Für die clientseitige Verschlüsselung eine Verbindung zum Identitätsanbieter herstellen

Unterstützte Versionen für diese Funktion: Frontline Plus; Enterprise Plus; Education Standard und Education Plus. Versionen vergleichen

Nachdem Sie den externen Schlüsseldienst für die clientseitige Verschlüsselung (Client-side Encryption, CSE) in Google Workspace ausgewählt haben, müssen Sie Google Workspace mit einem Identitätsanbieter (Identity Provider, IdP) verbinden, entweder einem externen Identitätsanbieter oder einer Google-Identität. Ihr Verschlüsselungsschlüsseldienst verwendet Ihren IdP, um Nutzer zu authentifizieren, bevor sie Inhalte verschlüsseln oder auf verschlüsselte Inhalte zugreifen können.

Hinweis:Nachdem Sie Ihren IdP konfiguriert haben, können Sie einen Gast-IdP konfigurieren, um externen Zugriff auf die clientseitig verschlüsselten Inhalte Ihrer Organisation zu ermöglichen. Weitere Informationen finden Sie unter Gast-IdP konfigurieren.

Hinweis

Wählen Sie den Verschlüsselungsschlüsseldienst aus, den Sie mit der clientseitigen Verschlüsselung verwenden möchten. Weitere Informationen finden Sie unter Externen Schlüsseldienst auswählen.

Schritt 1: IdP-Verbindung planen

Unterstützte Web-, Desktop- und mobile Anwendungen sowie Dienstprogramme ansehen

Über Ihre IdP-Verbindung können Sie die clientseitige Verschlüsselung für alle unterstützten Google Workspace-Webanwendungen einrichten:

  • Google Drive
  • Google Docs
  • Google Sheets
  • Google Präsentationen
  • Gmail
  • Google Kalender
  • Google Meet (Audio-, Video- und Chatnachrichten)

Über die ldP-Verbindung können Sie die clientseitige Verschlüsselung für folgende Desktop- und mobile Anwendungen einrichten:

Sie können auch die folgenden Dienstprogramme einrichten:

IdP für die clientseitige Verschlüsselung auswählen

Wenn Sie einen Verschlüsselungsschlüsseldienst mit der clientseitigen Verschlüsselung verwenden möchten, benötigen Sie einen Identitätsanbieter (IdP), der den OpenID Connect-Standard (OIDC) unterstützt. Wenn Sie noch keinen OIDC-IdP mit Google Workspace verwenden, haben Sie zwei Möglichkeiten, den IdP zur Verwendung mit dem Schlüsseldienst einzurichten:

**Option 1: Externen Identitätsanbieter verwenden (empfohlen)**

Verwenden Sie einen externen OIDC-Identitätsanbieter, wenn Ihr Sicherheitsmodell eine stärkere Isolierung Ihrer verschlüsselten Daten von Google erfordert.

Wenn Sie bereits einen externen Identitätsanbieter für die SAML-basierte Einmalanmeldung (SSO) verwenden: Es empfiehlt sich, denselben IdP für die clientseitige Verschlüsselung zu verwenden, den Sie für den Zugriff auf Google Workspace-Dienste verwenden, wenn dieser IdP OIDC unterstützt. Weitere Informationen zur Verwendung der SAML-basierten SSO mit Google Workspace

**Option 2: Google-Identität verwenden**

Wenn gemäß Ihrem Sicherheitsmodell keine zusätzliche Isolierung der verschlüsselten Daten von Google erforderlich ist, können Sie die standardmäßige Google-Identität als IdP verwenden.

Nur externer Identitätsanbieter: Browser der Nutzer einrichten

Wenn Sie einen externen Identitätsanbieter für die clientseitige Verschlüsselung verwenden, empfehlen wir, Drittanbieter-Cookies von Ihrem IdP in den Browsern Ihrer Nutzer zuzulassen. Andernfalls müssen sich Nutzer bei der Verwendung der clientseitigen Verschlüsselung möglicherweise häufiger bei Ihrem IdP anmelden.

  • Wenn Ihre Organisation Chrome Enterprise verwendet:Sie können die Richtlinie CookiesAllowedForUrls verwenden.
  • Andere Browser: Informationen zum Zulassen von Drittanbieter-Cookies finden Sie in den Supportinhalten des jeweiligen Browsers.

