Подключитесь к своему поставщику идентификационных данных для шифрования на стороне клиента.

Поддерживаемые версии для этой функции: Frontline Plus; Enterprise Plus; Education Standard и Education Plus. Сравните вашу версию.

После выбора внешнего сервиса ключей для шифрования на стороне клиента (CSE) в Google Workspace необходимо подключить Google Workspace к поставщику идентификационных данных (IdP) — либо к стороннему IdP, либо к сервису идентификации Google. Ваш сервис ключей шифрования использует ваш IdP для аутентификации пользователей, прежде чем они смогут зашифровать контент или получить доступ к зашифрованному контенту.

Примечание: После настройки поставщика идентификации (IdP) вы можете настроить гостевой IdP, чтобы разрешить внешний доступ к зашифрованному контенту вашей организации на стороне клиента. Подробности см. в разделе «Настройка гостевого IdP» .

Прежде чем начать

Убедитесь, что вы выбрали службу ключей шифрования, которую хотите использовать с CSE. Подробности см. в разделе «Выбор внешней службы ключей» .

Шаг 1: Спланируйте подключение к поставщику идентификации (IdP).

Проанализируйте поддерживаемые веб-, настольные и мобильные приложения и вспомогательные инструменты.

With your IdP connection, you can set up CSE for all supported Google Workspace web applications:

  • Google Диск
  • Google Документы
  • Google Таблицы
  • Google Слайды
  • Гмайл
  • Календарь Google
  • Google Meet (аудио, видео и сообщения в чате)

Your ldP connection also lets you set up CSE for the following desktop and mobile applications:

You can also set up the following utility tools:

Выберите своего поставщика идентификации для CSE

Для использования службы ключей шифрования с CSE вам потребуется поставщик идентификационных данных (IdP), поддерживающий стандарт OpenID Connect (OIDC). Если вы еще не используете OIDC IdP с Google Workspace, вы можете настроить свой IdP для использования со службой ключей двумя способами:

**Вариант 1: Использование стороннего поставщика идентификации (рекомендуется)**

Use an OIDC third-party IdP if your security model requires more isolation of your encrypted data from Google.

Если вы уже используете стороннего поставщика идентификации (IdP) для единого входа (SSO) на основе SAML: рекомендуется использовать тот же поставщик идентификации для CSE, который вы используете для доступа к сервисам Google Workspace, если этот поставщик идентификации поддерживает OIDC. Узнайте больше об использовании SSO на основе SAML с Google Workspace.

**Option 2: Use Google identity**

Если ваша модель безопасности не требует дополнительной изоляции зашифрованных данных от Google, вы можете использовать стандартный идентификатор Google в качестве поставщика идентификации (IdP).

Только для сторонних поставщиков идентификации: настройка браузеров пользователей.

Если вы используете стороннего поставщика идентификации (IdP) для CSE, рекомендуется разрешить использование сторонних файлов cookie от вашего IdP в браузерах пользователей; в противном случае пользователям может потребоваться чаще входить в вашу учетную запись IdP при использовании CSE.

  • If your organization uses Chrome Enterprise: You can use the CookiesAllowedForUrls policy.
  • Для других браузеров: обратитесь к справочной информации вашего браузера за инструкциями о том, как разрешить использование сторонних файлов cookie.

Choose how to connect to your IdP for CSE

Вы можете настроить свой поставщик идентификации (IdP) — либо сторонний поставщик идентификации, либо учетную запись Google — используя либо файл .well-known, размещенный на веб-сайте вашей организации, либо консоль администратора (которая является резервным вариантом для IdP). Для каждого метода есть несколько нюансов, описанных в таблице ниже.

Note: If you're configuring a guest IdP , you need to use the Admin console.

