Google Workspace ক্লায়েন্ট-সাইড এনক্রিপশন API ব্যবহার করে এনক্রিপশন এবং ডিক্রিপশন কীভাবে কাজ করে তা এই গাইডটি বর্ণনা করে।
এনক্রিপ্ট করা ফাইল শেয়ার করা ব্যবহারকারীদের দ্বারা ব্যবহৃত যেকোনও আইডেন্টিটি প্রোভাইডার (আইডিপি) পরিষেবাগুলিকে আপনাকে অবশ্যই অনুমতি দিতে হবে। আপনি সাধারণত তাদের সর্বজনীনভাবে উপলব্ধ .well-known ফাইলে প্রয়োজনীয় IdP বিবরণ খুঁজে পেতে পারেন; অন্যথায়, তাদের IdP বিবরণের জন্য প্রতিষ্ঠানের Google Workspace অ্যাডমিনিস্ট্রেটরের সাথে যোগাযোগ করুন।
ডেটা এনক্রিপ্ট করুন
যখন কোনও Google Workspace ব্যবহারকারী ক্লায়েন্ট-সাইড এনক্রিপ্ট করা (CSE) ডেটা সেভ বা স্টোর করার অনুরোধ করেন, তখন Google Workspace এনক্রিপশনের জন্য আপনার KACLS এন্ডপয়েন্ট ইউআরএলে একটি wrap
অনুরোধ পাঠায়। ঐচ্ছিক নিরাপত্তা চেক ছাড়াও, যেমন পরিধি এবং JWT দাবি-ভিত্তিক চেক, আপনার KACLS-কে অবশ্যই নিম্নলিখিত পদক্ষেপগুলি সম্পাদন করতে হবে:
অনুরোধকারী ব্যবহারকারীকে যাচাই করুন।
- প্রমাণীকরণ টোকেন এবং অনুমোদন টোকেন উভয়ই যাচাই করুন।
- ইমেল দাবিতে একটি কেস-সংবেদনশীল ম্যাচ করে অনুমোদন এবং প্রমাণীকরণ টোকেন একই ব্যবহারকারীর জন্য কিনা তা পরীক্ষা করুন।
- যখন প্রমাণীকরণ টোকেনে ঐচ্ছিক
google_email
দাবি থাকে, তখন এটি একটি কেস-অসংবেদনশীল পদ্ধতি ব্যবহার করে অনুমোদন টোকেনে ইমেল দাবির সাথে তুলনা করা আবশ্যক। এই তুলনার জন্য প্রমাণীকরণ টোকেনের মধ্যে ইমেল দাবি ব্যবহার করবেন না। - এমন পরিস্থিতিতে যেখানে প্রমাণীকরণ টোকেনে ঐচ্ছিক
google_email
দাবি নেই, সেখানে প্রমাণীকরণ টোকেনের মধ্যে ইমেল দাবিটিকে একটি কেস-সংবেদনশীল পদ্ধতি ব্যবহার করে অনুমোদন টোকেনের ইমেল দাবির সাথে তুলনা করা উচিত। - এমন পরিস্থিতিতে যেখানে Google একটি Google অ্যাকাউন্টের সাথে যুক্ত নয় এমন একটি ইমেলের জন্য একটি অনুমোদন টোকেন ইস্যু করে, সেখানে
email_type
দাবি অবশ্যই উপস্থিত থাকতে হবে। এটি গেস্ট অ্যাক্সেস বৈশিষ্ট্যের একটি গুরুত্বপূর্ণ অংশ গঠন করে, বহিরাগত ব্যবহারকারীদের উপর অতিরিক্ত নিরাপত্তা ব্যবস্থা প্রয়োগ করার জন্য KACLS-এর জন্য মূল্যবান তথ্য প্রদান করে।- একটি KACLS কিভাবে এই তথ্য ব্যবহার করতে পারে তার কিছু উদাহরণের মধ্যে রয়েছে:
- অতিরিক্ত লগিং প্রয়োজনীয়তা আরোপ করা.
