इस पेज का अनुवाद Cloud Translation API से किया गया है.

अपनी सेवा कॉन्फ़िगर करें

आपकी कुंजी ऐक्सेस कंट्रोल लिस्ट सेवा (केएसीएलएस) को Google की मदद के बिना कॉन्फ़िगर किया गया है. यहां सेवा को कॉन्फ़िगर करने के लिए, सामान्य सेटिंग और सबसे सही तरीकों के बारे में जानकारी दी गई है.

ऑपरेशनल सेटिंग

एपीआई सिर्फ़ एचटीटीपीएस पर उपलब्ध होना चाहिए. साथ ही, इसमें TLS 1.2 या इसके बाद का वर्शन और मान्य X.509 सर्टिफ़िकेट होना चाहिए.
एपीआई सर्वर को CORS को मैनेज करना चाहिए, ताकि Google के ऑथराइज़ किए गए एंड-पॉइंट: https://client-side-encryption.google.com को ऐक्सेस किया जा सके.
हमारा सुझाव है कि 99% अनुरोधों के लिए, ज़्यादा से ज़्यादा 200 मि॰से॰ की देरी हो.

अनुमति देने वाली कंपनी की सेटिंग

क्लाइंट-साइड एन्क्रिप्शन (सीएसई) के दौरान, Google के जारी किए गए अनुमति टोकन की पुष्टि करने के लिए, यहां दी गई सेटिंग का इस्तेमाल करें:

Google Workspace ऐप्लिकेशन का कॉन्टेक्स्ट	JWKS एंडपॉइंट यूआरएल	ऑथराइज़ेशन टोकन जारी करने वाली इकाई	अनुमति वाले टोकन की ऑडियंस
Google Drive और साथ मिलकर कॉन्टेंट बनाने वाले टूल, जैसे कि Docs और Sheets	`https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com`	`gsuitecse-tokenissuer-drive@system.gserviceaccount.com`	`cse-authorization`
Meet CSE	`https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-meet@system.gserviceaccount.com`	`gsuitecse-tokenissuer-meet@system.gserviceaccount.com`	`cse-authorization`
Calendar CSE	`https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-calendar@system.gserviceaccount.com`	`gsuitecse-tokenissuer-calendar@system.gserviceaccount.com`	`cse-authorization`
Gmail CSE	`https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-gmail@system.gserviceaccount.com`	`gsuitecse-tokenissuer-gmail@system.gserviceaccount.com`	`cse-authorization`
KACLS माइग्रेशन	`https://www.googleapis.com/service_accounts/v1/jwk/apps-security-cse-kaclscommunication@system.gserviceaccount.com`	`apps-security-cse-kaclscommunication@system.gserviceaccount.com`	`cse-authorization`

पहचान देने वाली सेवा की सेटिंग

यहां दी गई सेटिंग, Google से बाहर की हर उस आइडेंटिटी प्रोवाइडर (आईडीपी) के लिए ज़रूरी हैं जिसके साथ आपकी सेवा काम करती है:

टोकन की पुष्टि करने का तरीका. आम तौर पर, टोकन की पुष्टि JSON Web Key Set (JWKS) फ़ाइल के यूआरएल से की जाती है. हालांकि, ऐसा सार्वजनिक कुंजियों से भी किया जा सकता है.
जारी करने वाले और ऑडियंस की वैल्यू: हर आइडेंटिटी प्रोवाइडर, iss (जारी करने वाला) और aud (ऑडियंस) फ़ील्ड की वैल्यू का इस्तेमाल करता है.

पेरीमीटर की सेटिंग

Google Workspace के क्लाइंट-साइड एन्क्रिप्शन (सीएसई) में पेरीमीटर के कॉन्सेप्ट का इस्तेमाल किया जाता है. इससे KACLS के ज़रिए एन्क्रिप्शन कुंजियों का ऐक्सेस कंट्रोल किया जा सकता है. पेरीमीटर, KACLS में पुष्टि करने और अनुमति देने वाले टोकन पर की जाने वाली वैकल्पिक अतिरिक्त जांचें हैं.

जियोफ़ेंसिंग का इस्तेमाल इन कामों के लिए किया जा सकता है:

सिर्फ़ अनुमति वाली सूची में शामिल डोमेन के उपयोगकर्ताओं को कुंजियां डिक्रिप्ट करने की अनुमति दें.
Google Workspace एडमिन जैसे उपयोगकर्ताओं को ब्लॉकलिस्ट करें.
ऐडवांस पाबंदियां लागू करें. उदाहरण के लिए:
- फ़ोन पर उपलब्ध कर्मचारियों या छुट्टी पर गए लोगों के लिए, समय के हिसाब से पाबंदियां
- जगह की जानकारी से जुड़ी पाबंदियां, ताकि कुछ जगहों या नेटवर्क से ऐक्सेस को रोका जा सके
- उपयोगकर्ता की भूमिका या टाइप के आधार पर ऐक्सेस, जैसा कि पहचान देने वाली सेवा ने दावा किया है

ध्यान दें: Takeout पेरीमीटर का इस्तेमाल तब किया जाता है, जब Google Workspace का कोई ग्राहक takeout_unwrap के साथ Google Takeout का अनुरोध भेजता है. डेटा ट्रांसफ़र करने की सुविधा की मदद से, KACLS को अनरैप किया जा सकता है. इससे Google Workspace के सामान्य ACL को बायपास किया जा सकता है. इसलिए, सदस्यता सिर्फ़ भरोसेमंद लोगों को दी जानी चाहिए. हमारा सुझाव है कि डेटा ट्रांसफ़र करने के लिए, ऐसे आइडेंटिटी प्रोवाइडर (आईडीपी) का इस्तेमाल किया जाए जो दो तरीकों से पुष्टि करने की सुविधा (2FA) देता हो.

KACLS कॉन्फ़िगरेशन की पुष्टि करना

यह देखने के लिए कि आपका KACLS चालू है और सही तरीके से कॉन्फ़िगर किया गया है या नहीं, status अनुरोध भेजें. इसके अलावा, इंटरनल सेल्फ चेक भी किए जा सकते हैं. जैसे, केएमएस की ऐक्सेसिबिलिटी या लॉगिंग सिस्टम की सेहत.