Anahtar Erişim Kontrol Listesi Hizmetiniz (KACLS) Google'ın müdahalesi olmadan yapılandırılmış. Aşağıda, hizmetinizi yapılandırmaya yönelik yaygın ayarlar ve en iyi uygulamalarla ilgili ayrıntılar yer almaktadır.
Operasyonel ayarlar
API yalnızca TLS 1.2 veya üzeri sürümler için geçerli bir X.509 sertifikasıyla HTTPS üzerinden kullanılabilmelidir.
API sunucusu, Google'ın yetkili uç noktasına (
https://client-side-encryption.google.com
) erişmek için CORS'yi işlemelidir.İsteklerin% 99'u için maksimum 200 ms'lik bir gecikme olmasını öneririz.
Yetkilendirme sağlayıcı ayarları
İstemci tarafı şifreleme (İTŞ) sırasında Google tarafından verilen yetkilendirme jetonlarını doğrulamak için aşağıdaki ayarları kullanın:
Google Workspace uygulaması bağlamı | JWKS uç nokta URL'si | Yetkilendirme jetonunu veren kuruluş | Yetkilendirme jetonu kitlesi |
---|---|---|---|
Google Drive ve Dokümanlar ile E-Tablolar gibi ortak çalışmaya dayalı içerik oluşturma araçları | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
cse-authorization |
İTŞ ile tanışın | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
cse-authorization |
Takvim İTŞ'si | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
cse-authorization |
Gmail'deki İTŞ özelliği | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
cse-authorization |
KACLS taşıma işlemi | https://www.googleapis.com/service_accounts/v1/jwk/apps-security-cse-kaclscommunication@system.gserviceaccount.com |
apps-security-cse-kaclscommunication@system.gserviceaccount.com |
cse-authorization |
Kimlik Sağlayıcı ayarları
Hizmetinizin çalıştığı her Google dışı Kimlik Sağlayıcı (IdP) için aşağıdaki ayarlar gereklidir:
- Jetonları doğrulama yöntemi. Jetonlar genellikle bir JSON Web Anahtarı Kümesi (JWKS) dosyasının URL'si tarafından doğrulanır ancak genel anahtarların kendileri de olabilir.
- Sertifikayı veren ve kitle değerleri: Her bir Kimlik Sağlayıcı tarafından kullanılan
iss
(yayıncı) veaud
(kitle) alan değerleri.
Çevre ayarları
Google Workspace istemci tarafı şifrelemedeki (İTŞ) çevre kavramı, KACLS aracılığıyla şifreleme anahtarlarına erişim kontrolü sağlamak için kullanılır. Çevreler, KACLS içindeki kimlik doğrulama ve yetkilendirme jetonları üzerinde gerçekleştirilen isteğe bağlı ek kontrollerdir.
Çevreler şu amaçlarla kullanılabilir:
- Yalnızca izin verilenler listesindeki alanlarda bulunan kullanıcıların anahtarların şifresini çözmesine izin verin.
- Engellenen kullanıcılar (ör. Google Workspace yöneticileri)
- Gelişmiş kısıtlamalar belirtin. Örneğin:
- Nöbetçi çalışanlar veya tatilde olan kişiler için zamana dayalı kısıtlamalar
- Belirli konumlardan veya ağlardan erişimi engelleyen coğrafi konum kısıtlamaları
- Kullanıcı rolü veya tür tabanlı erişim (bir Kimlik Sağlayıcı tarafından onaylandığı şekilde)
KACLS yapılandırmanızı doğrulayın
KACLS'nizin etkin olup olmadığını ve doğru şekilde yapılandırılıp yapılandırılmadığını kontrol etmek için status
isteği gönderin. KMS erişilebilirliği veya günlüğe kaydetme sistemi durumu gibi dahili kendi kendine kontrolleri de yapılabilir.