Il tuo Key Access Control List Service (KACLS) è configurato senza il coinvolgimento di Google. Di seguito sono riportati i dettagli sulle impostazioni più comuni e sulle best practice per configurare il servizio.
Impostazioni operative
L'API dovrebbe essere disponibile solo tramite HTTPS con TLS 1.2 o versioni successive con un certificato X.509 valido.
Il server API deve gestire CORS per accedere all'endpoint autorizzato di Google:
https://client-side-encryption.google.com.Consigliamo una latenza massima di 200 ms per il 99% delle richieste.
Impostazioni fornitore di autorizzazione
Utilizza le impostazioni seguenti per convalidare i token di autorizzazione emessi da Google durante la crittografia lato client:
| Contesto dell'applicazione Google Workspace | URL endpoint JWKS | Emittente token di autorizzazione | Pubblico token di autorizzazione |
|---|---|---|---|
| Google Drive e strumenti collaborativi per la creazione di contenuti, come Documenti e Fogli | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
cse-authorization |
| Scopri la crittografia lato client | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
cse-authorization |
| La crittografia lato client di Calendar | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
cse-authorization |
| La crittografia lato client di Gmail | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
cse-authorization |
| Migrazione KACLS | https://www.googleapis.com/service_accounts/v1/jwk/apps-security-cse-kaclscommunication@system.gserviceaccount.com |
apps-security-cse-kaclscommunication@system.gserviceaccount.com |
cse-authorization |
Impostazioni del provider di identità
Le impostazioni seguenti sono necessarie per ogni provider di identità (IdP) non Google con cui funziona il servizio:
- Metodo per la convalida dei token. I token vengono in genere convalidati dall'URL in un file JWKS (JSON Web Key Set), ma potrebbero anche essere le chiavi pubbliche stesse.
- Valori dell'emittente e del pubblico: i valori dei campi
iss(emittente) eaud(pubblico) utilizzati da ciascun provider di identità.
Impostazioni del perimetro
Il concetto di perimetro nella crittografia lato client di Google Workspace (CSE) viene utilizzato per fornire il controllo dell'accesso alle chiavi di crittografia tramite KACLS. I perimetri sono controlli aggiuntivi facoltativi eseguiti sui token di autenticazione e autorizzazione all'interno dei KACLS.
I perimetri possono essere utilizzati per:
- Consenti solo agli utenti dei domini inclusi nella lista consentita di decriptare le chiavi.
- Inserire gli utenti nella lista bloccata, ad esempio gli amministratori di Google Workspace.
- Specifica limitazioni avanzate. Ad esempio:
- Limitazioni temporali per i dipendenti disponibili o per le persone in vacanza
- Limitazioni di geolocalizzazione per impedire l'accesso da località o reti specifiche
- Accesso basato sul ruolo o sul tipo utente, come dichiarato da un provider di identità
Verifica la configurazione KACLS
Per verificare se il KACLS è attivo e configurato correttamente, invia una richiesta status. È possibile eseguire anche controlli interni interni, come l'accessibilità KMS o l'integrità del sistema di logging.