התחברות לספק הזהויות לצורך הצפנה מצד הלקוח

התכונה הזו נתמכת במהדורות הבאות: Frontline Plus,‏ Enterprise Plus,‏ Education Standard ו-Education Plus. השוואה בין מהדורות

אחרי שבוחרים שירות חיצוני למפתחות הצפנה להצפנה מצד הלקוח (CSE) ב-Google Workspace, צריך לחבר את Google Workspace לספק זהויות (IdP) – ספק זהויות של צד שלישי או זהות Google. השירות למפתחות ההצפנה משתמש ב-IdP כדי לאמת משתמשים לפני שהם יכולים להצפין תוכן או לגשת לתוכן מוצפן.

הערה: אחרי שמגדירים את ספק הזהויות (IdP), אפשר להגדיר ספק זהויות לאורחים כדי לאפשר גישה חיצונית לתוכן שהוצפן מצד הלקוח בארגון. פרטים נוספים מופיעים במאמר בנושא הגדרת ספק זהויות (IdP) לאורחים.

לפני שמתחילים

חשוב לוודא שבחרתם את שירות מפתחות ההצפנה שבו אתם רוצים להשתמש עם הצפנה מצד הלקוח (CSE). פרטים נוספים מופיעים במאמר בנושא בחירת שירות חיצוני למפתחות הצפנה.

שלב 1: תכנון החיבור לספק הזהויות

בדיקת אפליקציות נתמכות לאינטרנט, למחשב ולנייד וכלי עזר

בעזרת החיבור לספק הזהויות, אתם יכולים להגדיר הצפנה מצד הלקוח לכל אפליקציות האינטרנט הנתמכות של Google Workspace:

  • Google Drive
  • Google Docs
  • Google Sheets
  • Google Slides
  • Gmail
  • יומן Google
  • ‫Google Meet (אודיו, וידאו והודעות צ'אט)

חיבור ldP מאפשר לכם גם להגדיר הצפנה מצד הלקוח באפליקציות הבאות למחשב ולנייד:

אפשר גם להגדיר את כלי השירות הבאים:

בחירת ספק IdP ל-CSE

כדי להשתמש בשירות למפתחות הצפנה עם הצפנה מצד הלקוח, צריך ספק זהויות (IdP) שתומך בתקן OpenID Connect ‏ (OIDC). אם אתם לא משתמשים כבר בספק IdP של OIDC עם Google Workspace, אתם יכולים להגדיר את ספק ה-IdP לשימוש עם שירות המפתחות באחת משתי דרכים:

**אפשרות 1: שימוש בספק זהויות (IdP) של צד שלישי (מומלץ)**

אם מודל האבטחה שלכם מחייב בידוד רב יותר של הנתונים המוצפנים מ-Google, אתם יכולים להשתמש בספק זהויות (IdP) של צד שלישי עם OIDC.

אם אתם כבר משתמשים ב-IdP של צד שלישי לכניסה יחידה (SSO) שמבוססת על SAML: מומלץ להשתמש באותו IdP להצפנה מצד הלקוח שבו אתם משתמשים לגישה לשירותי Google Workspace, אם ה-IdP הזה תומך ב-OIDC. מידע נוסף על שימוש בכניסה יחידה (SSO) מבוססת-SAML עם Google Workspace

**אפשרות 2: שימוש בזהות Google**

אם מודל האבטחה שלכם לא דורש בידוד נוסף של הנתונים המוצפנים מ-Google, אתם יכולים להשתמש בזהות Google שמוגדרת כברירת מחדל כספק הזהויות שלכם.

ספק זהויות מצד שלישי בלבד: הגדרת הדפדפנים של המשתמשים

אם אתם משתמשים ב-IdP של צד שלישי בשביל CSE, מומלץ לאפשר קובצי Cookie של צד שלישי מה-IdP בדפדפנים של המשתמשים. אחרת, יכול להיות שהמשתמשים יצטרכו להיכנס ל-IdP לעיתים קרובות יותר כשהם משתמשים ב-CSE.

  • אם הארגון שלכם משתמש ב-Chrome Enterprise: אתם יכולים להשתמש במדיניות CookiesAllowedForUrls.
  • בדפדפנים אחרים: אפשר לעיין בתוכן התמיכה של הדפדפן כדי לקבל הוראות לאישור קובצי Cookie של צד שלישי.

