يتم إعداد خدمة قائمة التحكّم بالوصول إلى مفاتيح التشفير (KACLS) بدون تدخل من Google. في ما يلي تفاصيل حول الإعدادات الشائعة وأفضل الممارسات لإعداد خدمتك.
الإعدادات التشغيلية
يجب أن تكون واجهة برمجة التطبيقات متاحة فقط عبر HTTPS مع الإصدار 1.2 من بروتوكول أمان طبقة النقل (TLS) أو إصدار أحدث مع شهادة X.509 صالحة.
يجب أن يتعامل خادم واجهة برمجة التطبيقات مع CORS للوصول إلى نقطة النهاية المصرّح بها من Google:
https://client-side-encryption.google.com.ننصح بأن يكون الحد الأقصى لوقت الاستجابة 200 ملي ثانية لـ% 99 من الطلبات.
إعدادات موفّر المصادقة
استخدِم الإعدادات أدناه للتحقّق من صحة رموز التفويض الصادرة عن Google أثناء عملية التشفير من جهة العميل (CSE):
| سياق تطبيق Google Workspace | عنوان URL لنقطة نهاية JWKS | جهة إصدار رمز التفويض المميز | الجمهور المستهدف لرمز الإذن المميز |
|---|---|---|---|
| Google Drive وأدوات إنشاء المحتوى التعاوني، مثل "مستندات Google" و"جداول بيانات Google" | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
cse-authorization |
| ميزة "التشفير من جهة العميل" في Meet | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
cse-authorization |
| ميزة "التشفير من جهة العميل" في "تقويم Google" | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
cse-authorization |
| ميزة "التشفير من جهة العميل" في Gmail | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
cse-authorization |
| نقل بيانات KACLS | https://www.googleapis.com/service_accounts/v1/jwk/apps-security-cse-kaclscommunication@system.gserviceaccount.com |
apps-security-cse-kaclscommunication@system.gserviceaccount.com |
cse-authorization |
إعدادات موفِّر الهوية
الإعدادات أدناه مطلوبة لكل موفِّر هوية (IdP) غير تابع لـ Google وتعمل خدمتك معه:
- طريقة التحقّق من صحة الرموز المميزة يتم عادةً التحقّق من صحة الرموز المميّزة من خلال عنوان URL لملف JSON Web Key Set (JWKS)، ولكن يمكن أن تكون أيضًا المفاتيح العامة نفسها.
- قيم جهة الإصدار والجمهور: قيم الحقلين
iss(جهة الإصدار) وaud(الجمهور) التي يستخدمها كل موفّر هوية.
إعدادات المحيط
يتم استخدام مفهوم المحيط في ميزة "التشفير من جهة العميل" (CSE) في Google Workspace لتوفير إمكانية التحكّم في الوصول إلى مفاتيح التشفير من خلال خدمة KACLS. المعلمات هي عمليات تحقّق إضافية اختيارية يتم إجراؤها على رموز المصادقة والتفويض المميزة ضمن KACLS.
يمكن استخدام المحيطات من أجل:
- السماح للمستخدمين في النطاقات المُدرَجة في القائمة المسموح بها فقط بفك تشفير المفاتيح
- قائمة المستخدمين المحظورين، مثل مشرفي Google Workspace
- توفير قيود متقدّمة على سبيل المثال:
- قيود مستندة إلى الوقت للموظفين المناوبين أو الأشخاص في إجازة
- قيود الموقع الجغرافي لمنع الوصول من مواقع جغرافية أو شبكات معيّنة
- إذن الوصول المستند إلى دور المستخدم أو نوعه، كما يؤكّد موفّر الهوية
التأكّد من إعدادات KACLS
للتحقّق مما إذا كان نظام KACLS نشطًا وتم إعداده بشكل صحيح، أرسِل طلب status. يمكن أيضًا إجراء عمليات تحقّق ذاتية داخلية، مثل إمكانية الوصول إلى نظام إدارة المفاتيح أو حالة نظام التسجيل.