Các phiên bản hỗ trợ tính năng này: Frontline Plus; Enterprise Plus; Education Standard và Education Plus. So sánh phiên bản của bạn
Là quản trị viên, bạn có thể cho phép người dùng bên ngoài truy cập vào nội dung được mã hoá bằng tính năng Mã hoá phía máy khách (CSE) của Google Workspace. Có 2 phương thức để cấp quyền truy cập bên ngoài:
- Thiết lập quyền truy cập cho các tổ chức bên ngoài cũng sử dụng CSE. Với phương thức này, bạn có thể cấp cho một tổ chức bên ngoài quyền truy cập vào nội dung được mã hoá nếu họ đáp ứng các yêu cầu về người dùng và CSE.
- Định cấu hình một nhà cung cấp dịch vụ danh tính (IdP) khách để cấp quyền truy cập cho mọi người dùng bên ngoài Bằng phương pháp này, người dùng của bạn có thể cấp quyền truy cập vào nội dung được mã hoá phía máy khách cho cả Tài khoản Google và tài khoản không phải của Google. Các tổ chức bên ngoài không cần thiết lập CSE và người dùng của họ không cần có giấy phép Google Workspace hoặc Cloud Identity.
Giới thiệu về quyền truy cập bên ngoài vào email được mã hoá
Bạn có 2 lựa chọn để cấp quyền truy cập bên ngoài vào thư email được mã hoá phía máy khách.
Cách 1: Sử dụng tính năng mã hoá hai đầu của Gmail mà không cần S/MIME
Nếu người dùng sẽ trao đổi thư được mã hoá phía máy khách với người dùng bên ngoài có thể không sử dụng S/MIME, thì bạn có thể sử dụng lựa chọn Mã hoá bằng tài khoản khách. Tuỳ chọn này sử dụng tính năng mã hoá hai đầu (E2EE) của Gmail để tự động xử lý các thông tin liên lạc đã mã hoá với người dùng bên ngoài mà không yêu cầu thiết lập hoặc chứng chỉ S/MIME truyền thống. Với tính năng mã hoá hai đầu (E2EE) của Gmail, người dùng có thể gửi thư đã mã hoá cho bất kỳ người dùng bên ngoài nào. Bạn phải có tiện ích bổ sung Quyền kiểm soát có đảm bảo hoặc Assured Controls Plus.
Cách cấp quyền truy cập bên ngoài bằng tính năng mã hoá đầu cuối của Gmail:
- Bạn cần định cấu hình một IdP khách, như mô tả ở phần sau trên trang này.
- Khi người dùng gửi thư được mã hoá ra bên ngoài tổ chức của bạn, người nhận bên ngoài sẽ được nhắc tạo tài khoản khách để mở thư.
- Bạn có thể quản lý tài khoản khách trong đơn vị tổ chức Khách trong Workspace trong Bảng điều khiển dành cho quản trị viên. Đơn vị tổ chức này được tạo tự động sau khi bạn bật chế độ Mã hoá đối với tài khoản khách và thiết lập một nhà cung cấp danh tính cho khách. Để biết thông tin chi tiết, hãy xem bài viết Quản lý người dùng khách trong Workspace.
Để biết thông tin chi tiết về cách gửi và nhận thư email được mã hoá phía máy khách cũng như cách tạo tài khoản khách, hãy xem bài viết Tìm hiểu về tính năng mã hoá phía máy khách của Gmail.
Cách 2: Sử dụng chứng chỉ S/MIME
Nếu người dùng chỉ trao đổi thư được mã hoá phía máy khách với người dùng bên ngoài sử dụng S/MIME, thì bạn không cần thiết lập thêm. Bạn không cần sử dụng IdP khách và người dùng bên ngoài không cần có giấy phép Google Workspace hoặc Cloud Identity.
Thiết lập quyền truy cập bên ngoài cho các tổ chức bên ngoài sử dụng CSE
Nếu một tổ chức bên ngoài và tổ chức của bạn đáp ứng các yêu cầu sau, bạn có thể cấp quyền truy cập bên ngoài vào nội dung được mã hoá phía máy khách của tổ chức bạn trên Drive và Tài liệu, Lịch và Meet.
Yêu cầu về giấy phép đối với người dùng bên ngoài
Người dùng bên ngoài phải có giấy phép Google Workspace hoặc Cloud Identity để truy cập vào dữ liệu được mã hoá bằng CSE.
Lưu ý: Với phương thức truy cập bên ngoài này, người dùng có Tài khoản Google người dùng cá nhân (không được quản lý) hoặc tài khoản khách truy cập sẽ không thể truy cập vào nội dung được mã hoá phía máy khách của tổ chức bạn.
Các yêu cầu về việc thiết lập đối với các tổ chức bên ngoài
Để truy cập vào nội dung được mã hoá phía máy khách của tổ chức bạn, các tổ chức bên ngoài cũng phải thiết lập CSE.
