您的密钥访问控制列表服务 (KACLS) 是在没有 Google 参与的情况下配置的。以下是有关配置服务的常见设置和最佳实践的详细信息。
运营设置
API 只能通过 HTTPS 提供,且必须使用 TLS 1.2 或更高版本以及有效的 X.509 证书。
API 服务器应处理 CORS 以访问 Google 的授权端点:
https://client-side-encryption.google.com。我们建议 99% 的请求的延迟时间不超过 200 毫秒。
授权提供方设置
在客户端加密 (CSE) 期间,使用以下设置验证 Google 颁发的授权令牌:
| Google Workspace 应用上下文 | JWKS 端点网址 | 授权令牌颁发者 | 授权令牌受众群体 |
|---|---|---|---|
| Google 云端硬盘和协作内容创建工具,例如 Google 文档和 Google 表格 | https://www.googleapis.com/service_accounts/v1/jwk/[email protected] | [email protected] | cse-authorization |
| Meet CSE | https://www.googleapis.com/service_accounts/v1/jwk/[email protected] | [email protected] | cse-authorization |
| Google 日历客户端加密功能 (CSE) | https://www.googleapis.com/service_accounts/v1/jwk/[email protected] | [email protected] | cse-authorization |
| Gmail CSE | https://www.googleapis.com/service_accounts/v1/jwk/[email protected] | [email protected] | cse-authorization |
| KACLS 迁移 | https://www.googleapis.com/service_accounts/v1/jwk/[email protected] | [email protected] | cse-authorization |
身份提供方设置
以下设置是您的服务所使用的每个非 Google 身份提供方 (IdP) 所必需的:
- 验证令牌的方法。令牌通常通过指向 JSON Web 密钥集 (JWKS) 文件的网址进行验证,但也可以是公钥本身。
- 发布者和受众群体值:每个身份提供商使用的
iss(发布者)和aud(受众群体)字段值。
周界设置
Google Workspace 客户端加密功能 (CSE) 中的“安全边界”概念用于通过 KACL 提供对加密密钥的访问控制。安全边界是对 KACLS 中的身份验证和授权令牌执行的可选额外检查。
边界可用于:
- 仅允许列入许可名单的网域中的用户解密密钥。
- 将用户(例如 Google Workspace 管理员)列入屏蔽名单。
- 提供高级限制。例如:
- 针对轮班员工或休假人员的时间限制
- 地理定位限制,可防止从特定位置或网络进行访问
- 由身份提供方断言的用户角色或类型访问权限
验证 KACLS 配置
如需检查 KACLS 是否处于有效状态且配置正确,请发送 status 请求。还可以执行内部自检,例如 KMS 可访问性或日志记录系统健康状况。