Conéctate a tu proveedor de identidad para usar la encriptación del cliente

Ediciones compatibles con esta función: Frontline Plus, Enterprise Plus, Education Standard y Education Plus. Comparar tu edición

Después de elegir tu servicio de claves externo para la encriptación del cliente (CSE) de Google Workspace, debes conectar Google Workspace a un proveedor de identidad (IdP), ya sea un IdP externo o la identidad de Google. Tu servicio de claves de encriptación usa tu IdP para autenticar a los usuarios antes de que puedan encriptar contenido o acceder a contenido encriptado.

Nota: Después de configurar tu IdP, puedes configurar un IdP para invitados para permitir el acceso externo al contenido con encriptación del cliente de tu organización. Para obtener más información, consulta Cómo configurar un IdP invitado.

Antes de comenzar

Asegúrate de haber elegido el servicio de claves de encriptación que deseas usar con la CSE. Para obtener más información, consulta Cómo elegir tu servicio de claves externas.

Paso 1: Planifica tu conexión del IdP

Revisa las aplicaciones web, para computadoras y para dispositivos móviles, y las herramientas de utilidad compatibles

Con tu conexión al IdP, puedes configurar la CSE para todas las aplicaciones web de Google Workspace compatibles:

  • Google Drive
  • Documentos de Google
  • Hojas de cálculo de Google
  • Presentaciones de Google
  • Gmail
  • Calendario de Google
  • Google Meet (mensajes de audio, video y chat)

Tu conexión de ldP también te permite configurar CSE para las siguientes aplicaciones para computadoras y dispositivos móviles:

También puedes configurar las siguientes herramientas de utilidad:

Elige tu IdP para el CSE

Para usar un servicio de claves de encriptación con la CSE, necesitas un proveedor de identidad (IdP) que admita el estándar de OpenID Connect (OIDC). Si aún no usas un IdP de OIDC con Google Workspace, puedes configurar tu IdP para usarlo con tu servicio de claves de dos maneras:

**Opción 1: Usa un IdP externo (recomendado)**

Usa un IdP externo de OIDC si tu modelo de seguridad requiere más aislamiento de tus datos encriptados de Google.

Si ya usas un IdP externo para el inicio de sesión único (SSO) basado en SAML, te recomendamos que uses el mismo IdP para la CSE que usas para acceder a los servicios de Google Workspace, si ese IdP admite OIDC. Obtén más información para usar el SSO basado en SAML con Google Workspace.

**Opción 2: Usa la identidad de Google**

Si tu modelo de seguridad no requiere aislamiento adicional de tus datos encriptados de Google, puedes usar la identidad predeterminada de Google como tu IdP.

Solo para IdP externos: Configura los navegadores de los usuarios

Si usas un IdP externo para la CSE, te recomendamos que permitas las cookies de terceros de tu IdP en los navegadores de los usuarios. De lo contrario, es posible que los usuarios deban acceder a tu IdP con más frecuencia cuando usen la CSE.

  • Si tu organización usa Chrome Enterprise, puedes usar la política CookiesAllowedForUrls.
  • Otros navegadores: Consulta el contenido de ayuda del navegador para obtener instrucciones sobre cómo permitir las cookies de terceros.

Elige cómo conectarte a tu IdP para la CSE

Puedes configurar tu IdP, ya sea un IdP externo o la identidad de Google, con un archivo .well-known que alojes en el sitio web de tu organización o con la Consola del administrador (que es tu resguardo de IdP). Cada método tiene varias consideraciones, como se describe en la siguiente tabla.

Nota: Si configuras un IdP invitado, debes usar la Consola del administrador.

