سرویس خود را پیکربندی کنید

سرویس فهرست کنترل دسترسی کلید شما (KACLS) بدون دخالت Google پیکربندی شده است. در زیر جزئیاتی در مورد تنظیمات رایج و بهترین روش‌ها برای پیکربندی سرویس شما آورده شده است.

تنظیمات عملیاتی

• API فقط باید از طریق HTTPS با TLS 1.2 یا بالاتر با گواهی معتبر X.509 در دسترس باشد.

• سرور API باید CORS را برای دسترسی به نقطه پایانی مجاز Google کنترل کند: https://client-side-encryption.google.com .

• ما حداکثر تأخیر 200 میلی‌ثانیه را برای 99 درصد درخواست‌ها توصیه می‌کنیم.

تنظیمات ارائه دهنده مجوز

از تنظیمات زیر برای تأیید اعتبار توکن‌های مجوز صادر شده توسط Google در هنگام رمزگذاری سمت مشتری (CSE) استفاده کنید:

زمینه برنامه Google Workspace	URL نقطه پایانی JWKS	صادرکننده توکن مجوز	مخاطب نشانه مجوز
Google Drive و ابزارهای ایجاد محتوای مشترک، مانند Docs و Sheets	https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com	gsuitecse-tokenissuer-drive@system.gserviceaccount.com	cse-authorization
با CSE ملاقات کنید	https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-meet@system.gserviceaccount.com	gsuitecse-tokenissuer-meet@system.gserviceaccount.com	cse-authorization
تقویم CSE	https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-calendar@system.gserviceaccount.com	gsuitecse-tokenissuer-calendar@system.gserviceaccount.com	cse-authorization
جیمیل CSE	https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-gmail@system.gserviceaccount.com	gsuitecse-tokenissuer-gmail@system.gserviceaccount.com	cse-authorization
مهاجرت KACLS	https://www.googleapis.com/service_accounts/v1/jwk/apps-security-cse-kaclscommunication@system.gserviceaccount.com	apps-security-cse-kaclscommunication@system.gserviceaccount.com	cse-authorization

تنظیمات Identity Provider

تنظیمات زیر برای هر ارائه‌دهنده هویت غیر Google (IdP) مورد نیاز است که سرویس شما با آن کار می‌کند:

• روش اعتبارسنجی توکن ها نشانه‌ها معمولاً توسط URL یک فایل JSON Web Key Set (JWKS) تأیید می‌شوند، اما می‌توانند خود کلیدهای عمومی نیز باشند.
• ارزش‌های صادرکننده و مخاطب: مقادیر فیلد iss (صادرکننده) و aud (مخاطب) که توسط هر ارائه‌دهنده هویت استفاده می‌شود.

تنظیمات محیط

مفهوم محیط در Google Workspace در رمزگذاری سمت مشتری (CSE) برای ارائه کنترل دسترسی به کلیدهای رمزگذاری از طریق KACLS استفاده می شود. محیط‌ها، بررسی‌های اضافی اختیاری هستند که روی توکن‌های احراز هویت و مجوز در KACLS انجام می‌شوند.

از محیط ها می توان برای موارد زیر استفاده کرد:

• فقط به کاربران در دامنه های مجاز اجازه رمزگشایی کلیدها را بدهید.
• کاربران لیست مسدود شده، مانند مدیران Google Workspace.
• محدودیت های پیشرفته را ارائه دهید. به عنوان مثال:
  • محدودیت های مبتنی بر زمان برای کارکنان در حال تماس یا افرادی که در تعطیلات هستند
  • محدودیت های موقعیت جغرافیایی برای جلوگیری از دسترسی از مکان ها یا شبکه های خاص
  • دسترسی مبتنی بر نقش یا نوع کاربر، همانطور که توسط یک ارائه دهنده هویت بیان شده است

پیکربندی KACLS خود را تأیید کنید

برای بررسی اینکه آیا KACLS شما فعال است و به درستی پیکربندی شده است، یک درخواست status ارسال کنید. خود بررسی‌های داخلی، مانند دسترسی به KMS یا سلامت سیستم گزارش‌گیری، نیز می‌تواند انجام شود.