Bu kılavuzda, Google Workspace İstemci Tarafı Şifreleme API'si kullanılarak şifreleme ve şifre çözmenin nasıl çalıştığı açıklanmaktadır.
Şifrelenmiş dosya paylaşan kullanıcıların kullandığı tüm Kimlik Sağlayıcı (IdP) hizmetlerini izin verilenler listesine eklemeniz gerekir. Gerekli IdP bilgilerini genellikle kuruluşun herkese açık .well-known dosyasında bulabilirsiniz. Gerekli değilse IdP ayrıntılarını öğrenmek için kuruluşun Google Workspace yöneticisiyle iletişime geçin.
Verileri şifrele
Bir Google Workspace kullanıcısı istemci tarafında şifrelenmiş (İTŞ) verileri kaydetmek veya depolamak istediğinde Google Workspace, şifreleme için KACLS uç nokta URL'nize wrap
isteği gönderir. KACLS'lerinizin, çevre ve JWT hak talebi tabanlı kontrolleri gibi isteğe bağlı güvenlik kontrollerine ek olarak aşağıdaki adımları da uygulaması gerekir:
İstekte bulunan kullanıcıyı doğrulayın.
- Hem kimlik doğrulama jetonunu hem de yetkilendirme jetonunu doğrulayın.
- E-posta taleplerinde büyük/küçük harfe duyarlı olmayan bir eşleşme yaparak yetkilendirme ve kimlik doğrulama jetonlarının aynı kullanıcı için olup olmadığını kontrol edin.
- Kimlik doğrulama jetonu isteğe bağlı
google_email
hak talebini içerdiğinde, büyük/küçük harfe duyarlı olmayan bir yaklaşım kullanılarak yetkilendirme jetonundaki e-posta talebiyle karşılaştırılmalıdır. Bu karşılaştırma için kimlik doğrulama jetonundaki e-posta talebini kullanmayın. - Kimlik doğrulama jetonunun isteğe bağlı
google_email
talebinin bulunmadığı senaryolarda, kimlik doğrulama jetonundaki e-posta talebi, büyük/küçük harfe duyarlı olmayan bir yöntem kullanılarak, yetkilendirme jetonundaki e-posta talebiyle karşılaştırılmalıdır. - Google'ın bir Google Hesabı ile ilişkili olmayan bir e-posta için yetkilendirme jetonu yayınladığı senaryolarda
email_type
hak talebi bulunmalıdır. Bu, KACLS'nin harici kullanıcılar üzerinde ek güvenlik önlemleri alması için değerli bilgiler sağlayarak Davetli Erişimi özelliğinin önemli bir parçasını oluşturur.- KACLS'lerin bu bilgileri nasıl kullanabileceğine dair bazı örnekler:
- Ek günlük kaydı şartları yerine getirme.
- Kimlik doğrulama jetonunu vereni, özel bir Konuk IdP ile kısıtlamak için
- Kimlik doğrulama jetonunda ek hak taleplerini zorunlu tutmak için.
- Bir müşteri Davetli Erişimi'ni yapılandırmamışsa
email_type
değeriningoogle-visitor
veyacustomer-idp
olarak ayarlandığı tüm istekler reddedilebilir.email_type
değerigoogle
olan veya ayarlanmamışemail_type
değerine sahip istekler kabul edilmeye devam etmelidir.
- Yetkilendirme jetonundaki
role
talebinin "author" veya "upgrader" olduğundan emin olun. - Yetkilendirme jetonundaki
kacls_url
talebinin geçerli KACLS URL'siyle eşleştiğinden emin olun. Bu denetim, kuruluş içinden çalışanlar veya sahte alan adı yöneticileri tarafından yapılandırılmış potansiyel ortadaki adam sunucularının algılanmasına olanak tanır. - Hem kimlik doğrulama hem de yetkilendirme taleplerini kullanarak çevre kontrolü gerçekleştirin.
Aşağıdaki bölümleri, kimliği doğrulanmış bir şifreleme algoritması kullanarak şifreleyin:
- Veri Şifreleme Anahtarı (DEK)
- Yetkilendirme jetonundaki
resource_name
veperimeter_id
değerleri - Diğer hassas veriler
Oluşturan kullanıcı,
resource_name
ve istekte iletilen neden de dahil olmak üzere işlemi günlüğe kaydedin.Google Workspace tarafından şifrelenmiş nesneyle birlikte depolanacak ve sonraki herhangi bir anahtar sarmalama açma işleminde olduğu gibi gönderilecek opak bir ikili nesne döndürün. İsterseniz yapılandırılmış hata yanıtı da yayınlayabilirsiniz.