Consideraciones Configuración de .well-known Configuración de la Consola del administrador (resguardo del IdP)
Aislamiento de Google La configuración del IdP se almacena en tu propio servidor. La configuración del IdP se almacena en los servidores de Google.
Responsabilidades del administrador Un administrador web puede administrar tu configuración en lugar de un administrador avanzado de Google Workspace. Solo un administrador avanzado de Google Workspace puede administrar la configuración de tu IdP.
Disponibilidad del CSE La disponibilidad del CSE (tiempo de actividad) depende de la disponibilidad del servidor que aloja tu archivo .well-known. La disponibilidad de la CSE corresponde a la disponibilidad general de los servicios de Google Workspace.
Facilidad de configuración Requiere cambiar la configuración de DNS de tu servidor fuera de la Consola del administrador. Configura los parámetros en la Consola del administrador.
Uso compartido fuera de tu organización El servicio de claves externo de tu colaborador puede acceder fácilmente a la configuración de tu IdP. Este acceso se puede automatizar y garantiza que el servicio de tu colaborador tenga acceso inmediato a cualquier cambio en la configuración de tu IdP.

El servicio de claves externo de tu colaborador no puede acceder a la configuración del IdP en la Consola del administrador. Debes proporcionar la configuración de tu IdP directamente a tu colaborador antes de compartir archivos encriptados por primera vez, así como cada vez que cambies la configuración de tu IdP.

Paso 2: Crea IDs de cliente para el CSE

Crea un ID de cliente para aplicaciones web

Debes crear un ID de cliente y agregar URIs de redireccionamiento para las aplicaciones web compatibles de Google Workspace. Para obtener una lista de las apps compatibles, consulta Aplicaciones web, para computadoras y para dispositivos móviles compatibles en esta página.

La forma en que creas un ID de cliente para aplicaciones web depende de si usas un IdP externo o la identidad de Google.

Si configuras un IdP para invitados: Debes crear un ID de cliente adicional para el acceso a Google Meet, que se usa para verificar que se invitó al invitado a la reunión. Para obtener más información, consulta Cómo configurar un IdP externo.

**Si usas un IdP externo para la CSE**

Crea un ID de cliente con la consola de administrador de tu IdP. También deberás agregar los siguientes URI de redireccionamiento a la consola del administrador de tu IdP:

Servicios web:

  • https://client-side-encryption.google.com/callback
  • https://client-side-encryption.google.com/oidc/cse/callback
  • https://client-side-encryption.google.com/oidc/drive/callback
  • https://client-side-encryption.google.com/oidc/gmail/callback
  • https://client-side-encryption.google.com/oidc/meet/callback
  • https://client-side-encryption.google.com/oidc/calendar/callback
  • https://client-side-encryption.google.com/oidc/docs/callback
  • https://client-side-encryption.google.com/oidc/sheets/callback
  • https://client-side-encryption.google.com/oidc/slides/callback

Drive para computadoras:

http://localhost

Apps para dispositivos móviles para iOS y Android:

  • https://client-side-encryption.google.com/oidc/gmail/native/callback
  • https://client-side-encryption.google.com/oidc/meet/native/callback
  • https://client-side-encryption.google.com/oidc/calendar/native/callback
  • https://client-side-encryption.google.com/oidc/drive/native/callback
  • https://client-side-encryption.google.com/oidc/gmail/meet/native/callback

**Si usas la identidad de Google para la CSE**

Debes crear un ID de cliente en la consola de Google Cloud. Lo agregarás en tu archivo .well-known/cse-configuration o en la Consola del administrador. También configurarás orígenes de JavaScript (también llamados uso compartido de recursos entre dominios o CORS) y agregarás URIs de redireccionamiento.

  1. Dirígete a console.cloud.google.com.
  2. Crea un proyecto de Google Cloud nuevo. Obtén instrucciones.

    Configura el proyecto como quieras. Solo se usará para almacenar credenciales.

  3. En la consola, ve a Menú y luegoAPIs y serviciosy luegoCredenciales.
  4. Crea un ID de cliente de OAuth para una nueva app web que usarás con el CSE. Consulta las instrucciones completas.
  5. Actualiza Orígenes de JavaScript con lo siguiente:
    • https://admin.google.com
    • https://client-side-encryption.google.com
  6. Actualiza los URIs de redireccionamiento autorizados con lo siguiente.

