Für die clientseitige Verschlüsselung eine Verbindung zum Identitätsanbieter herstellen

Unterstützte Versionen für diese Funktion: Frontline Plus; Enterprise Plus; Education Standard und Education Plus. Versionen vergleichen

Nachdem Sie den externen Schlüsseldienst für die clientseitige Verschlüsselung (Client-side Encryption, CSE) in Google Workspace ausgewählt haben, müssen Sie Google Workspace mit einem Identitätsanbieter (Identity Provider, IdP) verbinden, entweder einem externen Identitätsanbieter oder einer Google-Identität. Ihr Verschlüsselungsschlüsseldienst verwendet Ihren IdP, um Nutzer zu authentifizieren, bevor sie Inhalte verschlüsseln oder auf verschlüsselte Inhalte zugreifen können.

Hinweis:Nachdem Sie Ihren IdP konfiguriert haben, können Sie einen Gast-IdP konfigurieren, um externen Zugriff auf die clientseitig verschlüsselten Inhalte Ihrer Organisation zu ermöglichen. Weitere Informationen finden Sie unter Gast-IdP konfigurieren.

Hinweis

Wählen Sie den Verschlüsselungsschlüsseldienst aus, den Sie mit der clientseitigen Verschlüsselung verwenden möchten. Weitere Informationen finden Sie im Hilfeartikel Externen Schlüsseldienst auswählen.

Schritt 1: IdP-Verbindung planen

Unterstützte Web-, Desktop- und mobile Anwendungen sowie Dienstprogramme ansehen

Über Ihre IdP-Verbindung können Sie die clientseitige Verschlüsselung für alle unterstützten Google Workspace-Webanwendungen einrichten:

  • Google Drive
  • Google Docs
  • Google Sheets
  • Google Präsentationen
  • Gmail
  • Google Kalender
  • Google Meet (Audio-, Video- und Chatnachrichten)

Über die ldP-Verbindung können Sie die clientseitige Verschlüsselung für folgende Desktop- und mobile Anwendungen einrichten:

Sie können auch die folgenden Dienstprogramme einrichten:

IdP für die clientseitige Verschlüsselung auswählen

Wenn Sie einen Verschlüsselungsschlüsseldienst mit CSE verwenden möchten, benötigen Sie einen Identitätsanbieter (IdP), der den OpenID Connect-Standard (OIDC) unterstützt. Wenn Sie noch keinen OIDC-Identitätsanbieter mit Google Workspace verwenden, haben Sie zwei Möglichkeiten, den IdP zur Verwendung mit dem Schlüsseldienst einzurichten:

**Option 1: Externen Identitätsanbieter verwenden (empfohlen)**

Verwenden Sie einen externen OIDC-Identitätsanbieter, wenn Ihr Sicherheitsmodell eine stärkere Isolierung Ihrer verschlüsselten Daten von Google erfordert.

Wenn Sie bereits einen externen Identitätsanbieter für die SAML-basierte Einmalanmeldung (SSO) verwenden: Es empfiehlt sich, denselben IdP für die clientseitige Verschlüsselung zu verwenden, den Sie für den Zugriff auf Google Workspace-Dienste verwenden, wenn dieser IdP OIDC unterstützt. Weitere Informationen zur Verwendung der SAML-basierten SSO mit Google Workspace

**Option 2: Google-Identität verwenden**

Wenn gemäß Ihrem Sicherheitsmodell keine zusätzliche Isolierung der verschlüsselten Daten von Google erforderlich ist, können Sie die standardmäßige Google-Identität als IdP verwenden.

Nur externer Identitätsanbieter: Browser der Nutzer einrichten

Wenn Sie einen externen Identitätsanbieter für die clientseitige Verschlüsselung verwenden, empfehlen wir, Drittanbieter-Cookies von Ihrem IdP in den Browsern Ihrer Nutzer zuzulassen. Andernfalls müssen sich Nutzer bei der Verwendung der clientseitigen Verschlüsselung möglicherweise häufiger bei Ihrem IdP anmelden.

  • Wenn Ihre Organisation Chrome Enterprise verwendet:Sie können die Richtlinie CookiesAllowedForUrls verwenden.
  • Andere Browser:Informationen zum Zulassen von Drittanbieter-Cookies finden Sie in den Supportinhalten des jeweiligen Browsers.

