Stabilire la connessione a un provider di identità per la crittografia lato client

Versioni supportate per questa funzionalità: Frontline Plus; Enterprise Plus; Education Standard ed Education Plus. Confronta la tua versione

Dopo aver scelto il servizio chiavi esterno per la crittografia lato client di Google Workspace, devi connettere Google Workspace a un provider di identità (IdP), ovvero un IdP di terze parti o un'identità Google. Il servizio chiavi di crittografia utilizza il tuo IdP per autenticare gli utenti prima che possano criptare i contenuti o accedere a contenuti criptati.

Nota:dopo aver configurato l'IdP, puoi configurare un IdP ospite per consentire l'accesso esterno ai contenuti criptati sul lato client della tua organizzazione. Per maggiori dettagli, vedi Configurare un IdP ospite.

Prima di iniziare

Assicurati di aver scelto il servizio di chiavi di crittografia che vuoi utilizzare con la crittografia lato client. Per maggiori dettagli, vedi Scegliere il servizio chiavi esterno.

Passaggio 1: pianifica la connessione IdP

Esamina le applicazioni web, desktop e mobile e gli strumenti di utilità supportati

Con la connessione all'IdP, puoi configurare la crittografia lato client per tutte le applicazioni web di Google Workspace supportate:

  • Google Drive
  • Documenti Google
  • Fogli Google
  • Presentazioni Google
  • Gmail
  • Google Calendar
  • Google Meet (audio, video e chat)

La connessione ldP consente inoltre di configurare la crittografia lato client per le seguenti applicazioni mobile e desktop:

Puoi anche configurare i seguenti strumenti di utilità:

Scegliere l'IdP per la crittografia lato client

Per utilizzare un servizio chiavi di crittografia con la crittografia lato client, devi avere un provider di identità (IdP) che supporti lo standard OpenID Connect (OIDC). Se non utilizzi già un IdP OIDC con Google Workspace, puoi configurarne uno in modo da utilizzarlo con il servizio chiavi in due modi:

**Opzione 1: utilizza un IdP di terze parti (opzione consigliata)**

Utilizza un IdP di terze parti OIDC se il tuo modello di sicurezza richiede un maggiore isolamento dei dati criptati rispetto a Google.

Se utilizzi già un IdP di terze parti per l'accesso Single Sign-On (SSO) basato su SAML, ti consigliamo di utilizzare per la crittografia lato client lo stesso IdP che usi per accedere ai servizi Google Workspace, se questo IdP supporta OIDC. Scopri di più sull'utilizzo del servizio SSO basato su SAML con Google Workspace.

**Opzione 2: utilizza Google Identity**

Se il modello di sicurezza non richiede un isolamento aggiuntivo dei dati criptati rispetto a Google, puoi usare l'identità Google predefinita come IdP.

Solo IdP di terze parti: configura i browser degli utenti

Se utilizzi un IdP di terze parti per la crittografia lato client, ti consigliamo di consentire i cookie di terze parti del tuo IdP nei browser degli utenti. In caso contrario, gli utenti potrebbero dover accedere più spesso al tuo IdP quando utilizzano la crittografia lato client.

  • Se la tua organizzazione utilizza Chrome Enterprise:puoi utilizzare il criterio CookiesAllowedForUrls.
  • Per altri browser: consulta i contenuti di assistenza del browser per istruzioni su come consentire i cookie di terze parti.

Scegliere come stabilire la connessione all'IdP per la crittografia lato client

Puoi configurare l'IdP (un IdP di terze parti o l'identità Google) utilizzando un file .well-known ospitato sul sito web della tua organizzazione o nella Console di amministrazione (ovvero l'IdP di riserva). Per ciascun metodo è bene valutare diverse considerazioni, descritte nella tabella seguente.

Nota:se stai configurando un IdP ospite, devi utilizzare la Console di amministrazione.

