Verileri şifrele ve şifresini çöz

Bu kılavuzda, Google Workspace İstemci Tarafı Şifreleme API'si kullanılarak şifreleme ve şifre çözmenin nasıl çalıştığı açıklanmaktadır.

Şifrelenmiş dosya paylaşan kullanıcıların kullandığı tüm Kimlik Sağlayıcı (IdP) hizmetlerini izin verilenler listesine eklemeniz gerekir. Gerekli IdP bilgilerini genellikle kuruluşun herkese açık .well-known dosyasında bulabilirsiniz. Gerekli değilse IdP ayrıntılarını öğrenmek için kuruluşun Google Workspace yöneticisiyle iletişime geçin.

Verileri şifrele

Bir Google Workspace kullanıcısı istemci tarafında şifrelenmiş (İTŞ) verileri kaydetmek veya depolamak istediğinde Google Workspace, şifreleme için KACLS uç nokta URL'nize wrap isteği gönderir. KACLS'lerinizin, çevre ve JWT hak talebi tabanlı kontrolleri gibi isteğe bağlı güvenlik kontrollerine ek olarak aşağıdaki adımları da uygulaması gerekir:

  1. İstekte bulunan kullanıcıyı doğrulayın.

    • Hem kimlik doğrulama jetonunu hem de yetkilendirme jetonunu doğrulayın.
    • E-posta taleplerinde büyük/küçük harfe duyarlı olmayan bir eşleşme yaparak yetkilendirme ve kimlik doğrulama jetonlarının aynı kullanıcı için olup olmadığını kontrol edin.
    • Kimlik doğrulama jetonu isteğe bağlı google_email hak talebini içerdiğinde, büyük/küçük harfe duyarlı olmayan bir yaklaşım kullanılarak yetkilendirme jetonundaki e-posta talebiyle karşılaştırılmalıdır. Bu karşılaştırma için kimlik doğrulama jetonundaki e-posta talebini kullanmayın.
    • Kimlik doğrulama jetonunun isteğe bağlı google_email talebinin bulunmadığı senaryolarda, kimlik doğrulama jetonundaki e-posta talebi, büyük/küçük harfe duyarlı olmayan bir yöntem kullanılarak, yetkilendirme jetonundaki e-posta talebiyle karşılaştırılmalıdır.
    • Google'ın bir Google Hesabı ile ilişkili olmayan bir e-posta için yetkilendirme jetonu yayınladığı senaryolarda email_type hak talebi bulunmalıdır. Bu, KACLS'nin harici kullanıcılar üzerinde ek güvenlik önlemleri alması için değerli bilgiler sağlayarak Davetli Erişimi özelliğinin önemli bir parçasını oluşturur.
      • KACLS'lerin bu bilgileri nasıl kullanabileceğine dair bazı örnekler:
      • Ek günlük kaydı şartları yerine getirme.
      • Kimlik doğrulama jetonunu vereni, özel bir Konuk IdP ile kısıtlamak için
      • Kimlik doğrulama jetonunda ek hak taleplerini zorunlu tutmak için.
      • Bir müşteri Davetli Erişimi'ni yapılandırmamışsa email_type değerinin google-visitor veya customer-idp olarak ayarlandığı tüm istekler reddedilebilir. email_type değeri google olan veya ayarlanmamış email_type değerine sahip istekler kabul edilmeye devam etmelidir.
    • Yetkilendirme jetonundaki role talebinin "author" veya "upgrader" olduğundan emin olun.
    • Yetkilendirme jetonundaki kacls_url talebinin geçerli KACLS URL'siyle eşleştiğinden emin olun. Bu denetim, kuruluş içinden çalışanlar veya sahte alan adı yöneticileri tarafından yapılandırılmış potansiyel ortadaki adam sunucularının algılanmasına olanak tanır.
    • Hem kimlik doğrulama hem de yetkilendirme taleplerini kullanarak çevre kontrolü gerçekleştirin.

  2. Aşağıdaki bölümleri, kimliği doğrulanmış bir şifreleme algoritması kullanarak şifreleyin:

    • Veri Şifreleme Anahtarı (DEK)
    • Yetkilendirme jetonundaki resource_name ve perimeter_id değerleri
    • Diğer hassas veriler

  3. Oluşturan kullanıcı, resource_name ve istekte iletilen neden de dahil olmak üzere işlemi günlüğe kaydedin.

  4. Google Workspace tarafından şifrelenmiş nesneyle birlikte depolanacak ve sonraki herhangi bir anahtar sarmalama açma işleminde olduğu gibi gönderilecek opak bir ikili nesne döndürün. İsterseniz yapılandırılmış hata yanıtı da yayınlayabilirsiniz.

