O serviço de lista de controle de acesso a chaves (KACLS, na sigla em inglês) é configurado sem a participação do Google. Confira abaixo detalhes sobre as configurações comuns e as práticas recomendadas para configurar seu serviço.
Configurações operacionais
A API só pode estar disponível por HTTPS com TLS 1.2 ou mais recente e um certificado X.509 válido.
O servidor da API precisa processar CORS para acessar o endpoint autorizado do Google:
https://client-side-encryption.google.com.Recomendamos uma latência máxima de 200 ms para 99% das solicitações.
Configurações do provedor de autorização
| Contexto do aplicativo do Google Workspace | URL do endpoint do JWKS | Emissor do token de autorização | Público-alvo do token de autorização |
|---|---|---|---|
| Google Drive e ferramentas de criação de conteúdo colaborativo, como Documentos e Planilhas | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
cse-authorization |
| CSE do Meet | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
cse-authorization |
| CSE do Agenda | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
cse-authorization |
| CSE do Gmail | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
cse-authorization |
| Migração do KACLS | https://www.googleapis.com/service_accounts/v1/jwk/apps-security-cse-kaclscommunication@system.gserviceaccount.com |
apps-security-cse-kaclscommunication@system.gserviceaccount.com |
cse-authorization |
Configurações do provedor de identidade
As configurações abaixo são necessárias para cada provedor de identidade (IdP) que não seja do Google e com que seu serviço funcione:
- Método para validar tokens. Os tokens normalmente são validados pelo URL de um arquivo JSON Web Key Set (JWKS), mas também podem ser as próprias chaves públicas.
- Valores do emissor e do público-alvo:os valores dos campos
iss(emissor) eaud(público-alvo) usados por cada provedor de identidade.
Configurações de perímetro
O conceito de perímetro na criptografia do lado do cliente Google Workspace (CSE) é usado para fornecer controle de acesso às chaves de criptografia usando o KACLS. Os perímetros são verificações adicionais opcionais realizadas nos tokens de autenticação e autorização no KACLS.
Os perímetros podem ser usados para:
- Permitir que apenas usuários em domínios na lista de permissões descriptografem chaves.
- Bloquear usuários, como administradores do Google Workspace.
- Fornecer restrições avançadas. Por exemplo:
- Restrições baseadas em tempo para funcionários de plantão ou pessoas de férias
- Restrições de geolocalização para impedir o acesso de locais ou redes específicas
- Acesso baseado na função ou no tipo de usuário, conforme declarado por um provedor de identidade
Verificar a configuração do KACLS
Para verificar se o KACLS está ativo e configurado corretamente, envie uma
status solicitação. Também é possível realizar autoverificações internas, como acessibilidade do KMS ou integridade do sistema de registro.