หน้านี้ได้รับการแปลโดย Cloud Translation API

กําหนดค่าบริการ

คุณกำหนดค่าบริการรายการควบคุมการเข้าถึงคีย์ (KACLS) ได้โดยที่ Google ไม่ได้มีส่วนเกี่ยวข้อง ด้านล่างนี้เป็นรายละเอียดเกี่ยวกับการตั้งค่าทั่วไปและแนวทางปฏิบัติแนะนำสำหรับการกำหนดค่าบริการ

การตั้งค่าการดำเนินการ

API ควรใช้งานได้ผ่าน HTTPS ที่ใช้ TLS 1.2 ขึ้นไปที่มีใบรับรอง X.509 ที่ถูกต้องเท่านั้น
เซิร์ฟเวอร์ API ควรจัดการ CORS เพื่อเข้าถึงปลายทางที่ได้รับอนุญาตของ Google: https://client-side-encryption.google.com
เราขอแนะนำให้ใช้เวลาในการตอบสนองสูงสุด 200 มิลลิวินาทีสำหรับคำขอ 99%

การตั้งค่าผู้ให้บริการให้สิทธิ์

ใช้การตั้งค่าด้านล่างเพื่อตรวจสอบโทเค็นการให้สิทธิ์ที่ออกโดย Google ระหว่างการเข้ารหัสฝั่งไคลเอ็นต์ (CSE)

บริบทแอปพลิเคชัน Google Workspace	URL ปลายทาง JWKS	ผู้ออกโทเค็นการให้สิทธิ์	กลุ่มเป้าหมายของโทเค็นการให้สิทธิ์
Google ไดรฟ์และเครื่องมือสร้างเนื้อหาแบบทำงานร่วมกัน เช่น เอกสารและชีต	`https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com`	`gsuitecse-tokenissuer-drive@system.gserviceaccount.com`	`cse-authorization`
CSE ของ Meet	`https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-meet@system.gserviceaccount.com`	`gsuitecse-tokenissuer-meet@system.gserviceaccount.com`	`cse-authorization`
CSE ของปฏิทิน	`https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-calendar@system.gserviceaccount.com`	`gsuitecse-tokenissuer-calendar@system.gserviceaccount.com`	`cse-authorization`
CSE ของ Gmail	`https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-gmail@system.gserviceaccount.com`	`gsuitecse-tokenissuer-gmail@system.gserviceaccount.com`	`cse-authorization`
การย้ายข้อมูล KACLS	`https://www.googleapis.com/service_accounts/v1/jwk/apps-security-cse-kaclscommunication@system.gserviceaccount.com`	`apps-security-cse-kaclscommunication@system.gserviceaccount.com`	`cse-authorization`

การตั้งค่าผู้ให้บริการข้อมูลประจำตัว

การตั้งค่าด้านล่างจำเป็นสำหรับผู้ให้บริการข้อมูลประจำตัว (IdP) ที่ไม่ใช่ของ Google แต่ละรายที่บริการของคุณใช้งานด้วย

วิธีตรวจสอบโทเค็น โดยทั่วไปโทเค็นจะได้รับการตรวจสอบโดยใช้ URL ไปยังไฟล์ JSON Web Key Set (JWKS) แต่ก็อาจเป็นคีย์สาธารณะได้เช่นกัน
ค่าผู้ออกและกลุ่มเป้าหมาย: ค่าในช่อง iss (ผู้ออกใบรับรอง) และ aud (กลุ่มเป้าหมาย) ที่ผู้ให้บริการข้อมูลประจำตัวแต่ละรายใช้

การตั้งค่าขอบเขต

ระบบจะใช้แนวคิดขอบเขตในการเข้ารหัสฝั่งไคลเอ็นต์ (CSE) ของ Google Workspace เพื่อควบคุมการเข้าถึงคีย์การเข้ารหัสผ่าน KACLS ขอบเขตเป็นการตรวจสอบเพิ่มเติมที่ไม่บังคับซึ่งดำเนินการกับโทเค็นการตรวจสอบสิทธิ์และการให้สิทธิ์ภายใน KACLS

ขอบเขตสามารถใช้เพื่อวัตถุประสงค์ต่อไปนี้

อนุญาตให้เฉพาะผู้ใช้ในโดเมนที่อนุญาตเพื่อถอดรหัสคีย์เท่านั้น
ผู้ใช้ที่บล็อก เช่น ผู้ดูแลระบบ Google Workspace
ระบุข้อจำกัดขั้นสูง เช่น
- ข้อจำกัดด้านเวลาสำหรับพนักงานที่เข้าสายงานหรือผู้ที่ลาพักร้อน
- ข้อจำกัดด้านตำแหน่งทางภูมิศาสตร์เพื่อป้องกันการเข้าถึงจาก สถานที่ตั้งหรือเครือข่ายบางแห่ง
- การเข้าถึงตามบทบาทของผู้ใช้หรือประเภท ตามที่ผู้ให้บริการข้อมูลประจำตัวยืนยัน

ยืนยันการกำหนดค่า KACLS

หากต้องการตรวจสอบว่า KACLS ใช้งานอยู่และกำหนดค่าอย่างถูกต้องหรือไม่ ให้ส่งคำขอ status นอกจากนี้ยังสามารถตรวจสอบด้วยตนเองภายในได้ด้วย เช่น การช่วยเหลือพิเศษของ KMS หรือประสิทธิภาพของระบบการบันทึก