Conectar-se ao provedor de identidade para usar a criptografia do lado do cliente

Edições compatíveis com este recurso: Frontline Plus, Enterprise Plus, Education Standard e Education Plus. Comparar sua edição

Depois de escolher o serviço de chaves externo para a criptografia do lado do cliente (CSE) do Google Workspace, conecte o Google Workspace a um provedor de identidade (IdP), que pode ser um IdP de terceiros ou do Google. O serviço de chaves de criptografia usa seu IdP para autenticar os usuários antes de eles criptografarem ou acessarem o conteúdo criptografado.

Observação:depois de configurar seu IdP, configure um IdP convidado para permitir acesso externo ao conteúdo criptografado do lado do cliente da sua organização. Saiba mais em Configurar um IdP convidado.

Antes de começar

Confira se você escolheu o serviço de chave de criptografia que quer usar com a CSE. Saiba mais em Escolher seu serviço de chaves externo.

Etapa 1: planejar a conexão do IdP

Analisar apps da Web, computadores e para dispositivos móveis compatíveis e ferramentas de utilidade

Com a conexão do IdP, você pode configurar a CSE para todos os aplicativos da Web do Google Workspace com suporte:

  • Google Drive
  • Google Docs
  • Google Planilhas
  • Google Slides
  • Gmail
  • Google Agenda
  • Google Meet (áudio, vídeo e mensagens de chat)

Na conexão com o ldP, você também pode configurar a CSE para os seguintes apps para computador e dispositivos móveis:

Também é possível configurar as seguintes ferramentas utilitárias:

Escolher seu IdP para usar a CSE

Para usar um serviço de chaves de criptografia com a CSE, você precisa de um provedor de identidade (IdP) compatível com o padrão OpenID Connect (OIDC). Se você ainda não usa um IdP do OIDC com o Google Workspace, há duas maneiras de configurar o IdP para usá-lo com o serviço de chaves:

**Opção 1: usar um IdP de terceiros (recomendado)**

Use um IdP de terceiros do OIDC se o modelo de segurança exigir mais isolamento dos seus dados criptografados do Google.

Se você já usa um IdP de terceiros para o Logon único (SSO) baseado em SAML: recomendamos usar o mesmo IdP para acessar a CSE do Google Workspace, se o IdP for compatível com o OIDC. Saiba mais sobre como usar o SSO baseado em SAML com o Google Workspace.

**Opção 2: usar a identidade do Google**

Se o modelo de segurança não exigir isolamento adicional dos seus dados criptografados do Google, use a identidade padrão do Google como seu IdP.

Somente IdP de terceiros: configurar os navegadores dos usuários

Se você usa um IdP de terceiros para a CSE, é recomendável permitir cookies de terceiros do IdP nos navegadores dos usuários. Caso contrário, talvez os usuários precisem fazer login no IdP com mais frequência ao usar a CSE.

  • Se a organização usa o Chrome Enterprise:você pode usar a política CookiesAllowedForUrls.
  • Para outros navegadores:consulte o conteúdo de suporte do navegador para ver instruções sobre como permitir cookies de terceiros.

Escolher como se conectar ao seu IdP para usar a CSE

É possível configurar o IdP (um IdP de terceiros ou a identidade do Google) usando um arquivo .well-known hospedado no site da sua organização ou no Admin Console (que é o IdP substituto). Cada método tem várias considerações, conforme descrito na tabela abaixo.

Observação:se você estiver configurando um IdP de convidado, será necessário usar o Admin Console.