בחירה של אופן ההתחברות לספק הזהויות עבור CSE

אתם יכולים להגדיר את ספק הזהויות שלכם – ספק זהויות של צד שלישי או זהות Google – באמצעות קובץ ‎ .well-known שמתארח באתר של הארגון או באמצעות מסוף Admin (שהוא החלופה לספק הזהויות). בטבלה שלמטה מפורטים כמה שיקולים לכל שיטה.

הערה: אם אתם מגדירים ספק IdP לאורחים, אתם צריכים להשתמש במסוף Admin.

שיקולים הגדרה של קובץ ‎.well-known הגדרת מסוף Admin (חלופה לספק זהויות)
בידוד מ-Google הגדרות IdP מאוחסנות בשרת שלכם. הגדרות IdP מאוחסנות בשרתים של Google.
תחומי האחריות של האדמינים אדמין אתר יכול לנהל את ההגדרה במקום סופר-אדמין ב-Google Workspace. רק סופר-אדמין ב-Google Workspace יכול לנהל את הגדרת ה-IdP.
זמינות של CSE הזמינות של CSE (זמן פעולה) תלויה בזמינות של השרת שמארח את קובץ ה-‎ .well-known. הזמינות של CSE תואמת לזמינות הכללית של שירותי Google Workspace.
קלות ההגדרה כדי להשתמש בהגדרה הזו, צריך לשנות את הגדרות ה-DNS של השרת מחוץ למסוף Admin. קובעים את ההגדרות במסוף Admin.
שיתוף עם גורמים מחוץ לארגון השירות החיצוני למפתחות הצפנה של המשתף יכול לגשת בקלות להגדרות ספק הזהויות שלכם. הגישה הזו יכולה להיות אוטומטית, והיא מבטיחה שלמשתף הפעולה יהיה גישה מיידית לכל שינוי בהגדרות של ספק הזהויות.

לשירות החיצוני למפתחות הצפנה של המשתמש שמשתף איתכם פעולה אין גישה להגדרות ספק הזהויות שלכם במסוף Admin. לפני שמשתפים קבצים מוצפנים בפעם הראשונה, וגם בכל פעם שמשנים את הגדרות ספק הזהויות, צריך לספק את ההגדרות של ספק הזהויות ישירות למשתף הפעולה.

שלב 2: יצירת מזהי לקוח עבור CSE

יצירת מזהה לקוח לאפליקציות אינטרנט

צריך ליצור מזהה לקוח ולהוסיף כתובות URI להפניה אוטומטית לאפליקציות אינטרנט נתמכות של Google Workspace. רשימה של אפליקציות נתמכות מופיעה בקטע אפליקציות נתמכות לאינטרנט, למחשב ולנייד שבהמשך הדף.

השיטה ליצירת Client ID לאפליקציות אינטרנט תלויה בספק הזהויות שבו אתם משתמשים: ספק צד שלישי או חשבון Google.

אם מגדירים ספק זהויות לאורחים: צריך ליצור מזהה לקוח נוסף לגישה ל-Google Meet, שמשמש לאימות ההזמנה של האורח לפגישה. מידע נוסף זמין במאמר בנושא הגדרת ספק זהויות אורח.

**אם אתם משתמשים ב-IdP של צד שלישי עבור CSE**

יוצרים מזהה לקוח באמצעות מסוף Admin של ספק ה-IdP. צריך גם להוסיף את כתובות ה-URI הבאות להפניה אוטומטית למסוף Admin של ה-IdP:

שירותי אינטרנט:

  • https://client-side-encryption.google.com/callback
  • https://client-side-encryption.google.com/oidc/cse/callback
  • https://client-side-encryption.google.com/oidc/drive/callback
  • https://client-side-encryption.google.com/oidc/gmail/callback
  • https://client-side-encryption.google.com/oidc/meet/callback
  • https://client-side-encryption.google.com/oidc/calendar/callback
  • https://client-side-encryption.google.com/oidc/docs/callback
  • https://client-side-encryption.google.com/oidc/sheets/callback
  • https://client-side-encryption.google.com/oidc/slides/callback

Drive לשולחן העבודה:

http://localhost

אפליקציות לנייד ל-Android ול-iOS:

  • https://client-side-encryption.google.com/oidc/gmail/native/callback
  • https://client-side-encryption.google.com/oidc/meet/native/callback
  • https://client-side-encryption.google.com/oidc/calendar/native/callback
  • https://client-side-encryption.google.com/oidc/drive/native/callback
  • https://client-side-encryption.google.com/oidc/gmail/meet/native/callback

**אם אתם משתמשים בזהות Google עבור CSE**

צריך ליצור מזהה לקוח במסוף Google Cloud. תוכלו להוסיף אותו לקובץ ‎ .well-known/cse-configuration או למסוף Admin. בנוסף, תגדירו מקורות JavaScript (שנקראים גם שיתוף משאבים בין מקורות, או CORS) ותוסיפו כתובות URI להפניה אוטומטית.

  1. נכנסים לכתובת console.cloud.google.com.
  2. יוצרים פרויקט חדש ב-Google Cloud. הוראות

    מגדירים את הפרויקט איך שרוצים – הוא רק ישמש לאחסון פרטי הכניסה.

  3. במסוף, נכנסים לתפריט ואזAPIs & ServicesואזCredentials.
  4. יוצרים מזהה לקוח OAuth לאפליקציית אינטרנט חדשה שתשתמשו בה עם CSE. הוראות מלאות
  5. מעדכנים את מקורות ה-JavaScript עם הערכים הבאים:
    • https://admin.google.com
    • https://client-side-encryption.google.com
  6. מעדכנים את כתובות ה-URI המורשות להפניה אוטומטית בערכים הבאים.

    שירותי אינטרנט:

    • https://client-side-encryption.google.com/callback
    • https://client-side-encryption.google.com/oidc/cse/callback
    • https://client-side-encryption.google.com/oidc/drive/callback
    • https://client-side-encryption.google.com/oidc/gmail/callback
    • https://client-side-encryption.google.com/oidc/meet/callback
    • https://client-side-encryption.google.com/oidc/calendar/callback
    • https://client-side-encryption.google.com/oidc/docs/callback
    • https://client-side-encryption.google.com/oidc/sheets/callback
    • https://client-side-encryption.google.com/oidc/slides/callback

    Drive לשולחן העבודה:

    http://localhost

    אפליקציות לנייד ל-Android ול-iOS:

    אין צורך בהגדרות נוספות באפליקציות לנייד ל-Android ול-iOS.

נוצר מזהה לקוח OAuth. שומרים את המזהה כדי להוסיף אותו לקובץ ‎ .well-known/cse-configuration או למסוף Admin.

יצירת מזהי לקוח לאפליקציות למחשב ולאפליקציות לנייד

אם רוצים שהמשתמשים ישתמשו בהצפנה מצד הלקוח באפליקציות למחשב ולאפליקציות לנייד, צריך מזהי לקוח לאפליקציות האלה. תצטרכו להוסיף אותם לקובץ ‎ .well-known/cse-configuration או למסוף Admin. יכול להיות שתצטרכו גם להוסיף את מזהי הלקוח להגדרות של השירות למפתחות הצפנה – כדאי לעיין במסמכי העזרה של השירות למפתחות הצפנה.

לכל אפליקציה לנייד, תצטרכו מזהה לקוח אחד לכל פלטפורמה (Android ו-iOS). רשימה של אפליקציות נתמכות מופיעה בקטע אפליקציות נתמכות לאינטרנט, למחשב ולנייד שבהמשך הדף.

הדרך שבה מקבלים מזהי לקוח לאפליקציות למחשב ולאפליקציות לנייד תלויה בסוג הזהות שבו משתמשים: זהות של צד שלישי או זהות של Google.

הערה: מזהי הלקוח האלה צריכים לתמוך בסוג ההרשאה authorization_code ל-PKCE (RFC 7636).

**אם אתם משתמשים ב-IdP של צד שלישי עבור CSE**

משתמשים במסוף הניהול של ספק הזהויות כדי ליצור מזהה לקוח נפרד לכל אפליקציה.

