Ваша служба управления списками контроля доступа (KACLS) настроена без участия Google. Ниже приведены сведения о распространённых настройках и рекомендации по настройке вашей службы.
Операционные настройки
API должен быть доступен только по протоколу HTTPS с TLS 1.2 или более поздней версии при наличии действительного сертификата X.509.
API-сервер должен обрабатывать CORS для доступа к авторизованной конечной точке Google:
https://client-side-encryption.google.com.Мы рекомендуем максимальную задержку 200 мс для 99% запросов.
Настройки поставщика авторизации
Используйте указанные ниже настройки для проверки токенов авторизации, выданных Google, во время шифрования на стороне клиента (CSE):
| Контекст приложения Google Workspace | URL конечной точки JWKS | Эмитент токена авторизации | Аудитория токена авторизации |
|---|---|---|---|
| Google Drive и инструменты для совместного создания контента, такие как Docs и Sheets | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com | gsuitecse-tokenissuer-drive@system.gserviceaccount.com | cse-authorization |
| Знакомьтесь с CSE | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-meet@system.gserviceaccount.com | gsuitecse-tokenissuer-meet@system.gserviceaccount.com | cse-authorization |
| Календарь CSE | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-calendar@system.gserviceaccount.com | gsuitecse-tokenissuer-calendar@system.gserviceaccount.com | cse-authorization |
| Gmail CSE | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-gmail@system.gserviceaccount.com | gsuitecse-tokenissuer-gmail@system.gserviceaccount.com | cse-authorization |
| Миграция KACLS | https://www.googleapis.com/service_accounts/v1/jwk/apps-security-cse-kaclscommunication@system.gserviceaccount.com | apps-security-cse-kaclscommunication@system.gserviceaccount.com | cse-authorization |
Настройки поставщика удостоверений
Приведенные ниже настройки обязательны для каждого поставщика удостоверений (IdP), отличного от Google, с которым работает ваша служба:
- Метод проверки токенов. Токены обычно проверяются по URL-адресу файла JSON Web Key Set (JWKS), но могут также проверяться и сами открытые ключи.
- Значения эмитента и аудитории: значения полей
iss(эмитент) иaud(аудитория), используемые каждым поставщиком удостоверений.
Настройки периметра
Концепция периметра в клиентском шифровании Google Workspace (CSE) используется для управления доступом к ключам шифрования через KACLS. Периметры — это необязательные дополнительные проверки, выполняемые над токенами аутентификации и авторизации в рамках KACLS.
Периметры можно использовать для:
- Разрешить расшифровывать ключи только пользователям из разрешенных доменов.
- Внесите в черный список пользователей, например администраторов Google Workspace.
- Предусмотреть расширенные ограничения. Например:
- Временные ограничения для дежурных сотрудников или людей, находящихся в отпуске
- Ограничения по геолокации для предотвращения доступа из определенных мест или сетей
- Доступ на основе роли или типа пользователя, как указано поставщиком удостоверений
Проверьте конфигурацию KACLS
Чтобы проверить активность и корректность настройки KACLS, отправьте запрос status . Также можно выполнить внутренние самопроверки, например, проверку доступности KMS или ведение журналов состояния системы.