Maak verbinding met uw identiteitsaanbieder voor client-side versleuteling.

Ondersteunde edities voor deze functie: Frontline Plus; Enterprise Plus; Education Standard en Education Plus. Vergelijk uw editie.

Nadat u uw externe sleutelservice voor client-side versleuteling (CSE) in Google Workspace hebt gekozen, moet u Google Workspace verbinden met een identiteitsprovider (IdP) – een IdP van een derde partij of een Google-identiteit. Uw versleutelingssleutelservice gebruikt uw IdP om gebruikers te authenticeren voordat ze inhoud kunnen versleutelen of toegang kunnen krijgen tot versleutelde inhoud.

Opmerking: Nadat u uw IdP hebt geconfigureerd, kunt u een gast-IdP configureren om externe toegang tot de versleutelde clientinhoud van uw organisatie mogelijk te maken. Zie Gast-IdP configureren voor meer informatie.

Voordat je begint

Zorg ervoor dat u de gewenste versleutelingssleutelservice voor CSE hebt geselecteerd. Ga naar Uw externe sleutelservice kiezen voor meer informatie.

Stap 1: Plan uw IdP-verbinding

Bekijk de ondersteunde web-, desktop- en mobiele applicaties en hulpprogramma's.

Met uw IdP-verbinding kunt u CSE instellen voor alle ondersteunde Google Workspace-webtoepassingen:

  • Google Drive
  • Google Docs
  • Google Sheets
  • Google Slides
  • Gmail
  • Google Agenda
  • Google Meet (audio, video en chatberichten)

Met uw ldP-verbinding kunt u CSE ook instellen voor de volgende desktop- en mobiele applicaties:

Je kunt ook de volgende hulpprogramma's instellen:

Kies uw identiteitsprovider voor CSE

Om een ​​encryptiesleutelservice met CSE te gebruiken, hebt u een identiteitsprovider (IdP) nodig die de OpenID Connect (OIDC)-standaard ondersteunt. Als u nog geen OIDC-IdP met Google Workspace gebruikt, kunt u uw IdP op twee manieren instellen voor gebruik met uw sleutelservice:

**Optie 1: Gebruik een externe identiteitsprovider (aanbevolen)**

Gebruik een OIDC-identiteitsprovider van derden als uw beveiligingsmodel een betere isolatie van uw versleutelde gegevens ten opzichte van Google vereist.

Als u al een externe identiteitsprovider (IdP) gebruikt voor SAML-gebaseerde Single Sign-On (SSO): Het is aan te raden dezelfde IdP te gebruiken voor CSE als voor toegang tot Google Workspace-services, mits die IdP OIDC ondersteunt. Lees meer over het gebruik van SAML-gebaseerde SSO met Google Workspace.

**Optie 2: Gebruik Google-identiteit**

Als uw beveiligingsmodel geen extra isolatie van uw versleutelde gegevens van Google vereist, kunt u de standaard Google-identiteit als uw identiteitsprovider gebruiken.

Alleen voor IdP's van derden: configureer de browsers van gebruikers.

Als u een externe identiteitsprovider (IdP) gebruikt voor CSE, is het raadzaam om cookies van die IdP toe te staan ​​in de browsers van uw gebruikers. Anders moeten gebruikers mogelijk vaker inloggen bij uw IdP wanneer ze CSE gebruiken.

  • Als uw organisatie Chrome Enterprise gebruikt: U kunt het CookiesAllowedForUrls -beleid toepassen.
  • Voor andere browsers: raadpleeg de ondersteuningsdocumentatie van uw browser voor instructies over het toestaan ​​van cookies van derden.

Kies hoe u verbinding wilt maken met uw identiteitsprovider voor CSE.

Je kunt je identiteitsprovider (IdP) instellen – ofwel een IdP van een derde partij of een Google-identiteit – met behulp van een .wellknown-bestand dat je op de website van je organisatie host, of via de beheerdersconsole (die als fallback voor je IdP fungeert). Voor elke methode zijn er een aantal aandachtspunten, zoals beschreven in de onderstaande tabel.

Let op: als u een gast-IdP configureert, moet u de beheerdersconsole gebruiken.

