คุณกำหนดค่า Key Access Control List Service (KACLS) ของคุณโดยที่ Google ไม่มีส่วนเกี่ยวข้อง ด้านล่างนี้เป็นรายละเอียดเกี่ยวกับการตั้งค่าทั่วไปและแนวทางปฏิบัติที่ดีที่สุดในการกำหนดค่าบริการ
การตั้งค่าการดำเนินการ
API ควรพร้อมใช้งานผ่าน HTTPS ที่ใช้ TLS 1.2 ขึ้นไปที่มีใบรับรอง X.509 ที่ถูกต้องเท่านั้น
เซิร์ฟเวอร์ API ควรจัดการ CORS เพื่อเข้าถึงปลายทางที่ได้รับอนุญาตของ Google:
https://client-side-encryption.google.com
เราขอแนะนำให้เวลาในการตอบสนองสูงสุด 200 มิลลิวินาทีสำหรับคำขอ 99%
การตั้งค่าผู้ให้บริการให้สิทธิ์
ใช้การตั้งค่าด้านล่างเพื่อตรวจสอบโทเค็นการให้สิทธิ์ที่ออกโดย Google ระหว่างการเข้ารหัสฝั่งไคลเอ็นต์ (CSE)
บริบทแอปพลิเคชัน Google Workspace | URL ปลายทาง JWKS | ผู้ออกโทเค็นการให้สิทธิ์ | กลุ่มเป้าหมายของโทเค็นการให้สิทธิ์ |
---|---|---|---|
Google ไดรฟ์และเครื่องมือสร้างเนื้อหาแบบทำงานร่วมกัน เช่น เอกสารและชีต | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
cse-authorization |
การตั้งค่าผู้ให้บริการข้อมูลประจำตัว
การตั้งค่าด้านล่างนี้จำเป็นสำหรับผู้ให้บริการข้อมูลประจำตัว (IdP) ที่ไม่ใช่ Google แต่ละรายที่บริการของคุณใช้ได้
- วิธีตรวจสอบโทเค็น โดยทั่วไปโทเค็นจะได้รับการตรวจสอบโดย URL ไปยังไฟล์ JSON Web Key Set (JWKS) แต่ก็อาจเป็นคีย์สาธารณะได้เช่นกัน
- ค่าผู้ออกและกลุ่มเป้าหมาย: ค่าในช่อง
iss
(ผู้ออกใบรับรอง) และaud
(กลุ่มเป้าหมาย) ที่ผู้ให้บริการข้อมูลประจำตัวแต่ละรายใช้
การตั้งค่าขอบเขต
แนวคิดขอบเขตในการเข้ารหัสฝั่งไคลเอ็นต์ (CSE) ของ Google Workspace ใช้เพื่อควบคุมการเข้าถึงคีย์การเข้ารหัสผ่าน KACLS ขอบเขตคือการตรวจสอบเพิ่มเติมที่ดำเนินการกับการตรวจสอบสิทธิ์และโทเค็นการให้สิทธิ์ภายใน KACLS
ขอบเขตสามารถใช้ทำสิ่งต่อไปนี้ได้
- อนุญาตให้ผู้ใช้ในโดเมนที่อนุญาตถอดรหัสคีย์เท่านั้น
- ผู้ใช้ที่บล็อก เช่น ผู้ดูแลระบบ Google Workspace
- ระบุข้อจำกัดขั้นสูง เช่น
- ข้อจำกัดด้านเวลาสำหรับพนักงานที่เข้าพบลูกค้าหรือผู้ที่ลาพักร้อน
- ข้อจำกัดด้านตำแหน่งทางภูมิศาสตร์เพื่อป้องกันการเข้าถึงจาก สถานที่ตั้งหรือเครือข่ายบางแห่ง
- การเข้าถึงตามบทบาทของผู้ใช้หรือประเภท ตามที่ผู้ให้บริการข้อมูลประจำตัวยืนยัน
ยืนยันการกำหนดค่า KACLS
หากต้องการตรวจสอบว่า KACLS ใช้งานอยู่และกำหนดค่าอย่างถูกต้องหรือไม่ ให้ส่งคำขอ status
นอกจากนี้ยังสามารถตรวจสอบด้วยตนเองภายใน
เช่น การช่วยเหลือพิเศษของ KMS หรือประสิทธิภาพการทำงานของระบบการบันทึก