התחברות לספק הזהויות לצורך הצפנה מצד הלקוח

התכונה הזו נתמכת במהדורות הבאות: Frontline Plus,‏ Enterprise Plus,‏ Education Standard ו-Education Plus. השוואה בין המהדורות

אחרי שבוחרים את השירות החיצוני למפתחות הצפנה להצפנה מצד הלקוח (CSE) ב-Google Workspace, צריך לחבר את Google Workspace לספק זהויות (IdP) – ספק זהויות של צד שלישי או זהות Google. השירות למפתחות ההצפנה משתמש ב-IdP כדי לאמת משתמשים לפני שהם יכולים להצפין תוכן או לגשת לתוכן מוצפן.

הערה: אחרי שמגדירים את ה-IdP, אפשר להגדיר IdP לאורחים כדי לאפשר גישה חיצונית לתוכן שהוצפן מצד הלקוח בארגון. לפרטים נוספים, אפשר לעבור אל הגדרה של IdP לאורחים.

לפני שמתחילים

חשוב לוודא שבחרתם את שירות מפתחות ההצפנה שבו אתם רוצים להשתמש עם CSE. פרטים נוספים זמינים במאמר בנושא בחירת שירות מפתחות חיצוני.

שלב 1: תכנון החיבור לספק הזהויות

בדיקת אפליקציות נתמכות לאינטרנט, למחשב ולנייד וכלי עזר

אחרי שמחברים את ספק ה-IdP, אפשר להגדיר הצפנה מצד הלקוח לכל אפליקציות האינטרנט הנתמכות של Google Workspace:

  • Google Drive
  • Google Docs
  • Google Sheets
  • Google Slides
  • Gmail
  • יומן Google
  • ‫Google Meet (אודיו, וידאו והודעות צ'אט)

חיבור ldP מאפשר לכם גם להגדיר הצפנה מצד הלקוח באפליקציות הבאות למחשבים ולניידים:

אפשר גם להגדיר את כלי השירות הבאים:

בחירת ספק IdP ל-CSE

כדי להשתמש בשירות למפתחות הצפנה עם הצפנה מצד הלקוח, צריך ספק זהויות (IdP) שתומך בתקן OpenID Connect ‏ (OIDC). אם אתם לא משתמשים כבר בספק זהויות OIDC עם Google Workspace, אתם יכולים להגדיר את ספק הזהויות לשימוש עם שירות למפתחות הצפנה באחת משתי דרכים:

**אפשרות 1: שימוש בספק זהויות (IdP) של צד שלישי (מומלץ)**

אם מודל האבטחה שלכם מחייב בידוד רב יותר של הנתונים המוצפנים מ-Google, אתם יכולים להשתמש בספק זהויות (IdP) של צד שלישי עם OIDC.

אם אתם כבר משתמשים בספק זהויות (IdP) של צד שלישי לכניסה יחידה (SSO) שמבוססת על SAML: מומלץ להשתמש באותו ספק זהויות ל-CSE שבו אתם משתמשים לגישה לשירותי Google Workspace, אם ספק הזהויות הזה תומך ב-OIDC. מידע נוסף על שימוש ב-SSO שמבוסס על SAML עם Google Workspace

**אפשרות 2: שימוש בזהות Google**

אם מודל האבטחה שלכם לא דורש בידוד נוסף של הנתונים המוצפנים מ-Google, אתם יכולים להשתמש בזהות Google שמוגדרת כברירת מחדל כספק הזהויות (IdP).

ספק זהויות מצד שלישי בלבד: הגדרת הדפדפנים של המשתמשים

אם אתם משתמשים ב-IdP של צד שלישי בשביל CSE, מומלץ לאפשר קובצי Cookie של צד שלישי מה-IdP בדפדפנים של המשתמשים. אחרת, יכול להיות שהמשתמשים יצטרכו להיכנס ל-IdP לעיתים קרובות יותר כשהם משתמשים ב-CSE.

  • אם הארגון שלכם משתמש ב-Chrome Enterprise: אתם יכולים להשתמש במדיניות CookiesAllowedForUrls.
  • בדפדפנים אחרים: אפשר לעיין בתוכן התמיכה של הדפדפן כדי לקבל הוראות לאישור קובצי Cookie של צד שלישי.

