทีสำหรับคำขอ 99%
การตั้งค่าผู้ให้บริการให้สิทธิ์
ใช้การตั้งค่าด้านล่างเพื่อตรวจสอบโทเค็นการให้สิทธิ์ที่ออกโดย Google ระหว่างการเข้ารหัสฝั่งไคลเอ็นต์ (CSE)
บริบทแอปพลิเคชัน Google Workspace | URL ปลายทาง JWKS | ผู้ออกโทเค็นการให้สิทธิ์ | กลุ่มเป้าหมายของโทเค็นการให้สิทธิ์ |
---|---|---|---|
Google ไดรฟ์และเครื่องมือสร้างเนื้อหาแบบทำงานร่วมกัน เช่น เอกสารและชีต | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
cse-authorization |
CSE ของ Meet | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
cse-authorization |
CSE ของปฏิทิน | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
cse-authorization |
CSE ของ Gmail | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
cse-authorization |
การย้ายข้อมูล KACLS | https://www.googleapis.com/service_accounts/v1/jwk/apps-security-cse-kaclscommunication@system.gserviceaccount.com |
apps-security-cse-kaclscommunication@system.gserviceaccount.com |
cse-authorization |
การตั้งค่าผู้ให้บริการข้อมูลประจำตัว
การตั้งค่าด้านล่างจำเป็นสำหรับผู้ให้บริการข้อมูลประจำตัว (IdP) ที่ไม่ใช่ของ Google แต่ละรายที่บริการของคุณใช้งานด้วย
- วิธีตรวจสอบโทเค็น โดยทั่วไปโทเค็นจะได้รับการตรวจสอบโดยใช้ URL ไปยังไฟล์ JSON Web Key Set (JWKS) แต่ก็อาจเป็นคีย์สาธารณะได้เช่นกัน
- ค่าผู้ออกและกลุ่มเป้าหมาย: ค่าในช่อง
iss
(ผู้ออกใบรับรอง) และaud
(กลุ่มเป้าหมาย) ที่ผู้ให้บริการข้อมูลประจำตัวแต่ละรายใช้
การตั้งค่าขอบเขต
ระบบจะใช้แนวคิดขอบเขตในการเข้ารหัสฝั่งไคลเอ็นต์ (CSE) ของ Google Workspace เพื่อควบคุมการเข้าถึงคีย์การเข้ารหัสผ่าน KACLS ขอบเขตเป็นการตรวจสอบเพิ่มเติมที่ไม่บังคับซึ่งดำเนินการกับโทเค็นการตรวจสอบสิทธิ์และการให้สิทธิ์ภายใน KACLS
ขอบเขตสามารถใช้เพื่อวัตถุประสงค์ต่อไปนี้
- อนุญาตให้เฉพาะผู้ใช้ในโดเมนที่อนุญาตเพื่อถอดรหัสคีย์เท่านั้น
- ผู้ใช้ที่บล็อก เช่น ผู้ดูแลระบบ Google Workspace
- ระบุข้อจำกัดขั้นสูง เช่น
- ข้อจำกัดด้านเวลาสำหรับพนักงานที่เข้าสายงานหรือผู้ที่ลาพักร้อน
- ข้อจำกัดด้านตำแหน่งทางภูมิศาสตร์เพื่อป้องกันการเข้าถึงจาก สถานที่ตั้งหรือเครือข่ายบางแห่ง
- การเข้าถึงตามบทบาทของผู้ใช้หรือประเภท ตามที่ผู้ให้บริการข้อมูลประจำตัวยืนยัน
ยืนยันการกำหนดค่า KACLS
หากต้องการตรวจสอบว่า KACLS ใช้งานอยู่และกำหนดค่าอย่างถูกต้องหรือไม่ ให้ส่งคำขอ status
นอกจากนี้ยังสามารถตรวจสอบด้วยตนเองภายในได้ด้วย เช่น การช่วยเหลือพิเศษของ KMS หรือประสิทธิภาพของระบบการบันทึก