Overwegingen .bekende configuratie Configuratie van de beheerdersconsole (IdP-terugvaloptie)
Isolatie van Google De IdP-instellingen worden op uw eigen server opgeslagen. De IdP-instellingen worden op Google-servers opgeslagen.
Administratieve verantwoordelijkheden Een webmaster kan uw configuratie beheren in plaats van een Google Workspace Superbeheerder. Alleen een Google Workspace Superbeheerder kan uw IdP-configuratie beheren.
CSE-beschikbaarheid De beschikbaarheid (uptime) van CSE is afhankelijk van de beschikbaarheid van de server waarop uw .well-known-bestand wordt gehost. De beschikbaarheid van CSE komt overeen met de algemene beschikbaarheid van Google Workspace-services.
Installatiegemak Hiervoor moet u de DNS-instellingen van uw server wijzigen, buiten de beheerdersconsole om. Configureer de instellingen in de beheerdersconsole.
Delen buiten uw organisatie De externe sleutelservice van uw samenwerkingspartner kan eenvoudig toegang krijgen tot uw IdP-instellingen. Deze toegang kan worden geautomatiseerd en zorgt ervoor dat de service van uw samenwerkingspartner direct toegang heeft tot eventuele wijzigingen in uw IdP-instellingen.

De externe sleutelservice van uw samenwerkingspartner heeft geen toegang tot uw IdP-instellingen in de beheerdersconsole. U moet uw IdP-instellingen rechtstreeks aan uw samenwerkingspartner verstrekken voordat u voor de eerste keer versleutelde bestanden deelt, en ook telkens wanneer u uw IdP-instellingen wijzigt.

Stap 2: Maak klant-ID's aan voor CSE

Maak een client-ID aan voor webapplicaties.

U moet een client-ID aanmaken en omleidings-URI's toevoegen voor ondersteunde Google Workspace-webtoepassingen. Voor een lijst met ondersteunde apps gaat u naar Ondersteunde web-, desktop- en mobiele toepassingen eerder op deze pagina.

De manier waarop u een client-ID voor webapplicaties aanmaakt, hangt af van of u een externe identiteitsprovider (IdP) of Google Identity gebruikt.

Als u een gast-IDP configureert: u moet een extra client-ID aanmaken voor toegang tot Google Meet . Deze ID wordt gebruikt om te controleren of de gast daadwerkelijk voor de vergadering is uitgenodigd. Ga naar Een gast-IDP configureren voor meer informatie.

**Als u een externe identiteitsprovider gebruikt voor CSE**

Maak een client-ID aan via de beheerdersconsole van uw IdP. U moet ook de volgende omleidings-URI's toevoegen aan de beheerdersconsole van uw IdP:

Webdiensten:

  • https://client-side-encryption.google.com/callback
  • https://client-side-encryption.google.com/oidc/cse/callback
  • https://client-side-encryption.google.com/oidc/drive/callback
  • https://client-side-encryption.google.com/oidc/gmail/callback
  • https://client-side-encryption.google.com/oidc/meet/callback
  • https://client-side-encryption.google.com/oidc/calendar/callback
  • https://client-side-encryption.google.com/oidc/docs/callback
  • https://client-side-encryption.google.com/oidc/sheets/callback
  • https://client-side-encryption.google.com/oidc/slides/callback

Schijfstation voor desktop:

http://localhost

Android- en iOS-apps voor mobiele apparaten:

  • https://client-side-encryption.google.com/oidc/gmail/native/callback
  • https://client-side-encryption.google.com/oidc/meet/native/callback
  • https://client-side-encryption.google.com/oidc/calendar/native/callback
  • https://client-side-encryption.google.com/oidc/drive/native/callback
  • https://client-side-encryption.google.com/oidc/gmail/meet/native/callback

**Als je Google Identity gebruikt voor CSE**

Je moet een client-ID aanmaken in de Google Cloud-console. Je voegt deze toe aan je .well-known/cse-configuration-bestand of de beheerdersconsole. Je configureert ook JavaScript-origins (ook wel cross-origin resource sharing, of CORS genoemd) en voegt redirect-URI's toe.

  1. Ga naar console.cloud.google.com .
  2. Een nieuw Google Cloud-project aanmaken. Bekijk de instructies .

    Je kunt het project naar eigen inzicht instellen; het dient alleen om inloggegevens op te slaan.

  3. Ga in de console naar Menu. en dan API's en services en dan Referenties .
  4. Maak een OAuth-client-ID aan voor een nieuwe webapplicatie die u met CSE gaat gebruiken. Bekijk de volledige instructies .
  5. Werk de JavaScript-origins bij met het volgende:
    • https://admin.google.com
    • https://client-side-encryption.google.com
  6. Werk de geautoriseerde omleidings-URI's bij met het volgende.