Methode zum Herstellen einer Verbindung zum IdP für die clientseitige Verschlüsselung auswählen

Sie können Ihren IdP (Drittanbieter oder Google-Identität) entweder mit einer .well-known-Datei einrichten, die Sie auf der Website Ihrer Organisation hosten, oder über die Admin-Konsole (Ihr IdP-Fallback). In der folgenden Tabelle finden Sie Hinweise zu den einzelnen Methoden.

Hinweis: Wenn Sie einen Gast-IdP konfigurieren, müssen Sie die Admin-Konsole verwenden.

Hinweise .well-known-Datei Admin-Konsole (IdP-Fallback)
Isolierung von Google Die IdP-Einstellungen werden auf Ihrem eigenen Server gespeichert. Die IdP-Einstellungen werden auf Servern von Google gespeichert.
Aufgaben von Administratoren Die Einrichtung kann statt von einem Google Workspace-Super Admin von einem Webmaster verwaltet werden. Nur ein Google Workspace-Super Admin kann die IdP-Einrichtung verwalten.
Verfügbarkeit der clientseitigen Verschlüsselung Die Verfügbarkeit der clientseitigen Verschlüsselung hängt von der Verfügbarkeit des Servers ab, auf dem die .well-known-Datei gehostet wird. Die Verfügbarkeit der clientseitigen Verschlüsselung entspricht der allgemeinen Verfügbarkeit der Google Workspace-Dienste.
Einfache Einrichtung Die DNS-Einstellungen für Ihren Server müssen außerhalb der Admin-Konsole geändert werden. Sie können die Einstellungen in der Admin-Konsole festlegen.
Freigabe außerhalb Ihrer Organisation Ihre IdP-Einstellungen lassen sich vom Schlüsseldienst der Mitbearbeiter einfach und automatisiert abrufen. So werden alle Änderungen der Einstellungen berücksichtigt.

Der externe Schlüsseldienst der Mitbearbeiter kann Ihre IdP-Einstellungen in der Admin-Konsole nicht abrufen. Sie müssen diese direkt an Mitbearbeiter weitergeben, bevor Sie verschlüsselte Dateien zum ersten Mal freigeben und jedes Mal, wenn Sie die IdP-Einstellungen ändern.

Schritt 2: Client-IDs für die clientseitige Verschlüsselung erstellen

Client-ID für Webanwendungen erstellen

Sie müssen eine Client-ID erstellen und Weiterleitungs-URIs für unterstützte Google Workspace-Webanwendungen hinzufügen. Eine Liste der unterstützten Apps finden Sie weiter oben auf dieser Seite unter Unterstützte Web-, Computer- und mobile Apps.

Wie Sie eine Client-ID für Webanwendungen erstellen, hängt davon ab, ob Sie einen externen Identitätsanbieter oder die Google-Identität verwenden.

Wenn Sie einen Gast-IdP konfigurieren: Sie müssen eine zusätzliche Client-ID für den Google Meet-Zugriff erstellen, die zur Bestätigung verwendet wird, dass der Gast zur Besprechung eingeladen wurde. Weitere Informationen finden Sie unter Gast-IdP konfigurieren.

**Wenn Sie einen externen Identitätsanbieter für die clientseitige Verschlüsselung verwenden**

Erstellen Sie eine Client-ID über die Admin-Konsole Ihres Identitätsanbieters. Außerdem müssen Sie die folgenden Weiterleitungs-URIs in der Admin-Konsole Ihres IdP hinzufügen:

Webdienste:

  • https://client-side-encryption.google.com/callback
  • https://client-side-encryption.google.com/oidc/cse/callback
  • https://client-side-encryption.google.com/oidc/drive/callback
  • https://client-side-encryption.google.com/oidc/gmail/callback
  • https://client-side-encryption.google.com/oidc/meet/callback
  • https://client-side-encryption.google.com/oidc/calendar/callback
  • https://client-side-encryption.google.com/oidc/docs/callback
  • https://client-side-encryption.google.com/oidc/sheets/callback
  • https://client-side-encryption.google.com/oidc/slides/callback