- একটি ডেডিকেটেড গেস্ট আইডিপিতে প্রমাণীকরণ টোকেন প্রদানকারীকে সীমাবদ্ধ করতে।
- প্রমাণীকরণ টোকেনে অতিরিক্ত দাবির প্রয়োজন।
- যদি একজন গ্রাহক গেস্ট অ্যাক্সেস কনফিগার না করে থাকেন, তাহলে
email_type
google-visitor
বাcustomer-idp
এ সেট করা আছে এমন সমস্ত অনুরোধ প্রত্যাখ্যান করা যেতে পারে।google
এরemail_type
বা একটি আনসেটemail_type
সহ অনুরোধগুলি গৃহীত হওয়া উচিত।
- অনুমোদন টোকেনে
role
দাবি "লেখক" বা "আপগ্রডার" কিনা তা পরীক্ষা করুন। - অনুমোদন টোকেনে
kacls_url
দাবি বর্তমান KACLS URL এর সাথে মেলে কিনা তা পরীক্ষা করুন। এই চেকটি অভ্যন্তরীণ বা দুর্বৃত্ত ডোমেন প্রশাসকদের দ্বারা কনফিগার করা সম্ভাব্য ম্যান-ইন-দ্য-মিডল সার্ভারগুলি সনাক্ত করার অনুমতি দেয়। - প্রমাণীকরণ এবং অনুমোদন দাবি উভয় ব্যবহার করে একটি পরিধি চেক করুন।
একটি প্রমাণীকৃত এনক্রিপশন অ্যালগরিদম ব্যবহার করে নিম্নলিখিত অংশগুলি এনক্রিপ্ট করুন:
- ডেটা এনক্রিপশন কী (DEK)
- অনুমোদন টোকেন থেকে
resource_name
এবংperimeter_id
মান - কোনো অতিরিক্ত সংবেদনশীল তথ্য
ব্যবহারকারীর উদ্ভব,
resource_name
এবং অনুরোধে পাস করা কারণ সহ অপারেশনটি লগ করুন।এনক্রিপ্ট করা অবজেক্টের পাশাপাশি Google Workspace-এর দ্বারা স্টোর করার জন্য একটি অস্বচ্ছ বাইনারি অবজেক্ট ফেরত দিন এবং পরবর্তী যেকোন কী আনর্যাপিং অপারেশনে যেভাবে আছে সেভাবে পাঠানো হবে। অথবা, একটি কাঠামোগত ত্রুটি উত্তর পরিবেশন করুন।
- বাইনারি অবজেক্টে এনক্রিপ্ট করা DEK এর একমাত্র অনুলিপি থাকা উচিত, বাস্তবায়নের নির্দিষ্ট ডেটা এতে সংরক্ষণ করা যেতে পারে।
ডেটা ডিক্রিপ্ট করুন
যখন কোনও Google Workspace ব্যবহারকারী ক্লায়েন্ট-সাইড এনক্রিপ্ট করা (CSE) ডেটা খোলার অনুরোধ করেন, তখন Google Workspace আপনার KACLS এন্ডপয়েন্ট ইউআরএলে ডিক্রিপশনের জন্য একটি unwrap
অনুরোধ পাঠায়। ঐচ্ছিক নিরাপত্তা চেক ছাড়াও, যেমন পরিধি এবং JWT দাবি-ভিত্তিক চেক, আপনার KACLS-কে অবশ্যই নিম্নলিখিত পদক্ষেপগুলি সম্পাদন করতে হবে:
অনুরোধকারী ব্যবহারকারীকে যাচাই করুন।
- প্রমাণীকরণ টোকেন এবং অনুমোদন টোকেন উভয়ই যাচাই করুন।
- ইমেল দাবিতে একটি কেস-সংবেদনশীল ম্যাচ করে অনুমোদন এবং প্রমাণীকরণ টোকেন একই ব্যবহারকারীর জন্য কিনা তা পরীক্ষা করুন।
- যখন প্রমাণীকরণ টোকেনে ঐচ্ছিক
google_email
