Configura il tuo servizio

Il tuo Key Access Control List Service (KACLS) è configurato senza coinvolgimento. Di seguito sono riportati i dettagli sulle impostazioni più comuni e le best practice per alla configurazione del servizio.

Impostazioni operative

  • L'API deve essere disponibile solo tramite HTTPS con TLS 1.2 o versioni successive con un Certificato X.509.

  • Il server API deve gestire CORS. per accedere all'endpoint autorizzato di Google: https://client-side-encryption.google.com.

  • Consigliamo una latenza massima di 200 ms per il 99% delle richieste.

Impostazioni provider di autorizzazione

Utilizza le impostazioni seguenti per convalidare il documento fornito da Google token di autorizzazione durante crittografia lato client:

Contesto dell'applicazione Google Workspace URL endpoint JWKS Emittente token di autorizzazione Segmento di pubblico token di autorizzazione
Google Drive e strumenti collaborativi per la creazione di contenuti, come Documenti e Fogli https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com gsuitecse-tokenissuer-drive@system.gserviceaccount.com cse-authorization
La crittografia lato client di Meet https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-meet@system.gserviceaccount.com gsuitecse-tokenissuer-meet@system.gserviceaccount.com cse-authorization
Motore di ricerca personalizzato di Calendar https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-calendar@system.gserviceaccount.com gsuitecse-tokenissuer-calendar@system.gserviceaccount.com cse-authorization
Motore di ricerca personalizzato di Gmail https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-gmail@system.gserviceaccount.com gsuitecse-tokenissuer-gmail@system.gserviceaccount.com cse-authorization
Migrazione KACLS https://www.googleapis.com/service_accounts/v1/jwk/apps-security-cse-kaclscommunication@system.gserviceaccount.com apps-security-cse-kaclscommunication@system.gserviceaccount.com cse-authorization

Impostazioni del provider di identità

Le impostazioni seguenti sono obbligatorie per ogni provider di identità (IdP) non Google funziona con:

  • Metodo per convalidare i token. I token vengono generalmente convalidati dall'URL che rimanda a un JSON Web Key Set (JWKS), ma potrebbe trattarsi anche delle chiavi pubbliche.
  • Valori relativi a emittente e pubblico:i campi iss (emittente) e aud (pubblico) usati da ogni provider di identità.

Impostazioni del perimetro

Il concetto di perimetro nella crittografia lato client di Google Workspace viene utilizzato per fornire il controllo dell'accesso alle chiavi di crittografia tramite KACLS. I perimetri sono controlli aggiuntivi facoltativi eseguiti sull'autenticazione e sull'autorizzazione all'interno dei KACLS.

I perimetri possono essere utilizzati per:

  • Consenti solo agli utenti dei domini inclusi nella lista consentita di decriptare le chiavi.
  • Inserire gli utenti nella lista bloccata, ad esempio gli amministratori di Google Workspace.
  • Fornisci limitazioni avanzate. Ad esempio:
    • Limitazioni temporali per dipendenti con servizio di reperibilità o persone in vacanza
    • Limitazioni di geolocalizzazione per impedire l'accesso da posizioni specifiche o reti
    • Accesso basato sul ruolo o sul tipo dell'utente, come dichiarato da un provider di identità
di Gemini Advanced.

Verifica la configurazione KACLS

Per verificare se il tuo KACLS è attivo e configurato correttamente, invia un Richiesta status. Autocontrolli interni, come l'accessibilità KMS o il logging dell'integrità del sistema.