Seu serviço de lista de controle de acesso a chaves (KACLS, na sigla em inglês) está configurado sem envolvimento do cliente. Abaixo estão detalhes sobre configurações comuns e práticas recomendadas para na configuração do serviço.
Configurações operacionais
A API só deve estar disponível por HTTPS com TLS 1.2 ou posterior com um endereço Certificado X.509.
O servidor de API precisa processar o CORS para acessar o endpoint autorizado do Google:
https://client-side-encryption.google.com.Recomendamos uma latência máxima de 200 ms para 99% das solicitações.
Configurações do provedor de autorização
Use as configurações abaixo para validar tokens de autorização durante criptografia do lado do cliente (CSE):
| Contexto do aplicativo do Google Workspace | URL do endpoint do JWKS | Emissor do token de autorização | Público-alvo do token de autorização |
|---|---|---|---|
| Google Drive e ferramentas de criação de conteúdo colaborativo, como Documentos e Planilhas | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
cse-authorization |
| Conheça a CSE | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
cse-authorization |
| CSE do Google Agenda | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
cse-authorization |
| CSE do Gmail | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
cse-authorization |
| Migração do KACLS | https://www.googleapis.com/service_accounts/v1/jwk/apps-security-cse-kaclscommunication@system.gserviceaccount.com |
apps-security-cse-kaclscommunication@system.gserviceaccount.com |
cse-authorization |
Configurações do provedor de identidade
As configurações abaixo são obrigatórias para cada provedor de identidade (IdP) que não é do Google que sua serviço funciona com:
- Método para validar tokens. Os tokens normalmente são validados pelo URL para um JSON Web Key Set (JWKS), mas também podem ser as próprias chaves públicas.
- Valores de emissor e de público-alvo:os campos
iss(emissor) eaud(público-alvo) valores usados por cada Provedor de identidade.
Configurações do perímetro
O conceito de perímetro na criptografia do lado do cliente (CSE) Google Workspace é usado controle de acesso às chaves de criptografia via KACLS. Os perímetros são verificações adicionais opcionais realizadas nos ambientes de autenticação no KACLS.
Os perímetros podem ser usados para:
- Permitir que apenas usuários em domínios na lista de permissões descriptografem chaves.
- Adicionar usuários à lista de bloqueio, como administradores do Google Workspace.
- Fornecer restrições avançadas. Exemplo:
- Restrições baseadas em tempo para funcionários de plantão ou pessoas de férias
- Restrições de geolocalização para impedir o acesso de locais ou redes
- Acesso baseado em tipo ou função do usuário, conforme declarado por um provedor de identidade
Verifique sua configuração do KACLS
Para verificar se o KACLS está ativo e configurado corretamente, envie uma
Solicitação status. Verificações internas
como acessibilidade do KMS ou integridade do sistema de geração de registros, também podem ser realizadas.