    Webdiensten:

    • https://client-side-encryption.google.com/callback
    • https://client-side-encryption.google.com/oidc/cse/callback
    • https://client-side-encryption.google.com/oidc/drive/callback
    • https://client-side-encryption.google.com/oidc/gmail/callback
    • https://client-side-encryption.google.com/oidc/meet/callback
    • https://client-side-encryption.google.com/oidc/calendar/callback
    • https://client-side-encryption.google.com/oidc/docs/callback
    • https://client-side-encryption.google.com/oidc/sheets/callback
    • https://client-side-encryption.google.com/oidc/slides/callback

    Schijfstation voor desktop:

    http://localhost

    Android- en iOS-apps voor mobiele apparaten:

    Voor Android- en iOS-apps is geen extra configuratie nodig.

Er wordt een OAuth-client-ID aangemaakt. Bewaar deze ID zodat u deze kunt toevoegen aan uw .well-known/cse-configuration-bestand of de beheerdersconsole.

Maak client-ID's aan voor desktop- en mobiele applicaties.

Als u wilt dat uw gebruikers CSE gebruiken met desktop- en mobiele applicaties, hebt u client-ID's voor die apps nodig. U voegt deze toe aan uw .well-known/cse-configuration-bestand of de beheerdersconsole. Mogelijk moet u de client-ID's ook toevoegen aan de configuratie van uw sleutelservice; raadpleeg hiervoor de documentatie van uw sleutelservice.

Voor elke mobiele app heb je één client-ID nodig voor elk platform (Android en iOS). Voor een lijst met ondersteunde apps ga je naar 'Ondersteunde web-, desktop- en mobiele applicaties' eerder op deze pagina.

Hoe je client-ID's verkrijgt voor desktop- en mobiele applicaties, hangt af van of je een externe identiteitsprovider (IDP) of Google Identity gebruikt.

Opmerking: Deze client-ID's moeten het authorization_code granttype voor PKCE ondersteunen ( RFC 7636 ).

**Als u een externe identiteitsprovider (IdP) gebruikt voor CSE**

Gebruik de beheerdersconsole van uw identiteitsprovider om voor elke app een aparte client-ID te genereren.

**Als je Google Identity gebruikt voor CSE**

Gebruik de volgende client-ID's:

  • Drive voor desktop — Gebruik de client-ID 947318989803-k88lapdik9bledfml8rr69ic6d3rdv57.apps.googleusercontent.com
  • Rijden op Android — Gebruik de client-ID 313892590415-6lbccuf47cou4q45vanraqp3fv5jt9do.apps.googleusercontent.com
  • Drive op iOS — Gebruik de client-ID 313892590415-d3h1l7kl4htab916r6jevqdtu8bfmh9m.apps.googleusercontent.com
  • Agenda op Android — Gebruik de client-ID 313892590415-q84luo8fon5pn5vl8a6rppo1qvcd3qvn.apps.googleusercontent.com
  • Agenda op iOS — Gebruik de client-ID 313892590415-283b3nilr8561tedgu1n4dcm9hd6g3hr.apps.googleusercontent.com
  • Gmail op Android — Gebruik de client-ID 313892590415-samhd32i4piankgs42o9sit5e9dug452.apps.googleusercontent.com
  • Gmail op iOS — Gebruik de client-ID 313892590415-ijvjpbnsh0gauuunjgsdn64ngg37k6rc.apps.googleusercontent.com
  • Meet op Android — Gebruik de client-ID 313892590415-i06v47su4k03ns7ot38akv7s9ari5oa5.apps.googleusercontent.com
  • Meet op iOS — Gebruik de client-ID 313892590415-32ha2bvs0tr1b12s089i33o58hjvqt55.apps.googleusercontent.com

Maak client-ID's aan voor hulpprogramma's.

Wij raden u aan:

  1. Gebruik één client-ID voor elke tool die communiceert met de geprivilegieerde eindpunten (privilegedwrap, privilegedunwrap, privilegedprivatekeydecrypt) van uw sleutelservice. Voor een lijst met ondersteunde tools, ga naar 'Bekijk ondersteunde web-, desktop- en mobiele applicaties en hulpprogramma's' op deze pagina.
  2. Configureer het toegangsbeleid van uw sleutelservice voor de eindpunten privilegedunwrap en privilegedprivatekeydecrypt om de client-ID van de CSE-decryptor toe te staan.

Stap 3: Maak verbinding met uw IdP voor CSE

Om Google Workspace te verbinden met uw identiteitsprovider (IdP), kunt u een .well-known-bestand of de beheerdersconsole gebruiken. Nadat u de verbinding tot stand hebt gebracht, moet u uw IdP toevoegen aan de lijst met toegestane providers in de beheerdersconsole.

