برای رمزگذاری سمت کلاینت به ارائه دهنده هویت خود متصل شوید

نسخه‌های پشتیبانی‌شده برای این ویژگی: Frontline Plus؛ Enterprise Plus؛ Education Standard و Education Plus. نسخه خود را مقایسه کنید

After you choose your external key service for Google Workspace Client-side encryption (CSE), you need to connect Google Workspace to an identity provider (IdP)—either a third-party IdP or Google identity. Your encryption key service uses your IdP to authenticate users before they can encrypt content or access encrypted content.

Note: After you configure your IdP, you can configure a guest IdP to allow external access to your organization's client-side encrypted content. For details, go to Configure a guest IdP .

قبل از اینکه شروع کنی

Make sure you've chosen the encryption key service you want to use with CSE. For details, go to Choose your external key service .

مرحله ۱: اتصال IdP خود را برنامه‌ریزی کنید

Review supported web, desktop, and mobile applications and utility tools

با اتصال IdP خود، می‌توانید CSE را برای همه برنامه‌های وب پشتیبانی‌شده Google Workspace تنظیم کنید:

  • گوگل درایو
  • اسناد گوگل
  • صفحات گوگل
  • اسلایدهای گوگل
  • جیمیل
  • تقویم گوگل
  • گوگل میت (پیام‌های صوتی، تصویری و چت)

Your ldP connection also lets you set up CSE for the following desktop and mobile applications:

همچنین می‌توانید ابزارهای کاربردی زیر را تنظیم کنید:

IdP خود را برای CSE انتخاب کنید

To use an encryption key service with CSE, you need an identity provider (IdP) that supports the OpenID Connect (OIDC) standard. If you don't already use an OIDC IdP with Google Workspace, you can set up your IdP for use with your key service in either of two ways:

**Option 1: Use a third-party IdP (recommended)**

Use an OIDC third-party IdP if your security model requires more isolation of your encrypted data from Google.

If you already use a third-party IdP for SAML-based Single-Sign-On (SSO): It's recommended that you use the same IdP for CSE that you use for access to Google Workspace services, if that IdP supports OIDC. Learn more about using SAML-based SSO with Google Workspace.

**گزینه ۲: استفاده از هویت گوگل**

If your security model doesn't require additional isolation of your encrypted data from Google, you can use the default Google identity as your IdP.

فقط IdP شخص ثالث: مرورگرهای کاربران را تنظیم کنید

If you use a third-party IdP for CSE, it's recommended that you allow third-party cookies from your IdP in your users' browsers; otherwise, users might need to sign-in to your IdP more often when using CSE.

  • If your organization uses Chrome Enterprise: You can use the CookiesAllowedForUrls policy.
  • For other browsers: Check with the browser's support content for instructions on how to allow third-party cookies.

نحوه اتصال به IdP خود را برای CSE انتخاب کنید

You can set up your IdP—either a third party IdP or Google identity—using either a .well-known file that you host on your organization's website or the Admin console (which is your IdP fallback). There are several considerations for each method, as described in the table below.

Note: If you're configuring a guest IdP , you need to use the Admin console.

ملاحظات تنظیمات شناخته شده تنظیم کنسول مدیریت (جایگزین IdP)
جداسازی از گوگل تنظیمات IdP روی سرور شخصی شما ذخیره می‌شوند. تنظیمات IdP در سرورهای گوگل ذخیره می‌شوند.
مسئولیت‌های اداری A webmaster can manage your setup instead of a Google Workspace Super Admin. Only a Google Workspace Super Admin can manage your IdP setup.
در دسترس بودن CSE CSE availability (uptime) depends on availability of the server that hosts your .well-known file. CSE availability corresponds to the general availability of Google Workspace services.
سهولت راه‌اندازی Requires changing DNS settings for your server, outside of the Admin console. تنظیمات را در کنسول مدیریت پیکربندی کنید.
اشتراک‌گذاری خارج از سازمان شما Your collaborator's external key service can easily access your IdP settings. This access can be automated and ensures your collaborator's service has immediate access to any changes to your IdP settings.

Your collaborator's external key service can't access your IdP settings in the Admin console. You must provide your IdP settings directly to your collaborator before you share encrypted files for the first time, as well as any time you change your IdP settings.

