この機能に対応しているエディション: Frontline Plus、Enterprise Plus、Education Standard、Education Plus。エディションを比較する
Google Workspace クライアントサイド暗号化(CSE)に使用する外部鍵サービスを選択したら、Google Workspace を ID プロバイダ(IdP)に接続する必要があります(サードパーティの IdP または Google の ID)。ユーザーがコンテンツを暗号化したり、暗号化されたコンテンツにアクセスしたりする前に、暗号鍵サービスで IdP を使用してユーザーを認証します。
注: IdP を構成した後、ゲスト IdP を構成して、組織のクライアントサイド暗号化コンテンツへの外部アクセスを許可できます。詳しくは、ゲスト IdP を構成するをご覧ください。
始める前に
CSE で使用する暗号鍵サービスを選択していることを確認してください。詳しくは、外部鍵サービスを選択するをご覧ください。
ステップ 1: IdP 接続を計画する
サポートされているウェブ、デスクトップ、モバイルアプリとユーティリティ ツールを確認する
IdP 接続を使用して、サポートされているすべての Google Workspace ウェブ アプリケーションに対して CSE を設定できます。
- Google ドライブ
- Google ドキュメント
- Google スプレッドシート
- Google スライド
- Gmail
- Google カレンダー
- Google Meet(音声、動画、チャット メッセージ)
ldP 接続を使用すると、次のデスクトップ アプリケーションとモバイル アプリケーション用に CSE を設定することもできます。
- パソコン版ドライブ
- Android 版と iOS 版のドライブ
- Android 版と iOS 版のカレンダー
- Android 版と iOS 版の Gmail
- Android 版と iOS 版の Meet
次のユーティリティ ツールを設定することもできます。
CSE で使用する IdP を選択する
CSE で暗号鍵サービスを使用するには、OpenID Connect(OIDC)標準をサポートする ID プロバイダ(IdP)が必要です。Google Workspace で OIDC IdP をまだ使用していない場合は、鍵サービスで使用する IdP を次の 2 つの方法のいずれかで設定できます。
**オプション 1: サードパーティの IdP を使用する(推奨)**
ご利用のセキュリティ モデルで、暗号化されたデータと Google のさらなる分離が必要とされている場合は、OICD サードパーティの IdP を使用します。
SAML ベースのシングル サインオン(SSO)にすでにサードパーティの IdP を使用している場合: サービスへのアクセスに使用している IdP と同じ IdP を CSE でも使用することをおすすめします(その IdP が OIDC をサポートしている場合)。Google Workspace で SAML ベースの SSO を使用する方法について詳しくは、こちらの記事をご覧ください。
**オプション 2: Google の ID を使用する**
ご利用のセキュリティ モデルで、暗号化されたデータと Google のさらなる分離が必要とされていない場合は、デフォルトの Google の ID を IdP として使用できます。
サードパーティの IdP のみ: ユーザーのブラウザを設定する
CSE でサードパーティの IdP を使用する場合は、IdP からのサードパーティ Cookie をユーザーのブラウザで許可することをおすすめします。設定しない場合、CSE を使用するときに、ユーザーが IdP にログインしなければならないことが増える可能性があります。
- 組織が Chrome Enterprise を使用している場合: CookiesAllowedForUrls ポリシーを使用できます。
- その他のブラウザを使用している場合: サードパーティ Cookie を許可する手順については、ブラウザのサポート コンテンツをご確認ください。
CSE で使用する IdP に接続する方法を選択する
IdP(サードパーティの IdP または Google の ID)を設定するには、組織のウェブサイトでホストされている .well-known ファイルを使用するか、管理コンソールを使用します(IdP の代替接続)。これらの方法には、それぞれ以下のような考慮事項があります。
注: ゲスト IdP を構成する場合は、管理コンソールを使用する必要があります。
| 考慮事項 | .well-known を使用して設定する場合 | 管理コンソールを使用して設定する場合(IdP の代替接続) |
|---|---|---|
| Google からの分離 | IdP の設定はユーザー独自のサーバーに保存されます。 | IdP の設定は Google サーバーに保存されます。 |
| 管理者の責任 | ウェブマスターは、Google Workspace の特権管理者の代わりに設定を管理できます。 | IdP の設定を管理できるのは、Google Workspace の特権管理者のみです。 |
| CSE の可用性 | CSE の可用性(稼働時間)は、.well-known ファイルをホストするサーバーの可用性によって異なります。 | CSE の可用性は、Google Workspace サービスの一般的な可用性と一致します。 |
