Эта страница переведена с помощью Cloud Translation API.

Подключитесь к своему поставщику идентификационных данных для шифрования на стороне клиента.

Поддерживаемые версии для этой функции: Frontline Plus; Enterprise Plus; Education Standard и Education Plus. Сравните вашу версию.

После выбора внешнего сервиса ключей для шифрования на стороне клиента (CSE) в Google Workspace необходимо подключить Google Workspace к поставщику идентификационных данных (IdP) — либо к стороннему IdP, либо к сервису идентификации Google. Ваш сервис ключей шифрования использует ваш IdP для аутентификации пользователей, прежде чем они смогут зашифровать контент или получить доступ к зашифрованному контенту.

Примечание: После настройки поставщика идентификации (IdP) вы можете настроить гостевой IdP, чтобы разрешить внешний доступ к зашифрованному контенту вашей организации на стороне клиента. Подробности см. в разделе «Настройка гостевого IdP» .

Прежде чем начать

Убедитесь, что вы выбрали службу ключей шифрования, которую хотите использовать с CSE. Подробности см. в разделе «Выбор внешней службы ключей» .

Шаг 1: Спланируйте подключение к поставщику идентификации (IdP).

Проанализируйте поддерживаемые веб-, настольные и мобильные приложения и вспомогательные инструменты.

С помощью подключения к IdP вы можете настроить CSE для всех поддерживаемых веб-приложений Google Workspace:

Google Диск
Google Документы
Google Таблицы
Google Слайды
Гмайл
Календарь Google
Google Meet (аудио, видео и сообщения в чате)

Подключение по протоколу ldP также позволяет настроить CSE для следующих настольных и мобильных приложений:

Диск для настольного компьютера
Управление на Android и iOS
Календарь на Android и iOS
Gmail на Android и iOS
Встречайтесь на Android и iOS

Вы также можете настроить следующие вспомогательные инструменты:

дешифратор CSE

Выберите своего поставщика идентификации для CSE

Для использования службы ключей шифрования с CSE вам потребуется поставщик идентификационных данных (IdP), поддерживающий стандарт OpenID Connect (OIDC). Если вы еще не используете OIDC IdP с Google Workspace, вы можете настроить свой IdP для использования со службой ключей двумя способами:

**Вариант 1: Использование стороннего поставщика идентификации (рекомендуется)**

Use an OIDC third-party IdP if your security model requires more isolation of your encrypted data from Google.

Если вы уже используете стороннего поставщика идентификации (IdP) для единого входа (SSO) на основе SAML: рекомендуется использовать тот же поставщик идентификации для CSE, который вы используете для доступа к сервисам Google Workspace, если этот поставщик идентификации поддерживает OIDC. Узнайте больше об использовании SSO на основе SAML с Google Workspace.

**Вариант 2: Использование Google Identity**

Если ваша модель безопасности не требует дополнительной изоляции зашифрованных данных от Google, вы можете использовать стандартный идентификатор Google в качестве поставщика идентификации (IdP).

Только для сторонних поставщиков идентификации: настройка браузеров пользователей.

Если вы используете стороннего поставщика идентификации (IdP) для CSE, рекомендуется разрешить использование сторонних файлов cookie от вашего IdP в браузерах пользователей; в противном случае пользователям может потребоваться чаще входить в вашу учетную запись IdP при использовании CSE.

Если ваша организация использует Chrome Enterprise: вы можете использовать политику CookiesAllowedForUrls .
Для других браузеров: обратитесь к справочной информации вашего браузера за инструкциями о том, как разрешить использование сторонних файлов cookie.

Выберите способ подключения к вашему поставщику идентификации (IdP) для CSE.

Вы можете настроить свой поставщик идентификации (IdP) — либо сторонний поставщик идентификации, либо учетную запись Google — используя либо файл .well-known, размещенный на веб-сайте вашей организации, либо консоль администратора (которая является резервным вариантом для IdP). Для каждого метода есть несколько нюансов, описанных в таблице ниже.

Примечание: При настройке гостевого поставщика идентификации (IdP ) необходимо использовать консоль администратора.

