Anslut till din identitetsleverantör för kryptering på klientsidan

Utgåvor som stöds för den här funktionen: Frontline Plus; Enterprise Plus; Education Standard och Education Plus. Jämför din utgåva

När du har valt din externa nyckeltjänst för klientsideskryptering (CSE) i Google Workspace måste du ansluta Google Workspace till en identitetsleverantör (IdP) – antingen en tredjeparts-IdP eller en Google-identitet. Din krypteringsnyckeltjänst använder din IdP för att autentisera användare innan de kan kryptera innehåll eller komma åt krypterat innehåll.

Obs! När du har konfigurerat din IdP kan du konfigurera en gäst-IdP för att tillåta extern åtkomst till organisationens klientsideskrypterade innehåll. Mer information finns i Konfigurera en gäst-IdP .

Innan du börjar

Se till att du har valt den krypteringsnyckeltjänst du vill använda med CSE. Mer information finns i Välj din externa nyckeltjänst .

Steg 1: Planera din IdP-anslutning

Granska webb-, skrivbords- och mobilapplikationer och verktyg som stöds

Med din IdP-anslutning kan du konfigurera CSE för alla Google Workspace-webbappar som stöds:

  • Google Drive
  • Google Dokument
  • Google Kalkylark
  • Google Presentationer
  • Gmail
  • Google Kalender
  • Google Meet (ljud-, video- och chattmeddelanden)

Din ldP-anslutning låter dig också konfigurera CSE för följande skrivbords- och mobilapplikationer:

Du kan också ställa in följande verktyg:

Välj din IdP för ASM

För att använda en krypteringsnyckeltjänst med CSE behöver du en identitetsleverantör (IdP) som stöder OpenID Connect- standarden (OIDC). Om du inte redan använder en OIDC IdP med Google Workspace kan du konfigurera din IdP för användning med din nyckeltjänst på ett av två sätt:

**Alternativ 1: Använd en tredjeparts-IdP (rekommenderas)**

Använd en OIDC-tredjeparts-IdP om din säkerhetsmodell kräver mer isolering av dina krypterade data från Google.

Om du redan använder en tredjeparts-IdP för SAML-baserad enkel inloggning (SSO): Det rekommenderas att du använder samma IdP för CSE som du använder för åtkomst till Google Workspace-tjänster, om den IdP:n stöder OIDC. Läs mer om att använda SAML-baserad SSO med Google Workspace.

**Alternativ 2: Använd Google-identitet**

Om din säkerhetsmodell inte kräver ytterligare isolering av dina krypterade data från Google kan du använda standardidentiteten för Google som din IdP.

Endast tredjeparts-IdP: Konfigurera användarnas webbläsare

Om du använder en tredjeparts-IdP för ASM rekommenderas det att du tillåter tredjepartscookies från din IdP i användarnas webbläsare. Annars kan användarna behöva logga in på din IdP oftare när de använder ASM.

  • Om din organisation använder Chrome Enterprise: Du kan använda policyn CookiesAllowedForUrls .
  • För andra webbläsare: Kontrollera webbläsarens supportinnehåll för instruktioner om hur du tillåter tredjepartscookies.

Välj hur du vill ansluta till din IdP för ASM

Du kan konfigurera din IdP – antingen en tredjeparts-IdP eller en Google-identitet – med hjälp av antingen en .well-known-fil som du har på din organisations webbplats eller administratörskonsolen (vilket är din IdP-reserv). Det finns flera saker att tänka på för varje metod, enligt beskrivningen i tabellen nedan.

Obs! Om du konfigurerar en gäst-IdP måste du använda administratörskonsolen.