Methode zum Herstellen einer Verbindung zum IdP für die clientseitige Verschlüsselung auswählen

Sie können Ihren IdP (Drittanbieter oder Google-Identität) entweder mit einer .well-known-Datei einrichten, die Sie auf der Website Ihrer Organisation hosten, oder über die Admin-Konsole (Ihr IdP-Fallback). In der folgenden Tabelle finden Sie Hinweise zu den einzelnen Methoden.

Hinweis:Wenn Sie einen Gast-IdP konfigurieren, müssen Sie die Admin-Konsole verwenden.

Hinweise .well-known-Datei Admin-Konsole (IdP-Fallback)
Isolierung von Google Die IdP-Einstellungen werden auf Ihrem eigenen Server gespeichert. Die IdP-Einstellungen werden auf Servern von Google gespeichert.
Aufgaben von Administratoren Die Einrichtung kann statt von einem Google Workspace-Super Admin von einem Webmaster verwaltet werden. Nur ein Google Workspace-Super Admin kann die IdP-Einrichtung verwalten.
Verfügbarkeit der clientseitigen Verschlüsselung Die Verfügbarkeit der clientseitigen Verschlüsselung hängt von der Verfügbarkeit des Servers ab, auf dem die .well-known-Datei gehostet wird. Die Verfügbarkeit der clientseitigen Verschlüsselung entspricht der allgemeinen Verfügbarkeit der Google Workspace-Dienste.
Einfache Einrichtung Die DNS-Einstellungen für Ihren Server müssen außerhalb der Admin-Konsole geändert werden. Konfigurieren Sie die Einstellungen in der Admin-Konsole.
Freigabe außerhalb Ihrer Organisation Der externe Schlüsseldienst der Mitbearbeiter kann Ihre IdP-Einstellungen einfach abrufen. Dieser Zugriff kann automatisiert werden und sorgt dafür, dass der Dienst Ihres Mitbearbeiters sofort auf Änderungen an Ihren IdP-Einstellungen zugreifen kann.

Der externe Schlüsseldienst des Mitbearbeiters kann Ihre IdP-Einstellungen in der Admin-Konsole nicht abrufen. Sie müssen diese direkt an Mitbearbeiter weitergeben, bevor Sie verschlüsselte Dateien zum ersten Mal freigeben und jedes Mal, wenn Sie die IdP-Einstellungen ändern.

Schritt 2: Client-IDs für die clientseitige Verschlüsselung erstellen

Client-ID für Webanwendungen erstellen

Sie müssen eine Client-ID erstellen und Weiterleitungs-URIs für unterstützte Google Workspace-Webanwendungen hinzufügen. Eine Liste der unterstützten Apps finden Sie weiter oben auf dieser Seite unter Unterstützte Web-, Computer- und mobile Apps.

Wie Sie eine Client-ID für Webanwendungen erstellen, hängt davon ab, ob Sie einen externen Identitätsanbieter oder die Google-Identität verwenden.

Wenn Sie einen Gast-IdP konfigurieren:Sie müssen eine zusätzliche Client-ID für den Google Meet-Zugriff erstellen, die zur Bestätigung verwendet wird, dass der Gast zur Besprechung eingeladen wurde. Weitere Informationen finden Sie unter Gast-IdP konfigurieren.

**Wenn Sie einen externen Identitätsanbieter für die clientseitige Verschlüsselung verwenden**

Erstellen Sie eine Client-ID über die Admin-Konsole Ihres Identitätsanbieters. Außerdem müssen Sie die folgenden Weiterleitungs-URIs in der Admin-Konsole Ihres IdP hinzufügen:

Webdienste:

  • https://client-side-encryption.google.com/callback
  • https://client-side-encryption.google.com/oidc/cse/callback
  • https://client-side-encryption.google.com/oidc/drive/callback
  • https://client-side-encryption.google.com/oidc/gmail/callback
  • https://client-side-encryption.google.com/oidc/meet/callback
  • https://client-side-encryption.google.com/oidc/calendar/callback
  • https://client-side-encryption.google.com/oidc/docs/callback
  • https://client-side-encryption.google.com/oidc/sheets/callback
  • https://client-side-encryption.google.com/oidc/slides/callback

