שירות רשימת המפתחות של בקרת הגישה (KACLS) מוגדר ללא מעורבות של Google. בהמשך מפורטים פרטים על הגדרות נפוצות ושיטות מומלצות להגדרת השירות.
הגדרות תפעוליות
ה-API צריך להיות זמין רק דרך HTTPS עם TLS 1.2 ואילך, עם אישור X.509 תקין.
שרת ה-API צריך לטפל ב-CORS כדי לגשת לנקודת הקצה המורשית של Google:
https://client-side-encryption.google.com.מומלץ זמן אחזור מקסימלי של 200 אלפיות השנייה ב-99% מהבקשות.
הגדרות של ספק הרשאות
משתמשים בהגדרות הבאות כדי לאמת את אסימוני ההרשאה שהונפקו על ידי Google במהלך ההצפנה בצד הלקוח (CSE):
| ההקשר של אפליקציית Google Workspace | כתובת ה-URL של נקודת הקצה של JWKS | המנפיק של אסימון ההרשאה | הקהל של אסימון ההרשאה |
|---|---|---|---|
| Google Drive וכלים ליצירת תוכן בשיתוף פעולה, כמו Docs ו-Sheets | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
cse-authorization |
| הצפנה מצד הלקוח (CSE) ב-Meet | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
cse-authorization |
| הצפנה מצד הלקוח ביומן Google | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
cse-authorization |
| Gmail CSE | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
cse-authorization |
| העברת KACLS | https://www.googleapis.com/service_accounts/v1/jwk/apps-security-cse-kaclscommunication@system.gserviceaccount.com |
apps-security-cse-kaclscommunication@system.gserviceaccount.com |
cse-authorization |
הגדרות של ספק הזהויות
ההגדרות הבאות נדרשות לכל ספק זהויות (IdP) שאינו של Google שהשירות שלכם עובד איתו:
- השיטה לאימות האסימונים בדרך כלל, האסימונים מאומתים באמצעות כתובת ה-URL לקובץ JSON Web Key Set (JWKS), אבל יכולים להיות גם המפתחות הציבוריים עצמם.
- ערכים של מנפיק וקהל: ערכי השדות
iss(מנפיק) ו-aud(קהל) שבהם משתמש כל ספק זהויות.
הגדרות ההיקף
מושג ההיקף בהצפנה מצד הלקוח (CSE) ב-Google Workspace משמש למתן בקרת גישה למפתחות ההצפנה דרך KACLS. ההיקפים הם בדיקות נוספות אופציונליות שמבוצעות על אסימוני האימות וההרשאה ב-KACLS.
אפשר להשתמש במתחמים כדי:
- רק משתמשים בדומיינים שברשימת ההיתרים יכולים לפענח מפתחות.
- להוסיף משתמשים לרשימת ההיתרים, כמו אדמינים ב-Google Workspace.
- להגדיר הגבלות מתקדמות. לדוגמה:
- הגבלות מבוססות-זמן לעובדים בתורנות או לאנשים שנמצאים בחופשה
- הגבלות על מיקום גיאוגרפי כדי למנוע גישה ממיקומים או מרשתות ספציפיים
- גישה שמבוססת על תפקיד או סוג המשתמש, כפי שנקבע על ידי ספק זהויות
אימות ההגדרה של KACLS
כדי לבדוק אם ה-KACLS פעיל ומוגדר בצורה נכונה, שולחים בקשה מסוג status. אפשר גם לבצע בדיקות עצמיות פנימיות, כמו נגישות ל-KMS או תקינות מערכת הרישום ביומן.