หน้านี้ได้รับการแปลโดย Cloud Translation API

กําหนดค่าบริการ

คุณกำหนดค่าบริการรายการควบคุมการเข้าถึงคีย์ (KACLS) โดยไม่มีส่วนเกี่ยวข้องกับ Google ด้านล่างนี้เป็นรายละเอียดเกี่ยวกับการตั้งค่าทั่วไปและแนวทางปฏิบัติแนะนำสำหรับการ กำหนดค่าบริการ

การตั้งค่าการปฏิบัติงาน

API ควรพร้อมใช้งานผ่าน HTTPS เท่านั้น โดยใช้ TLS 1.2 ขึ้นไปที่มีใบรับรอง X.509 ที่ถูกต้อง
เซิร์ฟเวอร์ API ควรจัดการ CORS เพื่อเข้าถึงปลายทางที่ได้รับอนุญาตของ Google: https://client-side-encryption.google.com
เราขอแนะนำให้ใช้เวลาในการตอบสนองสูงสุด 200 มิลลิวินาทีสำหรับคำขอ 99%

การตั้งค่าผู้ให้บริการการให้สิทธิ์

ใช้การตั้งค่าด้านล่างเพื่อตรวจสอบโทเค็นการให้สิทธิ์ที่ Google ออกให้ระหว่างการเข้ารหัสฝั่งไคลเอ็นต์ (CSE)

บริบทของแอปพลิเคชัน Google Workspace	URL ของปลายทาง JWKS	ผู้ออกโทเค็นการให้สิทธิ์	กลุ่มเป้าหมายของโทเค็นการให้สิทธิ์
Google ไดรฟ์และเครื่องมือสร้างเนื้อหาแบบทำงานร่วมกัน เช่น เอกสารและชีต	`https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com`	`gsuitecse-tokenissuer-drive@system.gserviceaccount.com`	`cse-authorization`
CSE ของ Meet	`https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-meet@system.gserviceaccount.com`	`gsuitecse-tokenissuer-meet@system.gserviceaccount.com`	`cse-authorization`
CSE ในปฏิทิน	`https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-calendar@system.gserviceaccount.com`	`gsuitecse-tokenissuer-calendar@system.gserviceaccount.com`	`cse-authorization`
CSE ของ Gmail	`https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-gmail@system.gserviceaccount.com`	`gsuitecse-tokenissuer-gmail@system.gserviceaccount.com`	`cse-authorization`
การย้ายข้อมูล KACLS	`https://www.googleapis.com/service_accounts/v1/jwk/apps-security-cse-kaclscommunication@system.gserviceaccount.com`	`apps-security-cse-kaclscommunication@system.gserviceaccount.com`	`cse-authorization`

การตั้งค่าผู้ให้บริการข้อมูลประจำตัว

คุณต้องใช้การตั้งค่าต่อไปนี้สำหรับผู้ให้บริการข้อมูลประจำตัว (IdP) ที่ไม่ใช่ของ Google แต่ละรายที่บริการของคุณใช้

วิธีการตรวจสอบโทเค็น โดยปกติแล้ว ระบบจะตรวจสอบโทเค็นโดยใช้ URL ไปยังไฟล์ ชุดคีย์เว็บ JSON (JWKS) แต่ก็อาจเป็นคีย์สาธารณะเองก็ได้
ค่าผู้ออกและค่ากลุ่มเป้าหมาย: ค่าฟิลด์ iss (ผู้ออก) และ aud (กลุ่มเป้าหมาย) ที่ผู้ให้บริการข้อมูลประจำตัวแต่ละรายใช้

การตั้งค่าขอบเขต

แนวคิดขอบเขตในการเข้ารหัสฝั่งไคลเอ็นต์ (CSE) ของ Google Workspace ใช้เพื่อ ให้การควบคุมการเข้าถึงคีย์การเข้ารหัสผ่าน KACLS ขอบเขต เป็นการตรวจสอบเพิ่มเติมที่ไม่บังคับซึ่งดำเนินการกับโทเค็นการตรวจสอบสิทธิ์และการให้สิทธิ์ ภายใน KACLS

คุณใช้ขอบเขตเพื่อทำสิ่งต่อไปนี้ได้

อนุญาตให้ผู้ใช้ในโดเมนที่อนุญาตพิเศษถอดรหัสคีย์เท่านั้น
บล็อกผู้ใช้ เช่น ผู้ดูแลระบบ Google Workspace
ระบุข้อจำกัดขั้นสูง เช่น
- การจำกัดตามเวลาสำหรับพนักงานที่พร้อมรับสายหรือผู้ที่ลาพักร้อน
- การจำกัดตำแหน่งทางภูมิศาสตร์เพื่อป้องกันการเข้าถึงจากสถานที่หรือเครือข่ายที่เฉพาะเจาะจง
- สิทธิ์เข้าถึงตามบทบาทหรือประเภทผู้ใช้ตามที่ผู้ให้บริการข้อมูลประจำตัวยืนยัน

หมายเหตุ: ระบบจะใช้ขอบเขต Takeout เมื่อลูกค้า Google Workspace ส่งคำขอ Google Takeout พร้อม takeout_unwrap ขอบเขตการย้ายข้อมูลช่วยให้ KACLS สามารถแกะห่อได้โดยไม่ต้องผ่าน ACL ของ Google Workspace ตามปกติ ดังนั้นจึงควรจำกัดการเป็นสมาชิกไว้เฉพาะบุคคลที่เชื่อถือได้ เราขอแนะนำให้ใช้ IdP ที่ต้องใช้การตรวจสอบสิทธิ์แบบ 2 ปัจจัย (2FA) ในขอบเขตการย้ายข้อมูล

ยืนยันการกำหนดค่า KACLS

หากต้องการตรวจสอบว่า KACLS ทำงานอยู่และกำหนดค่าอย่างถูกต้องหรือไม่ ให้ส่งคำขอ status นอกจากนี้ คุณยังทำการตรวจสอบตนเองภายในได้ด้วย เช่น การเข้าถึง KMS หรือสถานะของระบบบันทึก