Drive for Desktop:

http://localhost

Android- und iOS-Apps:

  • https://client-side-encryption.google.com/oidc/gmail/native/callback
  • https://client-side-encryption.google.com/oidc/meet/native/callback
  • https://client-side-encryption.google.com/oidc/calendar/native/callback
  • https://client-side-encryption.google.com/oidc/drive/native/callback
  • https://client-side-encryption.google.com/oidc/gmail/meet/native/callback

**Wenn Sie die Google-Identität für CSE verwenden**

Sie müssen eine Client-ID in der Google Cloud Console erstellen. Sie fügen sie in Ihrer .well-known/cse-Konfigurationsdatei oder in der Admin-Konsole hinzu. Außerdem richten Sie die JavaScript-Quellen ein (auch Cross-Origin Resource Sharing oder CORS genannt) und fügen Weiterleitungs-URIs hinzu.

  1. Rufen Sie console.cloud.google.com auf.
  2. Erstellen Sie ein neues Google Cloud-Projekt. Anleitung

    Richten Sie das Projekt beliebig ein. Es dient lediglich zur Speicherung der Anmeldedaten.

  3. Rufen Sie in der Console das Dreistrich-Menü und dannAPIs & Diensteund dannAnmeldedaten auf.
  4. Erstellen Sie eine OAuth-Client-ID für eine neue Webanwendung, die Sie mit der clientseitigen Verschlüsselung verwenden. Vollständige Anleitung
  5. Geben Sie unter JavaScript-Quellen Folgendes ein:
    • https://admin.google.com
    • https://client-side-encryption.google.com
  6. Geben Sie unter Autorisierte Weiterleitungs-URIs Folgendes ein.

    Webdienste:

    • https://client-side-encryption.google.com/callback
    • https://client-side-encryption.google.com/oidc/cse/callback
    • https://client-side-encryption.google.com/oidc/drive/callback
    • https://client-side-encryption.google.com/oidc/gmail/callback
    • https://client-side-encryption.google.com/oidc/meet/callback
    • https://client-side-encryption.google.com/oidc/calendar/callback
    • https://client-side-encryption.google.com/oidc/docs/callback
    • https://client-side-encryption.google.com/oidc/sheets/callback
    • https://client-side-encryption.google.com/oidc/slides/callback

    Drive for Desktop:

    http://localhost

    Android- und iOS-Apps:

    Für mobile Android- und iOS-Apps ist keine zusätzliche Konfiguration erforderlich.

Eine OAuth-Client-ID wird erstellt. Speichern Sie diese ID, damit Sie sie Ihrer .well-known/cse-Konfigurationsdatei oder der Admin-Konsole hinzufügen können.

Client-IDs für Desktop- und mobile Anwendungen erstellen

Wenn Sie möchten, dass Ihre Nutzer die clientseitige Verschlüsselung mit Desktop- und mobilen Anwendungen verwenden, benötigen Sie Client-IDs für diese Apps. Sie fügen sie Ihrer .well-known/cse-Konfigurationsdatei oder der Admin-Konsole hinzu. Möglicherweise müssen Sie die Client-IDs auch der Konfiguration Ihres Schlüsseldienstes hinzufügen. Weitere Informationen finden Sie in der Dokumentation Ihres Schlüsseldienstes.

Für jede mobile App benötigen Sie eine Client-ID für jede Plattform (Android und iOS). Eine Liste der unterstützten Apps finden Sie weiter oben auf dieser Seite unter Unterstützte Web-, Computer- und mobile Apps.

Wie Sie Client-IDs für Desktop- und mobile Anwendungen erhalten, hängt davon ab, ob Sie einen externen IdP oder die Google-Identität verwenden.

Hinweis:Diese Client-IDs müssen den Berechtigungstyp authorization_code für PKCE (RFC 7636) unterstützen.

**Wenn Sie einen externen Identitätsanbieter für die clientseitige Verschlüsselung verwenden**

Generieren Sie über die Admin-Konsole Ihres Identitätsanbieters eine separate Client-ID für jede App.

