Эта страница переведена с помощью Cloud Translation API.

Подключитесь к своему поставщику идентификационных данных для шифрования на стороне клиента.

Поддерживаемые версии для этой функции: Frontline Plus; Enterprise Plus; Education Standard и Education Plus. Сравните вашу версию.

После выбора внешнего сервиса ключей для шифрования на стороне клиента (CSE) в Google Workspace необходимо подключить Google Workspace к поставщику идентификационных данных (IdP) — либо к стороннему IdP, либо к сервису идентификации Google. Ваш сервис ключей шифрования использует ваш IdP для аутентификации пользователей, прежде чем они смогут зашифровать контент или получить доступ к зашифрованному контенту.

Примечание: После настройки поставщика идентификации (IdP) вы можете настроить гостевой IdP, чтобы разрешить внешний доступ к зашифрованному контенту вашей организации на стороне клиента. Подробности см. в разделе «Настройка гостевого IdP» .

Прежде чем начать

Убедитесь, что вы выбрали службу ключей шифрования, которую хотите использовать с CSE. Подробности см. в разделе «Выбор внешней службы ключей» .

Шаг 1: Спланируйте подключение к поставщику идентификации (IdP).

Проанализируйте поддерживаемые веб-, настольные и мобильные приложения и вспомогательные инструменты.

С помощью подключения к IdP вы можете настроить CSE для всех поддерживаемых веб-приложений Google Workspace:

Google Диск
Google Документы
Google Таблицы
Google Слайды
Гмайл
Календарь Google
Google Meet (аудио, видео и сообщения в чате)

Подключение по протоколу ldP также позволяет настроить CSE для следующих настольных и мобильных приложений:

Диск для настольного компьютера
Управление на Android и iOS
Календарь на Android и iOS
Gmail на Android и iOS
Встречайтесь на Android и iOS

Вы также можете настроить следующие вспомогательные инструменты:

дешифратор CSE

Выберите своего поставщика идентификации для CSE

Для использования службы ключей шифрования с CSE вам потребуется поставщик идентификационных данных (IdP), поддерживающий стандарт OpenID Connect (OIDC). Если вы еще не используете OIDC IdP с Google Workspace, вы можете настроить свой IdP для использования со службой ключей двумя способами:

**Вариант 1: Использование стороннего поставщика идентификации (рекомендуется)**

Используйте стороннего поставщика идентификации OIDC, если ваша модель безопасности требует большей изоляции зашифрованных данных от Google.

Если вы уже используете стороннего поставщика идентификации (IdP) для единого входа (SSO) на основе SAML: рекомендуется использовать тот же поставщик идентификации для CSE, который вы используете для доступа к сервисам Google Workspace, если этот поставщик идентификации поддерживает OIDC. Узнайте больше об использовании SSO на основе SAML с Google Workspace.

**Вариант 2: Использование Google Identity**

Если ваша модель безопасности не требует дополнительной изоляции зашифрованных данных от Google, вы можете использовать стандартный идентификатор Google в качестве поставщика идентификации (IdP).

Только для сторонних поставщиков идентификации: настройка браузеров пользователей.

Если вы используете стороннего поставщика идентификации (IdP) для CSE, рекомендуется разрешить использование сторонних файлов cookie от вашего IdP в браузерах пользователей; в противном случае пользователям может потребоваться чаще входить в вашу учетную запись IdP при использовании CSE.

Если ваша организация использует Chrome Enterprise: вы можете использовать политику CookiesAllowedForUrls .
Для других браузеров: обратитесь к справочной информации вашего браузера за инструкциями о том, как разрешить использование сторонних файлов cookie.

Выберите способ подключения к вашему поставщику идентификации (IdP) для CSE.

Вы можете настроить свой поставщик идентификации (IdP) — либо сторонний поставщик идентификации, либо учетную запись Google — используя либо файл .well-known, размещенный на веб-сайте вашей организации, либо консоль администратора (которая является резервным вариантом для IdP). Для каждого метода есть несколько нюансов, описанных в таблице ниже.