    Servicios web:

    • https://client-side-encryption.google.com/callback
    • https://client-side-encryption.google.com/oidc/cse/callback
    • https://client-side-encryption.google.com/oidc/drive/callback
    • https://client-side-encryption.google.com/oidc/gmail/callback
    • https://client-side-encryption.google.com/oidc/meet/callback
    • https://client-side-encryption.google.com/oidc/calendar/callback
    • https://client-side-encryption.google.com/oidc/docs/callback
    • https://client-side-encryption.google.com/oidc/sheets/callback
    • https://client-side-encryption.google.com/oidc/slides/callback

    Drive para computadoras:

    http://localhost

    Apps para dispositivos móviles para iOS y Android:

    No se requiere configuración adicional para las apps para dispositivos móviles de Android y iOS.

Se crea un ID de cliente de OAuth. Guarda este ID para que puedas agregarlo a tu archivo .well-known/cse-configuration o a la Consola del administrador.

Crea IDs de cliente para aplicaciones para computadoras y dispositivos móviles

Si quieres que tus usuarios utilicen la CSE con aplicaciones para computadoras y dispositivos móviles, necesitas IDs de cliente para esas aplicaciones. Los agregarás a tu archivo .well-known/cse-configuration o a la Consola del administrador. También es posible que debas agregar los IDs de cliente a la configuración del servicio de claves. Consulta la documentación del servicio de claves.

Para cada aplicación para dispositivos móviles, necesitarás un ID de cliente para cada plataforma (Android y iOS). Para obtener una lista de las apps compatibles, consulta Aplicaciones web, para computadoras y para dispositivos móviles compatibles en esta página.

La forma en que obtienes los IDs de cliente para aplicaciones de escritorio y para dispositivos móviles depende de si usas un IdP externo o la identidad de Google.

Nota: Estos IDs de cliente deben admitir el tipo de otorgamiento authorization_code para PKCE (RFC 7636).

**Si usarás un IdP externo para la CSE**

Usa la consola de administración de tu IdP para generar un ID de cliente independiente para cada app.

**Si usarás la identidad de Google para el CSE**

Usa los siguientes IDs de cliente:

  • Drive para computadoras: Usa el ID de cliente 947318989803-k88lapdik9bledfml8rr69ic6d3rdv57.apps.googleusercontent.com.
  • Drive en Android: Usa el ID de cliente 313892590415-6lbccuf47cou4q45vanraqp3fv5jt9do.apps.googleusercontent.com
  • Drive en iOS: Usa el ID de cliente 313892590415-d3h1l7kl4htab916r6jevqdtu8bfmh9m.apps.googleusercontent.com.
  • Calendario en Android: Usa el ID de cliente 313892590415-q84luo8fon5pn5vl8a6rppo1qvcd3qvn.apps.googleusercontent.com
  • Calendario en iOS: Usa el ID de cliente 313892590415-283b3nilr8561tedgu1n4dcm9hd6g3hr.apps.googleusercontent.com.
  • Gmail en Android: Usa el ID de cliente 313892590415-samhd32i4piankgs42o9sit5e9dug452.apps.googleusercontent.com.
  • Gmail en iOS: Usa el ID de cliente 313892590415-ijvjpbnsh0gauuunjgsdn64ngg37k6rc.apps.googleusercontent.com
  • Meet en Android: Usa el ID de cliente 313892590415-i06v47su4k03ns7ot38akv7s9ari5oa5.apps.googleusercontent.com.
  • Meet en iOS: Usa el ID de cliente 313892590415-32ha2bvs0tr1b12s089i33o58hjvqt55.apps.googleusercontent.com.

Crea IDs de cliente para herramientas de utilidad

Te recomendamos que hagas lo siguiente:

  1. Usa un ID de cliente para cada herramienta de utilidad que interactúe con los extremos privilegiados (privilegedwrap, privilegedunwrap, privilegedprivatekeydecrypt) de tu servicio de claves. Para obtener una lista de las herramientas compatibles, consulta Revisa las aplicaciones web, para computadoras y dispositivos móviles, y las herramientas de utilidad compatibles en esta página.
  2. Configura las políticas de acceso de tu servicio de claves para los extremos privilegedunwrap y privilegedprivatekeydecrypt de modo que permitan el ID de cliente del desencriptador de la CSE.