Considerações Configuração .well-known Configuração do Admin Console (IdP substituto)
Isolamento do Google As configurações do IdP são armazenadas no seu servidor. As configurações do IdP são armazenadas nos servidores do Google.
Responsabilidades do administrador Um webmaster pode gerenciar sua configuração em vez de um superadministrador do Google Workspace. Apenas um superadministrador do Google Workspace pode gerenciar a configuração do IdP.
Disponibilidade da CSE A disponibilidade da CSE (tempo de atividade) depende da disponibilidade do servidor que hospeda seu arquivo .well-known. A disponibilidade da CSE depende da disponibilidade geral dos serviços do Google Workspace.
Facilidade de configuração É preciso mudar as configurações de DNS do seu servidor fora do Admin Console. Defina as configurações no Admin Console.
Compartilhamento fora da sua organização O serviço de chaves externo do seu colaborador pode acessar facilmente as configurações do IdP. Esse acesso pode ser automatizado e garante que o serviço do colaborador tenha acesso imediato às mudanças nas configurações do IdP.

O serviço de chaves externo do seu colaborador não pode acessar suas configurações do IdP no Admin Console. Informe as configurações do IdP diretamente ao colaborador antes de compartilhar arquivos criptografados pela primeira vez e sempre que você alterar as configurações do IdP.

Etapa 2: criar IDs do cliente para a CSE

Criar um ID do cliente para aplicativos da Web

É necessário criar um ID do cliente e adicionar URIs de redirecionamento para aplicativos da Web do Google Workspace com suporte. Para ver uma lista dos apps compatíveis, consulte a seção Aplicativos da Web, para computador e para dispositivos móveis compatíveis anteriormente nesta página.

A forma como você cria um ID do cliente para aplicativos da Web depende do uso de um IdP de terceiros ou do Google.

Se você estiver configurando um IdP de convidado, será necessário criar outro ID do cliente para acessar o Google Meet, que será usado para verificar que a pessoa foi convidada para a reunião. Para mais informações, acesse Configurar um IdP convidado.

**Se você usa um IdP de terceiros para a CSE**

Crie um ID do cliente usando o Admin Console do IdP. Também é necessário adicionar os seguintes URIs de redirecionamento ao Admin Console do IdP:

Serviços da Web:

  • https://client-side-encryption.google.com/callback
  • https://client-side-encryption.google.com/oidc/cse/callback
  • https://client-side-encryption.google.com/oidc/drive/callback
  • https://client-side-encryption.google.com/oidc/gmail/callback
  • https://client-side-encryption.google.com/oidc/meet/callback
  • https://client-side-encryption.google.com/oidc/calendar/callback
  • https://client-side-encryption.google.com/oidc/docs/callback
  • https://client-side-encryption.google.com/oidc/sheets/callback
  • https://client-side-encryption.google.com/oidc/slides/callback

Drive para computador:

http://localhost

Apps para dispositivos móveis Android e iOS:

  • https://client-side-encryption.google.com/oidc/gmail/native/callback
  • https://client-side-encryption.google.com/oidc/meet/native/callback
  • https://client-side-encryption.google.com/oidc/calendar/native/callback
  • https://client-side-encryption.google.com/oidc/drive/native/callback
  • https://client-side-encryption.google.com/oidc/gmail/meet/native/callback

**Se você usa a identidade do Google para a CSE**

Você precisa criar um ID do cliente no console do Google Cloud. Você adiciona-o no arquivo .well-known/cse-configuration ou no Admin Console. Você também vai configurar as origens do JavaScript (também chamado de compartilhamento de recursos entre origens ou CORS) e adicionar URIs de redirecionamento.

  1. Acesse console.cloud.google.com.
  2. Crie um novo projeto do Google Cloud. Veja as instruções.

    Configure o projeto como você quiser. Ele serve apenas para armazenar credenciais.

  3. No console, acesse Menu e depoisAPIs e serviçose depoisCredenciais.
  4. Crie um ID do cliente OAuth para um novo app da Web que você vai usar na CSE. Confira as instruções completas.
  5. Atualize as origens do JavaScript com as seguintes informações:
    • https://admin.google.com
    • https://client-side-encryption.google.com
  6. Atualize os URIs de redirecionamento autorizados com as seguintes informações.