Överväganden välkänd uppsättning Konfiguration av administratörskonsol (alternativ IdP)
Isolering från Google IdP-inställningar lagras på din egen server. IdP-inställningar lagras på Googles servrar.
Administrativa ansvarsområden En webbansvarig kan hantera din konfiguration istället för en Google Workspace-superadministratör. Endast en Google Workspace-superadministratör kan hantera din IdP-konfiguration.
Tillgänglighet för anpassade sökmotorer Tillgängligheten (drifttiden) för CSE beror på tillgängligheten för servern som är värd för din .wellknown-fil. Tillgängligheten för ASM motsvarar den allmänna tillgängligheten för Google Workspace-tjänster.
Enkel installation Kräver att du ändrar DNS-inställningarna för din server, utanför administratörskonsolen. Konfigurera inställningar i administratörskonsolen.
Delning utanför din organisation Din samarbetspartners externa nyckeltjänst kan enkelt komma åt dina IdP-inställningar. Denna åtkomst kan automatiseras och säkerställer att din samarbetspartners tjänst har omedelbar åtkomst till eventuella ändringar av dina IdP-inställningar.

Din samarbetspartners externa nyckeltjänst har inte åtkomst till dina IdP-inställningar i administratörskonsolen. Du måste ange dina IdP-inställningar direkt till din samarbetspartner innan du delar krypterade filer för första gången, samt varje gång du ändrar dina IdP-inställningar.

Steg 2: Skapa klient-ID:n för ASM

Skapa ett klient-ID för webbapplikationer

Du måste skapa ett klient-ID och lägga till omdirigerings-URI:er för Google Workspace-webbappar som stöds. För en lista över appar som stöds, gå till Webb-, skrivbords- och mobilappar som stöds tidigare på den här sidan.

Hur du skapar ett klient-ID för webbapplikationer beror på om du använder en tredjeparts-IdP eller en Google-identitet.

Om du konfigurerar en gäst-IdP : Du måste skapa ett ytterligare klient-ID för Google Meet-åtkomst , vilket används för att verifiera att gästen blev inbjuden till mötet. För mer information, gå till Konfigurera en gäst-IdP .

**Om du använder en tredjeparts-IdP för ASM**

Skapa ett klient-ID med hjälp av din IdP:s administratörskonsol. Du måste också lägga till följande omdirigerings-URI:er i din IdP:s administratörskonsol:

Webbtjänster:

  • https://client-side-encryption.google.com/callback
  • https://client-side-encryption.google.com/oidc/cse/callback
  • https://client-side-encryption.google.com/oidc/drive/callback
  • https://client-side-encryption.google.com/oidc/gmail/callback
  • https://client-side-encryption.google.com/oidc/meet/callback
  • https://client-side-encryption.google.com/oidc/calendar/callback
  • https://client-side-encryption.google.com/oidc/docs/callback
  • https://client-side-encryption.google.com/oidc/sheets/callback
  • https://client-side-encryption.google.com/oidc/slides/callback

Drive för datorer:

http://localhost

Android- och iOS-mobilappar:

  • https://client-side-encryption.google.com/oidc/gmail/native/callback
  • https://client-side-encryption.google.com/oidc/meet/native/callback
  • https://client-side-encryption.google.com/oidc/calendar/native/callback
  • https://client-side-encryption.google.com/oidc/drive/native/callback
  • https://client-side-encryption.google.com/oidc/gmail/meet/native/callback

**Om du använder Google Identity för ASM**

Du måste skapa ett klient-ID i Google Cloud-konsolen. Du lägger till det i din .well-known/cse-configuration-fil eller administratörskonsolen. Du konfigurerar också JavaScript-ursprung (även kallad resursdelning mellan ursprung, eller CORS) och lägger till omdirigerings-URI:er.

  1. Gå till console.cloud.google.com .
  2. Skapa ett nytt Google Cloud-projekt. Få instruktioner .

    Konfigurera projektet hur du vill – det är bara för att behålla inloggningsuppgifterna.

  3. I konsolen, gå till Meny och sedan API:er och tjänster och sedan Referenser .
  4. Skapa ett OAuth-klient-ID för en ny webbapp som du ska använda med CSE. Få fullständiga instruktioner .
  5. Uppdatera JavaScript-ursprung med följande:
    • https://admin.google.com
    • https://client-side-encryption.google.com
  6. Uppdatera auktoriserade omdirigerings-URI: er med följande.

