İstemci tarafı şifreleme için kimlik sağlayıcınıza bağlanma

Bu özelliğin desteklendiği sürümler: Frontline Plus, Enterprise Plus, Education Standard ve Education Plus. Sürümünüzü karşılaştırın

Google Workspace istemci tarafı şifreleme (İTŞ) için harici anahtar hizmetinizi seçtikten sonra Google Workspace'i bir kimlik sağlayıcıya (IdP) (üçüncü taraf IdP veya Google kimliği) bağlamanız gerekir. Şifreleme anahtarı hizmetiniz, kullanıcılar içeriği şifrelemeden veya şifrelenmiş içeriğe erişmeden önce kullanıcıların kimliklerini doğrulamak için IdP'nizi kullanır.

Not: IdP'nizi yapılandırdıktan sonra, kuruluşunuzun istemci tarafı şifreleme uygulanmış içeriğine harici erişime izin vermek için konuk IdP yapılandırabilirsiniz. Ayrıntılar için Konuk IdP'sini yapılandırma başlıklı makaleyi inceleyin.

Başlamadan önce

İTŞ ile kullanmak istediğiniz şifreleme anahtarı hizmetini seçtiğinizden emin olun. Ayrıntılar için Harici anahtar hizmetinizi seçme başlıklı makaleyi inceleyin.

1. adım: IdP bağlantınızı planlayın

Desteklenen web uygulamalarını, masaüstü uygulamalarını, mobil uygulamaları ve yardımcı araçları inceleyin

IdP bağlantınız ile, İTŞ özelliğini desteklenen tüm Google Workspace web uygulamaları için ayarlayabilirsiniz:

  • Google Drive
  • Google Dokümanlar
  • Google E-Tablolar
  • Google Slaytlar
  • Gmail
  • Google Takvim
  • Google Meet (ses, görüntü ve sohbet mesajları)

ldP bağlantınız, İTŞ özelliğini aşağıdaki masaüstü ve mobil uygulamalar için de ayarlamanıza olanak tanır:

Aşağıdaki yardımcı araçları da ayarlayabilirsiniz:

İTŞ için IdP'nizi seçme

CSE ile şifreleme anahtarı hizmeti kullanmak için OpenID Connect (OIDC) standardını destekleyen bir kimlik sağlayıcıya (IdP) ihtiyacınız vardır. Google Workspace ile halihazırda bir OIDC IdP kullanmıyorsanız IdP'nizi anahtar hizmetinizle birlikte kullanılacak şekilde ayarlamak için iki yöntemden birini tercih edebilirsiniz:

**1. seçenek: Üçüncü taraf IdP kullanma (önerilir)**

Güvenlik modeliniz, şifrelenmiş verilerinizin Google'dan daha fazla izole edilmesini gerektiriyorsa OIDC üçüncü taraf IdP kullanın.

SAML tabanlı Tek Oturum Açma (TOA) için zaten üçüncü taraf bir IdP kullanıyorsanız: CSE için, Google Workspace hizmetlerine erişirken kullandığınız IdP'yi kullanmanız önerilir. Google Workspace ile SAML tabanlı TOA kullanma hakkında daha fazla bilgi edinin.

**2. seçenek: Google kimliğini kullanma**

Güvenlik modeliniz, şifrelenmiş verilerinizin Google'dan daha fazla izole edilmesini gerektirmiyorsa IdP olarak varsayılan Google kimliğini kullanabilirsiniz.

Yalnızca üçüncü taraf IdP: Kullanıcıların tarayıcılarını ayarlama

CSE için üçüncü taraf IdP kullanıyorsanız kullanıcılarınızın tarayıcılarında IdP'nize ait üçüncü taraf çerezlerine izin vermeniz önerilir. Aksi takdirde, CSE kullanırken kullanıcıların IdP'nizde daha sık oturum açması gerekebilir.

  • Kuruluşunuz Chrome Enterprise kullanıyorsa: CookiesAllowedForUrls politikasını kullanabilirsiniz.
  • Diğer tarayıcılar için: Üçüncü taraf çerezlerine nasıl izin verileceğiyle ilgili talimatlar için tarayıcının destek içeriğine bakın.