Let op: als u een gast-IdP configureert, moet u de beheerdersconsole gebruiken.

Optie 1: Maak verbinding met uw IdP met behulp van een .well-known-bestand

Om uw IdP van derden of Google met deze optie in te stellen, moet u een .well-known-bestand op de openbare website van uw organisatie plaatsen. Dit bestand bepaalt welke IdP u gebruikt en stelt uw externe samenwerkingspartners in staat uw IdP-instellingen te achterhalen.

Stap 1: Plaats uw .well-known-bestand op uw server.

Uw IdP-configuratie moet op deze URI op uw domein worden geplaatst:

https: //cse.subdomain.domain.tld/.well-known/cse-configuration

waarbij subdomain.domain.tld moet overeenkomen met het domein in uw e-mailadres. Als het domein in uw e-mailadres bijvoorbeeld solarmora.com is, plaatst u uw .well-known-bestand op:

https://cse.solarmora.com/.well-known/cse-configuration

Opmerking: Het voorvoegsel https://cse. is vereist omdat de .well-known URI niet is geregistreerd bij de IETF ( RFC 8615 ).

Stap 2: Configureer uw .well-known-bestand

De inhoud van uw .well-known-bestand, te vinden in well-known/cse-configuration, moet JSON-gecodeerd zijn ( RFC 8259 ) en de volgende velden bevatten:

Veld Beschrijving

name

 De naam van de identiteitsprovider (IdP) – u kunt elke gewenste naam gebruiken. Deze naam verschijnt in foutmeldingen van de IdP voor gebruikers van Google-services, zoals Drive en Docs Editor.

client_id

De OpenID Connect (OIDC) client-ID die de CSE-clientwebapplicatie gebruikt om een ​​JSON Web Token (JWT) te verkrijgen.

Wanneer je een client-ID aanmaakt, voeg je ook omleidings-URI's toe in de Google Cloud-console.

Voor meer informatie over het aanmaken van een client-ID , raadpleegt u het gedeelte 'Een client-ID aanmaken voor webapplicaties' eerder op deze pagina.

discovery_uri

De OIDC-ontdekkings-URL, zoals gedefinieerd in deze OpenID-specificatie .

Als u een identiteitsprovider van een derde partij gebruikt

Uw identiteitsprovider (IdP) geeft u deze URL, die meestal eindigt op /.well-known/openid-configuration

Als je Google Identity gebruikt

Gebruik https://accounts.google.com/.well-known/openid-configuration

grant_type

De OAuth-flow die wordt gebruikt voor OIDC met CSE-clientwebapplicaties.

Als u een identiteitsprovider van een derde partij gebruikt

Voor CSE-webapplicaties kunt u zowel het implicit als authorization_code granttype gebruiken.

Als je Google Identity gebruikt

Voor webapplicaties kunt u alleen het implicit toekenningstype gebruiken.

applications

De extra clienttoepassingen waarmee u CSE wilt gebruiken. U moet voor elke toepassing een client-ID toevoegen aan uw .well-known-bestand.

Opmerking: Deze client-ID's moeten het authorization_code granttype voor PKCE ondersteunen ( RFC 7636 ).

Voor meer informatie over het aanmaken van client-ID's , raadpleegt u het gedeelte 'Een client-ID aanmaken voor desktop- en mobiele applicaties' eerder op deze pagina.

    **Als u een identiteitsprovider van een derde partij gebruikt, moet uw .well-known-bestand er als volgt uitzien:**

    **Als je Google Identity gebruikt, ziet je .well-known-bestand er als volgt uit:**

    Stap 3: CORS instellen

    Als je Google Identity als IdP gebruikt: je configureert CORS in de Google Cloud-console bij het aanmaken van je client-ID. Zie ' Een client-ID aanmaken voor webapplicaties' eerder op deze pagina voor meer informatie.

    Als u een externe identiteitsprovider (IdP) gebruikt: uw .well-known/openid-configuration en .well-known/cse-configuration moeten originele URL's toestaan ​​voor cross-origin resource sharing (CORS)-aanroepen. Stel uw configuraties in de beheerdersconsole van uw IdP als volgt in:

      .well-known/openid-configuratie (ontdekkings-URI)

      • Methoden: GET
      • Toegestane oorsprongen:
        • https://admin.google.com
        • https://client-side-encryption.google.com

      .bekende/cse-configuratie

      • Methoden: GET
      • Toegestane oorsprongen:
        • https://admin.google.com
        • https://client-side-encryption.google.com

      Optie 2: Maak verbinding met uw IdP via de beheerdersconsole

      In plaats van een .well-known-bestand te gebruiken, kunt u Google Workspace via de beheerdersconsole met uw identiteitsprovider verbinden.