Drive for Desktop:

http://localhost

Android- und iOS-Apps:

  • https://client-side-encryption.google.com/oidc/gmail/native/callback
  • https://client-side-encryption.google.com/oidc/meet/native/callback
  • https://client-side-encryption.google.com/oidc/calendar/native/callback
  • https://client-side-encryption.google.com/oidc/drive/native/callback
  • https://client-side-encryption.google.com/oidc/gmail/meet/native/callback

**Wenn Sie die Google-Identität für CSE verwenden**

Sie müssen eine Client-ID in der Google Cloud Console erstellen. Sie fügen sie in Ihrer .well-known/cse-Konfigurationsdatei oder in der Admin-Konsole hinzu. Außerdem richten Sie die JavaScript-Quellen ein (auch Cross-Origin Resource Sharing oder CORS genannt) und fügen Weiterleitungs-URIs hinzu.

  1. Rufen Sie console.cloud.google.com auf.
  2. Erstellen Sie ein neues Google Cloud-Projekt. Eine Anleitung dazu finden Sie hier.

    Richten Sie das Projekt beliebig ein. Es dient lediglich zur Speicherung der Anmeldedaten.

  3. Rufen Sie in der Console das Dreistrich-Menü  und dann APIs und Dienste und dann Anmeldedaten auf.
  4. Erstellen Sie eine OAuth-Client-ID für eine neue Webanwendung, die Sie mit der clientseitigen Verschlüsselung verwenden. Eine vollständige Anleitung dazu finden Sie hier.
  5. Geben Sie unter JavaScript-Quellen Folgendes ein:
    • https://admin.google.com
    • https://client-side-encryption.google.com
  6. Geben Sie unter Autorisierte Weiterleitungs-URIs Folgendes ein:

    Webdienste:

    • https://client-side-encryption.google.com/callback
    • https://client-side-encryption.google.com/oidc/cse/callback
    • https://client-side-encryption.google.com/oidc/drive/callback
    • https://client-side-encryption.google.com/oidc/gmail/callback
    • https://client-side-encryption.google.com/oidc/meet/callback
    • https://client-side-encryption.google.com/oidc/calendar/callback
    • https://client-side-encryption.google.com/oidc/docs/callback
    • https://client-side-encryption.google.com/oidc/sheets/callback
    • https://client-side-encryption.google.com/oidc/slides/callback

    Drive for Desktop:

    http://localhost

    Android- und iOS-Apps:

    Für mobile Android- und iOS-Apps ist keine zusätzliche Konfiguration erforderlich.

Eine OAuth-Client-ID wird erstellt. Speichern Sie diese ID, damit Sie sie Ihrer .well-known/cse-Konfigurationsdatei oder der Admin-Konsole hinzufügen können.

Client-IDs für Desktop- und mobile Anwendungen erstellen

Wenn Sie möchten, dass Ihre Nutzer die clientseitige Verschlüsselung mit Desktop- und mobilen Anwendungen verwenden, benötigen Sie Client-IDs für diese Apps. Sie fügen sie Ihrer .well-known/cse-Konfigurationsdatei oder der Admin-Konsole hinzu. Möglicherweise müssen Sie die Client-IDs auch der Konfiguration Ihres Schlüsseldienstes hinzufügen. Weitere Informationen finden Sie in der Dokumentation Ihres Schlüsseldienstes.

Für jede mobile App benötigen Sie eine Client-ID für jede Plattform (Android und iOS). Eine Liste der unterstützten Apps finden Sie weiter oben auf dieser Seite unter Unterstützte Web-, Computer- und mobile Apps.

Wie Sie Client-IDs für Desktop- und mobile Anwendungen erhalten, hängt davon ab, ob Sie einen Drittanbieter-IdP oder Google-Identitäten verwenden.

Hinweis:Diese Client-IDs müssen den Berechtigungstyp authorization_code für PKCE (RFC 7636) unterstützen.

**Wenn Sie einen externen Identitätsanbieter für die clientseitige Verschlüsselung verwenden**

Generieren Sie über die Admin-Konsole Ihres Identitätsanbieters eine separate Client-ID für jede App.