    Serviços da Web:

    • https://client-side-encryption.google.com/callback
    • https://client-side-encryption.google.com/oidc/cse/callback
    • https://client-side-encryption.google.com/oidc/drive/callback
    • https://client-side-encryption.google.com/oidc/gmail/callback
    • https://client-side-encryption.google.com/oidc/meet/callback
    • https://client-side-encryption.google.com/oidc/calendar/callback
    • https://client-side-encryption.google.com/oidc/docs/callback
    • https://client-side-encryption.google.com/oidc/sheets/callback
    • https://client-side-encryption.google.com/oidc/slides/callback

    Drive para computador:

    http://localhost

    Apps para dispositivos móveis Android e iOS:

    Nenhuma configuração adicional é necessária para apps Android e iOS.

Um ID do cliente OAuth é criado. Salve esse ID para adicionar ao arquivo .well-known/cse-configuration ou ao Admin Console.

Criar IDs de cliente para aplicativos para computador e dispositivos móveis

Se você quiser que os usuários utilizem a CSE em apps para dispositivos móveis e computadores, vai precisar de IDs do cliente para esses apps. Você adiciona-o ao arquivo .well-known/cse-configuration ou ao Admin Console.  Talvez seja necessário também adicionar os IDs de cliente à configuração do serviço de chaves. Consulte a documentação do serviço.

Você precisará de um ID do cliente para cada plataforma (Android e iOS) em cada app para dispositivos móveis. Para ver uma lista dos apps compatíveis, consulte a seção Aplicativos da Web, para computador e para dispositivos móveis compatíveis anteriormente nesta página.

A forma de criar IDs do cliente de aplicativos para dispositivos móveis e computadores depende do uso de um IdP de terceiros ou do Google.

Observação:esses IDs do cliente precisam ser compatíveis com o tipo de concessão authorization_code para PKCE (RFC 7636).

**Se você vai usar um IdP de terceiros para a CSE**

Use o Admin Console do IdP para gerar um ID do cliente separado para cada app.

**Se você vai usar a identidade do Google para a CSE**

Use os seguintes IDs do cliente:

  • Drive para computador: use o ID do cliente 947318989803-k88lapdik9bledfml8rr69ic6d3rdv57.apps.googleusercontent.com
  • Drive para Android: use o ID do cliente 313892590415-6lbccuf47cou4q45vanraqp3fv5jt9do.apps.googleusercontent.com
  • Drive para iOS: use o ID do cliente 313892590415-d3h1l7kl4htab916r6jevqdtu8bfmh9m.apps.googleusercontent.com
  • Agenda no Android: use o ID do cliente 313892590415-q84luo8fon5pn5vl8a6rppo1qvcd3qvn.apps.googleusercontent.com
  • Agenda no iOS: use o ID do cliente 313892590415-283b3nilr8561tedgu1n4dcm9hd6g3hr.apps.googleusercontent.com
  • Gmail no Android: use o ID do cliente 313892590415-samhd32i4piankgs42o9sit5e9dug452.apps.googleusercontent.com
  • Gmail no iOS: use o ID do cliente 313892590415-ijvjpbnsh0gauuunjgsdn64ngg37k6rc.apps.googleusercontent.com
  • Meet no Android: use o ID do cliente 313892590415-i06v47su4k03ns7ot38akv7s9ari5oa5.apps.googleusercontent.com
  • Meet no iOS: use o ID do cliente 313892590415-32ha2bvs0tr1b12s089i33o58hjvqt55.apps.googleusercontent.com

Criar IDs do cliente para ferramentas utilitárias

Veja abaixo nossas recomendações:

  1. Use um ID do cliente para cada ferramenta utilitária que interage com os endpoints privilegiados (privilegedwrap, privilegedunwrap, privilegedprivatekeydecrypt) do seu serviço de chaves. Para ver uma lista de ferramentas compatíveis, acesse Analisar apps da web, computadores e dispositivos móveis compatíveis e ferramentas de utilidade nesta página.
  2. Configure as políticas de acesso do seu serviço de chaves para os endpoints privilegedunwrap e privilegedprivatekeydecrypt, permitindo o ID do cliente do descriptografador da CSE.

