連線至識別資訊提供者以進行用戶端加密

支援這項功能的版本:Frontline Plus、Enterprise Plus、Education Standard 和 Education Plus。 版本比較

選擇 Google Workspace 用戶端加密 (CSE) 的外部金鑰服務後,您必須將 Google Workspace 連線至識別資訊提供者 (IdP),無論是第三方 IdP 或 Google 身分皆可。加密金鑰服務會先使用您的 IdP 驗證使用者,接著使用者才能加密內容,或是存取已加密的內容。

注意:設定 IdP 後,您就可以設定訪客 IdP,允許外部人士存取貴機構的用戶端加密內容。如要進一步瞭解如何設定訪客 IdP,請參閱這篇文章

事前準備

請確認您已選擇要與 CSE 搭配使用的加密金鑰服務。詳情請參閱「選擇外部金鑰服務」。

步驟 1:規劃 IdP 連線

查看支援的網頁、電腦版和行動應用程式,以及公用程式工具

使用 IdP 連線時,您可以為所有支援的 Google Workspace 網頁應用程式設定 CSE:

  • Google 雲端硬碟
  • Google 文件
  • Google 試算表
  • Google 簡報
  • Gmail
  • Google 日曆
  • Google Meet (語音、影片和即時通訊訊息)

使用 ldP 連線時,您也可以設定下列電腦和行動應用程式的 CSE:

您也可以設定下列公用程式工具:

選擇 IdP 以進行 CSE

如要將加密金鑰服務與 CSE 搭配使用,您必須有支援 OpenID Connect (OIDC) 標準的識別資訊提供者 (IdP)。如果您尚未透過 Google Workspace 使用 OIDC IdP,可以透過以下任一方式設定 IdP,以便與金鑰服務搭配使用:

**方法 1:使用第三方 IdP (建議)**

如果安全性模型需要進一步將加密資料與 Google 隔離,請使用 OIDC 第三方 IdP。

已將第三方 IdP 用於 SAML 式單一登入 (SSO) 服務:為 CSE 使用 IdP 時,建議使用存取 Google Workspace 服務時所用的 IdP (前提是該 IdP 支援 OIDC)。進一步瞭解如何將 SAML 式單一登入 (SSO) 服務與 Google Workspace 搭配使用。

**方法 2:使用 Google 識別資訊**

如果安全性模型不需要進一步將您的加密資料與 Google 隔離,您可以使用預設的 Google 身分做為 IdP。

僅限第三方 IdP:設定使用者的瀏覽器

如果使用第三方 IdP 執行 CSE,建議您允許從使用者瀏覽器中 IdP 取得的第三方 Cookie。否則,使用 CSE 時,使用者可能需要更頻繁登入 IdP。

  • 如果貴機構使用 Chrome Enterprise:您可以採用 CookiesAllowedForUrls 政策。
  • 其他瀏覽器:請參閱該瀏覽器的支援說明文件,瞭解如何允許第三方 Cookie。

選擇如何連線至 IdP 以進行 CSE

您可以使用在貴機構網站上代管的 .well-known 檔案,或透過管理控制台 (您的備援 IdP) 設定 IdP,無論是第三方 IdP 或 Google 身分皆可。每種方法各有一些注意事項,詳見下表。

注意:如果您要設定訪客 IdP,需使用管理控制台。

注意事項 .well-known 設定 管理控制台設定 (備援 IdP)
與 Google 隔離的情況 IdP 設定會儲存在您自己的伺服器上。 IdP 設定會儲存在 Google 伺服器上。
管理員責任 網站管理員可以管理設定,而非 Google Workspace 超級管理員。 只有 Google Workspace 超級管理員可以管理您的 IdP 設定。
CSE 適用性 CSE 適用性 (運作時間) 取決於代管 .well-known 檔案的伺服器是否可用。 CSE 適用性視 Google Workspace 服務正式發布後的情況而定。
設定輕鬆程度 必須在管理控制台外變更伺服器的 DNS 設定。 可在管理控制台中調整設定。
與機構外的使用者共用 協作者的外部金鑰服務可輕鬆存取您的 IdP 設定。您可以將此設為自動存取,確保每當您的 IdP 設定有任何異動時,協作者的服務就可以立即進行存取。

協作者的外部金鑰服務無法存取管理控制台中的 IdP 設定。在您首次共用加密檔案前,以及每次變更 IdP 設定前,都必須將 IdP 設定直接提供給協作者。

步驟 2:為 CSE 建立用戶端 ID

建立網路應用程式的用戶端 ID

您必須建立用戶端 ID,然後為支援的 Google Workspace 網頁應用程式新增重新導向 URI。如需支援的應用程式清單,請參閱本頁上方的「查看支援的網頁、電腦版和行動應用程式」。

