הגדרת השירות שלך

שירות רשימת המפתחות של בקרת הגישה (KACLS) מוגדר ללא מעורבות של Google. בהמשך מפורטים פרטים על הגדרות נפוצות ושיטות מומלצות להגדרת השירות.

הגדרות תפעוליות

  • ה-API צריך להיות זמין רק דרך HTTPS עם TLS 1.2 ואילך, עם אישור X.509 תקין.

  • שרת ה-API צריך לטפל ב-CORS כדי לגשת לנקודת הקצה המורשית של Google: ‏https://client-side-encryption.google.com.

  • מומלץ להגדיר חביון מקסימלי של 200 אלפיות השנייה ל-99% מהבקשות.

הגדרות של ספק הרשאות

משתמשים בהגדרות שבהמשך כדי לאמת את אסימוני ההרשאה שהונפקו על ידי Google במהלך הצפנה בצד הלקוח (CSE):

הקשר של אפליקציות Google Workspace כתובת ה-URL של נקודת הקצה של JWKS הנפקת טוקן הרשאה קהל של טוקן הרשאה
Google Drive וכלים לשיתוף פעולה ביצירת תוכן, כמו Docs ו-Sheets https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com gsuitecse-tokenissuer-drive@system.gserviceaccount.com cse-authorization
הצפנה מצד הלקוח (CSE) ב-Meet https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-meet@system.gserviceaccount.com gsuitecse-tokenissuer-meet@system.gserviceaccount.com cse-authorization
הצפנה מצד הלקוח ביומן https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-calendar@system.gserviceaccount.com gsuitecse-tokenissuer-calendar@system.gserviceaccount.com cse-authorization
Gmail CSE https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-gmail@system.gserviceaccount.com gsuitecse-tokenissuer-gmail@system.gserviceaccount.com cse-authorization
העברה של KACLS https://www.googleapis.com/service_accounts/v1/jwk/apps-security-cse-kaclscommunication@system.gserviceaccount.com apps-security-cse-kaclscommunication@system.gserviceaccount.com cse-authorization

הגדרות ספק הזהויות

ההגדרות הבאות נדרשות לכל ספק זהויות (IdP) שאינו של Google שהשירות שלכם עובד איתו:

  • שיטה לאימות אסימונים. בדרך כלל, האסימונים מאומתים על ידי כתובת ה-URL לקובץ JSON Web Key Set‏ (JWKS), אבל יכול להיות שהם גם המפתחות הציבוריים עצמם.
  • ערכי המנפיק והקהל: הערכים של השדות iss (מנפיק) ו-aud (קהל) שבהם נעשה שימוש בכל ספק זהויות.

הגדרות ההיקף

המושג 'היקף' בהצפנה מצד הלקוח (CSE) ב-Google Workspace משמש כדי לספק בקרת גישה למפתחות ההצפנה באמצעות KACLS. ההיקפים הם בדיקות נוספות אופציונליות שמבוצעות על אסימוני האימות וההרשאה בתוך KACLS.

אפשר להשתמש בגבולות כדי:

  • רק משתמשים בדומיינים שברשימת ההיתרים יכולים לפענח מפתחות.
  • משתמשים ברשימת החסימה, כמו אדמינים ב-Google Workspace.
  • הגבלות מתקדמות. לדוגמה:
    • הגבלות לפי שעות לעובדים שזמינים לשיחות או לאנשים שנמצאים בחופשה
    • הגבלות מיקום גיאוגרפי כדי למנוע גישה ממיקומים או מרשתות ספציפיים
    • גישה שמבוססת על תפקיד או סוג המשתמש, כפי שנקבע על ידי ספק הזהויות

אימות ההגדרה של KACLS

כדי לבדוק אם KACLS פעיל ומוגדר בצורה נכונה, שולחים בקשת status. אפשר גם לבצע בדיקות עצמיות פנימיות, כמו נגישות ל-KMS או תקינות של מערכת הרישום ביומן.