**אם תשתמשו בזהות Google עבור CSE**

משתמשים במזהי הלקוח הבאים:

  • Drive לשולחן העבודה – משתמשים במזהה הלקוח 947318989803-k88lapdik9bledfml8rr69ic6d3rdv57.apps.googleusercontent.com
  • Drive ב-Android – משתמשים במזהה הלקוח 313892590415-6lbccuf47cou4q45vanraqp3fv5jt9do.apps.googleusercontent.com
  • Drive ב-iOS – שימוש במזהה הלקוח 313892590415-d3h1l7kl4htab916r6jevqdtu8bfmh9m.apps.googleusercontent.com
  • יומן ב-Android – משתמשים במזהה הלקוח 313892590415-q84luo8fon5pn5vl8a6rppo1qvcd3qvn.apps.googleusercontent.com
  • יומן ב-iOS – משתמשים במזהה הלקוח 313892590415-283b3nilr8561tedgu1n4dcm9hd6g3hr.apps.googleusercontent.com
  • Gmail ב-Android – משתמשים במזהה הלקוח 313892590415-samhd32i4piankgs42o9sit5e9dug452.apps.googleusercontent.com
  • Gmail ב-iOS – משתמשים במזהה הלקוח 313892590415-ijvjpbnsh0gauuunjgsdn64ngg37k6rc.apps.googleusercontent.com
  • Meet ב-Android – משתמשים במזהה הלקוח 313892590415-i06v47su4k03ns7ot38akv7s9ari5oa5.apps.googleusercontent.com
  • Meet ב-iOS – משתמשים במזהה הלקוח 313892590415-32ha2bvs0tr1b12s089i33o58hjvqt55.apps.googleusercontent.com

יצירת מזהי לקוח לכלי שירות

אלה ההמלצות שלנו:

  1. משתמשים במזהה לקוח אחד לכל כלי שירות שמבצע אינטראקציה עם נקודות הקצה עם הרשאות (privilegedwrap, ‏ privilegedunwrap, ‏ privilegedprivatekeydecrypt) של שירות המפתחות. רשימה של כלים נתמכים מופיעה בקטע בדיקת אפליקציות נתמכות לאינטרנט, למחשב ולנייד, וכלי עזר בדף הזה.
  2. מגדירים את מדיניות הגישה של שירות המפתחות לנקודות הקצה privilegedunwrap ו-privilegedprivatekeydecrypt כדי לאפשר את מזהה הלקוח של הכלי לפענוח הצפנה מצד הלקוח.

שלב 3: מתחברים לספק הזהויות (IdP) כדי להגדיר CSE

כדי לחבר את Google Workspace לספק הזהויות (IdP), אפשר להשתמש בקובץ ‎ .well-known או במסוף Admin. אחרי שיוצרים את החיבור, צריך להוסיף את ספק ה-IdP לרשימת ההיתרים במסוף Admin.

הערה: אם אתם מגדירים ספק IdP לאורחים, אתם צריכים להשתמש במסוף Admin.

אפשרות 1: התחברות לספק הזהויות באמצעות קובץ ‎ .well-known

כדי להגדיר את ספק הזהויות (IdP) של צד שלישי או של Google באמצעות האפשרות הזו, צריך להציב קובץ ‎ .well-known באתר הציבורי של הארגון. הקובץ הזה קובע באיזה ספק זהויות אתם משתמשים ומאפשר לשותפים חיצוניים לגלות את הגדרות ספק הזהויות שלכם.

שלב 1: מציבים את הקובץ ‎ .well-known בשרת

ההגדרה של ה-IdP צריכה להיות ב-URI הזה בדומיין:

https://cse.subdomain.domain.tld/.well-known/cse-configuration

המחרוזת subdomain.domain.tld צריכה להיות זהה לדומיין בכתובת האימייל שלכם. לדוגמה, אם הדומיין בכתובת האימייל שלכם הוא solarmora.com, אתם צריכים למקם את הקובץ ‎ .well-known בכתובת:

https://cse.solarmora.com/.well-known/cse-configuration

הערה: חובה להשתמש בקידומת https://cse. כי ה-URI ‎ .well-known לא רשום ב-IETF‏ (RFC 8615).

שלב 2: הגדרת קובץ ‎ .well-known

התוכן של קובץ ‎ .well-known, בכתובת well-known/cse-configuration, חייב להיות בקידוד JSON‏ (RFC 8259) ולהכיל את השדות הבאים:

שדה תיאור

name

 שם ספק הזהויות – אפשר להשתמש בכל שם שרוצים. השם הזה מופיע בהודעות שגיאה מה-IdP למשתמשים בשירותי Google, כמו Drive וכלי העריכה של Docs.

client_id

מזהה הלקוח של OpenID Connect ‏ (OIDC) שבו משתמשת אפליקציית האינטרנט של לקוח ה-CSE כדי לקבל JSON Web Token‏ (JWT)

כשיוצרים מזהה לקוח, מוסיפים גם כתובות URI להפניה אוטומטית במסוף Google Cloud.

