您的密钥访问控制列表服务 (KACLS) 是您自行配置的,Google 没有参与。以下详细介绍了配置服务的常见设置和最佳实践。
运营设置
该 API 应仅通过具有有效 X.509 证书的 TLS 1.2 或更高版本的 HTTPS 提供。
API 服务器应处理 CORS 以访问 Google 的已获授权端点:
https://client-side-encryption.google.com。我们建议 99% 的请求的延迟时间不超过 200 毫秒。
授权提供程序设置
在客户端加密 (CSE) 期间,请使用以下设置来验证 Google 签发的授权令牌:
| Google Workspace 应用情境 | JWKS 端点网址 | 授权令牌颁发者 | 授权令牌受众群体 |
|---|---|---|---|
| Google 云端硬盘以及 Google 文档和 Google 表格等协作内容创作工具 | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
cse-authorization |
| Meet CSE | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
cse-authorization |
| 日历 CSE | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
cse-authorization |
| Gmail CSE | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
cse-authorization |
| KACLS 迁移 | https://www.googleapis.com/service_accounts/v1/jwk/apps-security-cse-kaclscommunication@system.gserviceaccount.com |
apps-security-cse-kaclscommunication@system.gserviceaccount.com |
cse-authorization |
身份提供商设置
您的服务与每个非 Google 身份提供方 (IdP) 搭配使用时,都必须进行以下设置:
- 用于验证令牌的方法。令牌通常通过 JSON Web 密钥集 (JWKS) 文件的网址进行验证,但也可以是公钥本身。
- Issuer 和 audience 值:每个身份提供程序使用的
iss(issuer)和aud(audience)字段值。
边界设置
Google Workspace 客户端加密 (CSE) 中的边界概念用于通过 KACLS 对加密密钥提供访问控制。边界是对 KACLS 中的身份验证和授权令牌执行的额外可选检查。
边界可用于:
- 仅允许列入许可名单的网域中的用户解密密钥。
- 将用户列入屏蔽名单,例如 Google Workspace 管理员。
- 提供高级限制。例如:
- 针对值班员工或休假人员设置基于时间的限制
- 地理位置限制,用于阻止从特定位置或网络进行访问
- 基于用户角色或类型的访问权限(由身份提供程序断言)
验证您的 KACLS 配置
如需检查 KACLS 是否处于活动状态且配置是否正确,请发送 status 请求。还可以执行内部自检,例如 KMS 可用性或日志记录系统运行状况。