בחירת שיטה להתחברות לספק הזהויות (IdP) לצורך חיפוש מותאם אישית

אתם יכולים להגדיר את ספק הזהויות שלכם – ספק זהויות של צד שלישי או זהות Google – באמצעות קובץ ‎ .well-known שמתארח באתר של הארגון או באמצעות מסוף Admin (שהוא החלופה לספק הזהויות). בטבלה שלמטה מפורטים כמה שיקולים לכל שיטה.

הערה: אם אתם מגדירים ספק IdP לאורחים, אתם צריכים להשתמש במסוף Admin.

לתשומת ליבכם הגדרה של קובץ ‎.well-known הגדרת מסוף Admin (חלופה לספק זהויות)
בידוד מ-Google הגדרות IdP מאוחסנות בשרת שלכם. הגדרות IdP מאוחסנות בשרתים של Google.
תחומי האחריות של האדמינים בעל אתר יכול לנהל את ההגדרה במקום סופר-אדמין ב-Google Workspace. רק סופר-אדמין ב-Google Workspace יכול לנהל את הגדרת ה-IdP.
זמינות של CSE הזמינות של הצפנה מצד הלקוח (זמן פעולה) תלויה בזמינות של השרת שמארח את קובץ ה-‎ .well-known. הזמינות של CSE תואמת לזמינות לכלל המשתמשים (GA) של שירותי Google Workspace.
קלות ההגדרה כדי להשתמש בהגדרה הזו, צריך לשנות את הגדרות ה-DNS של השרת מחוץ למסוף Admin. הגדרת ההגדרות במסוף Admin.
שיתוף עם גורמים מחוץ לארגון השירות החיצוני למפתחות הצפנה של השותף יכול לגשת בקלות להגדרות ספק הזהויות שלכם. הגישה הזו יכולה להיות אוטומטית, וכך השירות של השותף מקבל גישה מיידית לכל שינוי בהגדרות ספק הזהויות שלכם.

לשירות החיצוני למפתחות הצפנה של השותף שלכם אין גישה להגדרות ספק הזהויות (IdP) שלכם במסוף Admin. אתם צריכים לספק את הגדרות ספק הזהויות ישירות לשותף שלכם לפני שאתם משתפים איתו קבצים מוצפנים בפעם הראשונה, וגם בכל פעם שאתם משנים את הגדרות ספק הזהויות.

שלב 2: יצירת מזהי לקוח עבור CSE

יצירת מזהה לקוח לאפליקציות אינטרנט

צריך ליצור מזהה לקוח ולהוסיף כתובות URI להפניה אוטומטית לאפליקציות אינטרנט נתמכות של Google Workspace. רשימה של אפליקציות נתמכות מופיעה בקטע אפליקציות נתמכות לאינטרנט, למחשב ולנייד שבהמשך הדף.

השיטה ליצירת Client ID לאפליקציות אינטרנט תלויה בספק הזהויות שבו אתם משתמשים: ספק צד שלישי או חשבון Google.

אם מגדירים ספק זהויות לאורחים: צריך ליצור מזהה לקוח נוסף לגישה ל-Google Meet, שמשמש לאימות ההזמנה של האורח לפגישה. מידע נוסף זמין במאמר בנושא הגדרת ספק זהויות (IdP) לאורחים.

**אם אתם משתמשים ב-IdP של צד שלישי בשביל CSE**

יוצרים מזהה לקוח באמצעות מסוף Admin של ספק ה-IdP. צריך גם להוסיף את כתובות ה-URI הבאות להפניה אוטומטית למסוף Admin של ה-IdP:

שירותי אינטרנט:

  • https://client-side-encryption.google.com/callback
  • https://client-side-encryption.google.com/oidc/cse/callback
  • https://client-side-encryption.google.com/oidc/drive/callback
  • https://client-side-encryption.google.com/oidc/gmail/callback
  • https://client-side-encryption.google.com/oidc/meet/callback
  • https://client-side-encryption.google.com/oidc/calendar/callback
  • https://client-side-encryption.google.com/oidc/docs/callback
  • https://client-side-encryption.google.com/oidc/sheets/callback
  • https://client-side-encryption.google.com/oidc/slides/callback

Drive לשולחן העבודה:

http://localhost

אפליקציות לנייד ל-Android ול-iOS:

  • https://client-side-encryption.google.com/oidc/gmail/native/callback
  • https://client-side-encryption.google.com/oidc/meet/native/callback
  • https://client-side-encryption.google.com/oidc/calendar/native/callback
  • https://client-side-encryption.google.com/oidc/drive/native/callback
  • https://client-side-encryption.google.com/oidc/gmail/meet/native/callback

**אם אתם משתמשים בזהות Google עבור CSE**

צריך ליצור מזהה לקוח במסוף Google Cloud. תוכלו להוסיף אותו בקובץ ‎ .well-known/cse-configuration או במסוף Admin. בנוסף, תגדירו מקורות JavaScript (שנקראים גם שיתוף משאבים בין מקורות, או CORS) ותוסיפו מזהי URI של הפניות אוטומטיות.

  1. נכנסים לכתובת console.cloud.google.com.
  2. יוצרים פרויקט חדש ב-Google Cloud. הוראות

    מגדירים את הפרויקט איך שרוצים – הוא רק משמש לאחסון פרטי הכניסה.

  3. במסוף, נכנסים לתפריט ואז APIs & Services ואז Credentials.
  4. יוצרים מזהה לקוח OAuth לאפליקציית אינטרנט חדשה שתשתמשו בה עם CSE. הוראות מלאות
  5. מעדכנים את מקורות ה-JavaScript עם הערכים הבאים:
    • https://admin.google.com
    • https://client-side-encryption.google.com
  6. מעדכנים את מזהי ה-URI המורשים להפניה אוטומטית עם הערכים הבאים.

    שירותי אינטרנט:

    • https://client-side-encryption.google.com/callback
    • https://client-side-encryption.google.com/oidc/cse/callback
    • https://client-side-encryption.google.com/oidc/drive/callback
    • https://client-side-encryption.google.com/oidc/gmail/callback
    • https://client-side-encryption.google.com/oidc/meet/callback
    • https://client-side-encryption.google.com/oidc/calendar/callback
    • https://client-side-encryption.google.com/oidc/docs/callback
    • https://client-side-encryption.google.com/oidc/sheets/callback
    • https://client-side-encryption.google.com/oidc/slides/callback

    Drive לשולחן העבודה:

    http://localhost

    אפליקציות לנייד ל-Android ול-iOS:

    אין צורך בהגדרות נוספות באפליקציות לנייד ל-Android ול-iOS.

נוצר מזהה לקוח OAuth. שומרים את המזהה כדי להוסיף אותו לקובץ ‎ .well-known/cse-configuration או למסוף Admin.

יצירת מזהי לקוח לאפליקציות למחשב ולאפליקציות לנייד

אם רוצים שהמשתמשים ישתמשו בהצפנה מצד הלקוח באפליקציות למחשב ולאפליקציות לנייד, צריך מזהי לקוח לאפליקציות האלה. מוסיפים אותם לקובץ ‎ .well-known/cse-configuration או למסוף Admin. יכול להיות שיהיה צורך להוסיף את מזהי הלקוח גם להגדרות של השירות למפתחות הצפנה – כדאי לעיין במסמכי התיעוד של השירות למפתחות הצפנה.

לכל אפליקציה לנייד, תצטרכו מזהה לקוח אחד לכל פלטפורמה (Android ו-iOS). רשימה של אפליקציות נתמכות מופיעה בקטע אפליקציות נתמכות לאינטרנט, למחשב ולנייד שבהמשך הדף.

הדרך שבה מקבלים מזהי לקוח לאפליקציות למחשב ולאפליקציות לנייד תלויה בשאלה אם משתמשים ב-IdP של צד שלישי או בזהות Google.

הערה: מזהי הלקוח האלה צריכים לתמוך בסוג ההרשאה authorization_code ל-PKCE ‏ (RFC 7636).

**אם אתם משתמשים ב-IdP של צד שלישי עבור CSE**

משתמשים במסוף הניהול של ספק הזהויות כדי ליצור מזהה לקוח נפרד לכל אפליקציה.