**Wenn Sie die Google-Identität für CSE verwenden**

Verwenden Sie die folgenden Client-IDs:

  • Drive for Desktop: Verwenden Sie die Client-ID 947318989803-k88lapdik9bledfml8rr69ic6d3rdv57.apps.googleusercontent.com.
  • Drive unter Android: Verwenden Sie die Client-ID 313892590415-6lbccuf47cou4q45vanraqp3fv5jt9do.apps.googleusercontent.com
  • Drive unter iOS: Verwenden Sie die Client-ID 313892590415-d3h1l7kl4htab916r6jevqdtu8bfmh9m.apps.googleusercontent.com
  • Kalender auf Android-Geräten: Verwenden Sie die Client-ID 313892590415-q84luo8fon5pn5vl8a6rppo1qvcd3qvn.apps.googleusercontent.com
  • Kalender auf iOS-Geräten: Verwenden Sie die Client-ID 313892590415-283b3nilr8561tedgu1n4dcm9hd6g3hr.apps.googleusercontent.com
  • Gmail für Android: Verwenden Sie die Client-ID 313892590415-samhd32i4piankgs42o9sit5e9dug452.apps.googleusercontent.com.
  • Gmail unter iOS: Verwenden Sie die Client-ID 313892590415-ijvjpbnsh0gauuunjgsdn64ngg37k6rc.apps.googleusercontent.com
  • Meet unter Android: Verwenden Sie die Client-ID 313892590415-i06v47su4k03ns7ot38akv7s9ari5oa5.apps.googleusercontent.com
  • Meet unter iOS: Verwenden Sie die Client-ID 313892590415-32ha2bvs0tr1b12s089i33o58hjvqt55.apps.googleusercontent.com.

Client-IDs für Dienstprogramme erstellen

Wir empfehlen Folgendes:

  1. Verwenden Sie für jedes Dienstprogramm, das mit den privilegierten Endpunkten (privilegedwrap, privilegedunwrap, privilegedprivatekeydecrypt) Ihres Schlüsseldienstes interagiert, eine Client-ID. Eine Liste der unterstützten Tools finden Sie auf dieser Seite unter Unterstützte Web-, Desktop- und mobile Anwendungen sowie Dienstprogramme.
  2. Konfigurieren Sie die Zugriffsrichtlinien Ihres Schlüsseldienstes für die Endpunkte „privilegedunwrap“ und „privilegedprivatekeydecrypt“, um die Client-ID des CSE-Entschlüsselungstools zuzulassen.

Schritt 3: Verbindung zum IdP für die clientseitige Verschlüsselung herstellen

Sie können Google Workspace über eine .well-known-Datei oder über die Admin-Konsole mit Ihrem Identitätsanbieter (IdP) verbinden. Nachdem Sie die Verbindung hergestellt haben, müssen Sie den IdP in der Admin-Konsole auf die Zulassungsliste setzen.

Hinweis:Wenn Sie einen Gast-IdP konfigurieren, müssen Sie die Admin-Konsole verwenden.

Option 1: IdP-Verbindung über eine .well-known-Datei herstellen

Bei der Einrichtung des IdP (extern oder Google-Identität) mit dieser Option müssen Sie der öffentlichen Website Ihrer Organisation eine .well-known-Datei hinzufügen. Diese Datei enthält die Information, welchen IdP Sie verwenden, sowie die IdP-Einstellungen zum Abrufen für Ihre externen Mitbearbeiter.

Schritt 1: .well-known-Datei auf dem Server ablegen

Sie müssen Ihre IdP-Konfiguration unter diesem URI in Ihrer Domain ablegen:

https://cse.subdomain.domain.tld/.well-known/cse-configuration

Dabei muss subdomain.domain.tld der Domain in Ihrer E-Mail-Adresse entsprechen. Wenn die Domain in Ihrer E-Mail-Adresse beispielsweise solarmora.com lautet, müssen Sie folgenden Pfad für die .well-known-Datei verwenden:

https://cse.solarmora.com/.well-known/cse-configuration

Hinweis: Das Präfix https://cse. ist erforderlich, da der .well-known-URI nicht beim IETF (RFC 8615) registriert ist.