مرحله 2: ایجاد شناسه‌های کلاینت برای CSE

ایجاد شناسه کلاینت برای برنامه‌های وب

You need to create a client ID and add redirect URIs for supported Google Workspace web applications. For a list of supported apps, go to Supported web, desktop, and mobile applications earlier on this page.

How you create a client ID for web applications depends on whether you're using a third-party IdP or Google identity.

If you're configuring a guest IdP : You need to create an additional client ID for Google Meet access , which is used to verify that the guest was invited to the meeting. For more information, go to Configure a guest IdP .

**اگر از IdP شخص ثالث برای CSE استفاده می‌کنید**

Create a client ID using your IdP's admin console. You'll also need to add the following redirect URIs to your IdP's admin console:

سرویس‌های وب:

  • https://client-side-encryption.google.com/callback
  • https://client-side-encryption.google.com/oidc/cse/callback
  • https://client-side-encryption.google.com/oidc/drive/callback
  • https://client-side-encryption.google.com/oidc/gmail/callback
  • https://client-side-encryption.google.com/oidc/meet/callback
  • https://client-side-encryption.google.com/oidc/calendar/callback
  • https://client-side-encryption.google.com/oidc/docs/callback
  • https://client-side-encryption.google.com/oidc/sheets/callback
  • https://client-side-encryption.google.com/oidc/slides/callback

درایو برای دسکتاپ:

http://localhost

اپلیکیشن موبایل اندروید و iOS:

  • https://client-side-encryption.google.com/oidc/gmail/native/callback
  • https://client-side-encryption.google.com/oidc/meet/native/callback
  • https://client-side-encryption.google.com/oidc/calendar/native/callback
  • https://client-side-encryption.google.com/oidc/drive/native/callback
  • https://client-side-encryption.google.com/oidc/gmail/meet/native/callback

**اگر از هویت گوگل برای CSE استفاده می‌کنید**

You need to create a client ID in the Google Cloud console. You'll add it in your .well-known/cse-configuration file or the Admin console. You'll also set up JavaScript origins (also called cross-origin resource sharing, or CORS) and add redirect URIs.

  1. به console.cloud.google.com بروید.
  2. Create a new Google Cloud project. Get instructions .

    Set the project up however you want—it's just to hold credentials.

  3. در کنسول، به منو بروید و سپس APIها و سرویس‌ها و سپس مدارک شناسایی .
  4. Create an OAuth Client ID for a new web app you'll use with CSE. Get full instructions .
  5. کدهای جاوا اسکریپت origins را با موارد زیر به‌روزرسانی کنید:
    • https://admin.google.com
    • https://client-side-encryption.google.com
  6. Update Authorized Redirect URIs with the following.

    سرویس‌های وب:

    • https://client-side-encryption.google.com/callback
    • https://client-side-encryption.google.com/oidc/cse/callback
    • https://client-side-encryption.google.com/oidc/drive/callback
    • https://client-side-encryption.google.com/oidc/gmail/callback
    • https://client-side-encryption.google.com/oidc/meet/callback
    • https://client-side-encryption.google.com/oidc/calendar/callback
    • https://client-side-encryption.google.com/oidc/docs/callback
    • https://client-side-encryption.google.com/oidc/sheets/callback
    • https://client-side-encryption.google.com/oidc/slides/callback

    درایو برای دسکتاپ:

    http://localhost

    اپلیکیشن موبایل اندروید و iOS:

    No additional configuration is needed for Android and iOS mobile apps.

An OAuth client ID is created. Save this ID so you can add it to your .well-known/cse-configuration file or the Admin console.

ایجاد شناسه‌های کلاینت برای برنامه‌های دسکتاپ و موبایل

If you want your users to use CSE with desktop and mobile applications, you need client IDs for those apps. You'll add them to your .well-known/cse-configuration file or the Admin console. You might also need to add the client IDs to your key service configuration—refer to you key service's documentation.

For each mobile app, you'll need one client ID for each platform (Android and iOS). For a list of supported apps, go to Supported web, desktop, and mobile applications earlier on this page.

