Panduan ini menjelaskan cara kerja enkripsi dan dekripsi menggunakan Client-side Encryption API Google Workspace.
Anda harus mengizinkan layanan Penyedia Identitas (IdP) apa pun yang digunakan oleh pengguna yang berbagi file terenkripsi. Anda biasanya dapat menemukan detail IdP yang diperlukan di file .well-known yang tersedia secara publik. Jika tidak, hubungi administrator Google Workspace organisasi untuk mengetahui detail IdP-nya.
Mengenkripsi data
Saat pengguna Google Workspace meminta untuk menyimpan atau menyimpan data terenkripsi sisi klien (CSE), Google Workspace akan mengirimkan permintaan wrap
ke URL endpoint KACLS Anda untuk dienkripsi. Selain pemeriksaan keamanan opsional, seperti pemeriksaan perimeter dan berbasis klaim JWT, KACLS Anda harus melakukan langkah-langkah berikut:
Validasi pengguna yang meminta.
- Validasi token autentikasi dan token otorisasi.
- Pastikan token otorisasi dan autentikasi ditujukan untuk pengguna yang sama dengan melakukan pencocokan yang tidak peka huruf besar/kecil pada klaim email.
- Jika token autentikasi berisi klaim
google_email
opsional, token tersebut harus dibandingkan dengan klaim email dalam token otorisasi menggunakan pendekatan yang tidak peka huruf besar/kecil. Jangan gunakan klaim email dalam token autentikasi untuk perbandingan ini. - Dalam skenario saat token autentikasi tidak memiliki klaim
google_email
opsional, klaim email dalam token autentikasi harus dibandingkan dengan klaim email dalam token otorisasi, menggunakan metode yang tidak peka huruf besar/kecil. - Dalam skenario saat Google menerbitkan token otorisasi untuk email yang tidak
terkait dengan Akun Google, klaim
email_type
harus ada. Hal ini membentuk bagian penting dari fitur Akses Tamu, yang memberikan informasi berharga bagi KACLS untuk menerapkan langkah-langkah keamanan tambahan pada pengguna eksternal.- Beberapa contoh cara KACLS menggunakan informasi ini meliputi:
- Untuk menerapkan persyaratan logging tambahan.
- Untuk membatasi penerbit token autentikasi ke IdP Tamu khusus.
- Untuk mewajibkan klaim tambahan pada token autentikasi.
- Jika pelanggan belum mengonfigurasi Akses Tamu, semua permintaan
dengan
email_type
disetel kegoogle-visitor
ataucustomer-idp
dapat ditolak. Permintaan denganemail_type
google
atau denganemail_type
yang tidak ditetapkan harus terus disetujui.
- Pastikan klaim
role
dalam token otorisasi adalah "penulis" atau "pengupgrade". - Pastikan klaim
kacls_url
dalam token otorisasi cocok dengan URL KACLS saat ini. Pemeriksaan ini memungkinkan deteksi potensi server man-in-the-middle yang dikonfigurasi oleh orang dalam atau administrator domain yang tidak sah. - Lakukan pemeriksaan perimeter menggunakan klaim autentikasi dan otorisasi.
Enkripsi bagian berikut menggunakan algoritma enkripsi yang diautentikasi:
- Kunci Enkripsi Data (DEK)
- Nilai
resource_name
danperimeter_id
dari token otorisasi - Data sensitif tambahan
Catat operasi, termasuk pengguna yang memulainya,
resource_name
, dan alasan yang diteruskan dalam permintaan.Menampilkan objek biner buram yang akan disimpan oleh Google Workspace bersama objek terenkripsi dan dikirim apa adanya dalam operasi penguraian kunci berikutnya. Atau, tayangkan balasan error terstruktur.
- Objek biner harus berisi satu-satunya salinan DEK terenkripsi, data khusus implementasi dapat disimpan di dalamnya.
Mendekripsi data
Saat pengguna Google Workspace meminta untuk membuka data terenkripsi sisi klien (CSE),
Google Workspace akan mengirimkan permintaan unwrap
ke URL endpoint KACLS Anda untuk dekripsi. Selain pemeriksaan keamanan
opsional, seperti pemeriksaan perimeter dan berbasis klaim JWT, KACLS Anda harus melakukan
langkah-langkah berikut:
Validasi pengguna yang meminta.
- Validasi token autentikasi dan token otorisasi.
- Pastikan token otorisasi dan autentikasi ditujukan untuk pengguna yang sama dengan melakukan pencocokan yang tidak peka huruf besar/kecil pada klaim email.
- Jika token autentikasi berisi klaim
google_email
opsional, token tersebut harus dibandingkan dengan klaim email dalam token otorisasi menggunakan pendekatan yang tidak peka huruf besar/kecil. Jangan gunakan klaim email dalam token autentikasi untuk perbandingan ini. - Dalam skenario saat token autentikasi tidak memiliki klaim
google_email
opsional, klaim email dalam token autentikasi harus dibandingkan dengan klaim email dalam token otorisasi, menggunakan metode yang tidak peka huruf besar/kecil. - Dalam skenario saat Google menerbitkan token otorisasi untuk email yang tidak
terkait dengan Akun Google, klaim
email_type
harus ada. Hal ini membentuk bagian penting dari fitur Akses Tamu, yang memberikan informasi berharga bagi KACLS untuk menerapkan langkah-langkah keamanan tambahan pada pengguna eksternal.- Beberapa contoh cara KACLS menggunakan informasi ini meliputi:
- Untuk menerapkan persyaratan logging tambahan.
- Untuk membatasi penerbit token autentikasi ke IdP Tamu khusus.
- Untuk mewajibkan klaim tambahan pada token autentikasi.
- Jika pelanggan belum mengonfigurasi Akses Tamu, semua permintaan
dengan
email_type
disetel kegoogle-visitor
ataucustomer-idp
dapat ditolak. Permintaan denganemail_type
google
atau denganemail_type
yang tidak ditetapkan harus terus disetujui.
- Pastikan klaim
role
dalam token otorisasi adalah "pembaca" atau "penulis". - Pastikan klaim
kacls_url
dalam token otorisasi cocok dengan URL KACLS saat ini. Hal ini memungkinkan deteksi server man-in-the-middle potensial yang dikonfigurasi oleh orang dalam atau administrator domain nakal.
Dekripsi bagian berikut menggunakan algoritma enkripsi yang diautentikasi:
- Kunci Enkripsi Data (DEK)
- Nilai
resource_name
danperimeter_id
dari token otorisasi - Data sensitif tambahan
Pastikan
resource_name
dalam token otorisasi dan blob yang didekripsi cocok.Lakukan pemeriksaan perimeter menggunakan klaim autentikasi dan otorisasi.
Catat operasi, termasuk pengguna yang memulainya,
resource_name
, dan alasan yang diteruskan dalam permintaan.Tampilkan DEK yang telah dibuka atau balasan error terstruktur.