Các yêu cầu thiết lập cho tổ chức của bạn
- Đưa dịch vụ IdP của tổ chức bên ngoài vào danh sách cho phép bằng dịch vụ mã khoá của bạn. Bạn thường có thể tìm thấy dịch vụ IdP trong tệp .well-known công khai của họ, nếu họ thiết lập một tệp. Nếu không, hãy liên hệ với quản trị viên Google Workspace của tổ chức bên ngoài để biết thông tin về IdP của họ.
- Đảm bảo rằng quản trị viên của họ hiểu rằng người dùng của họ cần cung cấp mã thông báo xác thực cho dịch vụ mã khoá của bạn để xem hoặc chỉnh sửa nội dung được mã hoá của tổ chức bạn. Quy trình xác thực yêu cầu người dùng chia sẻ địa chỉ IP và thông tin nhận dạng khác của họ. Để biết thông tin chi tiết, hãy xem bài viết Mã thông báo xác thực trong hướng dẫn Tài liệu tham chiếu về API tính năng mã hoá phía máy khách.
- Tuỳ thuộc vào chính sách bảo mật của bạn và tổ chức bên ngoài, họ cũng có thể cần tạo mã nhận dạng riêng biệt cho ứng dụng web và ứng dụng di động để truy cập vào nội dung được mã hoá của tổ chức bạn. Bạn cần đưa các mã ứng dụng khách này vào danh sách cho phép bằng dịch vụ mã khoá.
Định cấu hình một nhà cung cấp dịch vụ danh tính (IdP) khách cho mọi người dùng bên ngoài
Để cấp cho các tổ chức bên ngoài quyền truy cập vào nội dung được mã hoá phía máy khách, bạn có thể định cấu hình một IdP khách để xác thực người dùng bên ngoài, bằng cách sử dụng cùng một IdP mà bạn sử dụng hoặc một IdP khác. Với một IdP khách, người dùng có thể chia sẻ nội dung được mã hoá với những người khác tại các tổ chức bên ngoài, bất kể các tổ chức đó có sử dụng CSE hay không.
Lưu ý: Nếu bạn đã thiết lập quyền truy cập bên ngoài cho những tổ chức cũng sử dụng CSE (như mô tả ở phần trước trên trang này), thì chế độ thiết lập đó sẽ bị bỏ qua sau khi bạn định cấu hình một IdP khách.
Định cấu hình một IdP khách trong Bảng điều khiển dành cho quản trị viên
Làm theo hướng dẫn để thiết lập một IdP trong bài viết Kết nối với nhà cung cấp dịch vụ danh tính để dùng tính năng mã hoá phía máy khách. Trong quá trình thiết lập, bạn sẽ làm như sau:
- Chọn một IdP tuân thủ OIDC – Đối với Gmail và Google Meet, bạn có thể sử dụng IdP bên thứ ba hoặc danh tính Google. Tuy nhiên, đối với Google Drive và Bộ công cụ chỉnh sửa tài liệu của Google, bạn chỉ có thể sử dụng một IdP bên thứ ba. Hạn chế này đảm bảo hỗ trợ tài khoản khách cho Drive và Tài liệu. IdP bên thứ ba có thể là IdP mà bạn sử dụng cho người dùng hoặc một IdP khác.
- Tạo thêm một mã ứng dụng khách cho Google Meet – Trong bước tạo mã ứng dụng khách cho các dịch vụ web, bạn sẽ cần tạo thêm một mã ứng dụng khách cho Google Meet.
Mã ứng dụng khách chính cho các dịch vụ web được dùng cho dịch vụ mã hoá khoá và không được chia sẻ với các hệ thống của Google. Mã ứng dụng khách bổ sung cho Meet được dùng để xác minh rằng những khách chưa đăng nhập vào Meet đã được mời tham gia cuộc họp.
- Sử dụng Bảng điều khiển dành cho quản trị viên để định cấu hình nhà cung cấp danh tính (IdP) khách – Bạn phải sử dụng Bảng điều khiển dành cho quản trị viên để định cấu hình mối kết nối IdP khách và chọn mục Định cấu hình IdP khách. Bạn không thể định cấu hình IdP khách bằng tệp .well-known.
Thiết lập các lựa chọn xác thực nhà cung cấp danh tính (IdP) khách
Sau khi hoàn tất việc định cấu hình IdP trong Bảng điều khiển dành cho quản trị viên, bạn có thể sử dụng các công cụ của IdP để thiết lập cách xác thực người dùng bên ngoài. Tuỳ thuộc vào cách triển khai IdP khách, bạn có thể sử dụng các lựa chọn sau:
- Thiết lập tài khoản riêng cho khách và cung cấp mật khẩu tài khoản cho họ.
- Gửi cho khách mã một lần để xác minh địa chỉ email của họ.
- Cho phép khách sử dụng các IdP được định cấu hình sẵn, chẳng hạn như Google, Apple hoặc Microsoft.
Lưu ý: Với danh tính Google, người dùng có thể đăng nhập bằng Tài khoản Google của họ. Nếu chưa có tài khoản, họ có thể tạo một tài khoản.
Với bất kỳ phương thức xác thực nào, khách sẽ thấy một thông báo bật lên yêu cầu họ đăng nhập bằng một nhà cung cấp dịch vụ danh tính trước khi có thể truy cập vào nội dung được mã hoá phía máy khách.