Примечание: При настройке гостевого поставщика идентификации (IdP ) необходимо использовать консоль администратора.

Соображения	хорошо известная конфигурация	Настройка административной консоли (резервный вариант с поставщиком идентификации)
Изоляция от Google	Настройки поставщика идентификации хранятся на вашем собственном сервере.	Настройки поставщика идентификации хранятся на серверах Google.
Административные обязанности	Вместо суперадминистратора Google Workspace управлять настройками может веб-мастер.	Управлять настройками вашего поставщика идентификации (IdP) может только суперадминистратор Google Workspace.
Доступность CSE	Доступность (время безотказной работы) CSE зависит от доступности сервера, на котором размещен ваш файл .well-known.	Доступность CSE соответствует общей доступности сервисов Google Workspace.
Простота настройки	Для этого необходимо изменить настройки DNS для вашего сервера вне административной консоли.	Настройте параметры в консоли администратора.
Обмен информацией за пределами вашей организации	Внешний сервис ключей вашего партнера может легко получить доступ к настройкам вашего поставщика идентификации (IdP). Этот доступ может быть автоматизирован и гарантирует, что сервис вашего партнера будет иметь немедленный доступ к любым изменениям в настройках вашего IdP.	Внешний сервис ключей вашего соавтора не может получить доступ к настройкам вашего поставщика идентификации (IdP) в консоли администратора. Вам необходимо предоставить настройки IdP непосредственно вашему соавтору перед первой передачей зашифрованных файлов, а также при каждом изменении настроек IdP.

Шаг 2: Создайте идентификаторы клиентов для CSE.

Создайте идентификатор клиента для веб-приложений.

Вам необходимо создать идентификатор клиента и добавить URI перенаправления для поддерживаемых веб-приложений Google Workspace. Список поддерживаемых приложений можно найти в разделе «Поддерживаемые веб-, настольные и мобильные приложения» на этой странице.

Способ создания идентификатора клиента для веб-приложений зависит от того, используете ли вы стороннего поставщика идентификации (IdP) или систему идентификации Google.

Если вы настраиваете гостевого поставщика идентификации (IdP) : вам необходимо создать дополнительный идентификатор клиента для доступа к Google Meet , который используется для проверки того, что гость был приглашен на встречу. Для получения дополнительной информации перейдите в раздел «Настройка гостевого поставщика идентификации» .

**Если вы используете стороннего поставщика идентификации для CSE**

Создайте идентификатор клиента, используя административную консоль вашего поставщика идентификации (IdP). Вам также потребуется добавить следующие URI перенаправления в административную консоль вашего IdP:

Веб-сервисы:

https://client-side-encryption.google.com/callback
https://client-side-encryption.google.com/oidc/cse/callback
https://client-side-encryption.google.com/oidc/drive/callback
https://client-side-encryption.google.com/oidc/gmail/callback
https://client-side-encryption.google.com/oidc/meet/callback
https://client-side-encryption.google.com/oidc/calendar/callback
https://client-side-encryption.google.com/oidc/docs/callback
https://client-side-encryption.google.com/oidc/sheets/callback
https://client-side-encryption.google.com/oidc/slides/callback

Диск для рабочего стола:

http://localhost

Мобильные приложения для Android и iOS:

https://client-side-encryption.google.com/oidc/gmail/native/callback
https://client-side-encryption.google.com/oidc/meet/native/callback
https://client-side-encryption.google.com/oidc/calendar/native/callback
https://client-side-encryption.google.com/oidc/drive/native/callback
https://client-side-encryption.google.com/oidc/gmail/meet/native/callback

**Если вы используете Google Identity для CSE**

Вам необходимо создать идентификатор клиента в консоли Google Cloud. Добавьте его в файл .well-known/cse-configuration или в консоль администратора. Также необходимо настроить источники JavaScript (также называемые междоменным обменом ресурсами, или CORS) и добавить URI перенаправления.