    • İkili nesne, şifrelenmiş DEK'nin tek kopyasını içermelidir. Uygulamaya özel veriler burada depolanabilir.

Verilerin şifresini çözme

Bir Google Workspace kullanıcısı istemci tarafında şifrelenmiş (İTŞ) verileri açmak istediğinde Google Workspace, şifre çözme işlemi için KACLS uç nokta URL'nize bir unwrap isteği gönderir. KACLS'lerinizin, çevre ve JWT hak talebi tabanlı kontrolleri gibi isteğe bağlı güvenlik kontrollerine ek olarak aşağıdaki adımları da uygulaması gerekir:

  1. İstekte bulunan kullanıcıyı doğrulayın.

    • Hem kimlik doğrulama jetonunu hem de yetkilendirme jetonunu doğrulayın.
    • E-posta taleplerinde büyük/küçük harfe duyarlı olmayan bir eşleşme yaparak yetkilendirme ve kimlik doğrulama jetonlarının aynı kullanıcı için olup olmadığını kontrol edin.
    • Kimlik doğrulama jetonu isteğe bağlı google_email hak talebini içerdiğinde, büyük/küçük harfe duyarlı olmayan bir yaklaşım kullanılarak yetkilendirme jetonundaki e-posta talebiyle karşılaştırılmalıdır. Bu karşılaştırma için kimlik doğrulama jetonundaki e-posta talebini kullanmayın.
    • Kimlik doğrulama jetonunun isteğe bağlı google_email talebinin bulunmadığı senaryolarda, kimlik doğrulama jetonundaki e-posta talebi, büyük/küçük harfe duyarlı olmayan bir yöntem kullanılarak, yetkilendirme jetonundaki e-posta talebiyle karşılaştırılmalıdır.
    • Google'ın bir Google Hesabı ile ilişkili olmayan bir e-posta için yetkilendirme jetonu yayınladığı senaryolarda email_type hak talebi bulunmalıdır. Bu, KACLS'nin harici kullanıcılar üzerinde ek güvenlik önlemleri alması için değerli bilgiler sağlayarak Davetli Erişimi özelliğinin önemli bir parçasını oluşturur.
      • KACLS'lerin bu bilgileri nasıl kullanabileceğine dair bazı örnekler:
      • Ek günlük kaydı şartları yerine getirme.
      • Kimlik doğrulama jetonunu vereni, özel bir Konuk IdP ile kısıtlamak için
      • Kimlik doğrulama jetonunda ek hak taleplerini zorunlu tutmak için.
      • Bir müşteri Davetli Erişimi'ni yapılandırmamışsa email_type değerinin google-visitor veya customer-idp olarak ayarlandığı tüm istekler reddedilebilir. email_type değeri google olan veya ayarlanmamış email_type değerine sahip istekler kabul edilmeye devam etmelidir.
    • Yetkilendirme jetonundaki role talebinin "okuyucu" veya "yazar" olduğundan emin olun.
    • Yetkilendirme jetonundaki kacls_url talebinin geçerli KACLS URL'siyle eşleştiğinden emin olun. Bu, kuruluş içinden kullanıcılar veya sahte alan adı yöneticileri tarafından yapılandırılmış potansiyel ortadaki adam sunucularının algılanmasına olanak tanır.

  2. Kimliği doğrulanmış bir şifreleme algoritması kullanarak aşağıdaki bölümlerin şifresini çözün:

    • Veri Şifreleme Anahtarı (DEK)
    • Yetkilendirme jetonundaki resource_name ve perimeter_id değerleri
    • Diğer hassas veriler

  3. Yetkilendirme jetonundaki ve şifresi çözülmüş blob'daki resource_name öğesinin eşleştiğinden emin olun.

  4. Hem kimlik doğrulama hem de yetkilendirme taleplerini kullanarak çevre kontrolü gerçekleştirin.

  5. Oluşturan kullanıcı, resource_name ve istekte iletilen neden de dahil olmak üzere işlemi günlüğe kaydedin.

  6. Sarmalanmamış DEK veya yapılandırılmış hata yanıtını döndürür.