為網頁應用程式建立用戶端 ID 的方式,取決於您使用的是第三方 IdP 或 Google 身分。

如果您要設定訪客 IdP,需建立存取 Google Meet 所用的額外用戶端 ID,此 ID 可用來確認訪客是否已受邀加入會議。如要進一步瞭解如何設定訪客 IdP,請參閱這篇文章

**如果針對 CSE 使用第三方 IdP**

請使用 IdP 的管理控制台建立用戶端 ID。您還需要在 IdP 的管理控制台中新增下列重新導向 URI:

網路服務:

  • https://client-side-encryption.google.com/callback
  • https://client-side-encryption.google.com/oidc/cse/callback
  • https://client-side-encryption.google.com/oidc/drive/callback
  • https://client-side-encryption.google.com/oidc/gmail/callback
  • https://client-side-encryption.google.com/oidc/meet/callback
  • https://client-side-encryption.google.com/oidc/calendar/callback
  • https://client-side-encryption.google.com/oidc/docs/callback
  • https://client-side-encryption.google.com/oidc/sheets/callback
  • https://client-side-encryption.google.com/oidc/slides/callback

雲端硬碟電腦版:

http://localhost

Android 和 iOS 行動應用程式:

  • https://client-side-encryption.google.com/oidc/gmail/native/callback
  • https://client-side-encryption.google.com/oidc/meet/native/callback
  • https://client-side-encryption.google.com/oidc/calendar/native/callback
  • https://client-side-encryption.google.com/oidc/drive/native/callback
  • https://client-side-encryption.google.com/oidc/gmail/meet/native/callback

**如果針對 CSE 使用 Google 身分**

您必須在 Google Cloud 控制台中建立用戶端 ID,之後會新增至 .well-known/cse-configuration 檔案或管理控制台中。同時設定 JavaScript 來源 (又稱為跨源資源共享或 CORS),並新增重新導向 URI。

  1. 前往 console.cloud.google.com
  2. 建立新的 Google Cloud 專案。按這裡即可取得操作說明。

    您可以視需求設定專案,這只是為了保留憑證而已。

  3. 在控制台中,依序點選「選單」圖示 接下來「API 和服務」接下來「憑證」
  4. 針對要用於 CSE 的新網頁應用程式建立 OAuth 用戶端 ID。請按這裡查看完整操作說明。
  5. 使用以下內容更新「JavaScript 來源」
    • https://admin.google.com
    • https://client-side-encryption.google.com
  6. 使用以下內容更新「已授權的重新導向 URI」

    網路服務:

    • https://client-side-encryption.google.com/callback
    • https://client-side-encryption.google.com/oidc/cse/callback
    • https://client-side-encryption.google.com/oidc/drive/callback
    • https://client-side-encryption.google.com/oidc/gmail/callback
    • https://client-side-encryption.google.com/oidc/meet/callback
    • https://client-side-encryption.google.com/oidc/calendar/callback
    • https://client-side-encryption.google.com/oidc/docs/callback
    • https://client-side-encryption.google.com/oidc/sheets/callback
    • https://client-side-encryption.google.com/oidc/slides/callback

    雲端硬碟電腦版:

    http://localhost

    Android 和 iOS 行動應用程式:

    您不需要為 Android 版和 iOS 版行動應用程式進行額外設定。

系統現在已建立 OAuth 用戶端 ID,請儲存這組 ID,以便新增至 .well-known/cse-configuration 檔案或管理控制台。

為電腦版和行動應用程式建立用戶端 ID

如要讓使用者將 CSE 與電腦版和行動應用程式搭配使用,您必須先為這些應用程式建立用戶端 ID。您之後會將此 ID 新增到 .well-known/cse-configuration 檔案或管理控制台中。您可能也需要在金鑰服務設定中新增用戶端 ID,詳情請參閱金鑰服務的說明文件。

每個 Android 和 iOS 平台的行動應用程式都需要有一個用戶端 ID。如需支援的應用程式清單,請參閱本頁上方的「查看支援的網頁、電腦版和行動應用程式」。

為電腦版和行動應用程式取得用戶端 ID 的方式,取決於您使用的是第三方 IdP 或 Google 身分。

注意:這些用戶端 ID 必須支援 PKCE 的 authorization_code 授權類型 (RFC 7636)。

**如果針對 CSE 使用第三方 IdP**

請使用您的 IdP 管理控制台,為每個應用程式產生獨立的用戶端 ID。

**如果以 Google 識別資訊做為 CSE 的 IdP**

請使用下列用戶端 ID:

  • 雲端硬碟電腦版:使用用戶端 ID 947318989803-k88lapdik9bledfml8rr69ic6d3rdv57.apps.googleusercontent.com
  • 雲端硬碟 Android 版:使用用戶端 ID 313892590415-6lbccuf47cou4q45vanraqp3fv5jt9do.apps.googleusercontent.com
  • 雲端硬碟 iOS 版:使用用戶端 ID 313892590415-d3h1l7kl4htab916r6jevqdtu8bfmh9m.apps.googleusercontent.com
  • Android 版 Google 日曆:使用用戶端 ID 313892590415-q84luo8fon5pn5vl8a6rppo1qvcd3qvn.apps.googleusercontent.com
  • iOS 版 Google 日曆:使用用戶端 ID 313892590415-283b3nilr8561tedgu1n4dcm9hd6g3hr.apps.googleusercontent.com
  • Gmail Android 版:使用用戶端 ID 313892590415-samhd32i4piankgs42o9sit5e9dug452.apps.googleusercontent.com
  • Gmail iOS 版:使用用戶端 ID 313892590415-ijvjpbnsh0gauuunjgsdn64ngg37k6rc.apps.googleusercontent.com
  • Android 版 Meet:使用用戶端 ID 313892590415-i06v47su4k03ns7ot38akv7s9ari5oa5.apps.googleusercontent.com
  • iOS 版 Meet:使用用戶端 ID 313892590415-32ha2bvs0tr1b12s089i33o58hjvqt55.apps.googleusercontent.com

建立公用程式工具的用戶端 ID

因此,建議您:

  1. 對於與金鑰服務特權端點 (privilegedwrap、privilegedunwrap、privilegedprivatekeydecrypt) 互動的每個公用程式工具,分別設定獨立的用戶端 ID。如需支援工具清單,請參閱本頁的「查看支援的網頁、電腦版和行動應用程式,以及公用程式工具」。
  2. 設定金鑰服務的存取政策,允許 CSE 解密工具的用戶端 ID 存取 privilegedunwrap 和 privilegedprivatekeydecrypt 端點。

步驟 3:連線至 IdP 以進行 CSE

如要將 Google Workspace 連線至識別資訊提供者 (IdP),請使用 .well-known 檔案或透過管理控制台操作。建立連線後,您必須在管理控制台中將 IdP 加入許可清單。

注意:如果您要設定訪客 IdP,需使用管理控制台。

方法 1:使用 .well-known 檔案連線至 IdP

如要使用這個方法設定第三方或 Google IdP,您必須將 .well-known 檔案置於貴機構的公開網站中。這個檔案會建立您使用的 IdP,並允許外部協作者探索您的 IdP 設定。

步驟 1:將 .well-known 檔案置於伺服器上

IdP 設定必須置於貴機構網域的這個 URI 中:

https://cse.subdomain.domain.tld/.well-known/cse-configuration

其中,<子網域>.<網域>.tldsubdomain.domain.tld 應與電子郵件地址中的網域相符。舉例來說,如果電子郵件地址中的網域是 solarmora.comsolarmora.com,則可將 .well-known 檔案置於以下位置:

https://cse.solarmora.com/.well-known/cse-configuration

注意:前置字元 https://cse. 不可省略,因為 .well-known URI 並未向網際網路工程任務組 (IETF) 註冊 (RFC 8615)。

步驟 2:設定 .well-known 檔案

位於 well-known/cse-configuration 的 .well-known 檔案內容,必須採用 JSON 編碼格式 (RFC 8259) 並包含下列欄位:

欄位 說明

name

 IdP 的名稱,您可以使用自己偏好的名稱。使用者如果在 Google 服務 (例如雲端硬碟和文件編輯器) 中看到 IdP 錯誤訊息,系統就會顯示這個名稱。

client_id

CSE 用戶端網頁應用程式用來取得 JSON Web Token (JWT) 的 OpenID Connect (OIDC) 用戶端 ID

建立用戶端 ID 時,您也必須在 Google Cloud 控制台中新增重新導向 URI。

如想進一步瞭解如何建立用戶端 ID,請參閱本頁前述的「為網頁應用程式建立用戶端 ID」一節。
discovery_uri

OIDC 探索網址,定義請參閱這份 OpenID 規格說明

如果您使用第三方 IdP

您的 IdP 會為您提供這個網址,網址結尾通常為 /.well-known/openid-configuration

如果使用 Google 身分

使用https://accounts.google.com/.well-known/openid-configuration
grant_type

OIDC 與 CSE 用戶端網頁應用程式搭配所使用的 OAuth 流程

如果您使用第三方 IdP

您可以針對 CSE 網頁應用程式使用 implicitauthorization_code 授權類型。

如果使用 Google 身分

您只能針對網頁應用程式使用 implicit 授權類型。

applications

您要搭配 CSE 使用的其他用戶端應用程式。您必須在 .well-known 檔案中為每個應用程式新增用戶端 ID。

注意:這些用戶端 ID 必須支援 PKCE 的 authorization_code 授權類型 (RFC 7636)。

如要進一步瞭解如何建立用戶端 ID,請參閱本頁上方的「為電腦版和行動應用程式建立用戶端 ID」一節。

    **如果您使用第三方 IdP,您的 .well-known 檔案應如下所示:**

    **如果您使用 Google 身分,您的 .well-known 檔案看起來應該會像這樣:**

    步驟 3:設定 CORS

    如果您使用 Google 身分登入 IdP:請在建立用戶端 ID 時,在 Google Cloud 控制台中設定 CORS。詳情請參閱本頁上方的「建立網頁應用程式的用戶端 ID」一節。