| セットアップの容易さ | 管理コンソールとは別に、サーバーの DNS 設定を変更する必要があります。 | 管理コンソールで設定を行います。 |
| 組織外のユーザーとの共有 | 共同編集者の外部鍵サービスも簡単に IdP 設定にアクセスできます。このアクセスを自動化して、IdP 設定に加えた変更に共同編集者のサービスが直ちにアクセスできるようにすることが可能です。 |
共同編集者の外部鍵サービスは、管理コンソールの IdP 設定にはアクセスできません。暗号化されたファイルを共同編集者と初めて共有する前、および IdP 設定を変更するたびに、その共同編集者に IdP 設定を直接提供する必要があります。 |
ステップ 2: CSE のクライアント ID を作成する
ウェブ アプリケーションのクライアント ID を作成する
クライアント ID を作成し、サポートされている Google Workspace ウェブ アプリケーションのリダイレクト URI を追加する必要があります。サポートされているアプリの一覧については、このページで前述しているサポートされているウェブ、デスクトップ、モバイルアプリをご覧ください。
ウェブ アプリケーションのクライアント ID の作成方法は、サードパーティの IdP と Google の ID のどちらを使用するかによって異なります。
注:ゲスト IdP を構成する場合は、ゲストが会議に招待されたことを確認するために使用する Google Meet アクセス用の追加のクライアント ID を作成する必要があります。詳細については、ゲスト IdP を構成するをご覧ください。
**CSE でサードパーティの IdP を使用している場合**
IdP の管理コンソールを使用してクライアント ID を作成します。また、IdP の管理コンソールに次のリダイレクト URI を追加する必要があります。
ウェブサービス:
https://client-side-encryption.google.com/callbackhttps://client-side-encryption.google.com/oidc/cse/callbackhttps://client-side-encryption.google.com/oidc/drive/callbackhttps://client-side-encryption.google.com/oidc/gmail/callbackhttps://client-side-encryption.google.com/oidc/meet/callbackhttps://client-side-encryption.google.com/oidc/calendar/callbackhttps://client-side-encryption.google.com/oidc/docs/callbackhttps://client-side-encryption.google.com/oidc/sheets/callbackhttps://client-side-encryption.google.com/oidc/slides/callback
パソコン版ドライブ:
http://localhost
モバイルアプリ(Android 版、iOS 版)
https://client-side-encryption.google.com/oidc/gmail/native/callbackhttps://client-side-encryption.google.com/oidc/meet/native/callbackhttps://client-side-encryption.google.com/oidc/calendar/native/callbackhttps://client-side-encryption.google.com/oidc/drive/native/callbackhttps://client-side-encryption.google.com/oidc/gmail/meet/native/callback
**CSE で Google の ID を使用している場合**
Google Cloud コンソールでクライアント ID を作成する必要があります。この ID は、.well-known/cse-configuration ファイルまたは管理コンソールに追加します。また、JavaScript 生成元(クロスオリジン リソース シェアリング(CORS)とも呼ばれます)を設定し、リダイレクト URI を追加します。
- console.cloud.google.com にアクセスします。
- 新しい Google Cloud プロジェクトを作成します。手順
プロジェクトは認証情報を保管するためだけに作成するので、どのように設定してもかまいません。
- コンソールで、メニュー アイコン
[API とサービス] [認証情報] に移動します。 - CSE で使用する新しいウェブアプリの OAuth クライアント ID を作成します。詳細な手順
- [JavaScript 生成元] を以下の URL で更新します。
https://admin.google.comhttps://client-side-encryption.google.com
- [承認済みのリダイレクト URI] を以下の URL で更新します。