İTŞ için IdP'nize nasıl bağlanacağınızı seçin

IdP'yi (üçüncü taraf IdP'yi veya Google kimliğini), kuruluşunuzun web sitesinde barındırdığınız .well-known dosyası veya Yönetici Konsolu'nu (IdP yedeğiniz) kullanarak ayarlayabilirsiniz. Aşağıdaki tabloda açıklandığı üzere, her iki yöntemde de dikkat edilmesi gereken birkaç nokta vardır.

Not: Konuk IdP yapılandırıyorsanız Yönetici Konsolu'nu kullanmanız gerekir.

Dikkat edilmesi gereken noktalar .well-known ile ayarlama Yönetici Konsolu üzerinden ayarlama (IdP yedeği)
Google'dan izolasyon IdP ayarları kendi sunucunuzda depolanır. IdP ayarları Google sunucularında depolanır.
Yönetici sorumlulukları Kurulumunuzu, Google Workspace süper yöneticisi yerine web yöneticisi yönetebilir. IdP kurulumunuzu yalnızca Google Workspace süper yöneticisi yönetebilir.
İTŞ kullanılabilirliği CSE kullanılabilirliği (çalışma süresi), .well-known dosyanızı barındıran sunucunun kullanılabilirliğine bağlıdır. İTŞ kullanılabilirliği, Google Workspace hizmetlerinin genel kullanılabilirliği ile bağlantılıdır.
Kurulum kolaylığı Sunucunuzun DNS ayarlarının Yönetici Konsolu dışında değiştirilmesini gerektirir. Ayarları Yönetici Konsolu'nda yapılandırın.
Kuruluşunuzun dışından kişilerle paylaşma Ortak çalıştığınız kişinin harici anahtar hizmeti, IdP ayarlarınıza kolayca erişebilir. Bu erişim otomatik hale getirilebilir ve ortak çalıştığınız kişinin hizmetlerinin, IdP ayarlarınızdaki değişikliklere anında erişmesini sağlar.

Ortak çalıştığınız kişinin harici anahtar hizmeti, Yönetici Konsolu'ndaki IdP ayarlarınıza erişemez. Şifrelenmiş dosyaları ilk kez paylaşmadan önce ve IdP ayarlarınızı değiştirdiğinizde, IdP ayarlarınızı doğrudan ortak çalıştığınız kişiye iletmeniz gerekir.

2. adım: CSE için istemci kimlikleri oluşturun

Web uygulamaları için istemci kimliği oluşturma

Desteklenen Google Workspace web uygulamaları için bir istemci kimliği oluşturmanız ve yönlendirme URI'leri eklemeniz gerekir. Desteklenen uygulamaların listesi için bu sayfanın önceki kısmında bulunan Desteklenen web uygulamaları, masaüstü uygulamaları ve mobil uygulamalar bölümüne gidin.

Web uygulamaları için istemci kimliğinin nasıl oluşturulacağı, üçüncü taraf IdP mi yoksa Google kimliği mi kullandığınıza bağlı olarak farklılık gösterir.

Konuk IdP yapılandırıyorsanız: Google Meet erişimi için ek istemci kimliği oluşturmanız gerekir. Bu kimlik, konuğun toplantıya davet edildiğini doğrulamak amacıyla kullanılır. Daha fazla bilgi için Konuk IdP yapılandırma başlıklı makaleyi inceleyin.

**CSE için üçüncü taraf IdP kullanıyorsanız**

IdP'nizin yönetici konsolunu kullanarak bir istemci kimliği oluşturun. Aşağıdaki yönlendirme URI'lerini de IdP'nizin yönetici konsoluna eklemeniz gerekir:

Web hizmetleri:

  • https://client-side-encryption.google.com/callback
  • https://client-side-encryption.google.com/oidc/cse/callback
  • https://client-side-encryption.google.com/oidc/drive/callback
  • https://client-side-encryption.google.com/oidc/gmail/callback
  • https://client-side-encryption.google.com/oidc/meet/callback
  • https://client-side-encryption.google.com/oidc/calendar/callback
  • https://client-side-encryption.google.com/oidc/docs/callback
  • https://client-side-encryption.google.com/oidc/sheets/callback
  • https://client-side-encryption.google.com/oidc/slides/callback

Masaüstü için Drive:

http://localhost

Android ve iOS mobil uygulamaları:

  • https://client-side-encryption.google.com/oidc/gmail/native/callback
  • https://client-side-encryption.google.com/oidc/meet/native/callback
  • https://client-side-encryption.google.com/oidc/calendar/native/callback
  • https://client-side-encryption.google.com/oidc/drive/native/callback
  • https://client-side-encryption.google.com/oidc/gmail/meet/native/callback

**CSE için Google kimliği kullanıyorsanız**

Google Cloud Console'da bir istemci kimliği oluşturmanız gerekir. Bu kimliği .well-known/cse-configuration dosyanıza veya Yönetici Konsolu'na ekleyebilirsiniz. Ayrıca, JavaScript kaynaklarını (merkezler arası kaynak paylaşımı veya CORS olarak da adlandırılır) ayarlayıp yönlendirme URI'leri eklemeniz gerekir.

  1. console.cloud.google.com adresine gidin.
  2. Yeni bir Google Cloud projesi oluşturun. Talimatları inceleyin.

    Projeyi istediğiniz şekilde oluşturun. Projenin tek amacı kimlik bilgilerini muhafaza etmektir.

  3. Konsolda Menü ardından API'ler ve Hizmetler ardından Kimlik Bilgileri'ne gidin.
  4. CSE ile kullanacağınız yeni bir web uygulaması için bir OAuth istemci kimliği oluşturun. Talimatların tamamını inceleyin.
  5. JavaScript kaynaklarını aşağıdaki şekilde güncelleyin:
    • https://admin.google.com
    • https://client-side-encryption.google.com
  6. Yetkilendirilmiş yönlendirme URI'leri bölümünü aşağıdaki şekilde güncelleyin.

    Web hizmetleri:

    • https://client-side-encryption.google.com/callback
    • https://client-side-encryption.google.com/oidc/cse/callback
    • https://client-side-encryption.google.com/oidc/drive/callback
    • https://client-side-encryption.google.com/oidc/gmail/callback
    • https://client-side-encryption.google.com/oidc/meet/callback
    • https://client-side-encryption.google.com/oidc/calendar/callback
    • https://client-side-encryption.google.com/oidc/docs/callback
    • https://client-side-encryption.google.com/oidc/sheets/callback
    • https://client-side-encryption.google.com/oidc/slides/callback

    Masaüstü için Drive:

    http://localhost

    Android ve iOS mobil uygulamaları:

    Android ve iOS mobil uygulamaları için ek yapılandırma gerekmez.

Bir OAuth istemci kimliği oluşturulur. .well-known/cse-configuration dosyanıza veya Yönetici Konsolu'na ekleyebilmek için bu kimliği kaydedin.

Masaüstü uygulamaları ve mobil uygulamalar için istemci kimlikleri oluşturma

Kullanıcılarınızın, İTŞ özelliğini masaüstü uygulamalarında ve mobil uygulamalarda kullanmasını istiyorsanız bu uygulamalar için istemci kimliklerine ihtiyacınız vardır. Bunları .well-known/cse-configuration dosyanıza veya Yönetici Konsolunuza eklersiniz. İstemci kimliklerini anahtar hizmeti yapılandırmanıza da eklemeniz gerekebilir. Anahtar hizmetinizin belgelerine bakın.

Her mobil uygulamada, her platform (Android ve iOS) için bir istemci kimliğine ihtiyacınız vardır. Desteklenen uygulamaların listesi için bu sayfanın önceki kısmında bulunan Desteklenen web uygulamaları, masaüstü uygulamaları ve mobil uygulamalar bölümüne gidin.

Masaüstü uygulamaları ve mobil uygulamalar için istemci kimliklerini nasıl edineceğiniz, üçüncü taraf IdP mi yoksa Google kimliği mi kullandığınıza bağlı olarak farklılık gösterir.

Not: Bu istemci kimliklerinin, PKCE için authorization_code izin türünü (RFC 7636) desteklemesi gerekir.

**CSE için üçüncü taraf IdP kullanacaksanız**

Her uygulama için ayrı bir istemci kimliği oluşturmak üzere IdP'nizin yönetici konsolunu kullanın.