    如果您使用第三方 IdP:.well-known/openid-configuration 和 .well-known/cse-configuration 必須允許跨源資源共享 (CORS) 呼叫的來源網址。在 IdP 管理控制台中,按照下列方式設定:

      .well-known/openid-configuration (探索服務 URI)

      • 方法:GET
      • 允許的來源:
        • https://admin.google.com
        • https://client-side-encryption.google.com

      .well-known/cse-configuration

      • 方法:GET
      • 允許的來源:
        • https://admin.google.com
        • https://client-side-encryption.google.com

      方法 2:使用管理控制台連線至 IdP

      除了使用 .well-known 檔案外,您還可以透過管理控制台將 Google Workspace 連線至 IdP。

      注意:如果您要設定訪客 IdP,需使用管理控制台。

      步驟 1:收集 IdP 相關資訊

      如要使用管理控制台連線至 IdP,必須取得下列 IdP 資訊:

      IdP 名稱 詳情請參閱本頁上方的「設定 .well-known 檔案」一節。
      網頁應用程式的用戶端 ID 詳情請參閱本頁上方的「建立網頁應用程式的用戶端 ID」一節。
      探索服務 URI 詳情請參閱本頁上方的「設定 .well-known 檔案」一節。
      電腦版和行動應用程式的用戶端 ID (選用) 詳情請參閱本頁上方的「為電腦版和行動應用程式建立用戶端 ID」一節。

      步驟 2:設定 CORS

      如果使用 Google 身分:建立用戶端 ID 時,您要在 Google Cloud 控制台中設定跨來源資源共享 (CORS)。詳情請參閱本頁上方的「建立網頁應用程式的用戶端 ID」一節。

      如果使用第三方 IdP:在 IdP 的管理控制台中,將探索服務 URI 設為允許跨源資源共享 (CORS) 呼叫的來源網址,如下所示:

      • 方法:GET
      • 允許的來源:
        • https://admin.google.com
        • https://client-side-encryption.google.com

      步驟 3:在管理控制台中新增資訊

      您必須以超級管理員的身分登入,才能執行這項工作。

      1. 在 Google 管理控制台中,依序點選「選單」圖示 接下來「資料」接下來「法規遵循」接下來「用戶端加密」

        您必須以超級管理員的身分登入,才能執行這項工作。

        注意:系統會在「識別資訊提供者設定」下方顯示訊息,說明 Google Workspace 無法存取 .well-known 檔案。由於您是透過管理控制台連線至 IdP,因此可以忽略這則訊息。

      2. 在「識別資訊提供者設定」下方,按一下「設定備援 IdP」

        如果您要設定訪客 IdP,請按一下「設定訪客 IdP」

      3. 輸入 IdP 的下列資訊:
        • 名稱
        • 用戶端 ID (適用於網頁應用程式)
        • 探索服務 URI

      4. 按一下「測試連線」

        如果 Google Workspace 可以連線至您的 IdP,您就會看到「連線成功」訊息。

      5. 如果您要設定訪客 IdP:按一下「繼續」,然後選擇要為哪些網頁應用程式提供訪客存取權。

        如要提供 Google Meet (網頁版) 的訪客存取權,請一併輸入用戶端 ID,用於驗證受邀的訪客。

        接著,請點選「儲存」關閉資訊卡。

      6. (選用) 如要將 CSE 與特定應用程式搭配使用:
        1. 在「Google 電腦和行動應用程式驗證 (選用)」下方,選取要使用 CSE 的應用程式。
        2. 在「用戶端 ID」部分,提供應用程式的用戶端 ID。
      7. 按一下「新增供應商」即可關閉資訊卡。

      步驟 4 (僅限第三方 IdP):在管理控制台將 IdP 新增至許可清單

      您必須將第三方 IdP 加入信任的第三方應用程式清單,這樣使用者就不必重複登入 IdP。如需操作說明,請參閱「控管哪些第三方應用程式和內部應用程式可存取 Google Workspace 資料」中「管理應用程式存取權:『可信任』、『有限』或『已封鎖』」一節。

      下一步

      設定 IdP 後,即可開始設定金鑰加密服務