Ihr Key Access Control List Service (KACLS) wird ohne Beteiligung von Google konfiguriert. Unten finden Sie Details zu gängigen Einstellungen und Best Practices für die Konfiguration Ihres Dienstes.
Betriebseinstellungen
Die API sollte nur über HTTPS mit TLS 1.2 oder höher mit einem gültigen X.509-Zertifikat verfügbar sein.
Der API-Server sollte CORS verarbeiten, um auf den autorisierten Endpunkt von Google zuzugreifen:
https://client-side-encryption.google.com.Wir empfehlen eine maximale Latenz von 200 ms für 99% der Anfragen.
Einstellungen für Autorisierungsanbieter
Verwenden Sie die folgenden Einstellungen, um die von Google ausgestellten Autorisierungstokens während der clientseitigen Verschlüsselung (Client-Side Encryption, CSE) zu validieren:
| Google Workspace-Anwendungskontext | JWKS-Endpunkt-URL | Aussteller des Autorisierungstokens | Zielgruppe des Autorisierungstokens |
|---|---|---|---|
| Google Drive und Tools für das gemeinsame Erstellen von Inhalten wie Google Docs und Google Sheets | https://www.googleapis.com/service_accounts/v1/jwk/[email protected] |
[email protected] |
cse-authorization |
| Clientseitige Verschlüsselung in Meet | https://www.googleapis.com/service_accounts/v1/jwk/[email protected] |
[email protected] |
cse-authorization |
| Clientseitige Verschlüsselung in Google Kalender | https://www.googleapis.com/service_accounts/v1/jwk/[email protected] |
[email protected] |
cse-authorization |
| Gmail CSE | https://www.googleapis.com/service_accounts/v1/jwk/[email protected] |
[email protected] |
cse-authorization |
| KACLS-Migration | https://www.googleapis.com/service_accounts/v1/jwk/[email protected] |
[email protected] |
cse-authorization |
Einstellungen für Identitätsanbieter
Die folgenden Einstellungen sind für jeden Nicht-Google-Identitätsanbieter (IdP) erforderlich, mit dem Ihr Dienst zusammenarbeitet:
- Methode zum Validieren von Tokens. Tokens werden in der Regel anhand der URL zu einer JWKS-Datei (JSON Web Key Set) validiert, können aber auch die öffentlichen Schlüssel selbst sein.
- Aussteller- und Zielgruppenwerte:Die Feldwerte
iss(Aussteller) undaud(Zielgruppe), die von den einzelnen Identitätsanbietern verwendet werden.
Perimetereinstellungen
Das Perimeter-Konzept in der clientseitigen Verschlüsselung von Google Workspace (CSE) wird verwendet, um den Zugriff auf die Verschlüsselungsschlüssel über die KACLS zu steuern. Die Perimeters sind optionale zusätzliche Prüfungen, die für die Authentifizierungs- und Autorisierungstokens im KACLS durchgeführt werden.
Perimeter können für Folgendes verwendet werden:
- Nur Nutzern in Domains auf der Zulassungsliste erlauben, Schlüssel zu entschlüsseln
- Nutzer auf die Sperrliste setzen, z. B. Google Workspace-Administratoren.
- Erweiterte Einschränkungen festlegen Beispiel:
- Zeitbasierte Einschränkungen für Mitarbeiter mit Rufbereitschaft oder Mitarbeiter im Urlaub
- Einschränkungen für die Standortbestimmung, um den Zugriff von bestimmten Standorten oder Netzwerken aus zu verhindern
- Rollen- oder typbasierter Zugriff, wie von einem Identitätsanbieter bestätigt
KACLS-Konfiguration überprüfen
Wenn Sie prüfen möchten, ob Ihr KACLS aktiv und richtig konfiguriert ist, senden Sie eine status-Anfrage. Es können auch interne Selbsttests durchgeführt werden, z. B. zur KMS-Verfügbarkeit oder zur Systemdiagnose des Logging-Systems.