**CSE için Google kimliği kullanacaksanız**

Aşağıdaki istemci kimliklerini kullanın:

  • Masaüstü için Drive: 947318989803-k88lapdik9bledfml8rr69ic6d3rdv57.apps.googleusercontent.com istemci kimliğini kullanın.
  • Android'de Drive: 313892590415-6lbccuf47cou4q45vanraqp3fv5jt9do.apps.googleusercontent.com istemci kimliğini kullanın.
  • iOS'te Drive: 313892590415-d3h1l7kl4htab916r6jevqdtu8bfmh9m.apps.googleusercontent.com istemci kimliğini kullanın.
  • Android'de Takvim: 313892590415-q84luo8fon5pn5vl8a6rppo1qvcd3qvn.apps.googleusercontent.com istemci kimliğini kullanın.
  • iOS'te Takvim: 313892590415-283b3nilr8561tedgu1n4dcm9hd6g3hr.apps.googleusercontent.com istemci kimliğini kullanın.
  • Android'de Gmail: 313892590415-samhd32i4piankgs42o9sit5e9dug452.apps.googleusercontent.com istemci kimliğini kullanın.
  • iOS'te Gmail: 313892590415-ijvjpbnsh0gauuunjgsdn64ngg37k6rc.apps.googleusercontent.com istemci kimliğini kullanın.
  • Android'de Meet: 313892590415-i06v47su4k03ns7ot38akv7s9ari5oa5.apps.googleusercontent.com istemci kimliğini kullanın.
  • iOS'te Meet: 313892590415-32ha2bvs0tr1b12s089i33o58hjvqt55.apps.googleusercontent.com istemci kimliğini kullanın.

Yardımcı araçlar için istemci kimlikleri oluşturma

Önerilen uygulamalar:

  1. Anahtar hizmetinizin ayrıcalıklı uç noktalarıyla (privilegedwrap, privilegedunwrap, privilegedprivatekeydecrypt) etkileşimde bulunan her yardımcı araç için bir istemci kimliği kullanın. Desteklenen araçların listesi için bu sayfadaki Desteklenen web uygulamalarını, masaüstü uygulamalarını, mobil uygulamaları ve yardımcı araçları inceleyin bölümüne gidin.
  2. CSE şifre çözücünün istemci kimliğine izin vermek üzere anahtar hizmetinizin erişim politikalarını privilegedunwrap ve privilegedprivatekeydecrypt uç noktaları için yapılandırın.

3. adım: İTŞ için IdP'nize bağlanın

Google Workspace'i kimlik sağlayıcınıza (IdP) bağlamak için .well-known dosyası veya Yönetici Konsolu'nu kullanabilirsiniz. Bağlantıyı oluşturduktan sonra, IdP'nizi Yönetici Konsolu'nda izin verilenler listesine eklemeniz gerekir.

Not: Konuk IdP yapılandırıyorsanız Yönetici Konsolu'nu kullanmanız gerekir.

1. seçenek: IdP'nize .well-known dosyası kullanarak bağlanma

Üçüncü taraf veya Google IdP'nizi bu seçenekle ayarlamak için kuruluşunuzun herkese açık web sitesine bir .well-known dosyası yerleştirmeniz gerekir. Bu dosya hangi IdP'yi kullandığınızı belirtir ve harici ortak çalışanların IdP ayarlarınızı bulmasına olanak tanır.

1. adım: .well-known dosyanızı sunucunuza yerleştirin

IdP yapılandırmanız, alanınızdaki bu URI'ye yerleştirilmelidir:

https://cse.subdomain.domain.tld/.well-known/cse-configuration

Burada subdomain.domain.tld bölümü, e-posta adresinizdeki alanla eşleşmelidir. Örneğin, e-posta adresinizdeki alan solarmora.com ise .well-known dosyanızı şu adrese yerleştirirsiniz:

https://cse.solarmora.com/.well-known/cse-configuration

Not:. well-known URI, IETF'ye (RFC 8615) kayıtlı olmadığından https://cse .öneki gereklidir.

