अपनी सेवा कॉन्फ़िगर करें

आपकी कुंजी ऐक्सेस कंट्रोल लिस्ट सेवा (केएसीएलएस) को Google की मदद के बिना कॉन्फ़िगर किया गया है. यहां सेवा को कॉन्फ़िगर करने के लिए, सामान्य सेटिंग और सबसे सही तरीकों के बारे में जानकारी दी गई है.

ऑपरेशनल सेटिंग

एपीआई सिर्फ़ एचटीटीपीएस पर उपलब्ध होना चाहिए. साथ ही, इसमें TLS 1.2 या इसके बाद का वर्शन और मान्य X.509 सर्टिफ़िकेट होना चाहिए.
एपीआई सर्वर को Google के ऑथराइज़ किए गए एंडपॉइंट https://client-side-encryption.google.com को ऐक्सेस करने के लिए, CORS को मैनेज करना चाहिए.
हमारा सुझाव है कि 99% अनुरोधों के लिए, ज़्यादा से ज़्यादा लेटेंसी 200 मि॰से॰ होनी चाहिए.

अनुमति देने वाली कंपनी की सेटिंग

क्लाइंट-साइड एन्क्रिप्शन (सीएसई) के दौरान, Google की ओर से जारी किए गए अनुमति टोकन की पुष्टि करने के लिए, यहां दी गई सेटिंग का इस्तेमाल करें:

Google Workspace ऐप्लिकेशन का कॉन्टेक्स्ट	JWKS एंडपॉइंट यूआरएल	ऑथराइज़ेशन टोकन जारी करने वाला	अनुमति वाले टोकन की ऑडियंस
Google Drive और साथ मिलकर कॉन्टेंट बनाने वाले टूल, जैसे कि Docs और Sheets	`https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com`	`gsuitecse-tokenissuer-drive@system.gserviceaccount.com`	`cse-authorization`
Meet CSE	`https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-meet@system.gserviceaccount.com`	`gsuitecse-tokenissuer-meet@system.gserviceaccount.com`	`cse-authorization`
Calendar CSE	`https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-calendar@system.gserviceaccount.com`	`gsuitecse-tokenissuer-calendar@system.gserviceaccount.com`	`cse-authorization`
Gmail CSE	`https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-gmail@system.gserviceaccount.com`	`gsuitecse-tokenissuer-gmail@system.gserviceaccount.com`	`cse-authorization`
KACLS माइग्रेशन	`https://www.googleapis.com/service_accounts/v1/jwk/apps-security-cse-kaclscommunication@system.gserviceaccount.com`	`apps-security-cse-kaclscommunication@system.gserviceaccount.com`	`cse-authorization`

आइडेंटिटी प्रोवाइडर की सेटिंग

यहां दी गई सेटिंग, Google से बाहर की हर उस आइडेंटिटी प्रोवाइडर (आईडीपी) के लिए ज़रूरी हैं जिसके साथ आपकी सेवा काम करती है:

टोकन की पुष्टि करने का तरीका. आम तौर पर, टोकन की पुष्टि JSON वेब की सेट (जेडब्ल्यूकेएस) फ़ाइल के यूआरएल से की जाती है. हालांकि, ये सार्वजनिक कुंजियां भी हो सकती हैं.
जारी करने वाले और ऑडियंस की वैल्यू: हर आइडेंटिटी प्रोवाइडर, iss (जारी करने वाला) और aud (ऑडियंस) फ़ील्ड की वैल्यू का इस्तेमाल करता है.

सीमा की सेटिंग

Google Workspace के क्लाइंट-साइड एन्क्रिप्शन (सीएसई) में, पेरीमीटर के कॉन्सेप्ट का इस्तेमाल किया जाता है. इससे KACLS का इस्तेमाल करके, एन्क्रिप्शन कुंजियों के ऐक्सेस को कंट्रोल किया जा सकता है. पेरीमीटर, KACLS में पुष्टि करने और अनुमति देने वाले टोकन की अतिरिक्त जांच करते हैं. हालांकि, यह जांच करना ज़रूरी नहीं है.

जियोफ़ेंसिंग का इस्तेमाल इन कामों के लिए किया जा सकता है:

सिर्फ़ अनुमति वाली सूची में शामिल डोमेन के उपयोगकर्ताओं को कुंजियां डिक्रिप्ट करने की अनुमति दें.
ब्लॉक की गई सूची में शामिल उपयोगकर्ता, जैसे कि Google Workspace एडमिन.
बेहतर पाबंदियां लागू करें. उदाहरण के लिए:
- छुट्टी पर गए या कॉल पर मौजूद कर्मचारियों के लिए, समय के हिसाब से पाबंदियां
- जगह की जानकारी के ऐक्सेस से जुड़ी पाबंदियां, ताकि कुछ जगहों या नेटवर्क से ऐक्सेस न किया जा सके
- उपयोगकर्ता की भूमिका या टाइप के आधार पर ऐक्सेस, जैसा कि पहचान देने वाली सेवा ने दावा किया है

ध्यान दें: Google Workspace का कोई ग्राहक, privilegedunwrap के साथ Google Takeout का अनुरोध भेजता है, तब Takeout की सीमा का इस्तेमाल किया जाता है. डेटा ट्रांसफ़र करने की सुविधा की मदद से, KACLS को अनरैप किया जा सकता है. इससे Google Workspace के सामान्य ACL को बायपास किया जा सकता है. इसलिए, सदस्यता सिर्फ़ भरोसेमंद लोगों को दी जानी चाहिए. हमारा सुझाव है कि डेटा ट्रांसफ़र करने के लिए, ऐसे IdP का इस्तेमाल किया जाए जिसके लिए दो चरणों में पुष्टि (2FA) करना ज़रूरी हो.

KACLS कॉन्फ़िगरेशन की पुष्टि करना

यह देखने के लिए कि आपका KACLS चालू है और सही तरीके से कॉन्फ़िगर किया गया है, status अनुरोध भेजें. इसके अलावा, इंटरनल तौर पर खुद की जांच भी की जा सकती है. जैसे, केएमएस की ऐक्सेसिबिलिटी या लॉगिंग सिस्टम की सेहत.