Schritt 2: .well-known-Datei konfigurieren

Der Inhalt der .well-known-Datei unter „well-known/cse-configuration“ muss JSON-codiert sein (RFC 8259) und die folgenden Felder enthalten:

Feld Beschreibung

name

 Der Name des IdP – Sie können einen beliebigen Namen verwenden. Der Name wird Nutzern in Fehlermeldungen des Identitätsanbieters in Google-Diensten wie Google Drive und den Docs-Editoren angezeigt.

client_id

Die OIDC-Client-ID (OpenID Connect), die von der Clientwebanwendung verwendet wird, um ein JSON Web Token (JWT) zu erhalten.

Wenn Sie eine Client-ID erstellen, fügen Sie auch Weiterleitungs-URIs in der Google Cloud Console hinzu.

Weitere Informationen zum Erstellen einer Client-ID finden Sie weiter oben auf dieser Seite im Abschnitt Client-ID für Webanwendungen erstellen.
discovery_uri

Die OIDC-Erkennungs-URL gemäß dieser OpenID-Spezifikation.

Wenn Sie einen externen Identitätsanbieter verwenden

Diese URL wird von Ihrem IdP bereitgestellt und endet in der Regel mit /.well-known/openid-configuration.

Wenn Sie die Google-Identität verwenden

https://accounts.google.com/.well-known/openid-configuration verwenden
grant_type

Der für OIDC mit CSE-Clientwebanwendungen verwendete OAuth-Ablauf

Wenn Sie einen externen Identitätsanbieter verwenden

Für CSE-Webanwendungen können Sie entweder den Berechtigungstyp implicit oder authorization_code verwenden.

Wenn Sie die Google-Identität verwenden

Für Webanwendungen kann nur der Berechtigungstyp implicit verwendet werden.

applications

Die zusätzlichen Clientanwendungen, mit denen Sie die clientseitige Verschlüsselung verwenden möchten. Sie müssen Ihrer .well-known-Datei eine Client-ID für jede App hinzufügen.

Hinweis:Diese Client-IDs müssen den Berechtigungstyp authorization_code für PKCE (RFC 7636) unterstützen.

Weitere Informationen zum Erstellen von Client-IDs finden Sie weiter oben auf dieser Seite im Abschnitt Client-ID für Desktop- und mobile Anwendungen erstellen.

    **Wenn Sie einen externen Identitätsanbieter verwenden, muss die .well-known-Datei so aussehen:**

    **Wenn Sie die Google-Identität verwenden, muss die .well-known-Datei so aussehen:**

    Schritt 3: CORS einrichten

    Wenn Sie die Google-Identität für Ihren Identitätsanbieter verwenden:Sie richten CORS beim Erstellen Ihrer Client-ID in der Google Cloud Console ein. Weitere Informationen finden Sie weiter oben auf dieser Seite unter Client-ID für Webanwendungen erstellen.

    Wenn Sie einen externen Identitätsanbieter verwenden, müssen die Konfigurationen „.well-known/openid-configuration“ und „.well-known/cse-configuration“ Ursprungs-URLs für CORS-Anrufe (Cross-Origin Resource Sharing) zulassen. Richten Sie in der Admin-Konsole Ihres IdP die Konfigurationen so ein:

      .well-known/openid-configuration (Erkennungs-URI)

      • Methoden: GET
      • Zulässige Ursprünge:
        • https://admin.google.com
        • https://client-side-encryption.google.com

      .well-known/cse-configuration

      • Methoden: GET
      • Zulässige Ursprünge:
        • https://admin.google.com
        • https://client-side-encryption.google.com

      Option 2: IdP-Verbindung über die Admin-Konsole herstellen

      Statt eine .well-known-Datei zu verwenden, können Sie Google Workspace über die Admin-Konsole mit Ihrem IdP verbinden.

      Hinweis:Wenn Sie einen Gast-IdP konfigurieren, müssen Sie die Admin-Konsole verwenden.