**Wenn Sie die Google-Identität für CSE verwenden**

Verwenden Sie die folgenden Client-IDs:

  • Drive for Desktop: Verwenden Sie die Client-ID 947318989803-k88lapdik9bledfml8rr69ic6d3rdv57.apps.googleusercontent.com
  • Drive unter Android: Verwenden Sie die Client-ID 313892590415-6lbccuf47cou4q45vanraqp3fv5jt9do.apps.googleusercontent.com
  • Drive unter iOS: Verwenden Sie die Client-ID 313892590415-d3h1l7kl4htab916r6jevqdtu8bfmh9m.apps.googleusercontent.com
  • Kalender auf Android-Geräten: Verwenden Sie die Client-ID 313892590415-q84luo8fon5pn5vl8a6rppo1qvcd3qvn.apps.googleusercontent.com
  • Kalender auf iOS-Geräten: Verwenden Sie die Client-ID 313892590415-283b3nilr8561tedgu1n4dcm9hd6g3hr.apps.googleusercontent.com.
  • Gmail für Android: Verwenden Sie die Client-ID 313892590415-samhd32i4piankgs42o9sit5e9dug452.apps.googleusercontent.com
  • Gmail unter iOS: Verwenden Sie die Client-ID 313892590415-ijvjpbnsh0gauuunjgsdn64ngg37k6rc.apps.googleusercontent.com
  • Meet unter Android: Verwenden Sie die Client-ID 313892590415-i06v47su4k03ns7ot38akv7s9ari5oa5.apps.googleusercontent.com
  • Meet unter iOS: Verwenden Sie die Client-ID 313892590415-32ha2bvs0tr1b12s089i33o58hjvqt55.apps.googleusercontent.com.

Client-IDs für Dienstprogramme erstellen

Wir empfehlen Folgendes:

  1. Verwenden Sie für jedes Dienstprogramm, das mit den privilegierten Endpunkten (privilegedwrap, privilegedunwrap, privilegedprivatekeydecrypt) Ihres Schlüsseldienstes interagiert, eine Client-ID. Eine Liste der unterstützten Tools finden Sie auf dieser Seite unter Unterstützte Web-, Computer- und mobile Anwendungen sowie Dienstprogramme.
  2. Konfigurieren Sie die Zugriffsrichtlinien Ihres Schlüsseldienstes für die Endpunkte „privilegedunwrap“ und „privilegedprivatekeydecrypt“, um die Client-ID des CSE-Entschlüsselungstools zuzulassen.

Schritt 3: Verbindung zum IdP für die clientseitige Verschlüsselung herstellen

Sie können Google Workspace über eine .well-known-Datei oder über die Admin-Konsole mit Ihrem IdP verbinden. Nachdem Sie die Verbindung hergestellt haben, müssen Sie den IdP in der Admin-Konsole auf die Zulassungsliste setzen.

Hinweis:Wenn Sie einen Gast-IdP konfigurieren, müssen Sie die Admin-Konsole verwenden.

Option 1: IdP-Verbindung über eine .well-known-Datei herstellen

Bei der Einrichtung des IdP (extern oder Google-Identität) mit dieser Option müssen Sie der öffentlichen Website Ihrer Organisation eine .well-known-Datei hinzufügen. Diese Datei enthält die Information, welchen IdP Sie verwenden, sowie die IdP-Einstellungen zum Abrufen für Ihre externen Mitbearbeiter.

Schritt 1: .well-known-Datei auf dem Server ablegen

Sie müssen Ihre IdP-Konfiguration unter diesem URI in Ihrer Domain ablegen:

https://cse.subdomain.domain.tld/.well-known/cse-configuration

Dabei muss subdomain.domain.tld der Domain in Ihrer E-Mail-Adresse entsprechen. Wenn die Domain in Ihrer E-Mail-Adresse beispielsweise solarmora.com lautet, müssen Sie folgenden Pfad für die .well-known-Datei verwenden:

https://cse.solarmora.com/.well-known/cse-configuration

Hinweis:Das Präfix https://cse. ist erforderlich, da der .well-known-URI nicht beim IETF (RFC 8615) registriert ist.

