Trang này được dịch bởi Cloud Translation API.

Định cấu hình dịch vụ của bạn

Dịch vụ Danh sách kiểm soát quyền truy cập khoá (KACLS) của bạn được định cấu hình mà không có sự tham gia của Google. Dưới đây là thông tin chi tiết về các chế độ cài đặt phổ biến và các phương pháp hay nhất để định cấu hình dịch vụ của bạn.

Chế độ cài đặt hoạt động

API này chỉ được cung cấp qua HTTPS với TLS 1.2 trở lên và có chứng chỉ X.509 hợp lệ.
Máy chủ API phải xử lý CORS để truy cập vào điểm cuối được uỷ quyền của Google: https://client-side-encryption.google.com.
Bạn nên đặt độ trễ tối đa là 200 mili giây cho 99% yêu cầu.

Chế độ cài đặt nhà cung cấp dịch vụ uỷ quyền

Sử dụng các chế độ cài đặt bên dưới để xác thực mã thông báo uỷ quyền do Google phát hành trong quá trình mã hoá phía máy khách (CSE):

Bối cảnh ứng dụng Google Workspace	URL điểm cuối JWKS	Đơn vị phát hành mã thông báo uỷ quyền	Đối tượng mã thông báo uỷ quyền
Google Drive và các công cụ tạo nội dung cộng tác, chẳng hạn như Tài liệu và Trang tính	`https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com`	`gsuitecse-tokenissuer-drive@system.gserviceaccount.com`	`cse-authorization`
CSE của Meet	`https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-meet@system.gserviceaccount.com`	`gsuitecse-tokenissuer-meet@system.gserviceaccount.com`	`cse-authorization`
CSE trên Lịch	`https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-calendar@system.gserviceaccount.com`	`gsuitecse-tokenissuer-calendar@system.gserviceaccount.com`	`cse-authorization`
CSE của Gmail	`https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-gmail@system.gserviceaccount.com`	`gsuitecse-tokenissuer-gmail@system.gserviceaccount.com`	`cse-authorization`
Di chuyển KACLS	`https://www.googleapis.com/service_accounts/v1/jwk/apps-security-cse-kaclscommunication@system.gserviceaccount.com`	`apps-security-cse-kaclscommunication@system.gserviceaccount.com`	`cse-authorization`

Chế độ cài đặt nhà cung cấp danh tính

Bạn phải thiết lập các chế độ cài đặt bên dưới cho mỗi Nhà cung cấp danh tính (IdP) không phải của Google mà dịch vụ của bạn hoạt động cùng:

Phương thức xác thực mã thông báo. Thông thường, mã thông báo được xác thực bằng URL đến tệp JSON Web Key Set (JWKS), nhưng cũng có thể là chính khoá công khai.
Giá trị của đơn vị phát hành và đối tượng: Giá trị của trường iss (đơn vị phát hành) và aud (đối tượng) mà mỗi Nhà cung cấp danh tính sử dụng.

Chế độ cài đặt hàng rào ảo

Khái niệm về ranh giới trong tính năng mã hoá phía máy khách (CSE) của Google Workspace được dùng để cung cấp quyền kiểm soát truy cập vào khoá mã hoá thông qua KACLS. Các ranh giới là những bước kiểm tra bổ sung không bắt buộc được thực hiện trên mã thông báo xác thực và uỷ quyền trong KACLS.

Bạn có thể dùng chu vi để:

Chỉ cho phép người dùng thuộc các miền có trong danh sách cho phép giải mã khoá.
Thêm người dùng vào danh sách chặn, chẳng hạn như quản trị viên Google Workspace.
Đưa ra các hạn chế nâng cao. Ví dụ:
- Các quy định hạn chế dựa trên thời gian đối với nhân viên trực điện thoại hoặc người đang đi nghỉ
- Quy định hạn chế về vị trí địa lý để ngăn chặn quyền truy cập từ các vị trí hoặc mạng cụ thể
- Quyền truy cập dựa trên vai trò hoặc loại người dùng, do Nhà cung cấp danh tính xác nhận

Xác minh cấu hình KACLS

Để kiểm tra xem KACLS có đang hoạt động và được định cấu hình chính xác hay không, hãy gửi một yêu cầu status. Bạn cũng có thể thực hiện các quy trình tự kiểm tra nội bộ, chẳng hạn như khả năng truy cập KMS hoặc tình trạng của hệ thống ghi nhật ký.