Соображения хорошо известная конфигурация Настройка административной консоли (резервный вариант с поставщиком идентификации)
Изоляция от Google Настройки поставщика идентификации хранятся на вашем собственном сервере. Настройки поставщика идентификации хранятся на серверах Google.
Административные обязанности A webmaster can manage your setup instead of a Google Workspace Super Admin. Управлять настройками вашего поставщика идентификации (IdP) может только суперадминистратор Google Workspace.
CSE availability CSE availability (uptime) depends on availability of the server that hosts your .well-known file. CSE availability corresponds to the general availability of Google Workspace services.
Простота настройки Для этого необходимо изменить настройки DNS для вашего сервера вне административной консоли. Настройте параметры в консоли администратора.
Обмен информацией за пределами вашей организации Внешний сервис ключей вашего партнера может легко получить доступ к настройкам вашего поставщика идентификации (IdP). Этот доступ может быть автоматизирован и гарантирует, что сервис вашего партнера будет иметь немедленный доступ к любым изменениям в настройках вашего IdP.

Внешний сервис ключей вашего соавтора не может получить доступ к настройкам вашего поставщика идентификации (IdP) в консоли администратора. Вам необходимо предоставить настройки IdP непосредственно вашему соавтору перед первой передачей зашифрованных файлов, а также при каждом изменении настроек IdP.

Step 2: Create client IDs for CSE

Создайте идентификатор клиента для веб-приложений.

Вам необходимо создать идентификатор клиента и добавить URI перенаправления для поддерживаемых веб-приложений Google Workspace. Список поддерживаемых приложений можно найти в разделе «Поддерживаемые веб-, настольные и мобильные приложения» на этой странице.

Способ создания идентификатора клиента для веб-приложений зависит от того, используете ли вы стороннего поставщика идентификации (IdP) или систему идентификации Google.

Если вы настраиваете гостевого поставщика идентификации (IdP) : вам необходимо создать дополнительный идентификатор клиента для доступа к Google Meet , который используется для проверки того, что гость был приглашен на встречу. Для получения дополнительной информации перейдите в раздел «Настройка гостевого поставщика идентификации» .

**Если вы используете стороннего поставщика идентификации для CSE**

Создайте идентификатор клиента, используя консоль администратора вашего поставщика идентификации (IdP). Вам также потребуется добавить следующие URI перенаправления в консоль администратора вашего IdP:

Веб-сервисы:

  • https://client-side-encryption.google.com/callback
  • https://client-side-encryption.google.com/oidc/cse/callback
  • https://client-side-encryption.google.com/oidc/drive/callback
  • https://client-side-encryption.google.com/oidc/gmail/callback
  • https://client-side-encryption.google.com/oidc/meet/callback
  • https://client-side-encryption.google.com/oidc/calendar/callback
  • https://client-side-encryption.google.com/oidc/docs/callback
  • https://client-side-encryption.google.com/oidc/sheets/callback
  • https://client-side-encryption.google.com/oidc/slides/callback

Диск для рабочего стола:

http://localhost

Мобильные приложения для Android и iOS:

  • https://client-side-encryption.google.com/oidc/gmail/native/callback
  • https://client-side-encryption.google.com/oidc/meet/native/callback
  • https://client-side-encryption.google.com/oidc/calendar/native/callback
  • https://client-side-encryption.google.com/oidc/drive/native/callback
  • https://client-side-encryption.google.com/oidc/gmail/meet/native/callback

**Если вы используете Google Identity для CSE**

Вам необходимо создать идентификатор клиента в консоли Google Cloud. Добавьте его в файл .well-known/cse-configuration или в консоль администратора. Также необходимо настроить источники JavaScript (также называемые междоменным обменом ресурсами, или CORS) и добавить URI перенаправления.

  1. Перейдите на console.cloud.google.com .
  2. Создайте новый проект Google Cloud. Получите инструкции .

    Настройте проект так, как вам удобно — он нужен только для хранения учетных данных.

  3. In the console, go to Menu а потом API и сервисыа потом Реквизиты для входа .
  4. Create an OAuth Client ID for a new web app you'll use with CSE. Get full instructions .
  5. Update JavaScript origins with the following:
    • https://admin.google.com
    • https://client-side-encryption.google.com
  6. Обновите авторизованные URI перенаправления , добавив следующее.