      Schritt 1: Informationen zu Ihrem Identitätsanbieter erfassen

      Um über die Admin-Konsole eine Verbindung zu Ihrem IdP herzustellen, benötigen Sie die folgenden Informationen zu Ihrem IdP:

      Name Ihres IdP Weitere Informationen finden Sie oben im Abschnitt .well-known-Datei konfigurieren.
      Client-ID für Webanwendungen Weitere Informationen finden Sie weiter oben auf dieser Seite im Abschnitt Client-ID für Webanwendungen erstellen.
      Erkennungs-URI Weitere Informationen finden Sie oben im Abschnitt .well-known-Datei konfigurieren.
      Client-IDs für Desktop- und mobile Apps (optional) Weitere Informationen finden Sie weiter oben auf dieser Seite unter Client-IDs für Desktop- und mobile Anwendungen erstellen.

      Schritt 2: CORS einrichten

      Wenn Sie die Google-Identität verwenden, richten Sie beim Erstellen Ihrer Client-ID in der Google Cloud Console Cross-Origin Resource Sharing (CORS) ein. Weitere Informationen finden Sie weiter oben auf dieser Seite im Abschnitt Client-ID für Webanwendungen erstellen.

      Wenn Sie einen externen Identitätsanbieter verwenden, konfigurieren Sie in der Admin-Konsole Ihres IdP den Erkennungs-URI so, dass Ursprungs-URLs für CORS-Aufrufe (Cross-Origin Resource Sharing) zugelassen werden:

      • Methode: GET
      • Zulässige Ursprünge:
        • https://admin.google.com
        • https://client-side-encryption.google.com

      Schritt 3: Informationen in der Admin-Konsole hinzufügen

      Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.

      1. Öffnen Sie in der Admin-Konsole das Dreistrich-Menü  und dann Daten und dann Compliance und dann Clientseitige Verschlüsselung.

        Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.

        Hinweis:Unter Konfiguration des Identitätsanbieters wird eine Meldung angezeigt, dass Google Workspace nicht auf Ihre .well-known-Datei zugreifen kann. Da Sie die IdP-Verbindung über die Admin-Konsole herstellen, können Sie diese Meldung ignorieren.

      2. Klicken Sie unter Konfiguration des Identitätsanbieters auf IdP-Fallback konfigurieren.

        Wenn Sie einen Gast-IdP konfigurieren, klicken Sie auf Gast-IdP konfigurieren.

      3. Geben Sie die folgenden Informationen zu Ihrem IdP ein:
        • Name
        • Client-ID (für Webanwendungen)
        • Erkennungs-URI

      4. Klicken Sie auf Test connection (Verbindung testen).

        Wenn Google Workspace eine Verbindung zu Ihrem IdP herstellen kann, wird die Meldung „Verbindung erfolgreich“ angezeigt.

      5. Wenn Sie einen Gast-IdP konfigurieren: Klicken Sie auf Weiter und wählen Sie dann die Webanwendungen aus, für die Sie Gastzugriff gewähren möchten.

        Wenn Sie Gastzugriff für Google Meet (Web) ermöglichen möchten, geben Sie auch die Client-ID für die Bestätigung der Gästeeinladung ein.

        Klicken Sie dann auf Speichern, um die Karte zu schließen.

      6. Optional: So verwenden Sie die clientseitige Verschlüsselung mit bestimmten Anwendungen:
        1. Wählen Sie unter Authentifizierung für Desktop- und mobile Apps von Google (optional) die Anwendungen aus, für die Sie die clientseitige Verschlüsselung nutzen möchten.
        2. Geben Sie unter Client-ID die Client-ID für die Anwendung ein.
      7. Klicken Sie auf Anbieter hinzufügen, um die Karte zu schließen.

      Schritt 4 (nur bei externen Identitätsanbietern): Identitätsanbieter in der Admin-Konsole auf die Zulassungsliste setzen

      Sie müssen Ihren externen Identitätsanbieter Ihrer Liste vertrauenswürdiger Drittanbieter-Apps hinzufügen, damit sich die Nutzer nicht wiederholt bei Ihrem Identitätsanbieter anmelden müssen. Eine Anleitung dazu finden Sie im Hilfeartikel Zugriff externer und interner Apps auf Google Workspace-Daten verwalten unter „Zugriff auf Apps verwalten: Vertrauenswürdig, Eingeschränkt oder Blockiert“.

      Nächster Schritt

      Nachdem Sie Ihren IdP eingerichtet haben, können Sie Ihren Schlüsseldienst einrichten.