**אם תשתמשו בזהות Google עבור CSE**

משתמשים במזהי הלקוח הבאים:

  • Drive לשולחן העבודה – שימוש במזהה הלקוח 947318989803-k88lapdik9bledfml8rr69ic6d3rdv57.apps.googleusercontent.com
  • Drive ב-Android – משתמשים במזהה הלקוח 313892590415-6lbccuf47cou4q45vanraqp3fv5jt9do.apps.googleusercontent.com
  • Drive ב-iOS – שימוש במזהה הלקוח 313892590415-d3h1l7kl4htab916r6jevqdtu8bfmh9m.apps.googleusercontent.com
  • יומן Google ב-Android – משתמשים במזהה הלקוח 313892590415-q84luo8fon5pn5vl8a6rppo1qvcd3qvn.apps.googleusercontent.com
  • יומן ב-iOS – שימוש במזהה הלקוח 313892590415-283b3nilr8561tedgu1n4dcm9hd6g3hr.apps.googleusercontent.com
  • Gmail ב-Android – משתמשים במזהה הלקוח 313892590415-samhd32i4piankgs42o9sit5e9dug452.apps.googleusercontent.com
  • Gmail ב-iOS – משתמשים במזהה הלקוח 313892590415-ijvjpbnsh0gauuunjgsdn64ngg37k6rc.apps.googleusercontent.com
  • Meet ב-Android – משתמשים במזהה הלקוח 313892590415-i06v47su4k03ns7ot38akv7s9ari5oa5.apps.googleusercontent.com
  • Meet ב-iOS – משתמשים במזהה הלקוח 313892590415-32ha2bvs0tr1b12s089i33o58hjvqt55.apps.googleusercontent.com

יצירת מזהי לקוח לכלי שירות

אנו ממליצים לך:

  1. משתמשים במזהה לקוח אחד לכל כלי שירות שמתקשר עם נקודות הקצה עם ההרשאות (privilegedwrap,‏ privilegedunwrap,‏ privilegedprivatekeydecrypt) של שירות למפתחות הצפנה. רשימת הכלים הנתמכים מופיעה בקטע בדיקת אפליקציות אינטרנט, אפליקציות למחשב ואפליקציות לנייד וכלי שירות נתמכים בדף הזה.
  2. מגדירים את מדיניות הגישה של השירות למפתחות הצפנה לנקודות הקצה privilegedunwrap ו-privilegedprivatekeydecrypt כדי לאפשר את מזהה הלקוח של הכלי לפענוח הצפנה מצד הלקוח.

שלב 3: מתחברים לספק הזהויות (IdP) לצורך CSE

כדי לחבר את Google Workspace לספק הזהויות (IdP), אפשר להשתמש בקובץ ‎.well-known או במסוף Admin. אחרי שיוצרים את החיבור, צריך להוסיף את ספק ה-IdP לרשימת ההיתרים במסוף Admin.

הערה: אם אתם מגדירים ספק זהויות אורח, אתם צריכים להשתמש במסוף Admin.

אפשרות 1: התחברות לספק הזהויות באמצעות קובץ ‎ .well-known

כדי להגדיר את ספק הזהויות שלכם מצד שלישי או את ספק הזהויות של Google באמצעות האפשרות הזו, צריך להציב קובץ ‎.well-known באתר הציבורי של הארגון. הקובץ הזה קובע באיזה ספק זהויות אתם משתמשים ומאפשר למשתפי פעולה חיצוניים לגלות את הגדרות ספק הזהויות שלכם.

שלב 1: מציבים את הקובץ ‎ .well-known בשרת

ההגדרה של ה-IdP צריכה להיות ב-URI הזה בדומיין:

https://cse.subdomain.domain.tld/.well-known/cse-configuration

המחרוזת subdomain.domain.tld צריכה להיות זהה לדומיין בכתובת האימייל שלכם. לדוגמה, אם הדומיין בכתובת האימייל שלכם הוא solarmora.com, אתם צריכים למקם את הקובץ ‎ .well-known בכתובת:

https://cse.solarmora.com/.well-known/cse-configuration

הערה: חובה להשתמש בקידומת https://cse. כי ה-URI ‎ .well-known לא רשום ב-IETF‏ (RFC 8615).

שלב 2: הגדרת קובץ ‎ .well-known

התוכן של קובץ ‎ .well-known, במיקום well-known/cse-configuration, חייב להיות בקידוד JSON ‏ (RFC 8259) ולהכיל את השדות הבאים:

שדה תיאור

name

 שם ספק הזהויות – אפשר להשתמש בכל שם שרוצים. השם הזה מופיע בהודעות שגיאה מה-IdP למשתמשים בשירותי Google, כמו Drive וכלי העריכה של Docs.

client_id

מזהה הלקוח של OpenID Connect ‏ (OIDC) שבו משתמשת אפליקציית האינטרנט של לקוח ה-CSE כדי לקבל JSON Web Token‏ (JWT)

כשיוצרים מזהה לקוח, מוסיפים גם כתובות URI להפניה אוטומטית במסוף Google Cloud.

