Dịch vụ danh sách kiểm soát quyền truy cập khoá (KACLS) được định cấu hình mà không cần Google tham gia. Dưới đây là thông tin chi tiết về các chế độ cài đặt phổ biến và phương pháp hay nhất để định cấu hình dịch vụ.
Cài đặt hoạt động
Bạn chỉ được cung cấp API này qua HTTPS với TLS 1.2 trở lên với chứng chỉ X.509 hợp lệ.
Máy chủ API phải xử lý CORS để truy cập vào điểm cuối được cấp phép của Google:
https://client-side-encryption.google.com.Bạn nên đặt độ trễ tối đa là 200 mili giây cho 99% yêu cầu.
Cài đặt nhà cung cấp dịch vụ uỷ quyền
Hãy sử dụng các chế độ cài đặt bên dưới để xác thực mã thông báo uỷ quyền do Google cấp trong quá trình mã hoá phía máy khách (CSE):
| Ngữ cảnh ứng dụng Google Workspace | URL điểm cuối JWKS | Nhà phát hành mã thông báo uỷ quyền | Đối tượng mã thông báo uỷ quyền |
|---|---|---|---|
| Google Drive và bộ công cụ tạo nội dung cộng tác, chẳng hạn như Tài liệu và Trang tính | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
cse-authorization |
| Làm quen với tính năng CSE | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
cse-authorization |
| CSE của Lịch | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
cse-authorization |
| Tính năng CSE của Gmail | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
cse-authorization |
| Di chuyển sang KACLS | https://www.googleapis.com/service_accounts/v1/jwk/apps-security-cse-kaclscommunication@system.gserviceaccount.com |
apps-security-cse-kaclscommunication@system.gserviceaccount.com |
cse-authorization |
Cài đặt Nhà cung cấp danh tính
Các chế độ cài đặt dưới đây là bắt buộc đối với từng nhà cung cấp danh tính (IdP) không phải của Google mà dịch vụ của bạn sử dụng:
- Phương thức xác thực mã thông báo. Mã thông báo thường được xác thực bằng URL thành tệp Tập hợp khoá web JSON (JWKS), nhưng cũng có thể là chính khoá công khai.
- Giá trị của công ty phát hành và đối tượng: Các giá trị của trường
iss(công ty phát hành) vàaud(đối tượng) mà mỗi Nhà cung cấp danh tính sử dụng.
Cài đặt chu vi
Khái niệm về phạm vi trong tính năng Mã hoá phía máy khách (CSE) của Google Workspace được dùng để kiểm soát quyền truy cập vào các khoá mã hoá thông qua KACLS. Chu vi là các bước kiểm tra bổ sung không bắt buộc được thực hiện trên mã thông báo xác thực và uỷ quyền trong KACLS.
Chu vi có thể được dùng để:
- Chỉ cho phép người dùng thuộc các miền có trong danh sách cho phép giải mã khoá.
- Người dùng trong danh sách chặn, chẳng hạn như quản trị viên Google Workspace.
- Cung cấp các hạn chế nâng cao. Ví dụ:
- Các hạn chế dựa trên thời gian đối với nhân viên trực điện thoại hoặc những người đang đi nghỉ
- Các hạn chế về vị trí địa lý để ngăn truy cập từ các vị trí hoặc mạng cụ thể
- Quyền truy cập dựa trên vai trò hoặc loại của người dùng, như đã xác nhận bởi Nhà cung cấp danh tính
Xác minh cấu hình KACLS
Để kiểm tra xem KACLS có đang hoạt động và được định cấu hình đúng cách hay không, hãy gửi yêu cầu status. Việc tự kiểm tra nội bộ, chẳng hạn như khả năng hỗ trợ tiếp cận của KMS hoặc tình trạng hệ thống ghi nhật ký, cũng có thể được thực hiện.