    Веб-сервисы:

    • https://client-side-encryption.google.com/callback
    • https://client-side-encryption.google.com/oidc/cse/callback
    • https://client-side-encryption.google.com/oidc/drive/callback
    • https://client-side-encryption.google.com/oidc/gmail/callback
    • https://client-side-encryption.google.com/oidc/meet/callback
    • https://client-side-encryption.google.com/oidc/calendar/callback
    • https://client-side-encryption.google.com/oidc/docs/callback
    • https://client-side-encryption.google.com/oidc/sheets/callback
    • https://client-side-encryption.google.com/oidc/slides/callback

    Диск для рабочего стола:

    http://localhost

    Мобильные приложения для Android и iOS:

    No additional configuration is needed for Android and iOS mobile apps.

Создан идентификатор клиента OAuth. Сохраните этот идентификатор, чтобы добавить его в файл .well-known/cse-configuration или в консоль администратора.

Create client IDs for desktop and mobile applications

Если вы хотите, чтобы ваши пользователи могли использовать CSE с настольными и мобильными приложениями, вам потребуются идентификаторы клиентов для этих приложений. Вы добавите их в файл .well-known/cse-configuration или в консоль администратора. Возможно, вам также потребуется добавить идентификаторы клиентов в конфигурацию службы ключей — обратитесь к документации вашей службы ключей.

Для каждого мобильного приложения вам потребуется один идентификатор клиента для каждой платформы (Android и iOS). Список поддерживаемых приложений можно найти в разделе «Поддерживаемые веб-, настольные и мобильные приложения» на этой странице.

Способ получения идентификаторов клиентов для настольных и мобильных приложений зависит от того, используете ли вы сторонний поставщик идентификаторов или систему идентификации Google.

Note: These client IDs must support the authorization_code grant type for PKCE ( RFC 7636 ).

**Если вы будете использовать стороннего поставщика идентификации для CSE**

Используйте административную консоль вашего поставщика идентификации (IdP), чтобы сгенерировать отдельный идентификатор клиента для каждого приложения.

**If you'll use Google identity for CSE**

Используйте следующие идентификаторы клиентов:

  • Drive for Desktop —Use the client ID 947318989803-k88lapdik9bledfml8rr69ic6d3rdv57.apps.googleusercontent.com
  • Приложение Drive на Android — используйте идентификатор клиента 313892590415-6lbccuf47cou4q45vanraqp3fv5jt9do.apps.googleusercontent.com
  • Drive on iOS —Use the client ID 313892590415-d3h1l7kl4htab916r6jevqdtu8bfmh9m.apps.googleusercontent.com
  • Календарь на Android — используйте идентификатор клиента 313892590415-q84luo8fon5pn5vl8a6rppo1qvcd3qvn.apps.googleusercontent.com
  • Calendar on iOS —Use the client ID 313892590415-283b3nilr8561tedgu1n4dcm9hd6g3hr.apps.googleusercontent.com
  • Gmail on Android —Use the client ID 313892590415-samhd32i4piankgs42o9sit5e9dug452.apps.googleusercontent.com
  • Gmail on iOS —Use the client ID 313892590415-ijvjpbnsh0gauuunjgsdn64ngg37k6rc.apps.googleusercontent.com
  • Встречайтесь на Android — используйте идентификатор клиента 313892590415-i06v47su4k03ns7ot38akv7s9ari5oa5.apps.googleusercontent.com
  • Встречайтесь на iOS — используйте идентификатор клиента 313892590415-32ha2bvs0tr1b12s089i33o58hjvqt55.apps.googleusercontent.com

Создайте идентификаторы клиентов для вспомогательных инструментов.

Мы рекомендуем вам:

  1. Используйте один идентификатор клиента для каждого вспомогательного инструмента, взаимодействующего с привилегированными конечными точками (privilegedwrap, privilegedunwrap, privilegedprivatekeydecrypt) вашей службы ключей. Список поддерживаемых инструментов см. на странице «Просмотр поддерживаемых веб-, настольных и мобильных приложений, а также вспомогательных инструментов» .
  2. Настройте политики доступа вашей службы ключей для конечных точек privilegedunwrap и privilegedprivatekeydecrypt, чтобы разрешить использование идентификатора клиента дешифратора CSE.

Step 3: Connect to your IdP for CSE

Для подключения Google Workspace к вашему поставщику идентификации (IdP) можно использовать файл .well-known или консоль администратора. После установления соединения необходимо добавить ваш IdP в список разрешенных в консоли администратора.