Schritt 2: .well-known-Datei konfigurieren

Der Inhalt der .well-known-Datei unter „well-known/cse-configuration“ muss JSON-codiert sein (RFC 8259) und die folgenden Felder enthalten:

Feld Beschreibung

name

 Der Name des IdP – Sie können einen beliebigen Namen verwenden. Der Name wird Nutzern in Fehlermeldungen des Identitätsanbieters in Google-Diensten wie Google Drive und den Docs-Editoren angezeigt.

client_id

Die OIDC-Client-ID (OpenID Connect), die von der Clientwebanwendung verwendet wird, um ein JSON Web Token (JWT) zu erhalten.

Wenn Sie eine Client-ID erstellen, fügen Sie auch Weiterleitungs-URIs in der Google Cloud Console hinzu.

Weitere Informationen zum Erstellen einer Client-ID finden Sie weiter oben auf dieser Seite im Abschnitt Client-ID für Webanwendungen erstellen.
discovery_uri

Die OIDC-Erkennungs-URL gemäß dieser OpenID-Spezifikation.

Wenn Sie einen externen Identitätsanbieter verwenden

Diese URL wird von Ihrem IdP bereitgestellt und endet in der Regel mit /.well-known/openid-configuration.

Wenn Sie die Google-Identität verwenden

https://accounts.google.com/.well-known/openid-configuration“ verwenden
grant_type

Der für OIDC mit CSE-Clientwebanwendungen verwendete OAuth-Ablauf

Wenn Sie einen externen Identitätsanbieter verwenden

Für CSE-Webanwendungen können Sie entweder den Berechtigungstyp implicit oder authorization_code verwenden.

Wenn Sie die Google-Identität verwenden

Für Webanwendungen kann nur der Berechtigungstyp implicit verwendet werden.

applications

Die zusätzlichen Clientanwendungen, mit denen Sie die clientseitige Verschlüsselung verwenden möchten. Sie müssen Ihrer .well-known-Datei eine Client-ID für jede App hinzufügen.

Hinweis:Diese Client-IDs müssen den Berechtigungstyp authorization_code für PKCE (RFC 7636) unterstützen.

Weitere Informationen zum Erstellen von Client-IDs finden Sie weiter oben auf dieser Seite im Abschnitt Client-ID für Desktop- und mobile Anwendungen erstellen.

    **Wenn Sie einen externen Identitätsanbieter verwenden, muss die .well-known-Datei so aussehen:**

    **Wenn Sie die Google-Identität verwenden, muss die .well-known-Datei so aussehen:**

    Schritt 3: CORS einrichten

    Wenn Sie die Google-Identität für Ihren Identitätsanbieter verwenden, richten Sie beim Erstellen Ihrer Client-ID in der Google Cloud Console CORS ein. Weitere Informationen finden Sie weiter oben auf dieser Seite im Abschnitt Client-ID für Webanwendungen erstellen.

    Wenn Sie einen externen Identitätsanbieter verwenden, müssen die Konfigurationen „.well-known/openid-configuration“ und „.well-known/cse-configuration“ Ursprungs-URLs für CORS-Anrufe (Cross-Origin Resource Sharing) zulassen. Richten Sie in der Admin-Konsole Ihres IdP die Konfigurationen so ein:

      .well-known/openid-configuration (Erkennungs-URI)

      • Methoden: GET
      • Zulässige Ursprünge:
        • https://admin.google.com
        • https://client-side-encryption.google.com

      .well-known/cse-configuration

      • Methoden: GET
      • Zulässige Ursprünge:
        • https://admin.google.com
        • https://client-side-encryption.google.com

      Option 2: IdP-Verbindung über die Admin-Konsole herstellen

      Statt eine .well-known-Datei zu verwenden, können Sie Google Workspace über die Admin-Konsole mit Ihrem IdP verbinden.

      Hinweis:Wenn Sie einen Gast-IdP konfigurieren, müssen Sie die Admin-Konsole verwenden.