Перейдите на console.cloud.google.com .
Создайте новый проект Google Cloud. Получите инструкции .
Настройте проект так, как вам удобно — он нужен только для хранения учетных данных.
В консоли перейдите в меню. API и сервисы Реквизиты для входа .
Создайте идентификатор клиента OAuth для нового веб-приложения, которое вы будете использовать с CSE. Полные инструкции доступны по ссылке .
Обновите источники JavaScript , добавив следующее:
- https://admin.google.com
- https://client-side-encryption.google.com
Обновите авторизованные URI перенаправления , добавив следующее.
Веб-сервисы:
- https://client-side-encryption.google.com/callback
- https://client-side-encryption.google.com/oidc/cse/callback
- https://client-side-encryption.google.com/oidc/drive/callback
- https://client-side-encryption.google.com/oidc/gmail/callback
- https://client-side-encryption.google.com/oidc/meet/callback
- https://client-side-encryption.google.com/oidc/calendar/callback
- https://client-side-encryption.google.com/oidc/docs/callback
- https://client-side-encryption.google.com/oidc/sheets/callback
- https://client-side-encryption.google.com/oidc/slides/callback
Диск для рабочего стола:
http://localhost
Мобильные приложения для Android и iOS:
Для мобильных приложений Android и iOS дополнительная настройка не требуется.

Создан идентификатор клиента OAuth. Сохраните этот идентификатор, чтобы добавить его в файл .well-known/cse-configuration или в консоль администратора.

Создавайте идентификаторы клиентов для настольных и мобильных приложений.

Если вы хотите, чтобы ваши пользователи могли использовать CSE с настольными и мобильными приложениями, вам потребуются идентификаторы клиентов для этих приложений. Вы добавите их в файл .well-known/cse-configuration или в консоль администратора. Возможно, вам также потребуется добавить идентификаторы клиентов в конфигурацию службы ключей — обратитесь к документации вашей службы ключей.

Для каждого мобильного приложения вам потребуется один идентификатор клиента для каждой платформы (Android и iOS). Список поддерживаемых приложений можно найти в разделе «Поддерживаемые веб-, настольные и мобильные приложения» на этой странице.

Способ получения идентификаторов клиентов для настольных и мобильных приложений зависит от того, используете ли вы сторонний поставщик идентификаторов или систему идентификации Google.

Примечание: Эти идентификаторы клиентов должны поддерживать тип предоставления authorization_code для PKCE ( RFC 7636 ).

**Если вы будете использовать стороннего поставщика идентификации для CSE**

Используйте административную консоль вашего поставщика идентификации (IdP), чтобы сгенерировать отдельный идентификатор клиента для каждого приложения.

**Если вы будете использовать Google Identity для CSE**

Используйте следующие идентификаторы клиентов:

Google Диск для настольных компьютеров — используйте идентификатор клиента 947318989803-k88lapdik9bledfml8rr69ic6d3rdv57.apps.googleusercontent.com
Приложение Drive на Android — используйте идентификатор клиента 313892590415-6lbccuf47cou4q45vanraqp3fv5jt9do.apps.googleusercontent.com
Приложение Drive на iOS — используйте идентификатор клиента 313892590415-d3h1l7kl4htab916r6jevqdtu8bfmh9m.apps.googleusercontent.com
Календарь на Android — используйте идентификатор клиента 313892590415-q84luo8fon5pn5vl8a6rppo1qvcd3qvn.apps.googleusercontent.com
Календарь на iOS — используйте идентификатор клиента 313892590415-283b3nilr8561tedgu1n4dcm9hd6g3hr.apps.googleusercontent.com
Gmail на Android — используйте идентификатор клиента 313892590415-samhd32i4piankgs42o9sit5e9dug452.apps.googleusercontent.com
Gmail на iOS — используйте идентификатор клиента 313892590415-ijvjpbnsh0gauuunjgsdn64ngg37k6rc.apps.googleusercontent.com
Встречайтесь на Android — используйте идентификатор клиента 313892590415-i06v47su4k03ns7ot38akv7s9ari5oa5.apps.googleusercontent.com
Встречайтесь на iOS — используйте идентификатор клиента 313892590415-32ha2bvs0tr1b12s089i33o58hjvqt55.apps.googleusercontent.com