Paso 3: Conéctate a tu IdP para CSE

Para conectar Google Workspace a tu proveedor de identidad (IdP), puedes usar un archivo .well-known o la Consola del administrador. Después de establecer la conexión, debes incluir tu IdP en la lista de entidades permitidas en la Consola del administrador.

Nota: Si configuras un IdP invitado, debes usar la Consola del administrador.

Opción 1: Conéctate a tu IdP con un archivo .well-known

Para configurar tu IdP externo o de Google con esta opción, debes colocar un archivo .well-known en el sitio web público de tu organización. Este archivo establece qué IdP usas y permite que tus colaboradores externos descubran la configuración de tu IdP.

Paso 1: Coloca el archivo .well-known en tu servidor

La configuración de tu IdP debe colocarse en este URI de tu dominio:

https://cse.subdomain.domain.tld/.well-known/cse-configuration

donde subdomain.domain.tld debe coincidir con el dominio de tu dirección de correo electrónico. Por ejemplo, si el dominio de tu dirección de correo electrónico es solarmora.com, deberías colocar el archivo .well-known en la siguiente ubicación:

https://cse.solarmora.com/.well-known/cse-configuration

Nota: Se requiere el prefijo https://cse. porque el URI conocido no está registrado en el IETF (RFC 8615).

Paso 2: Configura tu archivo .well-known

El contenido de tu archivo .well-known, en well-known/cse-configuration, debe estar codificado en JSON (RFC 8259) y contener estos campos:

Campo Descripción

name

 El nombre del IdP. Puedes usar el nombre que quieras. Este nombre aparece en los mensajes de error del IdP para los usuarios de los servicios de Google, como Drive y los editores de Documentos.

client_id

Es el ID de cliente de OpenID Connect (OIDC) que usa la aplicación web del cliente del CSE para adquirir un token web JSON (JWT).

Cuando crees un ID de cliente, también agregarás URIs de redireccionamiento en la consola de Google Cloud.

Para obtener detalles sobre cómo crear un ID de cliente, consulta Crea un ID de cliente para aplicaciones web en la parte superior de esta página.
discovery_uri

Es la URL de detección de OIDC, como se define en esta especificación de OpenID.

Si usas un IdP externo

Tu IdP te proporciona esta URL, que suele terminar con /.well-known/openid-configuration

Si usas la identidad de Google

Usa https://accounts.google.com/.well-known/openid-configuration
grant_type

Flujo de OAuth que se usa para OIDC con aplicaciones web cliente de CSE

Si usas un IdP externo

Puedes usar el tipo de concesión implicit o authorization_code para las aplicaciones web de la CSE.

Si usas la identidad de Google

Solo puedes usar el tipo de concesión implicit para las aplicaciones web.

applications

Son las aplicaciones cliente adicionales con las que deseas usar la CSE. Debes agregar un ID de cliente para cada app a tu archivo .well-known.

Nota: Estos IDs de cliente deben admitir el tipo de otorgamiento authorization_code para PKCE (RFC 7636).

Para obtener detalles sobre cómo crear IDs de cliente, consulta Crea un ID de cliente para aplicaciones para computadoras y dispositivos móviles en esta página.

    **Si usas un IdP externo, tu archivo .well-known debería verse de la siguiente manera:**

    **Si usas la identidad de Google, tu archivo .well-known debería verse así:**

    Paso 3: Configura CORS

    Si usas la identidad de Google para tu IdP: Configura CORS en la consola de Google Cloud cuando crees tu ID de cliente. Para obtener más información, consulta Crea un ID de cliente para aplicaciones web, que se encuentra más arriba en esta página.

    Si usas un IdP externo: Tus archivos .well-known/openid-configuration y .well-known/cse-configuration deben permitir URLs de origen para las llamadas de uso compartido de recursos multiorigen (CORS). En la Consola del administrador de tu IdP, configura los parámetros de la siguiente manera:

      .well-known/openid-configuration (URI de detección)

      • Métodos: GET
      • Orígenes permitidos:
        • https://admin.google.com
        • https://client-side-encryption.google.com

      .well-known/cse-configuration

      • Métodos: GET
      • Orígenes permitidos:
        • https://admin.google.com
        • https://client-side-encryption.google.com

      Opción 2: Conéctate a tu IdP a través de la Consola del administrador

      En lugar de usar un archivo .well-known, puedes conectar Google Workspace a tu IdP a través de la Consola del administrador.

