Служба списков контроля доступа к ключам (KACLS) настраивается без участия Google. Ниже приведены подробные сведения об общих настройках и рекомендациях по настройке вашего сервиса.
Операционные настройки
API должен быть доступен только через HTTPS с TLS 1.2 или более поздней версии и действительным сертификатом X.509.
Сервер API должен обрабатывать CORS для доступа к авторизованной конечной точке Google:
https://client-side-encryption.google.com.Мы рекомендуем максимальную задержку 200 мс для 99% запросов.
Настройки провайдера авторизации
Используйте приведенные ниже настройки для проверки токенов авторизации, выданных Google, во время шифрования на стороне клиента (CSE):
| Контекст приложения Google Workspace | URL конечной точки JWKS | Эмитент токена авторизации | Аудитория токена авторизации |
|---|---|---|---|
| Google Диск и инструменты для совместного создания контента, такие как Документы и Таблицы. | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com | gsuitecse-tokenissuer-drive@system.gserviceaccount.com | cse-authorization |
| Знакомьтесь: CSE | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-meet@system.gserviceaccount.com | gsuitecse-tokenissuer-meet@system.gserviceaccount.com | cse-authorization |
| Календарь CSE | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-calendar@system.gserviceaccount.com | gsuitecse-tokenissuer-calendar@system.gserviceaccount.com | cse-authorization |
| Gmail СПП | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-gmail@system.gserviceaccount.com | gsuitecse-tokenissuer-gmail@system.gserviceaccount.com | cse-authorization |
| Миграция KACLS | https://www.googleapis.com/service_accounts/v1/jwk/apps-security-cse-kaclscommunication@system.gserviceaccount.com | apps-security-cse-kaclscommunication@system.gserviceaccount.com | cse-authorization |
Настройки поставщика удостоверений
Приведенные ниже настройки необходимы для каждого поставщика удостоверений (IdP), не являющегося Google, с которым работает ваш сервис:
- Метод проверки токенов. Токены обычно проверяются по URL-адресу файла набора веб-ключей JSON (JWKS), но также могут быть и самими открытыми ключами.
- Значения эмитента и аудитории: значения полей
iss(эмитент) иaud(аудитория), используемые каждым поставщиком удостоверений.
Настройки периметра
Концепция периметра в клиентском шифровании (CSE) Google Workspace используется для обеспечения контроля доступа к ключам шифрования через KACLS. Периметры — это необязательные дополнительные проверки, выполняемые на токенах аутентификации и авторизации в KACLS.
Периметры можно использовать для:
- Разрешить расшифровывать ключи только пользователям из разрешенных доменов.
- Пользователи черного списка, например администраторы Google Workspace.
- Предоставьте расширенные ограничения. Например:
- Ограничения по времени для дежурных сотрудников или людей, находящихся в отпуске
- Ограничения геолокации для предотвращения доступа из определенных мест или сетей
- Доступ на основе ролей или типов пользователей, заявленный поставщиком удостоверений.
Проверьте конфигурацию KACLS
Чтобы проверить, активен ли ваш KACLS и правильно ли он настроен, отправьте запрос status . Также можно выполнять внутренние самопроверки, такие как доступность KMS или журналирование состояния системы.