פרטים נוספים על יצירת מזהה לקוח זמינים בקטע יצירת מזהה לקוח לאפליקציות אינטרנט שבהמשך הדף.
discovery_uri

כתובת ה-URL של הגילוי של OIDC, כפי שמוגדרת במפרט OpenID הזה.

אם אתם משתמשים בספק זהויות (IdP) של צד שלישי

ה-IdP מספק לכם את כתובת ה-URL הזו, שבדרך כלל מסתיימת ב-/.well-known/openid-configuration

אם משתמשים בזהות Google

שימוש ב-https://accounts.google.com/.well-known/openid-configuration
grant_type

תהליך OAuth שמשמש ל-OIDC עם אפליקציות אינטרנט של לקוח CSE

אם אתם משתמשים בספק זהויות (IdP) של צד שלישי

אפשר להשתמש בסוג ההרשאה implicit או authorization_code עבור אפליקציות אינטרנט עם הצפנה מצד הלקוח.

אם משתמשים בזהות Google

אפשר להשתמש רק בimplicit סוג ההרשאה לאפליקציות אינטרנט.

applications

אפליקציות לקוח נוספות שרוצים להשתמש ב-CSE. צריך להוסיף מזהה לקוח לכל אפליקציה לקובץ ‎ .well-known.

הערה: מזהי הלקוח האלה צריכים לתמוך בסוג ההרשאה authorization_code ל-PKCE ‏ (RFC 7636).

פרטים נוספים על יצירת מזהי לקוח זמינים בקטע יצירת מזהה לקוח לאפליקציות למחשב ולאפליקציות לנייד שמופיע למעלה בדף הזה.

    **אם אתם משתמשים בספק זהויות (IdP) של צד שלישי, קובץ well-known .צריך להיראות כך:**

    **אם אתם משתמשים בזהות Google, קובץ ה-‎ .well-known שלכם צריך להיראות כך:**

    שלב 3: הגדרת CORS

    אם אתם משתמשים בזהות Google לספק הזהויות שלכם: אתם מגדירים CORS במסוף Google Cloud כשאתם יוצרים את מזהה הלקוח. פרטים נוספים זמינים במאמר יצירת מזהה לקוח לאפליקציות אינטרנט שמופיע בהמשך הדף.

    אם אתם משתמשים בספק זהויות (IdP) של צד שלישי: הקבצים ‎ .well-known/openid-configuration ו-‎ .well-known/cse-configuration צריכים לאפשר כתובות URL של מקורות לקריאות של שיתוף משאבים בין מקורות (CORS). במסוף Admin של ספק ה-IdP, מגדירים את ההגדרות באופן הבא:

      .well-known/openid-configuration (discovery URI)

      • שיטות: GET
      • מקורות מותרים:
        • https://admin.google.com
        • https://client-side-encryption.google.com

      .well-known/cse-configuration

      • שיטות: GET
      • מקורות מותרים:
        • https://admin.google.com
        • https://client-side-encryption.google.com

      אפשרות 2: התחברות ל-IdP באמצעות מסוף Admin

      במקום להשתמש בקובץ ‎ .well-known, אתם יכולים לחבר את Google Workspace לספק הזהויות באמצעות מסוף Admin.

      הערה: אם אתם מגדירים ספק זהויות אורח, אתם צריכים להשתמש במסוף Admin.

      שלב 1: איסוף מידע על ספק הזהויות (IdP)

      כדי להתחבר ל-IdP באמצעות מסוף Admin, תצטרכו את הפרטים הבאים על ה-IdP:

      שם ספק ה-IdP פרטים נוספים מופיעים בקטע הגדרת קובץ ‎ .well-known שבהמשך הדף הזה.
      מזהה לקוח לאפליקציות אינטרנט פרטים נוספים מופיעים בקטע יצירת מזהה לקוח לאפליקציות אינטרנט שבהמשך הדף הזה.
      URI לגילוי ספק הזהויות פרטים נוספים מופיעים בקטע הגדרת קובץ ‎ .well-known שבהמשך הדף הזה.
      מזהי לקוח לאפליקציות למחשב ולנייד (אופציונלי) פרטים נוספים זמינים בקטע יצירת מזהי לקוח לאפליקציות למחשב ולאפליקציות לנייד שמופיע למעלה בדף הזה.

