השירות של רשימת בקרת הגישה למפתחות (KACLS) מוגדר ללא התערבות של Google. בהמשך תוכלו לקרוא על הגדרות נפוצות ושיטות מומלצות להגדרת השירות.
הגדרות התפעול
ה-API צריך להיות זמין רק ב-HTTPS עם TLS 1.2 ואילך עם אישור X.509 חוקי.
שרת ה-API צריך לטפל ב-CORS כדי לגשת לנקודת הקצה המאושרת של Google:
https://client-side-encryption.google.com.מומלץ זמן אחזור מקסימלי של 200 אלפיות השנייה ל-99% מהבקשות.
הגדרות ספק ההרשאות
אפשר להשתמש בהגדרות הבאות כדי לאמת את אסימוני ההרשאה שהונפקו על ידי Google במהלך הצפנה מצד הלקוח (CSE):
| ההקשר של אפליקציות Google Workspace | כתובת ה-URL של נקודת הקצה של JWKS | מנפיק אסימון הרשאה | קהל של אסימון הרשאה |
|---|---|---|---|
| Google Drive וכלים לשיתוף פעולה ביצירת תוכן, כמו Docs ו-Sheets | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
cse-authorization |
| הצפנה מצד הלקוח ב-Meet | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
cse-authorization |
| הצפנה מצד הלקוח ביומן Google | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
cse-authorization |
| הצפנה מצד הלקוח ב-Gmail | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
cse-authorization |
| העברת KACLS | https://www.googleapis.com/service_accounts/v1/jwk/apps-security-cse-kaclscommunication@system.gserviceaccount.com |
apps-security-cse-kaclscommunication@system.gserviceaccount.com |
cse-authorization |
הגדרות ספק הזהויות
ההגדרות הבאות נדרשות לכל ספק זהויות (IdP) שאינו של Google שהשירות עובד איתו:
- שיטה לאימות אסימונים. בדרך כלל, האסימונים מאומתים באמצעות כתובת URL לקובץ JSON Web Key Set (JWKS), אבל יכולים להיות גם המפתחות הציבוריים עצמם.
- ערכי ההנפקה והקהל: ערכי השדות
iss(המנפיק) ו-aud(קהל) שבהם משתמשים כל ספק זהויות.
הגדרות היקף
קונספט הגבולות בהצפנה מצד הלקוח (CSE) ב-Google Workspace משמש כדי לספק בקרת גישה למפתחות ההצפנה דרך KACLS. ההיקפים הם בדיקות אופציונליות נוספות שמתבצעות באסימוני האימות וההרשאה בתוך ה-KACLS.
ניתן להשתמש בהיקפים כדי:
- רק משתמשים בדומיינים מרשימת ההיתרים יכולים לפענח מפתחות.
- משתמשים ברשימת חסימה, כמו אדמינים ב-Google Workspace.
- לספק הגבלות מתקדמות. לדוגמה:
- הגבלות לפי זמן לעובדים בכוננות או לאנשים בחופשה
- הגבלות על מיקום גיאוגרפי כדי למנוע גישה מרשתות או ממיקומים ספציפיים
- גישה מבוססת-תפקיד או סוג של משתמש, כפי שנקבעה על ידי ספק זהויות
אימות הגדרות ה-KACLS
כדי לבדוק אם ה-KACLS פעיל ומוגדר כראוי, צריך לשלוח בקשת status. אפשר גם לבצע בדיקות עצמיות פנימיות, כמו נגישות של KMS או תקינות המערכת ביומן.