Note: If you're configuring a guest IdP , you need to use the Admin console.

Вариант 1: Подключитесь к вашему поставщику идентификации (IdP) с помощью файла .well-known.

Для настройки стороннего поставщика идентификации (IdP) или поставщика идентификации Google с этой опцией необходимо разместить файл .well-known на общедоступном веб-сайте вашей организации. Этот файл определяет, какого поставщика идентификации вы используете, и позволяет вашим внешним партнерам узнавать ваши настройки IdP.

Шаг 1: Разместите файл .well-known на своем сервере.

Your IdP configuration must be placed at this URI on your domain:

https: //cse.subdomain.domain.tld/.well-known/cse-configuration

where subdomain.domain.tld should match the domain in your email address. For example, if the domain in your email address is solarmora.com , you would place your .well-known file at:

https://cse.solarmora.com/.well-known/cse-configuration

Примечание: Префикс https://cse. необходим, поскольку URI .well-known не зарегистрирован в IETF ( RFC 8615 ).

Шаг 2: Настройте файл .well-known

The contents of your .well-known file, at well-known/cse-configuration, must be JSON encoded ( RFC 8259 ) and contain these fields:

Поле Описание

name

 The name of the IdP—you can use any name you like. This name appears in IdP error messages for users in Google services, such as Drive and Docs Editors.

client_id

Идентификатор клиента OpenID Connect (OIDC), который веб-приложение CSE использует для получения JSON Web Token (JWT).

При создании идентификатора клиента вы также добавите URI перенаправления в консоли Google Cloud.

Подробную информацию о создании идентификатора клиента см. в разделе «Создание идентификатора клиента для веб-приложений» на этой странице.

discovery_uri

URL-адрес обнаружения OIDC, как определено в данной спецификации OpenID .

Если вы используете стороннего поставщика идентификации (IdP).

Ваш поставщик идентификации предоставляет вам этот URL-адрес, который обычно заканчивается на /.well-known/openid-configuration

Если вы используете Google Identity

Use https://accounts.google.com/.well-known/openid-configuration

grant_type

Процесс аутентификации OAuth, используемый для OIDC в ​​клиентских веб-приложениях CSE.

If you're using a third-party IdP

Для веб-приложений CSE можно использовать либо implicit тип предоставления доступа, либо тип authorization_code .

Если вы используете Google Identity

Для веб-приложений можно использовать только implicit тип предоставления прав.

applications

Дополнительные клиентские приложения, с которыми вы хотите использовать CSE. Вам необходимо добавить идентификатор клиента для каждого приложения в файл .well-known.

Примечание: Эти идентификаторы клиентов должны поддерживать тип предоставления authorization_code для PKCE ( RFC 7636 ).

Подробную информацию о создании идентификаторов клиентов см. в разделе «Создание идентификатора клиента для настольных и мобильных приложений» на этой странице.

    **Если вы используете стороннего поставщика идентификации (IdP), ваш файл .well-known должен выглядеть следующим образом:**

    **Если вы используете Google Identity, ваш файл .well-known должен выглядеть следующим образом:**

    Шаг 3: Настройка CORS

    Если вы используете Google Identity в качестве поставщика идентификации (IdP): настройку CORS необходимо выполнить в консоли Google Cloud при создании идентификатора клиента. Подробности см. в разделе «Создание идентификатора клиента для веб-приложений» на этой странице.

    Если вы используете сторонний поставщик идентификации (IdP): ваши файлы .well-known/openid-configuration и .well-known/cse-configuration должны разрешать исходные URL-адреса для вызовов с обменом ресурсами между источниками (CORS). В административной консоли вашего IdP настройте параметры следующим образом:

      .well-known/openid-configuration (discovery URI)

      • Методы: GET
      • Допустимые источники:
        • https://admin.google.com
        • https://client-side-encryption.google.com

      .well-known/cse-configuration

      • Методы: GET
      • Допустимые источники:
        • https://admin.google.com
        • https://client-side-encryption.google.com

      Вариант 2: Подключитесь к вашему поставщику идентификации (IdP) через консоль администратора.