ウェブサービス:
https://client-side-encryption.google.com/callbackhttps://client-side-encryption.google.com/oidc/cse/callbackhttps://client-side-encryption.google.com/oidc/drive/callbackhttps://client-side-encryption.google.com/oidc/gmail/callbackhttps://client-side-encryption.google.com/oidc/meet/callbackhttps://client-side-encryption.google.com/oidc/calendar/callbackhttps://client-side-encryption.google.com/oidc/docs/callbackhttps://client-side-encryption.google.com/oidc/sheets/callbackhttps://client-side-encryption.google.com/oidc/slides/callback
パソコン版ドライブ:
http://localhostモバイルアプリ(Android 版、iOS 版)
Android 版と iOS 版のモバイルアプリには、追加の設定は必要ありません。
OAuth クライアント ID が作成されます。.well-known/cse-configuration ファイルまたは管理コンソールに追加できるように、この ID を保存しておきます。
デスクトップ アプリケーションとモバイル アプリケーション用のクライアント ID を作成する
ユーザーがデスクトップ アプリケーションとモバイル アプリケーションで CSE を使用できるようにするには、それらのアプリ用のクライアント ID が必要です。これらは .well-known/cse-configuration ファイルまたは管理コンソールに追加します。クライアント ID を鍵サービスの構成に追加する必要がある場合もあります。鍵サービスのドキュメントを参照してください。
各モバイルアプリに対して、プラットフォーム(Android と iOS)ごとに 1 つのクライアント ID が必要です。サポートされているアプリの一覧については、このページで前述しているサポートされているウェブ、デスクトップ、モバイルアプリをご覧ください。
デスクトップ アプリケーションとモバイルアプリのクライアント ID を取得する方法は、サードパーティの IDP と Google の ID のどちらを使用しているかによって異なります。
注: これらのクライアント ID は、PKCE(RFC 7636)の authorization_code 付与タイプをサポートする必要があります。
**CSE でサードパーティの IdP を使用する場合**
IdP の管理コンソールを使用して、アプリごとに個別のクライアント ID を生成します。
**CSE で Google ID を使用する場合**
次のクライアント ID を使用します。
- パソコン版ドライブ - クライアント ID
947318989803-k88lapdik9bledfml8rr69ic6d3rdv57.apps.googleusercontent.comを使用します - Android 版ドライブ - クライアント ID
313892590415-6lbccuf47cou4q45vanraqp3fv5jt9do.apps.googleusercontent.comを使用します - iOS 版ドライブ - クライアント ID
313892590415-d3h1l7kl4htab916r6jevqdtu8bfmh9m.apps.googleusercontent.comを使用します - Android 版カレンダー - クライアント ID
313892590415-q84luo8fon5pn5vl8a6rppo1qvcd3qvn.apps.googleusercontent.comを使用します - iOS 版カレンダー - クライアント ID
313892590415-283b3nilr8561tedgu1n4dcm9hd6g3hr.apps.googleusercontent.comを使用します。 - Android 版 Gmail - クライアント ID
313892590415-samhd32i4piankgs42o9sit5e9dug452.apps.googleusercontent.comを使用します - iOS 版 Gmail - クライアント ID
313892590415-ijvjpbnsh0gauuunjgsdn64ngg37k6rc.apps.googleusercontent.comを使用します - Android 版 Meet - クライアント ID
313892590415-i06v47su4k03ns7ot38akv7s9ari5oa5.apps.googleusercontent.comを使用します - iOS 版 Meet - クライアント ID
313892590415-32ha2bvs0tr1b12s089i33o58hjvqt55.apps.googleusercontent.comを使用します