      Schritt 1: Informationen zu Ihrem IdP erfassen

      Um über die Admin-Konsole eine Verbindung zu Ihrem IdP herzustellen, benötigen Sie die folgenden Informationen zu Ihrem IdP:

      Name Ihres IdP Weitere Informationen finden Sie oben im Abschnitt .well-known-Datei konfigurieren.
      Client-ID für Webanwendungen Weitere Informationen finden Sie weiter oben auf dieser Seite im Abschnitt Client-ID für Webanwendungen erstellen.
      Erkennungs-URI Weitere Informationen finden Sie oben im Abschnitt .well-known-Datei konfigurieren.
      Client-IDs für Desktop- und mobile Apps (optional) Weitere Informationen finden Sie weiter oben auf dieser Seite unter Client-IDs für Desktop- und mobile Anwendungen erstellen.

      Schritt 2: CORS einrichten

      Wenn Sie die Google-Identität verwenden, richten Sie beim Erstellen Ihrer Client-ID in der Google Cloud Console Cross-Origin Resource Sharing (CORS) ein. Weitere Informationen finden Sie weiter oben auf dieser Seite im Abschnitt Client-ID für Webanwendungen erstellen.

      Wenn Sie einen externen Identitätsanbieter verwenden, konfigurieren Sie in der Admin-Konsole Ihres IdP den Erkennungs-URI so, dass Ursprungs-URLs für CORS-Aufrufe (Cross-Origin Resource Sharing) zugelassen werden:

      • Methode: GET
      • Zulässige Ursprünge:
        • https://admin.google.com
        • https://client-side-encryption.google.com

      Schritt 3: Informationen in der Admin-Konsole hinzufügen

      Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.

      1. Gehen Sie in der Admin-Konsole zum Dreistrich-Menü und dann Datenund dannComplianceund dannClientseitige Verschlüsselung.

        Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.

        Hinweis:Unter Konfiguration des Identitätsanbieters wird eine Meldung angezeigt, dass Google Workspace nicht auf Ihre .well-known-Datei zugreifen kann. Da Sie die IdP-Verbindung über die Admin-Konsole herstellen, können Sie diese Meldung ignorieren.

      2. Klicken Sie unter Konfiguration des Identitätsanbieters auf IdP-Fallback konfigurieren.

        Wenn Sie einen Gast-IdP konfigurieren, klicken Sie auf Gast-IdP konfigurieren.

      3. Geben Sie die folgenden Informationen zu Ihrem IdP ein:
        • Name
        • Client-ID (für Webanwendungen)
        • Erkennungs-URI

      4. Klicken Sie auf Test connection (Verbindung testen).

        Wenn Google Workspace eine Verbindung zu Ihrem IdP herstellen kann, wird die Meldung „Verbindung erfolgreich“ angezeigt.

      5. Wenn Sie einen Gast-IdP konfigurieren: Klicken Sie auf Weiter und wählen Sie dann die Web-Apps aus, für die Sie Gastzugriff gewähren möchten.

        Wenn Sie Gastzugriff für Google Meet (Web) ermöglichen möchten, geben Sie auch die Client-ID für die Bestätigung der Gästeeinladung ein.

        Klicken Sie dann auf Speichern, um die Karte zu schließen.

      6. Optional: So verwenden Sie die clientseitige Verschlüsselung mit bestimmten Anwendungen:
        1. Wählen Sie unter Authentifizierung für Desktop- und mobile Apps von Google (optional) die Anwendungen aus, für die Sie die clientseitige Verschlüsselung nutzen möchten.
        2. Geben Sie unter Client-ID die Client-ID für die Anwendung ein.
      7. Klicken Sie auf Anbieter hinzufügen, um die Karte zu schließen.

      Schritt 4 (nur bei externen Identitätsanbietern): Identitätsanbieter in der Admin-Konsole auf die Zulassungsliste setzen

      Sie müssen Ihren externen Identitätsanbieter Ihrer Liste vertrauenswürdiger Drittanbieter-Apps hinzufügen, damit sich die Nutzer nicht wiederholt bei Ihrem Identitätsanbieter anmelden müssen. Eine Anleitung dazu finden Sie im Hilfeartikel Zugriff externer und interner Apps auf Google Workspace-Daten verwalten unter „Zugriff auf Apps verwalten: Vertrauenswürdig, Eingeschränkt oder Blockiert“.

      Nächster Schritt

      Nachdem Sie Ihren IdP eingerichtet haben, können Sie Ihren Schlüsseldienst einrichten.