How you get client IDs for desktop and mobile applications depends on whether you're using a third-party IDP or Google identity.

Note: These client IDs must support the authorization_code grant type for PKCE ( RFC 7636 ).

**اگر از یک IdP شخص ثالث برای CSE استفاده خواهید کرد**

Use your IdP's admin console to generate a separate client ID for each app.

**اگر از هویت گوگل برای CSE استفاده خواهید کرد**

از شناسه‌های کلاینت زیر استفاده کنید:

  • Drive for Desktop —Use the client ID 947318989803-k88lapdik9bledfml8rr69ic6d3rdv57.apps.googleusercontent.com
  • Drive on Android —Use the client ID 313892590415-6lbccuf47cou4q45vanraqp3fv5jt9do.apps.googleusercontent.com
  • Drive on iOS —Use the client ID 313892590415-d3h1l7kl4htab916r6jevqdtu8bfmh9m.apps.googleusercontent.com
  • تقویم در اندروید — از شناسه کلاینت 313892590415-q84luo8fon5pn5vl8a6rppo1qvcd3qvn.apps.googleusercontent.com استفاده کنید
  • Calendar on iOS —Use the client ID 313892590415-283b3nilr8561tedgu1n4dcm9hd6g3hr.apps.googleusercontent.com
  • جیمیل در اندروید — از شناسه کلاینت 313892590415-samhd32i4piankgs42o9sit5e9dug452.apps.googleusercontent.com استفاده کنید
  • جیمیل در iOS — از شناسه کلاینت 313892590415-ijvjpbnsh0gauuunjgsdn64ngg37k6rc.apps.googleusercontent.com استفاده کنید
  • Meet on Android —Use the client ID 313892590415-i06v47su4k03ns7ot38akv7s9ari5oa5.apps.googleusercontent.com
  • Meet در iOS — از شناسه کلاینت 313892590415-32ha2bvs0tr1b12s089i33o58hjvqt55.apps.googleusercontent.com استفاده کنید

ایجاد شناسه‌های کلاینت برای ابزارهای کاربردی

ما به شما توصیه می‌کنیم که:

  1. Use one client ID for each utility tool that interacts with the privileged endpoints (privilegedwrap, privilegedunwrap, privilegedprivatekeydecrypt) of your key service. For a list of supported tools, go to Review supported web, desktop, and mobile applications, and utility tools on this page.
  2. سیاست‌های دسترسی سرویس کلید خود را برای نقاط پایانی privilegedunwrap و privilegedprivatekeydecrypt پیکربندی کنید تا شناسه کلاینت رمزگشای CSE مجاز باشد.

مرحله 3: برای CSE به IdP خود متصل شوید

To connect Google Workspace to your identity provider (IdP), you can use a .well-known file or the Admin console. After you establish the connection, you need to allowlist your IdP in the Admin console.

توجه: اگر در حال پیکربندی شناسه مهمان هستید، باید از کنسول مدیریت استفاده کنید.

گزینه ۱: با استفاده از یک فایل .well-known به IdP خود متصل شوید

To set up your third-party or Google IdP with this option, you need to place a .well-known file on your organization's public website. This file establishes which IdP you use and allows your external collaborators to discover your IdP settings.

مرحله ۱: فایل .well-known خود را روی سرور خود قرار دهید

پیکربندی IdP شما باید در این URI در دامنه شما قرار گیرد:

https: //cse.subdomain.domain.tld /.well-known/cse-configuration

که در آن subdomain.domain.tld باید با دامنه موجود در آدرس ایمیل شما مطابقت داشته باشد. برای مثال، اگر دامنه موجود در آدرس ایمیل شما solarmora.com است، باید فایل .well-known خود را در آدرس زیر قرار دهید:

https://cse.solarmora.com/.well-known/cse-configuration

نکته: پیشوند https://cse. الزامی است زیرا آدرس .well-known در IETF ( RFC 8615 ) ثبت نشده است.