2. adım: .well-known dosyanızı yapılandırın

.well-known dosyanızın well-known/cse-configuration konumundaki içeriği JSON olarak (RFC 8259) kodlanmalı ve şu alanları içermelidir:

Alan Açıklama

name

 IdP'nin adı. İstediğiniz adı kullanabilirsiniz. Bu ad, Drive ve Dokümanlar düzenleyicileri gibi Google hizmetlerinde, kullanıcılara yönelik IdP hata mesajlarında görünür.

client_id

CSE istemci web uygulamasının bir JSON Web Token (JWT) edinmek için kullandığı OpenID Connect (OIDC) istemci kimliği.

İstemci kimliği oluşturduğunuzda Google Cloud Console'da da yönlendirme URI'leri eklersiniz.

İstemci kimliği oluşturmayla ilgili ayrıntıları bu sayfanın önceki kısımlarında yer alan Web uygulamaları için istemci kimliği oluşturma bölümünde bulabilirsiniz.
discovery_uri

Bu OpenID spesifikasyonunda tanımlandığı şekliyle OIDC keşif URL'si.

Üçüncü taraf IdP kullanıyorsanız

IdP'niz size bu URL'yi sağlar. Bu URL'nin sonu genellikle /.well-known/openid-configuration şeklindedir.

Google kimliği kullanıyorsanız

https://accounts.google.com/.well-known/openid-configuration hareketini kullanın
grant_type

CSE istemci web uygulamalarıyla OIDC için kullanılan OAuth akışı.

Üçüncü taraf IdP kullanıyorsanız

İTŞ web uygulamaları için implicit veya authorization_code izin türünü kullanabilirsiniz.

Google kimliği kullanıyorsanız

Web uygulamaları için yalnızca implicit izin türünü kullanabilirsiniz.

applications

İTŞ özelliğiyle kullanmak istediğiniz ek istemci uygulamaları. .well-known dosyanıza her uygulama için bir istemci kimliği eklemeniz gerekir.

Not: Bu istemci kimliklerinin, PKCE için authorization_code izin türünü (RFC 7636) desteklemesi gerekir.

İstemci kimlikleri oluşturmayla ilgili ayrıntıları bu sayfanın önceki kısımlarında yer alan Masaüstü uygulamaları ve mobil uygulamalar için istemci kimliği oluşturma bölümünde bulabilirsiniz.

    **Üçüncü taraf IdP kullanıyorsanız .well-known dosyanız şu şekilde görünmelidir:**

    **Google kimliği kullanıyorsanız .well-known dosyanız şu şekilde görünmelidir:**

    3. adım: CORS'yi ayarlayın

    IdP'niz için Google kimliği kullanıyorsanız: CORS'yi, istemci kimliğinizi oluştururken Google Cloud Console'da ayarlarsınız. Ayrıntılar için bu sayfanın önceki kısımlarında yer alan Web uygulamaları için istemci kimliği oluşturma bölümüne bakın.

    Üçüncü taraf IdP kullanıyorsanız: .well-known/openid-configuration ve .well-known/cse-configuration yapılandırmalarınızın, merkezler arası kaynak paylaşımı (CORS) çağrıları için kaynak URL'lere izin vermesi gerekir. IdP'nizin yönetici konsolunda yapılandırmalarınızı aşağıdaki şekilde oluşturun:

      .well-known/openid-configuration (keşif URI'si)

      • Yöntemler: GET
      • İzin verilen kaynaklar:
        • https://admin.google.com
        • https://client-side-encryption.google.com

      .well-known/cse-configuration

      • Yöntemler: GET
      • İzin verilen kaynaklar:
        • https://admin.google.com
        • https://client-side-encryption.google.com

      2. seçenek: Yönetici Konsolu'nu kullanarak IdP'nize bağlanma

      .well-known dosyası kullanmak yerine Google Workspace'i IdP'nize Yönetici Konsolu üzerinden bağlayabilirsiniz.

      Not: Konuk IdP yapılandırıyorsanız Yönetici Konsolu'nu kullanmanız gerekir.

