Anahtar Erişim Kontrol Listesi Hizmetiniz (KACLS), Google'ın katılımı olmadan yapılandırılmıştır. Aşağıda, hizmetinizi yapılandırmayla ilgili yaygın ayarlar ve en iyi uygulamalar hakkında ayrıntılı bilgi verilmiştir.
Operasyonel ayarlar
API, yalnızca geçerli bir X.509 sertifikası ile TLS 1.2 veya sonraki sürümlerde HTTPS üzerinden kullanılabilir.
API sunucusu, Google'ın yetkili uç noktasına (
https://client-side-encryption.google.com) erişmek için CORS'u işlemelidir.İsteklerin% 99'u için maksimum gecikmenin 200 ms olması önerilir.
Yetkilendirme sağlayıcı ayarları
İstemci tarafı şifreleme (İTŞ) sırasında Google tarafından verilen yetkilendirme jetonlarını doğrulamak için aşağıdaki ayarları kullanın:
| Google Workspace uygulama bağlamı | JWKS uç nokta URL'si | Yetkilendirme jetonu veren | Yetkilendirme jetonu kitlesi |
|---|---|---|---|
| Google Drive ve Dokümanlar ile E-Tablolar gibi ortak çalışmaya dayalı içerik oluşturma araçları | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
cse-authorization |
| Meet İTŞ | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
cse-authorization |
| Takvim'de İTŞ | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
cse-authorization |
| Gmail İTŞ | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
cse-authorization |
| KACLS taşıma | https://www.googleapis.com/service_accounts/v1/jwk/apps-security-cse-kaclscommunication@system.gserviceaccount.com |
apps-security-cse-kaclscommunication@system.gserviceaccount.com |
cse-authorization |
Kimlik sağlayıcı ayarları
Hizmetinizin çalıştığı her Google dışı kimlik sağlayıcı (IdP) için aşağıdaki ayarlar gereklidir:
- Jetonları doğrulama yöntemi. Jetonlar genellikle bir JSON Web Anahtar Grubu (JWKS) dosyasının URL'si tarafından doğrulanır ancak ortak anahtarlar da olabilir.
- Düzenleyen ve kitle değerleri: Her kimlik sağlayıcı tarafından kullanılan
iss(düzenleyen) veaud(kitle) alan değerleri.
Çevre ayarları
Google Workspace istemci tarafı şifrelemesinde (İTŞ) kullanılan çevre konsepti, KACLS aracılığıyla şifreleme anahtarlarına erişim denetimi sağlamak için kullanılır. Çevreler, KACLS içindeki kimlik doğrulama ve yetkilendirme jetonlarında gerçekleştirilen isteğe bağlı ek kontrollerdir.
Çevreler şunlar için kullanılabilir:
- Anahtarların şifresini çözme işlemine yalnızca izin verilenler listesindeki alanlarda bulunan kullanıcıların katılmasına izin verin.
- Google Workspace yöneticileri gibi kullanıcıları engellenenler listesine ekleme
- Gelişmiş kısıtlamalar sağlayın. Örneğin:
- Görevli çalışanlar veya tatilde olan kişiler için zamana dayalı kısıtlamalar
- Belirli konumlardan veya ağlardan erişimi engellemek için coğrafi konum kısıtlamaları
- Kimlik sağlayıcı tarafından iddia edildiği üzere kullanıcı rolüne veya türüne dayalı erişim
KACLS yapılandırmanızı doğrulama
KACLS'nizin etkin olup olmadığını ve doğru şekilde yapılandırılıp yapılandırılmadığını kontrol etmek için bir status isteği gönderin. KMS erişilebilirliği veya günlük kaydı sistemi sağlığı gibi dahili kendi kendine kontroller de yapılabilir.