Соображения	хорошо известная конфигурация	Настройка административной консоли (резервный вариант с поставщиком идентификации)
Изоляция от Google	Настройки поставщика идентификации хранятся на вашем собственном сервере.	Настройки поставщика идентификации хранятся на серверах Google.
Административные обязанности	Вместо суперадминистратора Google Workspace управлять настройками может веб-мастер.	Управлять настройками вашего поставщика идентификации (IdP) может только суперадминистратор Google Workspace.
Доступность CSE	Доступность (время безотказной работы) CSE зависит от доступности сервера, на котором размещен ваш файл .well-known.	Доступность CSE соответствует общей доступности сервисов Google Workspace.
Простота настройки	Для этого необходимо изменить настройки DNS для вашего сервера вне административной консоли.	Настройте параметры в консоли администратора.
Обмен информацией за пределами вашей организации	Внешний сервис ключей вашего партнера может легко получить доступ к настройкам вашего поставщика идентификации (IdP). Этот доступ может быть автоматизирован и гарантирует, что сервис вашего партнера будет иметь немедленный доступ к любым изменениям в настройках вашего IdP.	Внешний сервис ключей вашего соавтора не может получить доступ к настройкам вашего поставщика идентификации (IdP) в консоли администратора. Вам необходимо предоставить настройки IdP непосредственно вашему соавтору перед первой передачей зашифрованных файлов, а также при каждом изменении настроек IdP.

Шаг 2: Создайте идентификаторы клиентов для CSE.

Создайте идентификатор клиента для веб-приложений.

Вам необходимо создать идентификатор клиента и добавить URI перенаправления для поддерживаемых веб-приложений Google Workspace. Список поддерживаемых приложений можно найти в разделе «Поддерживаемые веб-, настольные и мобильные приложения» на этой странице.

Способ создания идентификатора клиента для веб-приложений зависит от того, используете ли вы стороннего поставщика идентификации (IdP) или систему идентификации Google.

Если вы настраиваете гостевого поставщика идентификации (IdP) : вам необходимо создать дополнительный идентификатор клиента для доступа к Google Meet , который используется для проверки того, что гость был приглашен на встречу. Для получения дополнительной информации перейдите в раздел «Настройка гостевого поставщика идентификации» .

**Если вы используете стороннего поставщика идентификации для CSE**

Создайте идентификатор клиента, используя административную консоль вашего поставщика идентификации (IdP). Вам также потребуется добавить следующие URI перенаправления в административную консоль вашего IdP:

Веб-сервисы:

https://client-side-encryption.google.com/callback
https://client-side-encryption.google.com/oidc/cse/callback
https://client-side-encryption.google.com/oidc/drive/callback
https://client-side-encryption.google.com/oidc/gmail/callback
https://client-side-encryption.google.com/oidc/meet/callback
https://client-side-encryption.google.com/oidc/calendar/callback
https://client-side-encryption.google.com/oidc/docs/callback
https://client-side-encryption.google.com/oidc/sheets/callback
https://client-side-encryption.google.com/oidc/slides/callback

Диск для рабочего стола:

http://localhost

Мобильные приложения для Android и iOS:

https://client-side-encryption.google.com/oidc/gmail/native/callback
https://client-side-encryption.google.com/oidc/meet/native/callback
https://client-side-encryption.google.com/oidc/calendar/native/callback
https://client-side-encryption.google.com/oidc/drive/native/callback
https://client-side-encryption.google.com/oidc/gmail/meet/native/callback

**Если вы используете Google Identity для CSE**

You need to create a client ID in the Google Cloud console. You'll add it in your .well-known/cse-configuration file or the Admin console. You'll also set up JavaScript origins (also called cross-origin resource sharing, or CORS) and add redirect URIs.

Перейдите на console.cloud.google.com .
Создайте новый проект Google Cloud. Получите инструкции .
Настройте проект так, как вам удобно — он нужен только для хранения учетных данных.
В консоли перейдите в меню. API и сервисы Реквизиты для входа .
Создайте идентификатор клиента OAuth для нового веб-приложения, которое вы будете использовать с CSE. Полные инструкции доступны по ссылке .
Обновите источники JavaScript , добавив следующее:
- https://admin.google.com
- https://client-side-encryption.google.com
Обновите авторизованные URI перенаправления , добавив следующее.
Веб-сервисы:
- https://client-side-encryption.google.com/callback
- https://client-side-encryption.google.com/oidc/cse/callback
- https://client-side-encryption.google.com/oidc/drive/callback
- https://client-side-encryption.google.com/oidc/gmail/callback
- https://client-side-encryption.google.com/oidc/meet/callback
- https://client-side-encryption.google.com/oidc/calendar/callback
- https://client-side-encryption.google.com/oidc/docs/callback
- https://client-side-encryption.google.com/oidc/sheets/callback
- https://client-side-encryption.google.com/oidc/slides/callback
Диск для рабочего стола:
http://localhost
Мобильные приложения для Android и iOS:
Для мобильных приложений Android и iOS дополнительная настройка не требуется.

Создан идентификатор клиента OAuth. Сохраните этот идентификатор, чтобы добавить его в файл .well-known/cse-configuration или в консоль администратора.