Создайте идентификаторы клиентов для вспомогательных инструментов.

Мы рекомендуем вам:

Используйте один идентификатор клиента для каждого вспомогательного инструмента, взаимодействующего с привилегированными конечными точками (privilegedwrap, privilegedunwrap, privilegedprivatekeydecrypt) вашей службы ключей. Список поддерживаемых инструментов см. на странице «Просмотр поддерживаемых веб-, настольных и мобильных приложений, а также вспомогательных инструментов» .
Настройте политики доступа вашей службы ключей для конечных точек privilegedunwrap и privilegedprivatekeydecrypt, чтобы разрешить использование идентификатора клиента дешифратора CSE.

Шаг 3: Подключитесь к вашему поставщику идентификации (IdP) для CSE.

Для подключения Google Workspace к вашему поставщику идентификации (IdP) можно использовать файл .well-known или консоль администратора. После установления соединения необходимо добавить ваш IdP в список разрешенных в консоли администратора.

Вариант 1: Подключитесь к вашему поставщику идентификации (IdP) с помощью файла .well-known.

Для настройки стороннего поставщика идентификации (IdP) или поставщика идентификации Google с этой опцией необходимо разместить файл .well-known на общедоступном веб-сайте вашей организации. Этот файл определяет, какого поставщика идентификации вы используете, и позволяет вашим внешним партнерам узнавать ваши настройки IdP.

Шаг 1: Разместите файл .well-known на своем сервере.

Конфигурация вашего поставщика идентификации (IdP) должна быть размещена по этому URI в вашем домене:

https: //cse.subdomain.domain.tld/.well-known/cse-configuration

где subdomain.domain.tld должен соответствовать домену в вашем адресе электронной почты. Например, если домен в вашем адресе электронной почты — solarmora.com , то файл .well-known следует разместить по адресу:

https://cse.solarmora.com/.well-known/cse-configuration

Примечание: Префикс https://cse. необходим, поскольку URI .well-known не зарегистрирован в IETF ( RFC 8615 ).

Шаг 2: Настройте файл .well-known

Содержимое вашего файла .well-known, расположенного в папке well-known/cse-configuration, должно быть закодировано в формате JSON ( RFC 8259 ) и содержать следующие поля:

Поле	Описание
`name`	Имя поставщика идентификации (IdP) — вы можете использовать любое имя по своему усмотрению. Это имя отображается в сообщениях об ошибках IdP для пользователей в сервисах Google, таких как Google Диск и редактор документов.
`client_id`	Идентификатор клиента OpenID Connect (OIDC), который веб-приложение CSE использует для получения JSON Web Token (JWT). При создании идентификатора клиента вы также добавите URI перенаправления в консоли Google Cloud. Подробную информацию о создании идентификатора клиента см. в разделе «Создание идентификатора клиента для веб-приложений» на этой странице.
`discovery_uri`	URL-адрес обнаружения OIDC, как определено в данной спецификации OpenID .
	Если вы используете стороннего поставщика идентификации (IdP). Ваш поставщик идентификации предоставляет вам этот URL-адрес, который обычно заканчивается на `/.well-known/openid-configuration`
	Если вы используете Google Identity Используйте `https://accounts.google.com/.well-known/openid-configuration`
`grant_type`	Процесс аутентификации OAuth, используемый для OIDC в клиентских веб-приложениях CSE.
	Если вы используете стороннего поставщика идентификации (IdP). Для веб-приложений CSE можно использовать либо `implicit` тип предоставления доступа, либо тип `authorization_code` .
	Если вы используете Google Identity Для веб-приложений можно использовать только `implicit` тип предоставления прав.
`applications`	Дополнительные клиентские приложения, с которыми вы хотите использовать CSE. Вам необходимо добавить идентификатор клиента для каждого приложения в файл .well-known. Примечание: Эти идентификаторы клиентов должны поддерживать тип предоставления `authorization_code` для PKCE ( RFC 7636 ). Подробную информацию о создании идентификаторов клиентов см. в разделе «Создание идентификатора клиента для настольных и мобильных приложений» на этой странице.

