Ihr Key Access Control List Service (KACLS) wird ohne Beteiligung von Google konfiguriert. Im Folgenden finden Sie Details zu allgemeinen Einstellungen und Best Practices für die Konfiguration Ihres Dienstes.
Operative Einstellungen
Die API sollte nur über HTTPS mit TLS 1.2 oder höher und einem gültigen X.509-Zertifikat verfügbar sein.
Der API-Server sollte CORS verarbeiten, um auf den autorisierten Endpunkt von Google zuzugreifen:
https://client-side-encryption.google.com.Wir empfehlen eine maximale Latenz von 200 ms für 99% der Anfragen.
Einstellungen für Autorisierungsanbieter
Verwenden Sie die folgenden Einstellungen, um die von Google ausgestellten Autorisierungstokens während der clientseitigen Verschlüsselung (Client-side Encryption, CSE) zu validieren:
| Kontext der Google Workspace-Anwendung | URL des JWKS-Endpunkts | Autorisierungstoken-Aussteller | Zielgruppe mit Autorisierungstoken |
|---|---|---|---|
| Google Drive und Tools für das gemeinsame Erstellen von Inhalten wie Google Docs und Google Tabellen | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
cse-authorization |
| Einführung in CSE | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
cse-authorization |
| Kalender-CSE | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
cse-authorization |
| Gmail-CSE | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
cse-authorization |
| KACLS-Migration | https://www.googleapis.com/service_accounts/v1/jwk/apps-security-cse-kaclscommunication@system.gserviceaccount.com |
apps-security-cse-kaclscommunication@system.gserviceaccount.com |
cse-authorization |
Einstellungen für Identitätsanbieter
Die folgenden Einstellungen sind für jeden Nicht-Google-Identitätsanbieter (Identity Provider, IdP) erforderlich, mit dem Ihr Dienst funktioniert:
- Methode zum Validieren von Tokens. Tokens werden normalerweise über die URL zu einer JWKS-Datei (JSON Web Key Set) validiert, können aber auch die öffentlichen Schlüssel selbst sein.
- Aussteller- und Zielgruppenwerte: Die Feldwerte
iss(Aussteller) undaud(Zielgruppe), die von den einzelnen Identitätsanbietern verwendet werden.
Perimetereinstellungen
Das Perimeterkonzept in der clientseitigen Verschlüsselung (CSE) von Google Workspace wird verwendet, um die Zugriffssteuerung auf die Verschlüsselungsschlüssel über KACLS bereitzustellen. Die Perimeter sind optionale zusätzliche Prüfungen, die für die Authentifizierungs- und Autorisierungstokens innerhalb der KACLS durchgeführt werden.
Mit Perimetern können Sie:
- Erlauben Sie nur Nutzern in Domains auf der Zulassungsliste, Schlüssel zu entschlüsseln.
- Nutzer wie Google Workspace-Administratoren auf die Sperrliste setzen.
- Erweiterte Einschränkungen angeben Beispiel:
- Zeitbasierte Einschränkungen für Bereitschaftskräfte oder Personen im Urlaub
- Einschränkungen der Standortbestimmung, um den Zugriff von bestimmten Standorten oder Netzwerken zu verhindern
- Nutzerrollen- oder typbasierter Zugriff, der von einem Identitätsanbieter bestätigt wird
KACLS-Konfiguration prüfen
Senden Sie eine status-Anfrage, um zu prüfen, ob die KACLS aktiv und richtig konfiguriert ist. Es können auch interne Selbstprüfungen wie die KMS-Barrierefreiheit oder die Protokollierung des Systemzustands durchgeführt werden.