ユーティリティ ツール用のクライアント ID を作成する
最大限の成果を引き出すために、次のことが推奨されています。
- 鍵サービスの特権エンドポイント(privilegedwrap、privilegedunwrap、privilegedprivatekeydecrypt)とやり取りするユーティリティ ツールごとに 1 つのクライアント ID を使用します。サポートされているツールの一覧については、このページのサポートされているウェブ、デスクトップ、モバイルアプリとユーティリティ ツールを確認するをご覧ください。
- privilegedunwrap エンドポイントと privilegedprivatekeydecrypt エンドポイントの鍵サービスのアクセス ポリシーを構成して、CSE 復号ツールのクライアント ID を許可します。
ステップ 3: CSE で使用する IdP に接続する
Google Workspace と ID プロバイダ(IdP)を接続するには、.well-known ファイルと管理コンソールのどちらかを使用します。接続が確立したら、管理コンソールでその IdP を許可リストに登録する必要があります。
注: ゲスト IdP を構成する場合は、管理コンソールを使用する必要があります。
オプション 1: .well-known ファイルを使用して IdP に接続する
このオプションを使用してサードパーティまたは Google の IdP を設定するには、組織の公開ウェブサイトに .well-known ファイルを配置する必要があります。このファイルで、使用する IdP を指定し、外部の共同編集者が IdP の設定を検出できるようにします。
ステップ 1: .well-known ファイルをサーバーに配置する
IdP の設定は、ドメインの次の URI に配置する必要があります。
https://cse.subdomain.domain.tld/.well-known/cse-configuration
[サブドメイン名].[ドメイン名].tldsubdomain.domain.tld の部分がメールアドレスのドメインと一致している必要があります。たとえば、メールアドレスのドメインが solarmora.comsolarmora.com の場合、.well-known ファイルを次の場所に配置します。
https://cse.solarmora.com/.well-known/cse-configuration
注: .well-known URI は IETF(RFC 8615)に登録されていないため、このプレフィックス(https://cse.)が必要となります。
ステップ 2: .well-known ファイルを構成する
well-known/cse-configuration にある .well-known ファイルのコンテンツは、JSON エンコードされ(RFC 8259)、以下のフィールドが含まれている必要があります。
| フィールド | 説明 |
|---|---|
|
|
IdP の名前。任意の名前を使用できます。この名前は、Google ドライブやドキュメント エディタなどの Google サービスのユーザーに表示される IdP エラー メッセージ内で使用されます。 |
|
|
CSE クライアント ウェブ アプリケーションが JSON Web Token(JWT)を取得する際に使用する OpenID Connect(OIDC)クライアント ID。 クライアント ID を作成するときに、Google Cloud コンソールでリダイレクト URI も追加します。 クライアント ID の作成について詳しくは、このページのウェブ アプリケーション用のクライアント ID を作成するをご覧ください。 |
discovery_uri |
こちらの OpenID の仕様で定義されている OIDC 検出 URL。 |
|
サードパーティの IdP を使用している場合 IdP から URL が提供されます。通常、この URL の末尾は |
|
|
Google の ID を使用している場合
|
|
grant_type |
CSE クライアント ウェブ アプリケーションで OIDC に使用される OAuth フロー |
|
サードパーティの IdP を使用している場合 CSE ウェブ アプリケーションでは、 |
|
|
Google の ID を使用している場合 ウェブ アプリケーションでは、 |
|
|
|
CSE を使用するその他のクライアント アプリケーション。.well-known ファイルに各アプリのクライアント ID を追加する必要があります。 注: これらのクライアント ID は、PKCE(RFC 7636)の クライアント ID の作成について詳しくは、このページで前述しているデスクトップ アプリケーションとモバイルアプリ用のクライアント ID を作成するをご覧ください。 |
**サードパーティの IdP を使用している場合、.well-known ファイルは次のようになります。**
**Google の ID を使用している場合、.well-known ファイルは次のようになります。**
ステップ 3: CORS を設定する
IdP に Google の ID を使用している場合: クライアント ID の作成時に Google Cloud コンソールで CORS を設定します。詳しくは、このページで前述しているウェブ アプリケーションのクライアント ID を作成するをご覧ください。
