กําหนดค่าบริการ

คุณกำหนดค่า Key Access Control List Service (KACLS) ของคุณโดยที่ Google ไม่มีส่วนเกี่ยวข้อง ด้านล่างนี้เป็นรายละเอียดเกี่ยวกับการตั้งค่าทั่วไปและแนวทางปฏิบัติที่ดีที่สุดในการกำหนดค่าบริการ

การตั้งค่าการดำเนินการ

  • API ควรพร้อมใช้งานผ่าน HTTPS ที่ใช้ TLS 1.2 ขึ้นไปที่มีใบรับรอง X.509 ที่ถูกต้องเท่านั้น

  • เซิร์ฟเวอร์ API ควรจัดการ CORS เพื่อเข้าถึงปลายทางที่ได้รับอนุญาตของ Google: https://client-side-encryption.google.com

  • เราขอแนะนำให้เวลาในการตอบสนองสูงสุด 200 มิลลิวินาทีสำหรับคำขอ 99%

การตั้งค่าผู้ให้บริการให้สิทธิ์

ใช้การตั้งค่าด้านล่างเพื่อตรวจสอบโทเค็นการให้สิทธิ์ที่ออกโดย Google ระหว่างการเข้ารหัสฝั่งไคลเอ็นต์ (CSE)

บริบทแอปพลิเคชัน Google Workspace URL ปลายทาง JWKS ผู้ออกโทเค็นการให้สิทธิ์ กลุ่มเป้าหมายของโทเค็นการให้สิทธิ์
Google ไดรฟ์และเครื่องมือสร้างเนื้อหาแบบทำงานร่วมกัน เช่น เอกสารและชีต https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com gsuitecse-tokenissuer-drive@system.gserviceaccount.com cse-authorization

การตั้งค่าผู้ให้บริการข้อมูลประจำตัว

การตั้งค่าด้านล่างนี้จำเป็นสำหรับผู้ให้บริการข้อมูลประจำตัว (IdP) ที่ไม่ใช่ Google แต่ละรายที่บริการของคุณใช้ได้

  • วิธีตรวจสอบโทเค็น โดยทั่วไปโทเค็นจะได้รับการตรวจสอบโดย URL ไปยังไฟล์ JSON Web Key Set (JWKS) แต่ก็อาจเป็นคีย์สาธารณะได้เช่นกัน
  • ค่าผู้ออกและกลุ่มเป้าหมาย: ค่าในช่อง iss (ผู้ออกใบรับรอง) และ aud (กลุ่มเป้าหมาย) ที่ผู้ให้บริการข้อมูลประจำตัวแต่ละรายใช้

การตั้งค่าขอบเขต

แนวคิดขอบเขตในการเข้ารหัสฝั่งไคลเอ็นต์ (CSE) ของ Google Workspace ใช้เพื่อควบคุมการเข้าถึงคีย์การเข้ารหัสผ่าน KACLS ขอบเขตคือการตรวจสอบเพิ่มเติมที่ดำเนินการกับการตรวจสอบสิทธิ์และโทเค็นการให้สิทธิ์ภายใน KACLS

ขอบเขตสามารถใช้ทำสิ่งต่อไปนี้ได้

  • อนุญาตให้ผู้ใช้ในโดเมนที่อนุญาตถอดรหัสคีย์เท่านั้น
  • ผู้ใช้ที่บล็อก เช่น ผู้ดูแลระบบ Google Workspace
  • ระบุข้อจำกัดขั้นสูง เช่น
    • ข้อจำกัดด้านเวลาสำหรับพนักงานที่เข้าพบลูกค้าหรือผู้ที่ลาพักร้อน
    • ข้อจำกัดด้านตำแหน่งทางภูมิศาสตร์เพื่อป้องกันการเข้าถึงจาก สถานที่ตั้งหรือเครือข่ายบางแห่ง
    • การเข้าถึงตามบทบาทของผู้ใช้หรือประเภท ตามที่ผู้ให้บริการข้อมูลประจำตัวยืนยัน

ยืนยันการกำหนดค่า KACLS

หากต้องการตรวจสอบว่า KACLS ใช้งานอยู่และกำหนดค่าอย่างถูกต้องหรือไม่ ให้ส่งคำขอ status นอกจากนี้ยังสามารถตรวจสอบด้วยตนเองภายใน เช่น การช่วยเหลือพิเศษของ KMS หรือประสิทธิภาพการทำงานของระบบการบันทึก