Votre service de liste de contrôle d'accès aux clés (KACLS) est configuré sans l'intervention de Google. Vous trouverez ci-dessous des informations sur les paramètres courants et les bonnes pratiques pour configurer votre service.
Paramètres opérationnels
L'API ne doit être disponible que via HTTPS avec TLS 1.2 ou version ultérieure et un certificat X.509 valide.
Le serveur d'API doit gérer CORS pour accéder au point de terminaison autorisé de Google :
https://client-side-encryption.google.com.Nous recommandons une latence maximale de 200 ms pour 99 % des requêtes.
Paramètres du fournisseur d'autorisation
Utilisez les paramètres ci-dessous pour valider les jetons d'autorisation émis par Google lors du chiffrement côté client (CSE) :
| Contexte des applications Google Workspace | URL du point de terminaison JWKS | Émetteur de jeton d'autorisation | Audience du jeton d'autorisation |
|---|---|---|---|
| Google Drive et les outils de création collaborative de contenus, comme Docs et Sheets | https://www.googleapis.com/service_accounts/v1/jwk/[email protected] |
[email protected] |
cse-authorization |
| Meet CSE | https://www.googleapis.com/service_accounts/v1/jwk/[email protected] |
[email protected] |
cse-authorization |
| CSE Agenda | https://www.googleapis.com/service_accounts/v1/jwk/[email protected] |
[email protected] |
cse-authorization |
| CSE Gmail | https://www.googleapis.com/service_accounts/v1/jwk/[email protected] |
[email protected] |
cse-authorization |
| Migration des KACLS | https://www.googleapis.com/service_accounts/v1/jwk/[email protected] |
[email protected] |
cse-authorization |
Paramètres du fournisseur d'identité
Les paramètres ci-dessous sont requis pour chaque fournisseur d'identité (IdP) non Google avec lequel votre service fonctionne :
- Méthode de validation des jetons. Les jetons sont généralement validés par l'URL d'un fichier JSON Web Key Set (JWKS), mais il peut également s'agir des clés publiques elles-mêmes.
- Valeurs de l'émetteur et de l'audience : valeurs des champs
iss(émetteur) etaud(audience) utilisées par chaque fournisseur d'identité.
Paramètres du périmètre
Dans le chiffrement côté client Google Workspace (CSE, Client-Side Encryption), le concept de périmètre est utilisé pour contrôler l'accès aux clés de chiffrement via les KACLS. Les périmètres sont des vérifications supplémentaires facultatives effectuées sur les jetons d'authentification et d'autorisation dans KACLS.
Les périmètres peuvent être utilisés pour :
- Autorisez uniquement les utilisateurs des domaines de la liste d'autorisation à déchiffrer les clés.
- Ajoutez des utilisateurs à la liste de blocage, comme les administrateurs Google Workspace.
- Ajoutez des restrictions avancées. Exemple :
- Restrictions temporelles pour les employés de garde ou en vacances
- Restrictions de géolocalisation pour empêcher l'accès depuis des zones ou des réseaux spécifiques
- Accès basé sur le rôle ou le type d'utilisateur, tel qu'affirmé par un fournisseur d'identité
Vérifier votre configuration KACLS
Pour vérifier si votre KACLS est actif et correctement configuré, envoyez une requête status. Des auto-vérifications internes peuvent également être effectuées, comme l'accessibilité KMS ou l'état du système de journalisation.