Создавайте идентификаторы клиентов для настольных и мобильных приложений.

Если вы хотите, чтобы ваши пользователи могли использовать CSE с настольными и мобильными приложениями, вам потребуются идентификаторы клиентов для этих приложений. Вы добавите их в файл .well-known/cse-configuration или в консоль администратора. Возможно, вам также потребуется добавить идентификаторы клиентов в конфигурацию службы ключей — обратитесь к документации вашей службы ключей.

Для каждого мобильного приложения вам потребуется один идентификатор клиента для каждой платформы (Android и iOS). Список поддерживаемых приложений можно найти в разделе «Поддерживаемые веб-, настольные и мобильные приложения» на этой странице.

Способ получения идентификаторов клиентов для настольных и мобильных приложений зависит от того, используете ли вы сторонний поставщик идентификаторов или систему идентификации Google.

Примечание: Эти идентификаторы клиентов должны поддерживать тип предоставления authorization_code для PKCE ( RFC 7636 ).

**Если вы будете использовать стороннего поставщика идентификации для CSE**

Используйте административную консоль вашего поставщика идентификации (IdP), чтобы сгенерировать отдельный идентификатор клиента для каждого приложения.

**Если вы будете использовать Google Identity для CSE**

Используйте следующие идентификаторы клиентов:

Google Диск для настольных компьютеров — используйте идентификатор клиента 947318989803-k88lapdik9bledfml8rr69ic6d3rdv57.apps.googleusercontent.com
Приложение Drive на Android — используйте идентификатор клиента 313892590415-6lbccuf47cou4q45vanraqp3fv5jt9do.apps.googleusercontent.com
Приложение Drive на iOS — используйте идентификатор клиента 313892590415-d3h1l7kl4htab916r6jevqdtu8bfmh9m.apps.googleusercontent.com
Календарь на Android — используйте идентификатор клиента 313892590415-q84luo8fon5pn5vl8a6rppo1qvcd3qvn.apps.googleusercontent.com
Календарь на iOS — используйте идентификатор клиента 313892590415-283b3nilr8561tedgu1n4dcm9hd6g3hr.apps.googleusercontent.com
Gmail на Android — используйте идентификатор клиента 313892590415-samhd32i4piankgs42o9sit5e9dug452.apps.googleusercontent.com
Gmail на iOS — используйте идентификатор клиента 313892590415-ijvjpbnsh0gauuunjgsdn64ngg37k6rc.apps.googleusercontent.com
Встречайтесь на Android — используйте идентификатор клиента 313892590415-i06v47su4k03ns7ot38akv7s9ari5oa5.apps.googleusercontent.com
Встречайтесь на iOS — используйте идентификатор клиента 313892590415-32ha2bvs0tr1b12s089i33o58hjvqt55.apps.googleusercontent.com

Создайте идентификаторы клиентов для вспомогательных инструментов.

Мы рекомендуем вам:

Используйте один идентификатор клиента для каждого вспомогательного инструмента, взаимодействующего с привилегированными конечными точками (privilegedwrap, privilegedunwrap, privilegedprivatekeydecrypt) вашей службы ключей. Список поддерживаемых инструментов см. на странице «Просмотр поддерживаемых веб-, настольных и мобильных приложений, а также вспомогательных инструментов» .
Настройте политики доступа вашей службы ключей для конечных точек privilegedunwrap и privilegedprivatekeydecrypt, чтобы разрешить использование идентификатора клиента дешифратора CSE.

Шаг 3: Подключитесь к вашему поставщику идентификации (IdP) для CSE.

Для подключения Google Workspace к вашему поставщику идентификации (IdP) можно использовать файл .well-known или консоль администратора. После установления соединения необходимо добавить ваш IdP в список разрешенных в консоли администратора.

Вариант 1: Подключитесь к вашему поставщику идентификации (IdP) с помощью файла .well-known.

Для настройки стороннего поставщика идентификации (IdP) или поставщика идентификации Google с этой опцией необходимо разместить файл .well-known на общедоступном веб-сайте вашей организации. Этот файл определяет, какого поставщика идентификации вы используете, и позволяет вашим внешним партнерам узнавать ваши настройки IdP.

Шаг 1: Разместите файл .well-known на своем сервере.

Конфигурация вашего поставщика идентификации (IdP) должна быть размещена по этому URI в вашем домене:

https: //cse.subdomain.domain.tld/.well-known/cse-configuration

где subdomain.domain.tld должен соответствовать домену в вашем адресе электронной почты. Например, если домен в вашем адресе электронной почты — solarmora.com , то файл .well-known следует разместить по адресу:

https://cse.solarmora.com/.well-known/cse-configuration

Примечание: Префикс https://cse. необходим, поскольку URI .well-known не зарегистрирован в IETF ( RFC 8615 ).