    Webbtjänster:

    • https://client-side-encryption.google.com/callback
    • https://client-side-encryption.google.com/oidc/cse/callback
    • https://client-side-encryption.google.com/oidc/drive/callback
    • https://client-side-encryption.google.com/oidc/gmail/callback
    • https://client-side-encryption.google.com/oidc/meet/callback
    • https://client-side-encryption.google.com/oidc/calendar/callback
    • https://client-side-encryption.google.com/oidc/docs/callback
    • https://client-side-encryption.google.com/oidc/sheets/callback
    • https://client-side-encryption.google.com/oidc/slides/callback

    Drive för datorer:

    http://localhost

    Android- och iOS-mobilappar:

    Ingen ytterligare konfiguration behövs för Android- och iOS-mobilappar.

Ett OAuth-klient-ID skapas. Spara detta ID så att du kan lägga till det i din .well-known/cse-configuration-fil eller i administratörskonsolen.

Skapa klient-ID:n för dator- och mobilapplikationer

Om du vill att dina användare ska använda CSE med skrivbords- och mobilappar behöver du klient-ID:n för dessa appar. Du lägger till dem i din .well-known/cse-configuration-fil eller administratörskonsolen. Du kan också behöva lägga till klient-ID:na i din nyckeltjänstkonfiguration – se dokumentationen för din nyckeltjänst.

För varje mobilapp behöver du ett klient-ID för varje plattform (Android och iOS). För en lista över appar som stöds, gå till Webb-, skrivbords- och mobilappar som stöds tidigare på den här sidan.

Hur du får klient-ID:n för dator- och mobilappar beror på om du använder en tredjeparts-IDP eller en Google-identitet.

Obs: Dessa klient-ID:n måste stödja beviljandetypen authorization_code för PKCE ( RFC 7636 ).

**Om du använder en tredjeparts-IdP för ASM**

Använd din IdP:s administratörskonsol för att generera ett separat klient-ID för varje app.

**Om du använder Google Identity för ASM**

Använd följande klient-ID:n:

  • Drive för datorn — Använd klient-ID 947318989803-k88lapdik9bledfml8rr69ic6d3rdv57.apps.googleusercontent.com
  • Drive på Android — Använd klient-ID 313892590415-6lbccuf47cou4q45vanraqp3fv5jt9do.apps.googleusercontent.com
  • Drive på iOS — Använd klient-ID 313892590415-d3h1l7kl4htab916r6jevqdtu8bfmh9m.apps.googleusercontent.com
  • Kalender på Android — Använd klient-ID 313892590415-q84luo8fon5pn5vl8a6rppo1qvcd3qvn.apps.googleusercontent.com
  • Kalender på iOS — Använd klient-ID 313892590415-283b3nilr8561tedgu1n4dcm9hd6g3hr.apps.googleusercontent.com
  • Gmail på Android — Använd klient-ID 313892590415-samhd32i4piankgs42o9sit5e9dug452.apps.googleusercontent.com
  • Gmail på iOS — Använd klient-ID 313892590415-ijvjpbnsh0gauuunjgsdn64ngg37k6rc.apps.googleusercontent.com
  • Meet på Android — Använd klient-ID 313892590415-i06v47su4k03ns7ot38akv7s9ari5oa5.apps.googleusercontent.com
  • Meet på iOS — Använd klient-ID 313892590415-32ha2bvs0tr1b12s089i33o58hjvqt55.apps.googleusercontent.com

Skapa klient-ID:n för verktyg

Vi rekommenderar att du:

  1. Använd ett klient-ID för varje verktyg som interagerar med de privilegierade slutpunkterna (privilegedwrap, privilegedunwrap, privilegedprivatekeydecrypt) för din nyckeltjänst. För en lista över verktyg som stöds, gå till Granska webb-, skrivbords- och mobilapplikationer samt verktyg som stöds på den här sidan.
  2. Konfigurera din nyckeltjänsts åtkomstpolicyer för slutpunkterna privilegeradeunwrap och privilegeradeprivatekeydecrypt för att tillåta klient-ID:t för CSE-dekrypteraren.