      Nota: Si configuras un IdP invitado, debes usar la Consola del administrador.

      Paso 1: Recopila información sobre tu IdP

      Para conectarte a tu IdP a través de la Consola del administrador, necesitarás la siguiente información sobre tu IdP:

      Nombre de tu IdP Para obtener más información, consulta Cómo configurar tu archivo .well-known, en esta página.
      ID de cliente para aplicaciones web Para obtener más información, consulta Crea un ID de cliente para aplicaciones web, que se encuentra más arriba en esta página.
      URI de detección Para obtener más información, consulta Cómo configurar tu archivo .well-known, en esta página.
      IDs de cliente para aplicaciones de escritorio y para dispositivos móviles (opcional) Para obtener más información, consulta Crea IDs de cliente para aplicaciones para computadoras y dispositivos móviles en esta página.

      Paso 2: Configura CORS

      Si usas la identidad de Google: Cuando creas tu ID de cliente, configuras el uso compartido de recursos de origen cruzado (CORS) en la consola de Google Cloud. Para obtener más información, consulta Crea un ID de cliente para aplicaciones web, que se encuentra más arriba en esta página.

      Si usas un IdP externo: En la consola del administrador de tu IdP, configura el URI de detección para permitir URLs de origen para las llamadas de uso compartido de recursos multiorigen (CORS) de la siguiente manera:

      • Método: GET
      • Orígenes permitidos:
        • https://admin.google.com
        • https://client-side-encryption.google.com

      Paso 3: Agrega información a la Consola del administrador

      Debes acceder como administrador avanzado para realizar esta tarea.

      1. En la Consola del administrador de Google, ve a Menú y luego Datosy luegoCumplimientoy luegoEncriptación del cliente.

        Debes acceder como administrador avanzado para realizar esta tarea.

        Nota: En Configuración del proveedor de identidad, aparece un mensaje que indica que Google Workspace no puede acceder a tu archivo .well-known. Dado que te conectarás a tu IdP a través de la Consola del administrador, puedes ignorar este mensaje.

      2. En Configuración del proveedor de identidad, haz clic en Configurar el resguardo del IdP.

        O bien, si configuras un IdP para invitados, haz clic en Configurar IdP para invitados.

      3. Ingresa la siguiente información sobre tu IdP:
        • Nombre
        • ID de cliente (para aplicaciones web)
        • URI de detección

      4. Haz clic en Test Connection.

        Si Google Workspace puede conectarse a tu IdP, aparecerá el mensaje "Conexión exitosa".

      5. Si configuras un IdP para invitados, haz clic en Continuar y, luego, elige las apps web para las que deseas proporcionar acceso de invitado.

        Para proporcionar acceso de invitado a Google Meet (Web), también debes ingresar el ID de cliente para la verificación de invitaciones de invitados.

        Luego, haz clic en Guardar para cerrar la tarjeta.

      6. (Opcional) Para usar la CSE con aplicaciones específicas, haz lo siguiente:
        1. En Autenticación para aplicaciones de Google en computadoras de escritorio y dispositivos móviles (opcional), selecciona las aplicaciones con las que deseas usar la CSE.
        2. En ID de cliente, proporciona el ID de cliente de la aplicación.
      7. Haz clic en Agregar proveedor para cerrar la tarjeta.

      Paso 4 (solo para IdP de terceros): Agrega tu IdP a la lista de entidades permitidas en la Consola del administrador

      Debes agregar tu IdP externo a la lista de apps externas de confianza para que los usuarios no tengan que acceder a tu IdP de forma reiterada. Sigue las instrucciones que se indican en Controla qué aplicaciones internas y de terceros acceden a los datos de Google Workspace, en "Administra el acceso a las apps: De confianza, Limitado o Bloqueado".

      Próximo paso

      Después de configurar tu IdP, ya puedes configurar tu servicio de encriptación de claves.