      Вместо использования файла .well-known вы можете подключить Google Workspace к своему поставщику идентификации (IdP) через консоль администратора.

      Примечание: При настройке гостевого поставщика идентификации (IdP ) необходимо использовать консоль администратора.

      Шаг 1: Соберите информацию о вашем поставщике идентификации (IdP).

      To connect to your IdP using the Admin console, you'll need the following information about your IdP:

      Название вашего поставщика идентификации (IdP) Для получения более подробной информации перейдите к разделу «Настройка файла .well-known», расположенному выше на этой странице.
      Идентификатор клиента для веб-приложений Для получения более подробной информации перейдите к разделу «Создание идентификатора клиента для веб-приложений», расположенному выше на этой странице.
      Discovery URI Для получения более подробной информации перейдите к разделу «Настройка файла .well-known», расположенному выше на этой странице.
      Client IDs for desktop and mobile apps (optional) Более подробную информацию см. в разделе «Создание идентификаторов клиентов для настольных и мобильных приложений» выше на этой странице.

      Шаг 2: Настройка CORS

      Если вы используете Google Identity: вы настраиваете совместное использование ресурсов между источниками (CORS) в консоли Google Cloud при создании идентификатора клиента. Подробности см. в разделе «Создание идентификатора клиента для веб-приложений» на этой странице.

      If you're using a third-party IdP: In your IdP's admin console, configure your discovery URI to allow origin URLs for cross-origin resource sharing (CORS) calls, as follows:

      • Метод: GET
      • Допустимые источники:
        • https://admin.google.com
        • https://client-side-encryption.google.com

      Шаг 3: Добавьте информацию в консоль администратора.

      Для выполнения этой задачи необходимо войти в систему как суперадминистратор .

      1. В консоли администратора Google перейдите в меню. а потом Данныеа потомСогласиеа потомClient-side encryption .

        Для выполнения этой задачи необходимо войти в систему как суперадминистратор .

        Примечание: В разделе «Конфигурация поставщика идентификации » появляется сообщение о том, что Google Workspace не может получить доступ к вашему файлу .well-known. Поскольку вы подключаетесь к поставщику идентификации через консоль администратора, вы можете игнорировать это сообщение.

      2. В разделе «Конфигурация поставщика идентификации» нажмите «Настроить резервный вариант поставщика идентификации» .

        Или, если вы настраиваете гостевой поставщик идентификации (IdP) , нажмите «Настроить гостевой поставщик идентификации» .

      3. Введите следующую информацию о вашем поставщике идентификации (IdP):
        • Имя
        • Идентификатор клиента (для веб-приложений)
        • URI обнаружения

      4. Нажмите «Проверить соединение» .

        Если Google Workspace может подключиться к вашему поставщику идентификации (IdP), появится сообщение «Подключение успешно установлено».

      5. Если вы настраиваете гостевой поставщик идентификации (IdP): нажмите «Продолжить» , а затем выберите веб-приложения, для которых вы хотите предоставить гостевой доступ.

        Для предоставления гостевого доступа к Google Meet (веб-версия) также введите идентификатор клиента для подтверждения приглашения гостя.

        Then click Save to close the card.

      6. (Необязательно) Для использования CSE с конкретными приложениями:
        1. В разделе «Аутентификация для настольных и мобильных приложений Google (необязательно)» выберите приложения, с которыми вы хотите использовать CSE.
        2. В поле «Идентификатор клиента» укажите идентификатор клиента для приложения.
      7. Нажмите «Добавить поставщика услуг» , чтобы закрыть карту.

      Шаг 4 (только для сторонних поставщиков идентификации): Добавьте свой поставщик идентификации в список разрешенных в консоли администратора.

      Необходимо добавить сторонний поставщик идентификации (IdP) в список доверенных сторонних приложений, чтобы пользователям не приходилось повторно входить в вашу учетную запись IdP. Следуйте инструкциям в разделе «Управление доступом сторонних и внутренних приложений к данным Google Workspace» в подразделе «Управление доступом к приложениям: доверенные, ограниченные или заблокированные».

      Следующий шаг

      После настройки поставщика идентификации (IdP) вы готовы настроить службу шифрования ключей .