פרטים נוספים על יצירת מזהה לקוח זמינים בקטע יצירת מזהה לקוח לאפליקציות אינטרנט שבהמשך הדף.
discovery_uri

כתובת ה-URL של הגילוי של OIDC, כפי שמוגדרת במפרט OpenID הזה.

אם אתם משתמשים בספק זהויות (IdP) של צד שלישי

ה-IdP מספק לכם את כתובת ה-URL הזו, שבדרך כלל מסתיימת ב-/.well-known/openid-configuration

אם משתמשים בזהות Google

שימוש ב-https://accounts.google.com/.well-known/openid-configuration
grant_type

תהליך OAuth שמשמש ל-OIDC עם אפליקציות אינטרנט של לקוח CSE

אם אתם משתמשים בספק זהויות (IdP) של צד שלישי

אפשר להשתמש בסוג ההרשאה implicit או authorization_code עבור אפליקציות אינטרנט עם הצפנה מצד הלקוח.

אם משתמשים בזהות Google

אפשר להשתמש רק בimplicit סוג ההרשאה לאפליקציות אינטרנט.

applications

אפליקציות הלקוח הנוספות שרוצים להשתמש בהצפנה מצד הלקוח. צריך להוסיף מזהה לקוח לכל אפליקציה לקובץ ‎ .well-known.

הערה: מזהי הלקוח האלה צריכים לתמוך בסוג ההרשאה authorization_code ל-PKCE (RFC 7636).

פרטים נוספים על יצירת מזהי לקוח זמינים במאמר יצירת מזהה לקוח לאפליקציות למחשב ולאפליקציות לנייד שמופיע למעלה בדף הזה.

    **אם אתם משתמשים בספק זהויות (IdP) של צד שלישי, קובץ well-known .אמור להיראות כך:**

    **אם אתם משתמשים בזהות Google, קובץ ה-‎ .well-known שלכם צריך להיראות כך:**

    שלב 3: הגדרת CORS

    אם אתם משתמשים בזהות Google בתור ספק ה-IdP: אתם מגדירים CORS במסוף Google Cloud כשאתם יוצרים את מזהה הלקוח. פרטים נוספים זמינים בקטע יצירת מזהה לקוח לאפליקציות אינטרנט שבהמשך הדף הזה.

    אם אתם משתמשים בספק זהויות (IdP) של צד שלישי: הקבצים ‎ .well-known/openid-configuration ו-‎ .well-known/cse-configuration צריכים לאפשר כתובות URL של מקורות לקריאות של שיתוף משאבים בין מקורות (CORS). במסוף Admin של ספק ה-IdP, מגדירים את ההגדרות באופן הבא:

      .well-known/openid-configuration (discovery URI)

      • שיטות: GET
      • מקורות מותרים:
        • https://admin.google.com
        • https://client-side-encryption.google.com

      .well-known/cse-configuration

      • שיטות: GET
      • מקורות מותרים:
        • https://admin.google.com
        • https://client-side-encryption.google.com

      אפשרות 2: התחברות ל-IdP באמצעות מסוף Admin

      במקום להשתמש בקובץ ‎ .well-known, אתם יכולים לחבר את Google Workspace לספק הזהויות באמצעות מסוף Admin.

      הערה: אם אתם מגדירים ספק IdP לאורחים, אתם צריכים להשתמש במסוף Admin.

      שלב 1: איסוף מידע על ספק הזהויות (IdP)

      כדי להתחבר ל-IdP באמצעות מסוף Admin, תצטרכו את הפרטים הבאים על ה-IdP:

      שם ספק ה-IdP פרטים נוספים מופיעים בקטע הגדרת קובץ ‎ .well-known שבהמשך הדף הזה.
      מזהה לקוח לאפליקציות אינטרנט פרטים נוספים זמינים בקטע יצירת מזהה לקוח לאפליקציות אינטרנט שבהמשך הדף הזה.
      URI לגילוי ספק הזהויות פרטים נוספים מופיעים בקטע הגדרת קובץ ‎ .well-known שבהמשך הדף הזה.
      מזהי לקוח לאפליקציות למחשב ולנייד (אופציונלי) פרטים נוספים זמינים בקטע יצירת מזהי לקוח לאפליקציות למחשב ולאפליקציות לנייד שבהמשך הדף הזה.