Steg 3: Anslut till din IdP för ASM

För att ansluta Google Workspace till din identitetsleverantör (IdP) kan du använda en .well-known-fil eller administratörskonsolen. När du har upprättat anslutningen måste du tillåta din IdP i administratörskonsolen.

Obs! Om du konfigurerar en gäst-IdP måste du använda administratörskonsolen.

Alternativ 1: Anslut till din IdP med en .well-known-fil

För att konfigurera din tredjeparts- eller Google-IdP med det här alternativet måste du placera en .well-known-fil på din organisations offentliga webbplats. Den här filen fastställer vilken IdP du använder och låter dina externa samarbetspartners se dina IdP-inställningar.

Steg 1: Placera din .well-known-fil på din server

Din IdP-konfiguration måste placeras på denna URI på din domän:

https: //cse.subdomain.domain.tld /.well-known/cse-configuration

där subdomain.domain.tld ska matcha domänen i din e-postadress. Om domänen i din e-postadress till exempel är solarmora.com , skulle du placera din .wellknown-fil på:

https://cse.solarmora.com/.well-known/cse-configuration

Obs: Prefixet https://cse. krävs eftersom .well-known URI inte är registrerad hos IETF ( RFC 8615 ).

Steg 2: Konfigurera din .well-known-fil

Innehållet i din .well-known-fil, vid well-known/cse-configuration, måste vara JSON-kodat ( RFC 8259 ) och innehålla dessa fält:

Fält Beskrivning

name

 Namnet på IdP:n – du kan använda vilket namn du vill. Namnet visas i IdP-felmeddelanden för användare i Googles tjänster, till exempel Drive och Dokumentredigerare.

client_id

Det OpenID Connect (OIDC)-klient-ID som CSE-klientens webbapplikation använder för att hämta en JSON Web Token (JWT)

När du skapar ett klient-ID lägger du även till omdirigerings-URI:er i Google Cloud-konsolen.

För mer information om hur du skapar ett klient-ID , gå till Skapa ett klient-ID för webbapplikationer tidigare på den här sidan.

discovery_uri

OIDC-identifierings-URL:en, enligt definitionen i denna OpenID-specifikation .

Om du använder en tredjeparts-IdP

Din IdP förser dig med denna URL, som vanligtvis slutar med /.well-known/openid-configuration

Om du använder Google Identity

Använd https://accounts.google.com/.well-known/openid-configuration

grant_type

OAuth-flödet som används för OIDC med CSE-klientwebbapplikationer

Om du använder en tredjeparts-IdP

Du kan använda antingen den implicit beviljandetypen eller beviljandetypen authorization_code för CSE-webbapplikationer.

Om du använder Google Identity

Du kan bara använda den implicit beviljandetypen för webbapplikationer.

applications

De ytterligare klientapplikationer som du vill använda CSE med. Du måste lägga till ett klient-ID för varje app i din .well-known-fil.

Obs: Dessa klient-ID:n måste stödja beviljandetypen authorization_code för PKCE ( RFC 7636 ).

För mer information om hur du skapar klient-ID:n , gå till Skapa ett klient-ID för dator- och mobilappar tidigare på den här sidan.

    **Om du använder en tredjeparts-IdP bör din .well-known-fil se ut så här:**

    **Om du använder Google Identity bör din .well-known-fil se ut så här:**

    Steg 3: Konfigurera CORS

    Om du använder Google-identitet för din IdP: Du konfigurerar CORS i Google Cloud-konsolen när du skapar ditt klient-ID. Mer information finns i Skapa ett klient-ID för webbapplikationer tidigare på den här sidan.

    Om du använder en tredjeparts-IdP: Dina .well-known/openid-configuration och .well-known/cse-configuration måste tillåta ursprungs-URL:er för CORS-anrop (resursdelning mellan ursprung). I din IdP:s administratörskonsol konfigurerar du dina konfigurationer enligt följande:

      .well-known/openid-configuration (identifierings-URI)

      • Metoder: GET
      • Tillåtna ursprung:
        • https://admin.google.com
        • https://client-side-encryption.google.com

      .well-known/cse-konfiguration

      • Metoder: GET
      • Tillåtna ursprung:
        • https://admin.google.com
        • https://client-side-encryption.google.com

      Alternativ 2: Anslut till din IdP med hjälp av administratörskonsolen

      Istället för att använda en .well-known-fil kan du ansluta Google Workspace till din IdP med hjälp av administratörskonsolen.