Etapa 3: conectar-se ao IdP para usar a CSE

Para conectar o Google Workspace ao seu provedor de identidade (IdP), é possível usar um arquivo .well-known ou o Admin Console. Depois de estabelecer a conexão, você precisa colocar seu IdP na lista de permissões no Admin Console.

Observação:se você estiver configurando um IdP de convidado, será necessário usar o Admin Console.

Opção 1: fazer a conexão com o IdP usando um arquivo .well-known

Para configurar o IdP do Google ou de terceiros com essa opção, coloque um arquivo .well-known no site público da organização. Esse arquivo estabelece qual IdP você usa e permite que colaboradores externos acessem as configurações do IdP.

Etapa 1: colocar o arquivo .well-known no servidor

A configuração do IdP precisa ser colocada neste URI no seu domínio:

https://cse.subdomain.domain.tld/.well-known/cse-configuration

em que subdomain.domain.tld deve corresponder ao domínio no seu endereço de e-mail. Por exemplo, se o domínio no seu endereço de e-mail fosse solarmora.com, você colocaria o arquivo .well-known em:

https://cse.solarmora.com/.well-known/cse-configuration

Observação:o prefixo https://cse. é obrigatório, porque o URI .well-known não está registrado no IETF (RFC 8615).

Etapa 2: configurar seu arquivo .well-known

O conteúdo do arquivo .well-known em well-known/cse-configuration precisa ser codificado em JSON (RFC 8259) e ter estes campos:

Campo Descrição

name

 O nome do IdP. É possível usar qualquer nome. Esse nome aparece nas mensagens de erro do IdP para os usuários nos Serviços do Google, como o Drive e os Editores de arquivos Google.

client_id

O ID do cliente OpenID Connect (OIDC) que o aplicativo da Web cliente da CSE usa para adquirir um JSON Web Token (JWT).

Ao criar um ID do cliente, você também vai adicionar URIs de redirecionamento no console do Google Cloud.

Para detalhes sobre a criação de um ID do cliente, consulte o artigo Criar um ID do cliente para aplicativos da Web anteriormente nesta página.
discovery_uri

O URL de descoberta do OIDC, conforme definido nesta especificação do OpenID.

Se você usa um IdP de terceiros

Seu IdP fornece esse URL, que geralmente termina com /.well-known/openid-configuration.

Se você usa a identidade do Google

Usar https://accounts.google.com/.well-known/openid-configuration
grant_type

O fluxo de OAuth usado para o OIDC com aplicativos da Web cliente da CSE

Se você usa um IdP de terceiros

Você pode usar o tipo de concessão implicit ou authorization_code para aplicativos da Web com CSE.

Se você usa a identidade do Google

Só é possível usar o tipo de concessão implicit para aplicativos da Web.

applications

Os outros apps clientes com que você quer usar a CSE. Você precisa adicionar um ID do cliente para cada app ao seu arquivo .well-known.

Observação:esses IDs do cliente precisam ser compatíveis com o tipo de concessão authorization_code para PKCE (RFC 7636).

Para detalhes sobre a criação de IDs de cliente, consulte o artigo Criar um ID do cliente para aplicativos para computador e dispositivos móveis anteriormente nesta página.

    **Se você usa um IdP de terceiros, seu arquivo .well-known precisa ter esta aparência:**

    **Se você usa a identidade do Google, seu arquivo .well-known deve ter a seguinte aparência:**

    Etapa 3: configurar o CORS

    Se você estiver usando a identidade do Google para seu IdP:configure o CORS no console do Google Cloud ao criar seu ID do cliente. Para detalhes, consulte Criar um ID do cliente para aplicativos da Web anteriormente nesta página.

    Se você usa um IdP de terceiros:seus domínios .well-known/openid-configuration e .well-known/cse-configuration precisam permitir URLs de origem para as chamadas de Compartilhamento de recursos entre origens (CORS). No Admin Console do IdP, defina as configurações da seguinte maneira:

      .well-known/openid-configuration (URI de descoberta)

      • Métodos: GET
      • Origens permitidas:
        • https://admin.google.com
        • https://client-side-encryption.google.com

      .well-known/cse-configuration

      • Métodos: GET
      • Origens permitidas:
        • https://admin.google.com
        • https://client-side-encryption.google.com

      Opção 2: conectar ao IdP no Admin Console

      Em vez de usar um arquivo .well-known, é possível conectar o Google Workspace ao seu IdP usando o Admin Console.