      שלב 2: הגדרת CORS

      אם אתם משתמשים בזהות Google: אתם מגדירים שיתוף משאבים בין מקורות (CORS) במסוף Google Cloud כשאתם יוצרים את מזהה הלקוח. פרטים נוספים מופיעים בקטע יצירת מזהה לקוח לאפליקציות אינטרנט שבהמשך הדף הזה.

      אם אתם משתמשים ב-IdP של צד שלישי: במסוף הניהול של ה-IdP, מגדירים את ה-URI לגילוי כך שיאפשר כתובות URL של מקורות לקריאות של שיתוף משאבים בין מקורות (CORS), באופן הבא:

      • שיטה: GET
      • מקורות מותרים:
        • https://admin.google.com
        • https://client-side-encryption.google.com

      שלב 3: מוסיפים מידע למסוף Admin

      כדי לבצע את המשימה הזאת אתם צריכים להיות מחוברים לחשבון בתור סופר-אדמינים.

      1. במסוף Google Admin, נכנסים לתפריט ואז נתונים ואז עמידה בדרישות ואז הצפנה בצד הלקוח.

        כדי לבצע את המשימה הזאת אתם צריכים להיות מחוברים לחשבון בתור סופר-אדמינים.

        הערה: בקטע הגדרת ספק הזהויות, תוצג הודעה שמציינת ש-Google Workspace לא יכול להתחבר לקובץ ‎ .well-known. מכיוון שאתם מתחברים לספק הזהויות באמצעות מסוף Admin, אפשר להתעלם מההודעה הזו.

      2. בקטע Identity provider configuration (הגדרת ספק זהויות), לוחצים על Configure IdP fallback (הגדרת חלופה לספק זהויות).

        לחלופין, אם אתם מגדירים ספק זהויות (IdP) לאורחים, לוחצים על הגדרת ספק זהויות (IdP) לאורחים.

      3. מזינים את הפרטים הבאים על ספק הזהויות:
        • שם
        • מזהה לקוח (לאפליקציות אינטרנט)
        • URI לגילוי ספק הזהויות

      4. לוחצים על בדיקת החיבור.

        אם Google Workspace מצליח להתחבר לספק הזהויות, תוצג ההודעה 'החיבור הצליח'.

      5. אם אתם מגדירים IdP לאורח: לוחצים על המשך, ואז בוחרים את אפליקציות האינטרנט שרוצים לספק להן גישה לאורחים.

        כדי לספק גישת אורחים ל-Google Meet (באינטרנט), צריך להזין גם את מזהה הלקוח לאימות הזמנה של אורחים.

        לאחר מכן לוחצים על שמירה כדי לסגור את הכרטיס.

      6. (אופציונלי) כדי להשתמש בהצפנה מצד הלקוח באפליקציות ספציפיות:
        1. בקטע אימות לאפליקציות של Google לנייד ולאינטרנט (אופציונלי), בוחרים את האפליקציות שרוצים להשתמש בהן בהצפנה מצד הלקוח.
        2. בשדה Client ID (מזהה לקוח), מציינים את מזהה הלקוח של האפליקציה.
      7. כדי לסגור את הכרטיס, לוחצים על הוספת ספק.

      שלב 4 (ספק זהויות של צד שלישי בלבד): מוסיפים את ספק הזהויות לרשימת ההיתרים במסוף Admin

      צריך להוסיף את ספק ה-IdP של צד שלישי לרשימת האפליקציות המהימנות של צד שלישי, כדי שהמשתמשים לא יצטרכו להיכנס לספק ה-IdP שוב ושוב. אפשר לפעול לפי ההוראות במאמר שליטה בגישה של אפליקציות של צד שלישי ואפליקציות פנימיות לנתונים ב-Google Workspace, בקטע 'ניהול הגישה לאפליקציות: מהימנות, מוגבלת או חסימה'.

      השלב הבא

      אחרי שמגדירים את ספק הזהויות, אפשר להגדיר את שירות הצפנת המפתחות.