      שלב 2: הגדרת CORS

      אם אתם משתמשים בזהות Google: אתם מגדירים שיתוף משאבים בין מקורות (CORS) במסוף Google Cloud כשאתם יוצרים את מזהה הלקוח. פרטים נוספים זמינים בקטע יצירת מזהה לקוח לאפליקציות אינטרנט שבהמשך הדף הזה.

      אם אתם משתמשים ב-IdP של צד שלישי: במסוף הניהול של ה-IdP, מגדירים את ה-URI לגילוי כך שיאפשר כתובות אתרים של מקורות לקריאות של שיתוף משאבים בין מקורות (CORS), באופן הבא:

      • שיטה: GET
      • מקורות מותרים:
        • https://admin.google.com
        • https://client-side-encryption.google.com

      שלב 3: מוסיפים מידע למסוף Admin

      כדי לבצע את המשימה הזו אתם צריכים להיות מחוברים לחשבון בתור סופר-אדמינים.

      1. במסוף Google Admin, נכנסים לתפריט ואז נתוניםand thenתאימותואזהצפנה בצד הלקוח.

        כדי לבצע את המשימה הזו אתם צריכים להיות מחוברים לחשבון בתור סופר-אדמינים.

        הערה: בקטע הגדרת ספק הזהויות, מופיעה הודעה שמציינת ש-Google Workspace לא יכול לגשת לקובץ ‎ .well-known. מכיוון שאתם מתחברים ל-IdP באמצעות מסוף Admin, אתם יכולים להתעלם מההודעה הזו.

      2. בקטע Identity provider configuration (הגדרת ספק זהויות), לוחצים על Configure IdP fallback (הגדרת חלופה לספק זהויות).

        לחלופין, אם אתם מגדירים ספק זהויות (IdP) לאורחים, לוחצים על הגדרת IdP לאורחים.

      3. מזינים את הפרטים הבאים על ספק ה-IdP:
        • שם
        • מזהה לקוח (לאפליקציות אינטרנט)
        • URI לגילוי ספק הזהויות

      4. לוחצים על בדיקת החיבור.

        אם Google Workspace מצליח להתחבר לספק הזהויות, תוצג ההודעה 'החיבור הצליח'.

      5. אם אתם מגדירים IdP לאורח: לוחצים על המשך ואז בוחרים את אפליקציות האינטרנט שרוצים לספק להן גישת אורח.

        כדי לספק גישת אורחים ל-Google Meet (באינטרנט), צריך להזין גם את מזהה הלקוח לאימות הזמנה של אורחים.

        לאחר מכן לוחצים על שמירה כדי לסגור את הכרטיס.

      6. (אופציונלי) כדי להשתמש בהצפנה מצד הלקוח באפליקציות ספציפיות:
        1. בקטע אימות לאפליקציות של Google לנייד ולאינטרנט (אופציונלי), בוחרים את האפליקציות שרוצים להשתמש בהן בהצפנה מצד הלקוח.
        2. בשדה Client ID (מזהה לקוח), מציינים את מזהה הלקוח של האפליקציה.
      7. לוחצים על הוספת ספק כדי לסגור את הכרטיס.

      שלב 4 (ספק זהויות מצד שלישי בלבד): מוסיפים את ספק הזהויות לרשימת ההיתרים במסוף Admin

      צריך להוסיף את ספק ה-IdP של הצד השלישי לרשימה המהימנה של אפליקציות צד שלישי, כדי שהמשתמשים לא יצטרכו להיכנס לספק ה-IdP שוב ושוב. פועלים לפי ההוראות במאמר שליטה בגישה של אפליקציות של צד שלישי ואפליקציות פנימיות לנתונים ב-Google Workspace, בקטע 'ניהול הגישה לאפליקציות: מהימנות, גישה מוגבלת או חסימה'.

      השלב הבא

      אחרי שמגדירים את ספק הזהויות, אפשר להגדיר את שירות הצפנת המפתחות.