      Obs! Om du konfigurerar en gäst-IdP måste du använda administratörskonsolen.

      Steg 1: Samla in information om din IdP

      För att ansluta till din IdP med hjälp av administratörskonsolen behöver du följande information om din IdP:

      Namn på din IdP För mer information, gå till Konfigurera din .well-known-fil tidigare på den här sidan.
      Klient-ID för webbapplikationer För mer information, gå till Skapa ett klient-ID för webbapplikationer tidigare på den här sidan.
      Identifierings-URI För mer information, gå till Konfigurera din .well-known-fil tidigare på den här sidan.
      Klient-ID:n för dator- och mobilappar (valfritt) Mer information finns i Skapa klient-ID:n för skrivbords- och mobilappar tidigare på den här sidan.

      Steg 2: Konfigurera CORS

      Om du använder Google Identity: Du konfigurerar resursdelning mellan olika ursprung (CORS) i Google Cloud-konsolen när du skapar ditt klient-ID. Mer information finns i Skapa ett klient-ID för webbapplikationer tidigare på den här sidan.

      Om du använder en tredjeparts-IdP: I din IdP:s administratörskonsol konfigurerar du din identifierings-URI för att tillåta ursprungs-URL:er för CORS-anrop (resursdelning mellan ursprung), enligt följande:

      • Metod: GET
      • Tillåtna ursprung:
        • https://admin.google.com
        • https://client-side-encryption.google.com

      Steg 3: Lägg till information i administratörskonsolen

      Du måste vara inloggad som superadministratör för den här uppgiften.

      1. I Googles administratörskonsol, gå till Meny och sedan Data och sedan Efterlevnad och sedan Klientsidans kryptering .

        Du måste vara inloggad som superadministratör för den här uppgiften.

        Obs! Under Konfiguration av identitetsleverantör visas ett meddelande som anger att Google Workspace inte kan nå din .well-known-fil. Eftersom du ansluter till din IdP med hjälp av administratörskonsolen kan du ignorera det här meddelandet.

      2. Under Konfiguration av identitetsleverantör klickar du på Konfigurera IdP-reserv .

        Eller, om du konfigurerar en gäst-IdP , klicka på Konfigurera gäst-IdP .

      3. Ange följande information om din IdP:
        • Namn
        • Klient-ID (för webbapplikationer)
        • Identifierings-URI

      4. Klicka på Testa anslutning .

        Om Google Workspace kan ansluta till din IdP visas meddelandet "Anslutningen lyckades".

      5. Om du konfigurerar en gäst-IdP: Klicka på Fortsätt och välj sedan de webbappar som du vill ge gäståtkomst för.

        För att ge gäståtkomst till Google Meet (webb), ange även klient-ID för verifiering av gästinbjudan.

        Klicka sedan på Spara för att stänga kortet.

      6. (Valfritt) Så här använder du CSE med specifika applikationer:
        1. Under Autentisering för Googles skrivbords- och mobilappar (valfritt) väljer du de appar du vill använda ASM med.
        2. För Klient-ID anger du klient-ID:t för applikationen.
      7. Klicka på Lägg till leverantör för att stänga kortet.

      Steg 4 (endast tredjeparts-IdP): Lägg till din IdP i godkännandelistan i administratörskonsolen

      Du måste lägga till din tredjeparts-IdP i din betrodda lista över tredjepartsappar så att användarna inte behöver logga in på din IdP upprepade gånger. Följ instruktionerna i Styr vilka tredjeparts- och interna appar som får åtkomst till Google Workspace-data under "Hantera åtkomst till appar: Betrodd, Begränsad eller Blockerad".

      Nästa steg

      När du har konfigurerat din IdP är du redo att konfigurera din nyckelkrypteringstjänst .