サードパーティの IdP を使用している場合: .well-known/openid-configuration と .well-known/cse-configuration で、クロスオリジン リソース シェアリング(CORS)呼び出しのオリジン URL を許可する必要があります。IdP の管理コンソールで、設定を以下のように指定します。
.well-known/openid-configuration(検出 URI)
- メソッド: GET
- 許可される生成元 URL:
https://admin.google.comhttps://client-side-encryption.google.com
.well-known/cse-configuration
- メソッド: GET
- 許可される生成元 URL:
https://admin.google.comhttps://client-side-encryption.google.com
オプション 2: 管理コンソールを使用して IdP に接続する
.well-known ファイルを使用する代わりに、管理コンソールを使用して Google Workspace を IdP に接続できます。
注: ゲスト IdP を構成する場合は、管理コンソールを使用する必要があります。
ステップ 1: IdP に関する情報を収集する
管理コンソールを使用して IdP に接続するには、IdP に関する次の情報が必要です。
| IdP の名前 | 詳しくは、このページの .well-known ファイルを構成するをご覧ください。 |
| ウェブ アプリケーションのクライアント ID | 詳しくは、このページで前述しているウェブ アプリケーションのクライアント ID を作成するをご覧ください。 |
| 検出 URI | 詳しくは、このページの .well-known ファイルを構成するをご覧ください。 |
| デスクトップ アプリとモバイルアプリのクライアント ID(省略可) | 詳しくは、このページで前述しているデスクトップ アプリケーションとモバイルアプリのクライアント ID を作成するをご覧ください。 |
ステップ 2: CORS を設定する
Google の ID を使用している場合: クライアント ID を作成する際に、Google Cloud コンソールでクロスオリジン リソース シェアリング(CORS)を設定します。詳しくは、このページで前述しているウェブ アプリケーションのクライアント ID を作成するをご覧ください。
サードパーティの IdP を使用している場合: IdP の管理コンソールで、次のように検出 URI を設定してクロスオリジン リソース シェアリング(CORS)呼び出しのオリジン URL を許可します。
- メソッド: GET
- 許可される生成元 URL:
https://admin.google.comhttps://client-side-encryption.google.com
手順 3: 管理コンソールに情報を追加する
-
Google 管理コンソールで、メニュー アイコン
[データ] [コンプライアンス] [クライアントサイドの暗号化] に移動します。この操作を実施するには、特権管理者としてログインする必要があります。
注: [ID プロバイダの設定] の下に、Google Workspace が .well-known ファイルにアクセスできないことを伝えるメッセージが表示されますが、管理コンソールを使用して IdP に接続するため、このメッセージは無視してください。
- [ID プロバイダの設定] で [代替 IdP を設定] をクリックします。
ゲスト IdP を設定する場合は、[ゲスト IdP を設定する] をクリックします。
- IdP に関する次の情報を入力します。
- 名前
- クライアント ID(ウェブ アプリケーション用)
- 検出 URI
-
[接続をテスト] をクリックします。
Google Workspace が IdP に接続できる場合は、「接続しました」というメッセージが表示されます。
- ゲスト IdP を設定する場合: [続行] をクリックし、ゲストアクセスを許可するウェブアプリを選択します。
Google Meet(ウェブ版)でゲストアクセスを提供するには、ゲストの招待を確認するためのクライアント ID も入力します。
[保存] をクリックしてカードを閉じます。
- (省略可)特定のアプリケーションで CSE を使用するには:
- [Google のデスクトップ アプリとモバイルアプリの認証(省略可)] で、CSE を使用するアプリケーションを選択します。
- [クライアント ID] に、アプリケーションのクライアント ID を入力します。
- [プロバイダを追加] をクリックしてカードを閉じます。
手順 4(サードパーティの IdP のみ): 管理コンソールで IdP を許可リストに追加する
ユーザーが IdP に何度もログインしなくても済むように、信頼できるサードパーティ製アプリのリストにサードパーティの IdP を追加する必要があります。手順については、Google Workspace のデータにアクセスできるサードパーティ製アプリと内部アプリを制御するで、「アプリへのアクセスを管理する: 信頼できる、限定、ブロック」をご覧ください。
次のステップ
IdP を設定したら、鍵暗号化サービスを設定できます。