**Если вы используете стороннего поставщика идентификации (IdP), ваш файл .well-known должен выглядеть следующим образом:**

**Если вы используете Google Identity, ваш файл .well-known должен выглядеть следующим образом:**

{

"name" : "Google Identity",

"client_id" : " ID from Google Cloud ( created above ) ",

"discovery_uri" : "https://accounts.google.com/.well-known/openid-configuration",

"applications":{

"drivefs":{

"client_id": "947318989803-k88lapdik9bledfml8rr69ic6d3rdv57.apps.googleusercontent.com"

},

"drive-android":{ "client_id": "313892590415-6lbccuf47cou4q45vanraqp3fv5jt9do.apps.googleusercontent.com" }, "drive-ios":{ "client_id": "313892590415-d3h1l7kl4htab916r6jevqdtu8bfmh9m.apps.googleusercontent.com"

}, "calendar-android":{ "client_id": "313892590415-q84luo8fon5pn5vl8a6rppo1qvcd3qvn.apps.googleusercontent.com"

}, "calendar-ios":{ "client_id": "313892590415-283b3nilr8561tedgu1n4dcm9hd6g3hr.apps.googleusercontent.com"

}, "gmail-android":{ "client_id": "313892590415-samhd32i4piankgs42o9sit5e9dug452.apps.googleusercontent.com"

}, "gmail-ios":{ "client_id": "313892590415-ijvjpbnsh0gauuunjgsdn64ngg37k6rc.apps.googleusercontent.com"

}, "meet-android":{ "client_id": "313892590415-i06v47su4k03ns7ot38akv7s9ari5oa5.apps.googleusercontent.com"

}, "meet-ios":{ "client_id": "313892590415-32ha2bvs0tr1b12s089i33o58hjvqt55.apps.googleusercontent.com"

}

Шаг 3: Настройка CORS

Если вы используете Google Identity в качестве поставщика идентификации (IdP): настройку CORS необходимо выполнить в консоли Google Cloud при создании идентификатора клиента. Подробности см. в разделе «Создание идентификатора клиента для веб-приложений» на этой странице.

Если вы используете сторонний поставщик идентификации (IdP): ваши файлы .well-known/openid-configuration и .well-known/cse-configuration должны разрешать исходные URL-адреса для вызовов с обменом ресурсами между источниками (CORS). В административной консоли вашего IdP настройте параметры следующим образом:

.well-known/openid-configuration (URI обнаружения)

Методы: GET
Допустимые источники:
- https://admin.google.com
- https://client-side-encryption.google.com

.well-known/cse-configuration

Методы: GET
Допустимые источники:
- https://admin.google.com
- https://client-side-encryption.google.com

Вариант 2: Подключитесь к вашему поставщику идентификации (IdP) через консоль администратора.

Вместо использования файла .well-known вы можете подключить Google Workspace к своему поставщику идентификации (IdP) через консоль администратора.

Шаг 1: Соберите информацию о вашем поставщике идентификации (IdP).