Considerazioni Configurazione mediante file .well-known Configurazione nella Console di amministrazione (IdP di riserva)
Isolamento da Google Le impostazioni dell'IdP sono archiviate sul tuo server. Le impostazioni dell'IdP sono archiviate sui server di Google.
Responsabilità dell'amministratore Invece che da un super amministratore di Google Workspace, la configurazione può essere gestita da un webmaster. Solo un super amministratore di Google Workspace può gestire la configurazione dell'IdP.
Disponibilità della crittografia lato client La disponibilità (tempo di attività) della crittografia lato client dipende dalla disponibilità del server che ospita il file .well-known. La disponibilità della crittografia lato client corrisponde alla disponibilità generale dei servizi Google Workspace.
Facilità di configurazione Richiede la modifica delle impostazioni del DNS per il server, da effettuare al di fuori della Console di amministrazione. Configura le impostazioni nella Console di amministrazione.
Condivisione all'esterno dell'organizzazione Il servizio chiavi esterno del tuo collaboratore può accedere facilmente alle impostazioni dell'IdP. Questo accesso può essere automatizzato e assicura che il servizio del collaboratore abbia accesso immediato a qualsiasi modifica venga apportata alle impostazioni dell'IdP.

Il servizio chiavi esterno del tuo collaboratore non può accedere alle impostazioni dell'IdP nella Console di amministrazione. Devi fornire le impostazioni dell'IdP direttamente al tuo collaboratore prima di condividere per la prima volta i file criptati, nonché ogni volta che modifichi le impostazioni dell'IdP.

Passaggio 2: crea ID client per la crittografia lato client

Creare un ID client per le applicazioni web

Devi creare un ID client e aggiungere URI di reindirizzamento per le applicazioni web Google Workspace supportate. Per un elenco delle app supportate, vedi Applicazioni web, desktop e mobile supportate in precedenza in questa pagina.

Il modo in cui crei un ID client per le applicazioni web dipende dall'utilizzo o meno di un IdP di terze parti o dell'identità Google.

Se stai configurando un IdP ospite: devi creare un ID client aggiuntivo per l'accesso a Google Meet, che viene utilizzato per verificare che l'invitato è stato invitato alla riunione. Per ulteriori informazioni, vai a Configurare un IdP ospite.

**Se utilizzi un IdP di terze parti per la crittografia lato client**

Crea un ID client utilizzando la console di amministrazione dell'IdP. Dovrai anche aggiungere i seguenti URI di reindirizzamento alla Console di amministrazione dell'IdP:

Servizi web:

  • https://client-side-encryption.google.com/callback
  • https://client-side-encryption.google.com/oidc/cse/callback
  • https://client-side-encryption.google.com/oidc/drive/callback
  • https://client-side-encryption.google.com/oidc/gmail/callback
  • https://client-side-encryption.google.com/oidc/meet/callback
  • https://client-side-encryption.google.com/oidc/calendar/callback
  • https://client-side-encryption.google.com/oidc/docs/callback
  • https://client-side-encryption.google.com/oidc/sheets/callback
  • https://client-side-encryption.google.com/oidc/slides/callback

Drive per computer:

http://localhost

App mobile per Android e iOS:

  • https://client-side-encryption.google.com/oidc/gmail/native/callback
  • https://client-side-encryption.google.com/oidc/meet/native/callback
  • https://client-side-encryption.google.com/oidc/calendar/native/callback
  • https://client-side-encryption.google.com/oidc/drive/native/callback
  • https://client-side-encryption.google.com/oidc/gmail/meet/native/callback

**Se utilizzi l'identità Google per la crittografia lato client**

Devi creare un ID client nella console Google Cloud. Lo aggiungerai nel file .well-known/cse-configuration o nella Console di amministrazione. Inoltre, configurerai le origini JavaScript (chiamate anche condivisione delle risorse tra origini o CORS) e aggiungerai gli URI di reindirizzamento.

  1. Vai all'indirizzo console.cloud.google.com.
  2. Crea un nuovo progetto Google Cloud. Leggi le istruzioni.

    Configura il progetto come preferisci: serve soltanto a conservare le credenziali.

  3. Nella console, vai a Menu e poiAPI e servizie poiCredenziali.
  4. Crea un ID client OAuth per una nuova app web da utilizzare con la crittografia lato client. Leggi le istruzioni complete.
  5. Aggiorna le Origini JavaScript con i seguenti valori:
    • https://admin.google.com
    • https://client-side-encryption.google.com
  6. Aggiorna gli URI di reindirizzamento autorizzati con i seguenti valori.