দাবি থাকে, তখন এটি একটি কেস-অসংবেদনশীল পদ্ধতি ব্যবহার করে অনুমোদন টোকেনে ইমেল দাবির সাথে তুলনা করা আবশ্যক। এই তুলনার জন্য প্রমাণীকরণ টোকেনের মধ্যে ইমেল দাবি ব্যবহার করবেন না। - এমন পরিস্থিতিতে যেখানে প্রমাণীকরণ টোকেনে ঐচ্ছিক
google_email
দাবি নেই, সেখানে প্রমাণীকরণ টোকেনের মধ্যে ইমেল দাবিটিকে একটি কেস-সংবেদনশীল পদ্ধতি ব্যবহার করে অনুমোদন টোকেনের ইমেল দাবির সাথে তুলনা করা উচিত। - এমন পরিস্থিতিতে যেখানে Google একটি Google অ্যাকাউন্টের সাথে যুক্ত নয় এমন একটি ইমেলের জন্য একটি অনুমোদন টোকেন ইস্যু করে, সেখানে
email_type
দাবি অবশ্যই উপস্থিত থাকতে হবে। এটি গেস্ট অ্যাক্সেস বৈশিষ্ট্যের একটি গুরুত্বপূর্ণ অংশ গঠন করে, বহিরাগত ব্যবহারকারীদের উপর অতিরিক্ত নিরাপত্তা ব্যবস্থা প্রয়োগ করার জন্য KACLS-এর জন্য মূল্যবান তথ্য প্রদান করে।- একটি KACLS কিভাবে এই তথ্য ব্যবহার করতে পারে তার কিছু উদাহরণের মধ্যে রয়েছে:
- অতিরিক্ত লগিং প্রয়োজনীয়তা আরোপ করা.
- একটি ডেডিকেটেড গেস্ট আইডিপিতে প্রমাণীকরণ টোকেন প্রদানকারীকে সীমাবদ্ধ করতে।
- প্রমাণীকরণ টোকেনে অতিরিক্ত দাবির প্রয়োজন।
- যদি একজন গ্রাহক গেস্ট অ্যাক্সেস কনফিগার না করে থাকেন, তাহলে
email_type
google-visitor
বাcustomer-idp
এ সেট করা আছে এমন সমস্ত অনুরোধ প্রত্যাখ্যান করা যেতে পারে।google
এরemail_type
বা একটি আনসেটemail_type
সহ অনুরোধগুলি গৃহীত হওয়া উচিত।
- অনুমোদন টোকেনে
role
দাবি "পাঠক" বা "লেখক" কিনা তা পরীক্ষা করুন। - অনুমোদন টোকেনে
kacls_url
দাবি বর্তমান KACLS URL-এর সাথে মেলে কিনা পরীক্ষা করুন। এটি অভ্যন্তরীণ বা দুর্বৃত্ত ডোমেন প্রশাসকদের দ্বারা কনফিগার করা সম্ভাব্য ম্যান-ইন-দ্য-মিডল সার্ভার সনাক্ত করার অনুমতি দেয়।
একটি প্রমাণীকৃত এনক্রিপশন অ্যালগরিদম ব্যবহার করে নিম্নলিখিত অংশগুলি ডিক্রিপ্ট করুন:
- ডেটা এনক্রিপশন কী (DEK)
- অনুমোদন টোকেন থেকে
resource_name
এবংperimeter_id
মান - কোনো অতিরিক্ত সংবেদনশীল তথ্য
অনুমোদন টোকেন এবং ডিক্রিপ্ট করা ব্লব-এ
resource_name
মিলছে কিনা পরীক্ষা করুন।প্রমাণীকরণ এবং অনুমোদন দাবি উভয় ব্যবহার করে একটি পরিধি চেক করুন।
ব্যবহারকারীর উদ্ভব,
resource_name
এবং অনুরোধে পাস করা কারণ সহ অপারেশনটি লগ করুন।মোড়ানো DEK বা একটি কাঠামোগত ত্রুটির উত্তর ফেরত দিন।