Для подключения к вашему поставщику идентификации (IdP) через консоль администратора вам потребуется следующая информация о вашем IdP:

Название вашего поставщика идентификации (IdP)	Для получения более подробной информации перейдите к разделу «Настройка файла .well-known», расположенному выше на этой странице.
Идентификатор клиента для веб-приложений	Для получения более подробной информации перейдите к разделу «Создание идентификатора клиента для веб-приложений», расположенному выше на этой странице.
URI обнаружения	Для получения более подробной информации перейдите к разделу «Настройка файла .well-known», расположенному выше на этой странице.
Идентификаторы клиентов для настольных и мобильных приложений (необязательно)	Более подробную информацию см. в разделе «Создание идентификаторов клиентов для настольных и мобильных приложений» ранее на этой странице.

Шаг 2: Настройка CORS

Если вы используете Google Identity: вы настраиваете совместное использование ресурсов между источниками (CORS) в консоли Google Cloud при создании идентификатора клиента. Подробности см. в разделе «Создание идентификатора клиента для веб-приложений» на этой странице.

Если вы используете сторонний поставщик идентификации (IdP): в консоли администратора вашего IdP настройте URI обнаружения, чтобы разрешить URL-адреса источников для вызовов совместного использования ресурсов между источниками (CORS), следующим образом:

Метод: GET
Допустимые источники:
- https://admin.google.com
- https://client-side-encryption.google.com

Шаг 3: Добавьте информацию в консоль администратора.

Для выполнения этой задачи необходимо войти в систему как суперадминистратор .

В консоли администратора Google перейдите в меню. Данные Согласие Шифрование на стороне клиента .
Перейдите к разделу «Шифрование на стороне клиента».
Для выполнения этой задачи необходимо войти в систему как суперадминистратор .
Примечание: В разделе «Конфигурация поставщика идентификации » появляется сообщение о том, что Google Workspace не может получить доступ к вашему файлу .well-known. Поскольку вы подключаетесь к поставщику идентификации через консоль администратора, вы можете игнорировать это сообщение.
В разделе «Конфигурация поставщика идентификации» нажмите «Настроить резервный вариант поставщика идентификации» .
Или, если вы настраиваете гостевой поставщик идентификации (IdP) , нажмите «Настроить гостевой поставщик идентификации» .
Введите следующую информацию о вашем поставщике идентификации (IdP):
- Имя
- Идентификатор клиента (для веб-приложений)
- URI обнаружения
Нажмите «Проверить соединение» .
Если Google Workspace может подключиться к вашему поставщику идентификации (IdP), появится сообщение «Подключение успешно установлено».
Если вы настраиваете гостевой поставщик идентификации (IdP): нажмите «Продолжить» , а затем выберите веб-приложения, для которых вы хотите предоставить гостевой доступ.
Чтобы предоставить гостевой доступ к Google Meet (веб-версия), также введите идентификатор клиента для подтверждения приглашения гостя.
Затем нажмите «Сохранить» , чтобы закрыть карточку.
(Необязательно) Для использования CSE с конкретными приложениями:
1. В разделе «Аутентификация для настольных и мобильных приложений Google (необязательно)» выберите приложения, с которыми вы хотите использовать CSE.
2. В поле «Идентификатор клиента» укажите идентификатор клиента для приложения.
Нажмите «Добавить поставщика услуг» , чтобы закрыть карту.

Шаг 4 (только для сторонних поставщиков идентификации): Добавьте свой поставщик идентификации в список разрешенных в консоли администратора.

Необходимо добавить сторонний поставщик идентификации (IdP) в список доверенных сторонних приложений, чтобы пользователям не приходилось повторно входить в вашу учетную запись IdP. Следуйте инструкциям в разделе «Управление доступом сторонних и внутренних приложений к данным Google Workspace» в подразделе «Управление доступом к приложениям: доверенные, ограниченные или заблокированные».

Следующий шаг

После настройки поставщика идентификации (IdP) вы готовы настроить службу шифрования ключей .