Шаг 2: Настройте файл .well-known

Содержимое вашего файла .well-known, расположенного в папке well-known/cse-configuration, должно быть закодировано в формате JSON ( RFC 8259 ) и содержать следующие поля:

Поле	Описание
`name`	Имя поставщика идентификации (IdP) — вы можете использовать любое имя по своему усмотрению. Это имя отображается в сообщениях об ошибках IdP для пользователей в сервисах Google, таких как Google Диск и редактор документов.
`client_id`	Идентификатор клиента OpenID Connect (OIDC), который веб-приложение CSE использует для получения JSON Web Token (JWT). При создании идентификатора клиента вы также добавите URI перенаправления в консоли Google Cloud. Подробную информацию о создании идентификатора клиента см. в разделе «Создание идентификатора клиента для веб-приложений» на этой странице.
`discovery_uri`	URL-адрес обнаружения OIDC, как определено в данной спецификации OpenID .
	Если вы используете стороннего поставщика идентификации (IdP). Ваш поставщик идентификации предоставляет вам этот URL-адрес, который обычно заканчивается на `/.well-known/openid-configuration`
	Если вы используете Google Identity Используйте `https://accounts.google.com/.well-known/openid-configuration`
`grant_type`	Процесс аутентификации OAuth, используемый для OIDC в клиентских веб-приложениях CSE.
	Если вы используете стороннего поставщика идентификации (IdP). Для веб-приложений CSE можно использовать либо `implicit` тип предоставления доступа, либо тип `authorization_code` .
	Если вы используете Google Identity Для веб-приложений можно использовать только `implicit` тип предоставления прав.
`applications`	Дополнительные клиентские приложения, с которыми вы хотите использовать CSE. Вам необходимо добавить идентификатор клиента для каждого приложения в файл .well-known. Примечание: Эти идентификаторы клиентов должны поддерживать тип предоставления `authorization_code` для PKCE ( RFC 7636 ). Подробную информацию о создании идентификаторов клиентов см. в разделе «Создание идентификатора клиента для настольных и мобильных приложений» на этой странице.

**Если вы используете стороннего поставщика идентификации (IdP), ваш файл .well-known должен выглядеть следующим образом:**

**Если вы используете Google Identity, ваш файл .well-known должен выглядеть следующим образом:**

{

"name" : "Google Identity",

"client_id" : " ID from Google Cloud ( created above ) ",

"discovery_uri" : "https://accounts.google.com/.well-known/openid-configuration",

"applications":{

"drivefs":{

"client_id": "947318989803-k88lapdik9bledfml8rr69ic6d3rdv57.apps.googleusercontent.com"

},

"drive-android":{ "client_id": "313892590415-6lbccuf47cou4q45vanraqp3fv5jt9do.apps.googleusercontent.com" }, "drive-ios":{ "client_id": "313892590415-d3h1l7kl4htab916r6jevqdtu8bfmh9m.apps.googleusercontent.com"

}, "calendar-android":{ "client_id": "313892590415-q84luo8fon5pn5vl8a6rppo1qvcd3qvn.apps.googleusercontent.com"

}, "calendar-ios":{ "client_id": "313892590415-283b3nilr8561tedgu1n4dcm9hd6g3hr.apps.googleusercontent.com"

}, "gmail-android":{ "client_id": "313892590415-samhd32i4piankgs42o9sit5e9dug452.apps.googleusercontent.com"

}, "gmail-ios":{ "client_id": "313892590415-ijvjpbnsh0gauuunjgsdn64ngg37k6rc.apps.googleusercontent.com"

}, "meet-android":{ "client_id": "313892590415-i06v47su4k03ns7ot38akv7s9ari5oa5.apps.googleusercontent.com"

}, "meet-ios":{ "client_id": "313892590415-32ha2bvs0tr1b12s089i33o58hjvqt55.apps.googleusercontent.com"

}

Шаг 3: Настройка CORS

Если вы используете Google Identity в качестве поставщика идентификации (IdP): настройку CORS необходимо выполнить в консоли Google Cloud при создании идентификатора клиента. Подробности см. в разделе «Создание идентификатора клиента для веб-приложений» на этой странице.