      Let op: als u een gast-IdP configureert, moet u de beheerdersconsole gebruiken.

      Stap 1: Verzamel informatie over uw identiteitsbeheerder (IdP).

      Om via de beheerdersconsole verbinding te maken met uw IdP, heeft u de volgende informatie over uw IdP nodig:

      Naam van uw identiteitsbeheerder Zie voor meer informatie 'Uw .well-known-bestand configureren' eerder op deze pagina.
      Client-ID voor webapplicaties Zie voor meer informatie ' Een client-ID aanmaken voor webapplicaties' eerder op deze pagina.
      Ontdekkings-URI Zie voor meer informatie 'Uw .well-known-bestand configureren' eerder op deze pagina.
      Client-ID's voor desktop- en mobiele apps (optioneel) Zie voor meer informatie 'Client-ID's aanmaken voor desktop- en mobiele applicaties' eerder op deze pagina.

      Stap 2: CORS instellen

      Als u Google Identity gebruikt: u stelt Cross-Origin Resource Sharing (CORS) in via de Google Cloud Console wanneer u uw client-ID aanmaakt. Zie ' Een client-ID aanmaken voor webtoepassingen' eerder op deze pagina voor meer informatie.

      Als u een externe identiteitsprovider (IdP) gebruikt: Configureer in de beheerdersconsole van uw IdP uw ontdekkings-URI om originele URL's toe te staan ​​voor CORS-aanroepen (cross-origin resource sharing), als volgt:

      • Methode: GET
      • Toegestane oorsprongen:
        • https://admin.google.com
        • https://client-side-encryption.google.com

      Stap 3: Informatie toevoegen aan de beheerdersconsole

      Voor deze taak moet u zijn aangemeld als superbeheerder .

      1. Ga in de Google Admin-console naar Menu. en dan Gegevens en dan Naleving en dan Client-side encryptie .

        Voor deze taak moet u zijn aangemeld als superbeheerder .

        Opmerking: Onder 'Configuratie van identiteitsprovider' verschijnt een bericht dat aangeeft dat Google Workspace uw .well-known-bestand niet kan bereiken. Aangezien u verbinding maakt met uw identiteitsprovider via de beheerdersconsole, kunt u dit bericht negeren.

      2. Klik onder 'Configuratie van identiteitsprovider' op 'IdP-terugvaloptie configureren' .

        Of, als u een gast-IdP configureert, klikt u op Gast-IdP configureren .

      3. Vul de volgende gegevens over uw identiteitsprovider in:
        • Naam
        • Client-ID (voor webapplicaties)
        • Ontdekkings-URI

      4. Klik op Verbinding testen .

        Als Google Workspace verbinding kan maken met uw identiteitsprovider, verschijnt het bericht 'Verbinding geslaagd'.

      5. Als u een gast-IdP configureert: klik op Doorgaan en kies vervolgens de webapps waarvoor u gasttoegang wilt verlenen.

        Om gasttoegang te verlenen tot Google Meet (web), moet u ook de client-ID invoeren voor verificatie van de gastuitnodiging.

        Klik vervolgens op Opslaan om de kaart te sluiten.

      6. (Optioneel) Om CSE te gebruiken met specifieke toepassingen:
        1. Selecteer onder ' Authenticatie voor Google desktop- en mobiele applicaties (optioneel)' de applicaties waarmee u CSE wilt gebruiken.
        2. Geef bij Client ID de client-ID van de applicatie op.
      7. Klik op 'Aanbieder toevoegen' om de kaart te sluiten.

      Stap 4 (alleen voor IdP's van derden): Voeg uw IdP toe aan de whitelist in de beheerdersconsole.

      U moet uw externe identiteitsprovider (IdP) toevoegen aan uw lijst met vertrouwde apps van derden, zodat gebruikers niet herhaaldelijk hoeven in te loggen bij uw IdP. Volg de instructies in ' Beheer welke apps van derden en interne apps toegang hebben tot Google Workspace-gegevens ' onder 'Toegang tot apps beheren: Vertrouwd, Beperkt of Geblokkeerd'.

      Volgende stap

      Nadat je je identiteitsprovider (IdP) hebt ingesteld, kun je je sleutelversleutelingsservice configureren .