    Servizi web:

    • https://client-side-encryption.google.com/callback
    • https://client-side-encryption.google.com/oidc/cse/callback
    • https://client-side-encryption.google.com/oidc/drive/callback
    • https://client-side-encryption.google.com/oidc/gmail/callback
    • https://client-side-encryption.google.com/oidc/meet/callback
    • https://client-side-encryption.google.com/oidc/calendar/callback
    • https://client-side-encryption.google.com/oidc/docs/callback
    • https://client-side-encryption.google.com/oidc/sheets/callback
    • https://client-side-encryption.google.com/oidc/slides/callback

    Drive per computer:

    http://localhost

    App mobile per Android e iOS:

    Non è necessaria alcuna configurazione aggiuntiva per le app mobile Android e iOS.

Viene creato un ID client OAuth. Salva questo ID per poterlo aggiungere al file .well-known/cse-configuration o alla Console di amministrazione.

Creare ID client per applicazioni desktop e mobile

Se vuoi che i tuoi utenti utilizzino la crittografia lato client con le applicazioni desktop e mobile, devi disporre degli ID client per queste app. Li aggiungerai al file .well-known/cse-configuration o alla Console di amministrazione. Potresti anche dover aggiungere gli ID client alla configurazione del servizio chiavi. Consulta la documentazione del servizio chiavi.

Per ogni app mobile, avrai bisogno di un ID client per ogni piattaforma (Android e iOS). Per un elenco delle app supportate, vedi Applicazioni web, desktop e mobile supportate in precedenza in questa pagina.

Il modo in cui ottieni gli ID client per le applicazioni desktop e per dispositivi mobili dipende dal fatto che tu stia utilizzando un IdP di terze parti o l'identità Google.

Nota:questi ID client devono supportare il tipo di autorizzazione authorization_code per PKCE (RFC 7636).

**Se utilizzerai un IdP di terze parti per la crittografia lato client**

Usa la console di amministrazione dell'IdP per generare un ID client separato per ogni app.

**Se utilizzerai l'identità Google per la crittografia lato client**

Utilizza i seguenti ID client:

  • Drive per computer: utilizza l'ID client 947318989803-k88lapdik9bledfml8rr69ic6d3rdv57.apps.googleusercontent.com
  • Drive su Android: utilizza l'ID client 313892590415-6lbccuf47cou4q45vanraqp3fv5jt9do.apps.googleusercontent.com
  • Drive su iOS: utilizza l'ID client 313892590415-d3h1l7kl4htab916r6jevqdtu8bfmh9m.apps.googleusercontent.com
  • Calendar su Android: utilizza l'ID client 313892590415-q84luo8fon5pn5vl8a6rppo1qvcd3qvn.apps.googleusercontent.com
  • Calendar su iOS: utilizza l'ID client 313892590415-283b3nilr8561tedgu1n4dcm9hd6g3hr.apps.googleusercontent.com
  • Gmail su Android: utilizza l'ID client 313892590415-samhd32i4piankgs42o9sit5e9dug452.apps.googleusercontent.com
  • Gmail su iOS: utilizza l'ID client 313892590415-ijvjpbnsh0gauuunjgsdn64ngg37k6rc.apps.googleusercontent.com
  • Meet su Android: utilizza l'ID client 313892590415-i06v47su4k03ns7ot38akv7s9ari5oa5.apps.googleusercontent.com
  • Meet su iOS: utilizza l'ID client 313892590415-32ha2bvs0tr1b12s089i33o58hjvqt55.apps.googleusercontent.com

Creare ID client per gli strumenti di utilità

Azioni consigliate:

  1. Utilizza un ID client per ogni strumento di utilità che interagisce con gli endpoint privilegiati (privilegedwrap, privilegedunwrap, privilegedprivatekeydecrypt) del tuo servizio chiavi. Per un elenco degli strumenti supportati, vedi Applicazioni web, desktop e mobile supportate e strumenti di utilità in questa pagina.
  2. Configura le policy di accesso del servizio chiavi per gli endpoint privilegedunwrap e privilegedprivatekeydecrypt in modo da consentire l'ID client dell'utilità di decrittografia per la crittografia lato client.

