Il servizio di controllo dell'accesso per le chiavi (KACLS) è configurato senza il coinvolgimento di Google. Di seguito sono riportati i dettagli sulle impostazioni comuni e sulle best practice per configurare il servizio.
Impostazioni operative
L'API deve essere disponibile solo tramite HTTPS con TLS 1.2 o versioni successive con un certificato X.509 valido.
Il server API deve gestire CORS per accedere all'endpoint autorizzato di Google:
https://client-side-encryption.google.com.Consigliamo una latenza massima di 200 ms per il 99% delle richieste.
Impostazioni del fornitore di autorizzazione
Utilizza le impostazioni riportate di seguito per convalidare i token di autorizzazione emessi da Google durante la crittografia lato client (CSE):
| Contesto dell'applicazione Google Workspace | URL endpoint JWKS | Emittente del token di autorizzazione | Segmento di pubblico del token di autorizzazione |
|---|---|---|---|
| Google Drive e strumenti di creazione collaborativa di contenuti, come Documenti e Fogli | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
cse-authorization |
| Crittografia lato client di Meet | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
cse-authorization |
| Crittografia lato client di Calendar | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
cse-authorization |
| Gmail CSE | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
cse-authorization |
| Migrazione di KACLS | https://www.googleapis.com/service_accounts/v1/jwk/apps-security-cse-kaclscommunication@system.gserviceaccount.com |
apps-security-cse-kaclscommunication@system.gserviceaccount.com |
cse-authorization |
Impostazioni del provider di identità
Le impostazioni riportate di seguito sono obbligatorie per ogni provider di identità (IdP) non Google con cui funziona il tuo servizio:
- Metodo per convalidare i token. I token vengono in genere convalidati dall'URL di un file JSON Web Key Set (JWKS), ma potrebbero anche essere le chiavi pubbliche stesse.
- Valori di emittente e pubblico:i valori dei campi
iss(emittente) eaud(pubblico) utilizzati da ogni provider di identità.
Impostazioni perimetrali
Il concetto di perimetro nella crittografia lato client di Google Workspace (CSE) viene utilizzato per fornire il controllo dell'accesso alle chiavi di crittografia tramite gli elenchi di controllo dell'accesso basati su attributi (ABAC). I perimetri sono controlli aggiuntivi facoltativi eseguiti sui token di autenticazione e autorizzazione all'interno di KACLS.
I perimetri possono essere utilizzati per:
- Consenti solo agli utenti dei domini inclusi nella lista consentita di decriptare le chiavi.
- Utenti della lista bloccata, ad esempio gli amministratori di Google Workspace.
- Fornisci limitazioni avanzate. Ad esempio:
- Limitazioni basate sul tempo per i dipendenti di turno o in vacanza
- Limitazioni della geolocalizzazione per impedire l'accesso da località o reti specifiche
- Accesso basato sul ruolo o sul tipo di utente, come dichiarato da un provider di identità
Verificare la configurazione di KACLS
Per verificare se il tuo KACLS è attivo e configurato correttamente, invia una
richiesta status. Possono essere eseguiti anche controlli interni, come l'accessibilità KMS o l'integrità del sistema di logging.