      1. adım: IdP'nizle ilgili bilgileri toplayın

      IdP'nize Yönetici Konsolu üzerinden bağlanmak için IdP'nizle ilgili aşağıdaki bilgilere ihtiyacınız vardır:

      IdP'nizin adı Ayrıntılar için bu sayfanın önceki kısımlarında yer alan .well-known dosyanızı yapılandırma bölümüne bakın.
      Web uygulamaları için istemci kimliği Ayrıntılar için bu sayfanın önceki kısımlarında yer alan Web uygulamaları için istemci kimliği oluşturma bölümüne bakın.
      Keşif URI'si Ayrıntılar için bu sayfanın önceki kısımlarında yer alan .well-known dosyanızı yapılandırma bölümüne bakın.
      Masaüstü ve mobil uygulamalar için istemci kimlikleri (isteğe bağlı) Ayrıntılar için bu sayfanın önceki kısımlarında yer alan Masaüstü uygulamaları ve mobil uygulamalar için istemci kimlikleri oluşturma bölümüne bakın.

      2. adım: CORS'yi ayarlayın

      Google kimliği kullanıyorsanız: Merkezler arası kaynak paylaşımını (CORS) Google Cloud Console'da istemci kimliğinizi oluştururken ayarlarsınız. Ayrıntılar için bu sayfanın önceki kısımlarında yer alan Web uygulamaları için istemci kimliği oluşturma bölümüne bakın.

      Üçüncü taraf IdP kullanıyorsanız: IdP'nizin yönetici konsolunda, keşif URI'nizi aşağıdaki gibi, merkezler arası kaynak paylaşımı (CORS) çağrıları için kaynak URL'lere izin verecek şekilde yapılandırın:

      • Yöntem: GET
      • İzin verilen kaynaklar:
        • https://admin.google.com
        • https://client-side-encryption.google.com

      3. adım: Yönetici Konsolu'na bilgi ekleyin

      Bu görev için süper yönetici olarak oturum açmanız gerekir.

      1. Google Yönetici Konsolu'nda Menü ardından VerilerardındanUygunlukardındanİstemci tarafı şifreleme'ye gidin.

        Bu görev için süper yönetici olarak oturum açmanız gerekir.

        Not: Kimlik sağlayıcı yapılandırması bölümünde Google Workspace'in .well-known dosyanıza erişemediğini belirten bir mesaj gösterilir. IdP'nize Yönetici Konsolu üzerinden bağlandığınız için bu iletiyi yoksayabilirsiniz.

      2. Kimlik sağlayıcı yapılandırması bölümünde Yedek IdP'yi yapılandır'ı tıklayın.

        Konuk IdP yapılandırıyorsanız Konuk IdP'sini yapılandır'ı tıklayın.

      3. IdP'nizle ilgili aşağıdaki bilgileri girin:
        • Ad
        • İstemci kimliği (web uygulamaları için)
        • Keşif URI'si

      4. Test connection'ı (Bağlantıyı test et) tıklayın.

        Google Workspace, IdP'nize bağlanabiliyorsa "Bağlantı başarılı" mesajı gösterilir.

      5. Konuk IdP yapılandırıyorsanız: Devam'ı tıklayıp konuk erişimi vermej istediğiniz web uygulamalarını seçin.

        Google Meet (web) için misafir erişimi sağlamak üzere davetli davetini doğrulamak için kullanılan istemci kimliğini de girin.

        Ardından kartı kapatmak için Kaydet'i tıklayın.

      6. (İsteğe bağlı) İTŞ özelliğini belirli uygulamalarda kullanmak için:
        1. Google masaüstü ve mobil uygulamaları için kimlik doğrulama (isteğe bağlı) bölümünde, İTŞ özelliğiyle kullanmak istediğiniz uygulamaları seçin.
        2. İstemci kimliği alanına uygulamanın istemci kimliğini girin.
      7. Kartı kapatmak için Sağlayıcı ekle'yi tıklayın.

      4. adım (yalnızca üçüncü taraf IdP): IdP'nizi Yönetici Konsolu'nda izin verilenler listesine ekleyin

      Kullanıcıların IdP'nizde tekrar oturum açmak zorunda kalmaması için üçüncü taraf IdP'nizi güvenilen üçüncü taraf uygulamaları listenize eklemeniz gerekir. "Uygulamalara erişimi yönetme: Güvenilir, Sınırlı veya Engellendi" başlığı altında yer alan Google Workspace verilerine hangi üçüncü taraf uygulamalar ve dahili uygulamaların erişebileceğini yönetme bölümündeki talimatları uygulayın.

      Sonraki adım

      IdP'nizi ayarladıktan sonra anahtar şifreleme hizmetinizi ayarlamaya hazır olursunuz.