Questa pagina è stata tradotta dall'API Cloud Translation.

Configurare il servizio

Il servizio di controllo dell'accesso per le chiavi (KACLS) è configurato senza il coinvolgimento di Google. Di seguito sono riportati i dettagli sulle impostazioni comuni e sulle best practice per configurare il servizio.

Impostazioni operative

L'API deve essere disponibile solo tramite HTTPS con TLS 1.2 o versioni successive con un certificato X.509 valido.
Il server API deve gestire CORS per accedere all'endpoint autorizzato di Google: https://client-side-encryption.google.com.
Consigliamo una latenza massima di 200 ms per il 99% delle richieste.

Impostazioni del fornitore di autorizzazione

Utilizza le impostazioni riportate di seguito per convalidare i token di autorizzazione emessi da Google durante la crittografia lato client (CSE):

Contesto dell'applicazione Google Workspace	URL endpoint JWKS	Emittente del token di autorizzazione	Segmento di pubblico del token di autorizzazione
Google Drive e strumenti di creazione collaborativa di contenuti, come Documenti e Fogli	`https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com`	`gsuitecse-tokenissuer-drive@system.gserviceaccount.com`	`cse-authorization`
Crittografia lato client di Meet	`https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-meet@system.gserviceaccount.com`	`gsuitecse-tokenissuer-meet@system.gserviceaccount.com`	`cse-authorization`
Crittografia lato client di Calendar	`https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-calendar@system.gserviceaccount.com`	`gsuitecse-tokenissuer-calendar@system.gserviceaccount.com`	`cse-authorization`
Gmail CSE	`https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-gmail@system.gserviceaccount.com`	`gsuitecse-tokenissuer-gmail@system.gserviceaccount.com`	`cse-authorization`
Migrazione di KACLS	`https://www.googleapis.com/service_accounts/v1/jwk/apps-security-cse-kaclscommunication@system.gserviceaccount.com`	`apps-security-cse-kaclscommunication@system.gserviceaccount.com`	`cse-authorization`

Impostazioni del provider di identità

Le impostazioni riportate di seguito sono obbligatorie per ogni provider di identità (IdP) non Google con cui funziona il tuo servizio:

Metodo per convalidare i token. I token vengono in genere convalidati dall'URL di un file JSON Web Key Set (JWKS), ma potrebbero anche essere le chiavi pubbliche stesse.
Valori di emittente e pubblico:i valori dei campi iss (emittente) e aud (pubblico) utilizzati da ogni provider di identità.

Impostazioni perimetrali

Il concetto di perimetro nella crittografia lato client di Google Workspace (CSE) viene utilizzato per fornire il controllo dell'accesso alle chiavi di crittografia tramite gli elenchi di controllo dell'accesso basati su attributi (ABAC). I perimetri sono controlli aggiuntivi facoltativi eseguiti sui token di autenticazione e autorizzazione all'interno di KACLS.

I perimetri possono essere utilizzati per:

Consenti solo agli utenti dei domini inclusi nella lista consentita di decriptare le chiavi.
Utenti della lista bloccata, ad esempio gli amministratori di Google Workspace.
Fornisci limitazioni avanzate. Ad esempio:
- Limitazioni basate sul tempo per i dipendenti di turno o in vacanza
- Limitazioni della geolocalizzazione per impedire l'accesso da località o reti specifiche
- Accesso basato sul ruolo o sul tipo di utente, come dichiarato da un provider di identità

Verificare la configurazione di KACLS

Per verificare se il tuo KACLS è attivo e configurato correttamente, invia una richiesta status. Possono essere eseguiti anche controlli interni, come l'accessibilità KMS o l'integrità del sistema di logging.