Passaggio 3: connetti l'IdP per la crittografia lato client

Per connettere Google Workspace al tuo provider di identità (IdP), puoi utilizzare un file .well-known o la Console di amministrazione. Dopo aver stabilito la connessione, devi inserire l'IdP nella lista consentita nella Console di amministrazione.

Nota:se stai configurando un IdP ospite, devi utilizzare la Console di amministrazione.

Opzione 1: connettiti al tuo IdP utilizzando un file .well-known

Per configurare un IdP Google o di terze parti con questa opzione, devi collocare un file .well-known sul sito web pubblico della tua organizzazione. Questo file stabilisce quale IdP utilizzi e consente ai tuoi collaboratori esterni di rilevarne le impostazioni.

Passaggio 1: posiziona il file .well-known sul tuo server

La configurazione dell'IdP deve trovarsi a questo URI del tuo dominio:

https://cse.subdomain.domain.tld/.well-known/cse-configuration

dove subdomain.domain.tld deve corrispondere al dominio del tuo indirizzo email. Ad esempio, se il dominio del tuo indirizzo email è solarmora.com, il file .well-known deve trovarsi all'indirizzo:

https://cse.solarmora.com/.well-known/cse-configuration

Nota:il prefisso https://cse. è necessario perché l'URI .well-known non è registrato presso l'IETF (RFC 8615).

Passaggio 2: configura il file .well-known

Il contenuto del file .well-known, all'indirizzo .well-known/cse-configuration, deve essere codificato in formato JSON (RFC 8259) e contenere i campi seguenti:

Campo Descrizione

name

 Il nome dell'IdP. Puoi utilizzare il nome che preferisci. Questo nome comparirà nei messaggi di errore relativi all'IdP visualizzati nei servizi Google per gli utenti, ad esempio Drive e gli editor di documenti.

client_id

L'ID client OpenID Connect (OIDC) utilizzato dall'applicazione web client della crittografia lato client per acquisire un token web JSON (JWT, JSON Web Token).

Quando crei un ID client, aggiungi anche gli URI di reindirizzamento nella console Google Cloud.

Per informazioni dettagliate sulla creazione di un ID client, vedi Creare un ID client per applicazioni web in precedenza in questa pagina.
discovery_uri

L'URL di rilevamento OIDC, come definito in questa specifica OpenID.

Se utilizzi un IdP di terze parti

Questo URL, che di solito termina con /.well-known/openid-configuration, ti viene fornito dall'IdP.

Se utilizzi l'identità Google

Utilizza https://accounts.google.com/.well-known/openid-configuration
grant_type

Il flusso OAuth utilizzato per OIDC con le applicazioni web client con crittografia lato client

Se utilizzi un IdP di terze parti

Puoi utilizzare il tipo di autorizzazione implicit o authorization_code per le applicazioni web con crittografia lato client.

Se utilizzi l'identità Google

Puoi utilizzare solo il tipo di autorizzazione implicit per le applicazioni web.

applications

Le applicazioni client aggiuntive con cui vuoi utilizzare la crittografia lato client. Per ogni app devi aggiungere un ID client al file .well-known.

Nota:questi ID client devono supportare il tipo di autorizzazione authorization_code per PKCE (RFC 7636).

Per informazioni dettagliate sulla creazione degli ID client, vedi Creare un ID client per applicazioni desktop e mobile in precedenza in questa pagina.

    **Se utilizzi un IdP di terze parti, il file .well-known dovrebbe essere simile al seguente:**

    **Se utilizzi l'identità Google, il file .well-known dovrebbe essere simile al seguente:**

    Passaggio 3: configura CORS

    Se utilizzi l'identità Google per il tuo IdP:configura CORS nella console Google Cloud durante la creazione dell'ID client. Per maggiori dettagli, vedi Creare un ID client per le applicazioni web in precedenza in questa pagina.

    Se utilizzi un IdP di terze parti:i tuoi domini .well-known/openid-configuration e .well-known/cse-configuration devono consentire gli URL di origine per le chiamate di condivisione delle risorse tra origini (CORS). Nella Console di amministrazione dell'IdP, configura le impostazioni nel seguente modo:

      .well-known/openid-configuration (URI di rilevamento)

      • Metodi: GET
      • Origini consentite:
        • https://admin.google.com
        • https://client-side-encryption.google.com

      .well-known/cse-configuration

      • Metodi: GET
      • Origini consentite:
        • https://admin.google.com
        • https://client-side-encryption.google.com

      Opzione 2: connettiti al tuo IdP utilizzando la Console di amministrazione

      Invece di utilizzare un file .well-known, puoi connettere Google Workspace al tuo IdP utilizzando la Console di amministrazione.