- İkili nesne, şifrelenmiş DEK'nin tek kopyasını içermelidir. Uygulamaya özel veriler burada depolanabilir.
Verilerin şifresini çözme
Bir Google Workspace kullanıcısı istemci tarafında şifrelenmiş (İTŞ) verileri açmak istediğinde Google Workspace, şifre çözme işlemi için KACLS uç nokta URL'nize bir unwrap
isteği gönderir. KACLS'lerinizin, çevre ve JWT hak talebi tabanlı kontrolleri gibi isteğe bağlı güvenlik kontrollerine ek olarak aşağıdaki adımları da uygulaması gerekir:
İstekte bulunan kullanıcıyı doğrulayın.
- Hem kimlik doğrulama jetonunu hem de yetkilendirme jetonunu doğrulayın.
- E-posta taleplerinde büyük/küçük harfe duyarlı olmayan bir eşleşme yaparak yetkilendirme ve kimlik doğrulama jetonlarının aynı kullanıcı için olup olmadığını kontrol edin.
- Kimlik doğrulama jetonu isteğe bağlı
google_email
hak talebini içerdiğinde, büyük/küçük harfe duyarlı olmayan bir yaklaşım kullanılarak yetkilendirme jetonundaki e-posta talebiyle karşılaştırılmalıdır. Bu karşılaştırma için kimlik doğrulama jetonundaki e-posta talebini kullanmayın. - Kimlik doğrulama jetonunun isteğe bağlı
google_email
talebinin bulunmadığı senaryolarda, kimlik doğrulama jetonundaki e-posta talebi, büyük/küçük harfe duyarlı olmayan bir yöntem kullanılarak, yetkilendirme jetonundaki e-posta talebiyle karşılaştırılmalıdır. - Google'ın bir Google Hesabı ile ilişkili olmayan bir e-posta için yetkilendirme jetonu yayınladığı senaryolarda
email_type
hak talebi bulunmalıdır. Bu, KACLS'nin harici kullanıcılar üzerinde ek güvenlik önlemleri alması için değerli bilgiler sağlayarak Davetli Erişimi özelliğinin önemli bir parçasını oluşturur.- KACLS'lerin bu bilgileri nasıl kullanabileceğine dair bazı örnekler:
- Ek günlük kaydı şartları yerine getirme.
- Kimlik doğrulama jetonunu vereni, özel bir Konuk IdP ile kısıtlamak için
- Kimlik doğrulama jetonunda ek hak taleplerini zorunlu tutmak için.
- Bir müşteri Davetli Erişimi'ni yapılandırmamışsa
email_type
değeriningoogle-visitor
veyacustomer-idp
olarak ayarlandığı tüm istekler reddedilebilir.email_type
değerigoogle
olan veya ayarlanmamışemail_type
değerine sahip istekler kabul edilmeye devam etmelidir.
- Yetkilendirme jetonundaki
role
talebinin "okuyucu" veya "yazar" olduğundan emin olun. - Yetkilendirme jetonundaki
kacls_url
talebinin geçerli KACLS URL'siyle eşleştiğinden emin olun. Bu, kuruluş içinden kullanıcılar veya sahte alan adı yöneticileri tarafından yapılandırılmış potansiyel ortadaki adam sunucularının algılanmasına olanak tanır.
Kimliği doğrulanmış bir şifreleme algoritması kullanarak aşağıdaki bölümlerin şifresini çözün:
- Veri Şifreleme Anahtarı (DEK)
- Yetkilendirme jetonundaki
resource_name
veperimeter_id
değerleri - Diğer hassas veriler
Yetkilendirme jetonundaki ve şifresi çözülmüş blob'daki
resource_name
öğesinin eşleştiğinden emin olun.Hem kimlik doğrulama hem de yetkilendirme taleplerini kullanarak çevre kontrolü gerçekleştirin.
Oluşturan kullanıcı,
resource_name
ve istekte iletilen neden de dahil olmak üzere işlemi günlüğe kaydedin.Sarmalanmamış DEK veya yapılandırılmış hata yanıtını döndürür.