مرحله ۲: فایل .well-known خود را پیکربندی کنید

محتویات فایل .well-known شما، در آدرس well-known/cse-configuration، باید با JSON کدگذاری شده باشد ( RFC 8259 ) و شامل این فیلدها باشد:

میدان توضیحات

name

 نام IdP - می‌توانید از هر نامی که دوست دارید استفاده کنید. این نام در پیام‌های خطای IdP برای کاربران در سرویس‌های گوگل، مانند Drive و Docs Editors، نمایش داده می‌شود.

client_id

شناسه کلاینت OpenID Connect (OIDC) که برنامه وب کلاینت CSE برای دریافت JSON Web Token (JWT) از آن استفاده می‌کند.

وقتی یک شناسه کلاینت ایجاد می‌کنید، آدرس‌های URL تغییر مسیر را نیز در کنسول Google Cloud اضافه خواهید کرد.

برای جزئیات بیشتر در مورد ایجاد شناسه کلاینت ، به بخش «ایجاد شناسه کلاینت برای برنامه‌های وب» که قبلاً در همین صفحه آمده است، مراجعه کنید.

discovery_uri

نشانی اینترنتی اکتشاف OIDC، همانطور که در این مشخصات OpenID تعریف شده است.

اگر از IdP شخص ثالث استفاده می‌کنید

IdP شما این URL را در اختیار شما قرار می‌دهد که معمولاً با /.well-known/openid-configuration تمام می‌شود.

اگر از هویت گوگل استفاده می‌کنید

از https://accounts.google.com/.well-known/openid-configuration استفاده کنید

grant_type

جریان OAuth مورد استفاده برای OIDC با برنامه‌های وب کلاینت CSE

اگر از IdP شخص ثالث استفاده می‌کنید

شما می‌توانید از نوع اعطای مجوز implicit یا authorization_code برای برنامه‌های وب CSE استفاده کنید.

اگر از هویت گوگل استفاده می‌کنید

شما فقط می‌توانید از نوع اعطای implicit برای برنامه‌های وب استفاده کنید.

applications

برنامه‌های کلاینت دیگری که می‌خواهید از CSE با آنها استفاده کنید. شما باید برای هر برنامه یک شناسه کلاینت به فایل .well-known خود اضافه کنید.

توجه: این شناسه‌های کلاینت باید از نوع اعطای authorization_code برای PKCE ( RFC 7636 ) پشتیبانی کنند.

برای جزئیات بیشتر در مورد ایجاد شناسه‌های کلاینت ، به بخش «ایجاد شناسه کلاینت برای برنامه‌های دسکتاپ و موبایل» که قبلاً در همین صفحه آمده است، مراجعه کنید.

    **اگر از یک IdP شخص ثالث استفاده می‌کنید، فایل .well-known شما باید به این شکل باشد:**

    **اگر از هویت گوگل استفاده می‌کنید، فایل .well-known شما باید به این شکل باشد:**

    مرحله 3: تنظیم CORS

    If you're using Google identity for your IdP: You set up CORS in the Google Cloud console when creating your client ID. For details, go to Create a client ID for web applications earlier on this page.

    If you're using a third-party IdP: Your .well-known/openid-configuration and .well-known/cse-configuration need to allow origin URLs for cross-origin resource sharing (CORS) calls. In your IdP's admin console, set up your configurations as follows:

      ‎.well-known/openid-configuration (URI کشف)

      • روش‌ها: دریافت
      • مبداهای مجاز:
        • https://admin.google.com
        • https://client-side-encryption.google.com

      .well-known/cse-configuration

      • روش‌ها: دریافت
      • مبداهای مجاز:
        • https://admin.google.com
        • https://client-side-encryption.google.com

      گزینه ۲: با استفاده از کنسول مدیریت به IdP خود متصل شوید

      به جای استفاده از یک فایل .well-known، می‌توانید Google Workspace را با استفاده از کنسول مدیریت به IdP خود متصل کنید.

      توجه: اگر در حال پیکربندی شناسه مهمان هستید، باید از کنسول مدیریت استفاده کنید.