      Nota:se stai configurando un IdP ospite, devi utilizzare la Console di amministrazione.

      Passaggio 1: raccogli le informazioni sul tuo IdP

      Per connetterti al tuo IdP utilizzando la Console di amministrazione, devi disporre delle seguenti informazioni sul tuo IdP:

      Nome del tuo IdP Per maggiori dettagli, vedi Configurare il file .well-known in precedenza in questa pagina.
      ID client per le applicazioni web Per maggiori dettagli, vedi Creare un ID client per le applicazioni web in precedenza in questa pagina.
      URI di rilevamento Per maggiori dettagli, vedi Configurare il file .well-known in precedenza in questa pagina.
      ID client per app mobile e desktop (facoltativo) Per maggiori dettagli, vedi Creare ID client per applicazioni desktop e mobile in precedenza in questa pagina.

      Passaggio 2: configura CORS

      Se utilizzi l'identità Google:configura la condivisione delle risorse tra origini (CORS) nella console Google Cloud durante la creazione dell'ID client. Per maggiori dettagli, vedi Creare un ID client per le applicazioni web in precedenza in questa pagina.

      Se utilizzi un IdP di terze parti:nella console di amministrazione dell'IdP, configura l'URI di rilevamento in modo da consentire gli URL di origine per le chiamate di condivisione delle risorse tra origini (CORS), nel modo seguente:

      • Metodo: GET
      • Origini consentite:
        • https://admin.google.com
        • https://client-side-encryption.google.com

      Passaggio 3: aggiungi informazioni alla Console di amministrazione

      Per questa attività, devi aver eseguito l'accesso come super amministratore.

      1. Nella Console di amministrazione Google, vai a Menu e poi Datie poiConformitàe poiCrittografia lato client.

        Per questa attività, devi aver eseguito l'accesso come super amministratore.

        Nota:in Configurazione del provider di identità viene visualizzato un messaggio che indica che Google Workspace non è in grado di accedere al file .well-known. Poiché stai utilizzando la Console di amministrazione per stabilire la connessione all'IdP, puoi ignorare questo messaggio.

      2. In Configurazione del provider di identità, fai clic su Configura IdP di riserva.

        In alternativa, se stai configurando un IdP ospite, fai clic su Configura IdP ospite.

      3. Inserisci le seguenti informazioni sul tuo IdP:
        • Nome
        • ID client (per le applicazioni web)
        • URI di rilevamento

      4. Fai clic su Test connection (Prova connessione).

        Se Google Workspace riesce a connettersi al tuo IdP, viene visualizzato il messaggio "Connessione riuscita".

      5. Se stai configurando un IdP ospite, fai clic su Continua e poi scegli le app web per le quali vuoi fornire l'accesso ospite.

        Per fornire l'accesso ospite per Google Meet (web), inserisci anche l'ID client per la verifica dell'invito ospite.

        Poi fai clic su Salva per chiudere la scheda.

      6. (Facoltativo) Per utilizzare la crittografia lato client con applicazioni specifiche:
        1. In Autenticazione per app desktop e per dispositivi mobili di Google (facoltativa), seleziona le applicazioni con cui vuoi utilizzare la crittografia lato client.
        2. In ID client, specifica l'ID client dell'applicazione.
      7. Fai clic su Aggiungi provider per chiudere la scheda.

      Passaggio 4 (solo IdP di terze parti): aggiungi il tuo IdP alla lista consentita nella Console di amministrazione

      Devi aggiungere l'IdP di terze parti a una lista attendibile di app di terze parti, in modo che gli utenti non debbano accedere ripetutamente all'IdP. Segui le istruzioni riportate in Specificare quali app di terze parti e interne possono accedere ai dati di Google Workspace, nella sezione "Gestire l'accesso alle app attendibili, con restrizioni o bloccate".

      Passaggio successivo

      Dopo aver configurato il tuo IdP, puoi configurare il servizio di crittografia delle chiavi.