Tu servicio de listas de control de acceso a claves (KACLS) se configuró sin el y la participación. A continuación, se presentan detalles sobre parámetros de configuración comunes y prácticas recomendadas para configurar tu servicio.
Configuración operativa
La API solo debería estar disponible a través de HTTPS con TLS 1.2 o posterior con una Certificado X.509.
El servidor de la API debería controlar CORS para acceder al extremo autorizado de Google:
https://client-side-encryption.google.com.Recomendamos una latencia máxima de 200 ms para el 99% de las solicitudes.
Configuración del proveedor de autorización
Usa la siguiente configuración para validar tokens de autorización durante encriptación del cliente (CSE):
| Contexto de la aplicación de Google Workspace | URL del extremo de JWKS | Entidad emisora del token de autorización | Público del token de autorización |
|---|---|---|---|
| Google Drive y herramientas de creación de contenido colaborativo, como Documentos y Hojas de cálculo | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
cse-authorization |
| Descubre la CSE | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
cse-authorization |
| CSE de Calendario | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
cse-authorization |
| CSE de Gmail | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
cse-authorization |
| Migración de KACLS | https://www.googleapis.com/service_accounts/v1/jwk/apps-security-cse-kaclscommunication@system.gserviceaccount.com |
apps-security-cse-kaclscommunication@system.gserviceaccount.com |
cse-authorization |
Configuración del proveedor de identidad
La siguiente configuración es obligatoria para todos los proveedores de identidad (IdP) que no sean de Google funciona con:
- Método para validar tokens. Por lo general, la URL valida los tokens en un JSON Web Key Set (JWKS), pero también podrían ser las claves públicas en sí.
- Valores de entidad emisora y público: Los campos
iss(emisor) yaud(público) o valores que usa cada proveedor de identidad.
Configuración del perímetro
Se usa el concepto de perímetro en la encriptación del cliente (CSE) de Google Workspace para proporcionar control de acceso a las claves de encriptación a través de KACLS. Los perímetros son verificaciones opcionales adicionales que se realizan en el proceso de autenticación tokens dentro de KACLS.
Los perímetros se pueden usar para lo siguiente:
- Solo permitir que los usuarios de los dominios incluidos en la lista de entidades permitidas desencripten claves.
- Usuarios de la lista de entidades bloqueadas, como los administradores de Google Workspace
- Proporciona restricciones avanzadas. Por ejemplo:
- Restricciones basadas en el tiempo para empleados de guardia o personas de vacaciones
- Restricciones de ubicación geográfica para impedir el acceso desde ubicaciones o redes
- Acceso basado en tipos o roles del usuario, según lo confirma un proveedor de identidad
Verifica tu configuración de KACLS
Para verificar si tu KACLS está activo y configurado correctamente, envía un
status. Autoverificaciones internas,
como la accesibilidad de KMS
o el estado del sistema de registro.