Tu servicio de lista de control de acceso a las claves (KACLS) se configura sin la participación de Google. A continuación, se incluyen detalles sobre la configuración común y las prácticas recomendadas para configurar tu servicio.
Configuración operativa
La API solo debe estar disponible a través de HTTPS con TLS 1.2 o posterior con un certificado X.509 válido.
El servidor de la API debe controlar CORS para acceder al extremo autorizado de Google:
https://client-side-encryption.google.com.Recomendamos una latencia máxima de 200 ms para el 99% de las solicitudes.
Configuración del proveedor de autorización
Usa la siguiente configuración para validar los tokens de autorización emitidos por Google durante la encriptación del cliente (CSE):
| Contexto de la aplicación de Google Workspace | URL del extremo de JWKS | Emisor del token de autorización | Público del token de autorización |
|---|---|---|---|
| Google Drive y herramientas de creación de contenido colaborativo, como Documentos y Hojas de cálculo | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
cse-authorization |
| CSE de Meet | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
cse-authorization |
| CSE de Calendario | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
cse-authorization |
| CSE de Gmail | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
cse-authorization |
| Migración de KACLS | https://www.googleapis.com/service_accounts/v1/jwk/apps-security-cse-kaclscommunication@system.gserviceaccount.com |
apps-security-cse-kaclscommunication@system.gserviceaccount.com |
cse-authorization |
Configuración del proveedor de identidad
La siguiente configuración es obligatoria para cada proveedor de identidad (IdP) que no sea de Google con el que funciona tu servicio:
- Método para validar tokens. Por lo general, los tokens se validan con la URL de un archivo de conjunto de claves web JSON (JWKS), pero también podrían ser las claves públicas en sí.
- Valores de emisor y público: Son los valores de los campos
iss(emisor) yaud(público) que usa cada proveedor de identidad.
Configuración del perímetro
El concepto de perímetro en la encriptación del cliente (CSE) de Google Workspace se usa para proporcionar control de acceso a las claves de encriptación a través de las KACLS. Los perímetros son verificaciones adicionales opcionales que se realizan en los tokens de autenticación y autorización dentro del KACLS.
Los perímetros se pueden usar para lo siguiente:
- Solo permitir que los usuarios de los dominios incluidos en la lista de entidades permitidas desencripten claves
- Usuarios de la lista de bloqueo, como los administradores de Google Workspace
- Proporcionar restricciones avanzadas Por ejemplo:
- Restricciones basadas en el tiempo para empleados de guardia o personas de vacaciones
- Restricciones de ubicación geográfica para impedir el acceso desde ubicaciones o redes específicas
- Acceso basado en el rol o el tipo de usuario, según lo afirma un proveedor de identidad
Verifica tu configuración de KACLS
Para verificar si tu KACLS está activo y configurado correctamente, envía una solicitud status. También se pueden realizar verificaciones internas, como la accesibilidad al KMS o el estado del sistema de registro.