      Observação:se você estiver configurando um IdP de convidado, será necessário usar o Admin Console.

      Etapa 1: coletar informações sobre o IdP

      Para se conectar ao seu IdP usando o Admin Console, você precisa das seguintes informações:

      Nome do seu IdP Saiba mais em Configurar seu arquivo .well-known anteriormente nesta página.
      ID do cliente para aplicativos da Web Para detalhes, consulte Criar um ID do cliente para aplicativos da Web anteriormente nesta página.
      URI de descoberta Saiba mais em Configurar seu arquivo .well-known anteriormente nesta página.
      IDs do cliente de apps para dispositivos móveis e computadores (opcional) Para detalhes, consulte Criar IDs de cliente para aplicativos para computador e dispositivos móveis anteriormente nesta página.

      Etapa 2: configurar o CORS

      Se você usa a identidade do Google:configure o Compartilhamento de recursos entre origens (CORS) no console do Google Cloud ao criar seu ID do cliente. Para detalhes, consulte Criar um ID do cliente para aplicativos da Web anteriormente nesta página.

      Se você estiver usando um IdP de terceiros:no Admin Console do IdP, configure o URI de descoberta para permitir URLs de origem em chamadas de Compartilhamento de recursos entre origens (CORS) da seguinte maneira:

      • Método: GET
      • Origens permitidas:
        • https://admin.google.com
        • https://client-side-encryption.google.com

      Etapa 3: adicionar informações ao Admin Console

      Para realizar essa tarefa, você precisa fazer login como superadministrador.

      1. No Google Admin Console, acesse Menu e depois Dadose depoisConformidadee depoisCriptografia do lado do cliente.

        Para realizar essa tarefa, você precisa fazer login como superadministrador.

        Observação:em Configuração do provedor de identidade, você vê uma mensagem indicando que o Google Workspace não encontrou o arquivo .well-known. Como você está se conectando ao IdP pelo Admin Console, ignore essa mensagem.

      2. Em Configuração do provedor de identidade, clique em Configurar IdP substituto.

        Se você estiver configurando um IdP convidado, clique em Configurar IdP convidado.

      3. Digite as seguintes informações sobre seu IdP:
        • Nome
        • ID do cliente (para aplicativos da Web)
        • URI de descoberta

      4. Clique em Testar conexão.

        Se o Google Workspace conseguir se conectar ao IdP, a mensagem "Conexão bem-sucedida" vai aparecer.

      5. Se você estiver configurando um IdP convidado, clique em Continuar e escolha os apps da Web para conceder acesso de convidado.

        Para dar acesso de convidado ao Google Meet (Web), insira também o ID do cliente para verificação do convite.

        Em seguida, clique em Salvar para fechar o card.

      6. (Opcional) Para usar a CSE em apps específicos, faça o seguinte:
        1. Em Autenticação de apps para dispositivos móveis e computadores do Google (opcional), selecione os apps com que você quer usar a CSE.
        2. Em ID do cliente, insira o ID do cliente do aplicativo.
      7. Clique em Adicionar provedor para fechar o card.

      Etapa 4 (apenas IdP de terceiros): adicionar seu IdP à lista de permissões no Admin Console

      Você precisa adicionar o IdP terceirizado à lista confiável de apps de terceiros para que os usuários não precisem fazer login no IdP várias vezes. Siga as instruções em Controlar quais apps internos e de terceiros acessam os dados do Google Workspace, na seção "Gerenciar o acesso aos apps: "Confiável", "Limitado" ou "Bloqueado".

      Próxima etapa

      Depois que você configurar o IdP, vai estar tudo pronto para configurar o serviço de criptografia de chaves.