บริการรายการควบคุมการเข้าถึงคีย์ (KACLS) ได้รับการกําหนดค่าโดยไม่มี Google เกี่ยวข้อง ด้านล่างนี้คือรายละเอียดเกี่ยวกับการตั้งค่าทั่วไปและแนวทางปฏิบัติแนะนำสำหรับการกำหนดค่าบริการ
การตั้งค่าการดําเนินการ
API ควรใช้งานได้ผ่าน HTTPS ที่มี TLS 1.2 ขึ้นไปและมีใบรับรอง X.509 ที่ถูกต้องเท่านั้น
เซิร์ฟเวอร์ API ควรจัดการ CORS เพื่อเข้าถึงปลายทางที่ได้รับอนุญาตของ Google:
https://client-side-encryption.google.comเราขอแนะนําให้เวลาในการตอบสนองสูงสุด 200 มิลลิวินาทีสําหรับคําขอ 99%
การตั้งค่าผู้ให้บริการการให้สิทธิ์
ใช้การตั้งค่าด้านล่างเพื่อตรวจสอบโทเค็นการให้สิทธิ์ที่ Google ออกให้ในระหว่างการเข้ารหัสฝั่งไคลเอ็นต์ (CSE)
| บริบทแอปพลิเคชัน Google Workspace | URL ปลายทาง JWKS | ผู้ออกโทเค็นการให้สิทธิ์ | กลุ่มเป้าหมายของโทเค็นการให้สิทธิ์ |
|---|---|---|---|
| Google ไดรฟ์และเครื่องมือสร้างเนื้อหาแบบทำงานร่วมกัน เช่น เอกสารและชีต | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
cse-authorization |
| CSE ของ Meet | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
cse-authorization |
| CSE ของปฏิทิน | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
cse-authorization |
| CSE ของ Gmail | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
cse-authorization |
| การย้ายข้อมูล KACLS | https://www.googleapis.com/service_accounts/v1/jwk/apps-security-cse-kaclscommunication@system.gserviceaccount.com |
apps-security-cse-kaclscommunication@system.gserviceaccount.com |
cse-authorization |
การตั้งค่าผู้ให้บริการข้อมูลประจำตัว
การตั้งค่าด้านล่างจำเป็นสำหรับผู้ให้บริการข้อมูลประจำตัว (IdP) แต่ละรายที่ไม่ใช่ของ Google ซึ่งบริการของคุณทำงานด้วย
- วิธีตรวจสอบโทเค็น โดยปกติแล้ว โทเค็นจะได้รับการตรวจสอบโดย URL ไปยังไฟล์ชุดคีย์เว็บ JSON (JWKS) แต่อาจเป็นคีย์สาธารณะเองก็ได้
- ค่าผู้ออกบัตรและกลุ่มเป้าหมาย: ค่าในช่อง
iss(ผู้ออกบัตร) และaud(กลุ่มเป้าหมาย) ที่ใช้โดยผู้ให้บริการข้อมูลประจำตัวแต่ละราย
การตั้งค่าขอบเขต
แนวคิดของขอบเขตในการเข้ารหัสฝั่งไคลเอ็นต์ (CSE) ของ Google Workspace ใช้เพื่อควบคุมการเข้าถึงคีย์การเข้ารหัสผ่าน KACLS ขอบเขตเป็นการตรวจสอบเพิ่มเติมที่ไม่บังคับซึ่งดำเนินการกับโทเค็นการตรวจสอบสิทธิ์และการให้สิทธิ์ภายใน KACLS
ขอบเขตมีไว้เพื่อดำเนินการต่อไปนี้
- อนุญาตให้ผู้ใช้ในโดเมนที่อนุญาตเท่านั้นที่สามารถถอดรหัสคีย์ได้
- เพิ่มผู้ใช้ในรายการที่บล็อก เช่น ผู้ดูแลระบบ Google Workspace
- ระบุข้อจำกัดขั้นสูง เช่น
- ข้อจำกัดตามเวลาสำหรับพนักงานที่คอยรับสายหรือผู้ที่ลาพักร้อน
- การจำกัดตำแหน่งทางภูมิศาสตร์เพื่อป้องกันการเข้าถึงจากสถานที่หรือเครือข่ายที่เฉพาะเจาะจง
- การเข้าถึงตามบทบาทหรือประเภทของผู้ใช้ตามที่ระบุโดยผู้ให้บริการข้อมูลประจำตัว
ยืนยันการกำหนดค่า KACLS
หากต้องการตรวจสอบว่า KACLS ทํางานอยู่และกําหนดค่าอย่างถูกต้องหรือไม่ ให้ส่งคําขอ status นอกจากนี้ คุณยังทำการตรวจสอบภายในด้วยตนเองได้ เช่น ตรวจสอบการเข้าถึง KMS หรือบันทึกสถานะของระบบ