Если вы используете сторонний поставщик идентификации (IdP): ваши файлы .well-known/openid-configuration и .well-known/cse-configuration должны разрешать исходные URL-адреса для вызовов с обменом ресурсами между источниками (CORS). В административной консоли вашего IdP настройте параметры следующим образом:

.well-known/openid-configuration (URI обнаружения)

Методы: GET
Допустимые источники:
- https://admin.google.com
- https://client-side-encryption.google.com

.well-known/cse-configuration

Методы: GET
Допустимые источники:
- https://admin.google.com
- https://client-side-encryption.google.com

Вариант 2: Подключитесь к вашему поставщику идентификации (IdP) через консоль администратора.

Вместо использования файла .well-known вы можете подключить Google Workspace к своему поставщику идентификации (IdP) через консоль администратора.

Шаг 1: Соберите информацию о вашем поставщике идентификации (IdP).

Для подключения к вашему поставщику идентификации (IdP) через консоль администратора вам потребуется следующая информация о вашем IdP:

Название вашего поставщика идентификации (IdP)	Для получения более подробной информации перейдите к разделу «Настройка файла .well-known», расположенному выше на этой странице.
Идентификатор клиента для веб-приложений	Для получения более подробной информации перейдите к разделу «Создание идентификатора клиента для веб-приложений», расположенному выше на этой странице.
URI обнаружения	Для получения более подробной информации перейдите к разделу «Настройка файла .well-known», расположенному выше на этой странице.
Идентификаторы клиентов для настольных и мобильных приложений (необязательно)	Более подробную информацию см. в разделе «Создание идентификаторов клиентов для настольных и мобильных приложений» ранее на этой странице.

Шаг 2: Настройка CORS

Если вы используете Google Identity: вы настраиваете совместное использование ресурсов между источниками (CORS) в консоли Google Cloud при создании идентификатора клиента. Подробности см. в разделе «Создание идентификатора клиента для веб-приложений» на этой странице.

Если вы используете сторонний поставщик идентификации (IdP): в консоли администратора вашего IdP настройте URI обнаружения, чтобы разрешить URL-адреса источников для вызовов совместного использования ресурсов между источниками (CORS), следующим образом:

Метод: GET
Допустимые источники:
- https://admin.google.com
- https://client-side-encryption.google.com

Шаг 3: Добавьте информацию в консоль администратора.

Для выполнения этой задачи необходимо войти в систему как суперадминистратор .

В консоли администратора Google перейдите в меню. ДанныеСогласиеШифрование на стороне клиента .
Перейдите к разделу «Шифрование на стороне клиента».
Для выполнения этой задачи необходимо войти в систему как суперадминистратор .
Примечание: В разделе «Конфигурация поставщика идентификации » появляется сообщение о том, что Google Workspace не может получить доступ к вашему файлу .well-known. Поскольку вы подключаетесь к поставщику идентификации через консоль администратора, вы можете игнорировать это сообщение.
В разделе «Конфигурация поставщика идентификации» нажмите «Настроить резервный вариант поставщика идентификации» .
Или, если вы настраиваете гостевой поставщик идентификации (IdP) , нажмите «Настроить гостевой поставщик идентификации» .
Введите следующую информацию о вашем поставщике идентификации (IdP):
- Имя
- Идентификатор клиента (для веб-приложений)
- URI обнаружения
Нажмите «Проверить соединение» .
Если Google Workspace может подключиться к вашему поставщику идентификации (IdP), появится сообщение «Подключение успешно установлено».
Если вы настраиваете гостевой поставщик идентификации (IdP): нажмите «Продолжить» , а затем выберите веб-приложения, для которых вы хотите предоставить гостевой доступ.
Чтобы предоставить гостевой доступ к Google Meet (веб-версия), также введите идентификатор клиента для подтверждения приглашения гостя.
Затем нажмите «Сохранить» , чтобы закрыть карточку.
(Необязательно) Для использования CSE с конкретными приложениями:
1. В разделе «Аутентификация для настольных и мобильных приложений Google (необязательно)» выберите приложения, с которыми вы хотите использовать CSE.
2. В поле «Идентификатор клиента» укажите идентификатор клиента для приложения.
Нажмите «Добавить поставщика услуг» , чтобы закрыть карту.

Шаг 4 (только для сторонних поставщиков идентификации): Добавьте свой поставщик идентификации в список разрешенных в консоли администратора.

Необходимо добавить сторонний поставщик идентификации (IdP) в список доверенных сторонних приложений, чтобы пользователям не приходилось повторно входить в вашу учетную запись IdP. Следуйте инструкциям в разделе «Управление доступом сторонних и внутренних приложений к данным Google Workspace» в подразделе «Управление доступом к приложениям: доверенные, ограниченные или заблокированные».

Следующий шаг

После настройки поставщика идентификации (IdP) вы готовы настроить службу шифрования ключей .