      مرحله ۱: اطلاعات مربوط به IdP خود را جمع‌آوری کنید

      برای اتصال به IdP خود با استفاده از کنسول مدیریت، به اطلاعات زیر در مورد IdP خود نیاز دارید:

      نام IdP شما برای جزئیات بیشتر، به پیکربندی فایل .well-known خود که قبلاً در همین صفحه آمده است، مراجعه کنید.
      شناسه کلاینت برای برنامه‌های وب برای جزئیات بیشتر، به بخش «ایجاد شناسه کلاینت برای برنامه‌های وب» که قبلاً در همین صفحه آمده است، مراجعه کنید.
      آدرس اینترنتی اکتشافی برای جزئیات بیشتر، به پیکربندی فایل .well-known خود که قبلاً در همین صفحه آمده است، مراجعه کنید.
      شناسه‌های کلاینت برای برنامه‌های دسکتاپ و موبایل (اختیاری) برای جزئیات بیشتر، به بخش «ایجاد شناسه‌های کلاینت برای برنامه‌های دسکتاپ و موبایل» که قبلاً در همین صفحه آمده است، مراجعه کنید.

      مرحله ۲: راه‌اندازی CORS

      If you're using Google identity: You set up cross-origin resource sharing (CORS) in the Google Cloud console when creating your client ID. For details, go to Create a client ID for web applications earlier on this page.

      اگر از IdP شخص ثالث استفاده می‌کنید: در کنسول مدیریت IdP خود، URI مربوط به کشف خود را پیکربندی کنید تا URLهای مبدا برای فراخوانی‌های اشتراک‌گذاری منابع بین مبدا (CORS) مجاز باشند، به شرح زیر:

      • روش: دریافت
      • مبداهای مجاز:
        • https://admin.google.com
        • https://client-side-encryption.google.com

      مرحله ۳: اضافه کردن اطلاعات به کنسول مدیریت

      برای این کار باید به عنوان مدیر ارشد وارد سیستم شوید.

      1. در کنسول مدیریت گوگل، به منو بروید و سپس داده‌ها و سپس انطباق و سپس رمزگذاری سمت کلاینت .

        برای این کار باید به عنوان مدیر ارشد وارد سیستم شوید.

        Note: Under Identity provider configuration , a message appears indicating that Google Workspace can't reach your .well-known file. Since you're connecting to your IdP using the Admin console, you can ignore this message.

      2. در زیر پیکربندی ارائه دهنده هویت ، روی پیکربندی IdP fallback کلیک کنید.

        یا اگر در حال پیکربندی شناسه مهمان هستید، روی پیکربندی شناسه مهمان کلیک کنید.

      3. اطلاعات زیر را در مورد IdP خود وارد کنید:
        • نام
        • شناسه کلاینت (برای برنامه‌های وب)
        • آدرس اینترنتی اکتشافی

      4. روی تست اتصال کلیک کنید.

        اگر Google Workspace بتواند به IdP شما متصل شود، پیام «اتصال موفقیت‌آمیز» ظاهر می‌شود.

      5. اگر در حال پیکربندی IdP مهمان هستید: روی ادامه کلیک کنید و سپس برنامه‌های وب مورد نظر خود را برای دسترسی مهمان انتخاب کنید.

        برای ارائه دسترسی مهمان به Google Meet (وب)، شناسه کلاینت را نیز برای تأیید دعوت مهمان وارد کنید.

        سپس برای بستن کارت، روی ذخیره کلیک کنید.

      6. (اختیاری) برای استفاده از CSE با برنامه‌های خاص:
        1. در قسمت «احراز هویت برای برنامه‌های دسکتاپ و موبایل گوگل» (اختیاری) ، برنامه‌هایی را که می‌خواهید از CSE با آنها استفاده کنید، انتخاب کنید.
        2. برای شناسه کلاینت ، شناسه کلاینت برنامه را وارد کنید.
      7. برای بستن کارت، روی افزودن ارائه‌دهنده کلیک کنید.

      مرحله ۴ (فقط IdP شخص ثالث): IdP خود را به لیست مجاز در کنسول مدیریت اضافه کنید

      You need to add your third-party IdP to your trusted list of third-party apps so users don't need to sign in to your IdP repeatedly. Follow the instructions in Control which third-party & internal apps access Google Workspace data , under "Manage access to apps: Trusted, Limited, or Blocked."

      مرحله بعدی

      پس از تنظیم IdP، آماده راه‌اندازی سرویس رمزگذاری کلید خود هستید.