Votre service de liste de contrôle d'accès aux clés (KACLS) est configuré sans l'intervention de Google. Vous trouverez ci-dessous des informations détaillées sur les paramètres courants et les bonnes pratiques de configuration du service.
Paramètres opérationnels
L'API ne doit être disponible que via HTTPS avec TLS 1.2 ou version ultérieure, et un certificat X.509 valide.
Le serveur d'API doit gérer le CORS pour accéder au point de terminaison autorisé de Google:
https://client-side-encryption.google.com.Nous recommandons une latence maximale de 200 ms pour 99% des requêtes.
Paramètres du fournisseur d'autorisations
Utilisez les paramètres ci-dessous pour valider les jetons d'autorisation émis par Google lors du chiffrement côté client (CSE):
| Contexte de l'application Google Workspace | URL du point de terminaison JWKS | Émetteur du jeton d'autorisation | Audience du jeton d'autorisation |
|---|---|---|---|
| Google Drive et les outils collaboratifs de création de contenu, tels que Docs et Sheets | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
cse-authorization |
| CSE dans Meet | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
cse-authorization |
| CSE d'Agenda | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
cse-authorization |
| CSE pour Gmail | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
cse-authorization |
| Migration KACLS | https://www.googleapis.com/service_accounts/v1/jwk/apps-security-cse-kaclscommunication@system.gserviceaccount.com |
apps-security-cse-kaclscommunication@system.gserviceaccount.com |
cse-authorization |
Paramètres du fournisseur d'identité
Les paramètres ci-dessous sont requis pour chaque fournisseur d'identité (IdP) non Google avec lequel votre service fonctionne:
- Méthode pour valider les jetons. Les jetons sont généralement validés par l'URL d'un fichier JWKS (JSON Web Key Set), mais il peut également s'agir des clés publiques elles-mêmes.
- Valeurs de l'émetteur et de l'audience:valeurs des champs
iss(émetteur) etaud(audience) utilisées par chaque fournisseur d'identité.
Paramètres du périmètre
Le concept de périmètre du chiffrement côté client (CSE) Google Workspace permet de contrôler les accès aux clés de chiffrement via KACLS. Les périmètres sont des vérifications supplémentaires facultatives effectuées sur les jetons d'authentification et d'autorisation au sein du KACLS.
Les périmètres peuvent être utilisés pour:
- Autorisez uniquement les utilisateurs des domaines ajoutés à la liste d'autorisation à déchiffrer les clés.
- Ajouter des utilisateurs à la liste de blocage, tels que les administrateurs Google Workspace
- Définissez des restrictions avancées. Exemple :
- Restrictions temporelles pour les employés d'astreinte ou les personnes en vacances
- Restrictions de géolocalisation pour empêcher l'accès depuis des emplacements ou des réseaux spécifiques
- Accès basé sur le rôle ou le type utilisateur, tel qu'affirmé par un fournisseur d'identité
Vérifier votre configuration KACLS
Pour vérifier si votre liste KACLS est active et configurée correctement, envoyez une requête status. Vous pouvez également effectuer des autovérifications internes, telles que l'accessibilité de KMS ou la journalisation de l'état du système.