Proporciona acceso externo al contenido con encriptación del cliente

Ediciones compatibles con esta función: Frontline Plus, Enterprise Plus, Education Standard y Education Plus. Comparar tu edición

Como administrador, puedes permitir que los usuarios externos accedan a tu contenido encriptado con la encriptación del cliente (CSE) de Google Workspace. Existen 2 métodos para proporcionar acceso externo:

  • Configura el acceso para organizaciones externas que también usan CSE. Con este método, puedes otorgar acceso a una organización externa al contenido encriptado si cumple con los requisitos de usuario y CSE.
  • Configura un proveedor de identidad (IdP) para invitados para permitir el acceso a cualquier usuario externo Con este método, tus usuarios pueden proporcionar acceso a tu contenido con encriptación del cliente a cuentas de Google y que no son de Google. Las organizaciones externas no necesitan configurar la CSE, y sus usuarios no necesitan una licencia de Google Workspace ni de Cloud Identity.

Acerca del acceso externo al correo electrónico encriptado

Tienes 2 opciones para proporcionar acceso externo a los mensajes de correo electrónico con encriptación del cliente.

Opción 1: Usa E2EE de Gmail sin S/MIME

Si los usuarios intercambiarán mensajes con encriptación del cliente con usuarios externos que podrían no usar S/MIME, puedes usar la opción Encriptación con cuentas de invitado. Esta opción usa la encriptación de extremo a extremo (E2EE) de Gmail para controlar automáticamente las comunicaciones encriptadas con usuarios externos, sin requerir la configuración o los certificados tradicionales de S/MIME. Con la E2EE de Gmail, los usuarios envían mensajes encriptados a cualquier usuario externo. Requiere tener el complemento de Assured Controls o Assured Controls Plus.

Para proporcionar acceso externo con la E2EE de Gmail, haz lo siguiente:

  • Debes configurar un IdP para invitados, como se describe más adelante en esta página.
  • Cuando un usuario envía un mensaje encriptado fuera de tu organización, se le solicita al destinatario externo que cree una cuenta de invitado para abrir el mensaje.
  • Puedes administrar las cuentas de invitado en la unidad organizacional Invitados de Workspace en la Consola del administrador. Esta unidad organizacional se crea automáticamente después de activar la Encriptación con cuentas de invitado y configurar un IdP para invitados. Para obtener más información, consulta Administra los invitados de Workspace.

Para obtener más información sobre cómo enviar y recibir mensajes de correo electrónico con encriptación del cliente y crear cuentas de invitado, consulta Más información sobre la encriptación del cliente de Gmail.

Opción 2: Usa certificados S/MIME

Si los usuarios intercambiarán mensajes con encriptación del cliente solo con usuarios externos que usan S/MIME, no se necesita ninguna configuración adicional. No necesitas usar un IdP para invitados, y los usuarios externos no necesitan una licencia de Google Workspace ni de Cloud Identity.

Configura el acceso externo para organizaciones externas que usan CSE

Si una organización externa y tu organización cumplen con los siguientes requisitos, puedes otorgar acceso externo al contenido con encriptación del cliente de tu organización para Drive y Documentos, Calendario y Meet.

Requisitos de licencia para usuarios externos

Los usuarios externos deben tener una licencia de Google Workspace o de Cloud Identity para acceder a los datos encriptados con CSE.

Nota: Con este método de acceso externo, los usuarios con una Cuenta de Google personal (no administrada) o una cuenta de visitante no pueden acceder al contenido con encriptación del cliente de tu organización.

Requisitos de configuración para organizaciones externas

Para acceder al contenido con encriptación del cliente de tu organización, las organizaciones externas también deben configurar la CSE.

Requisitos de configuración para tu organización

  • Incluye en la lista de entidades permitidas el servicio de IdP de la organización externa con tu servicio de claves de encriptación. Por lo general, puedes encontrar el servicio de IdP en su archivo .well-known público, si configuraron uno. De lo contrario, comunícate con el administrador de Google Workspace de la organización externa para obtener los detalles de su IdP.
  • Asegúrate de que el administrador comprenda que sus usuarios deben proporcionar sus tokens de autenticación a tu servicio de claves para ver o editar el contenido encriptado de tu organización. El proceso de autenticación requiere que un usuario comparta su dirección IP y otra información de identidad. Para obtener más información, consulta Tokens de autenticación en la guía de referencia de la API de encriptación del cliente.
  • Según tus políticas de seguridad y las de la organización externa, es posible que también deban crear IDs de cliente web y para dispositivos móviles independientes para acceder al contenido encriptado de tu organización. Deberás incluir estos IDs de cliente en la lista de entidades permitidas con el servicio de claves de encriptación.

Configura un IdP para invitados para cualquier usuario externo

Para otorgar acceso a organizaciones externas a tu contenido con encriptación del cliente, puedes configurar un IdP para invitados para autenticar a los usuarios externos, usando el mismo IdP que usas o uno diferente. Con un IdP para invitados, tus usuarios pueden compartir contenido encriptado con otras personas de organizaciones externas, ya sea que esas organizaciones también usen CSE o no.

Nota: Si ya configuraste el acceso externo para organizaciones que también usan CSE (como se describió anteriormente en esta página), esa configuración se ignorará una vez que configures un IdP para invitados.

Configura un IdP para invitados en la Consola del administrador

Sigue las instrucciones para configurar un IdP en Conéctate al proveedor de identidad para la encriptación del cliente. Durante la configuración, harás lo siguiente:

  • Elige un IdP compatible con OIDC: Para Gmail y Google Meet, puedes usar un IdP de terceros o la identidad de Google. Sin embargo, para los editores de Google Drive y Documentos, solo puedes usar un IdP de terceros. Esta restricción garantiza la compatibilidad con las cuentas de visitantes para Drive y Documentos. Tu IdP de terceros puede ser el mismo que usas para tus usuarios o uno diferente.
  • Crea un ID de cliente adicional para Google Meet: Durante el paso en el que creas tu ID de cliente para los servicios web, deberás crear un ID de cliente adicional para Google Meet.

    El ID de cliente principal para los servicios web se usa para el servicio de encriptación de claves y no se comparte con los sistemas de Google. El ID de cliente adicional para Meet se usa para verificar que los invitados que no accedieron a Meet hayan sido invitados a la reunión.

  • Usa la Consola del administrador para configurar tu IdP para invitados : Debes usar la Consola del administrador para configurar tu conexión de IdP para invitados y elegir la opción Configurar IdP para invitados. No puedes configurar tu IdP para invitados con un archivo .well-known.

Configura las opciones de autenticación del IdP para invitados

Después de completar la configuración del IdP en la Consola del administrador, puedes usar las herramientas de tu IdP para configurar cómo se autenticarán los usuarios externos. Según la implementación de tu IdP para invitados, es posible que estén disponibles las siguientes opciones:

  • Configura cuentas independientes para los invitados y proporciónales las contraseñas de las cuentas.
  • Envía códigos únicos a los invitados para verificar su dirección de correo electrónico.
  • Permite que los invitados usen IdPs preconfigurados, como Google, Apple o Microsoft.

    Nota: Con la identidad de Google, los usuarios pueden acceder con su Cuenta de Google. Si no tienen una cuenta, pueden crear una.

Con cualquier método de autenticación, los invitados verán un mensaje emergente en el que se les pedirá que accedan con un proveedor de identidad antes de poder acceder al contenido con encriptación del cliente.