Proporciona acceso externo al contenido con encriptación del cliente

Ediciones compatibles con esta función: Frontline Plus, Enterprise Plus, Education Standard y Education Plus. Comparar tu edición

Como administrador, puedes permitir que los usuarios externos accedan a tu contenido encriptado con la encriptación del cliente (CSE) de Google Workspace. Existen 2 métodos para proporcionar acceso externo:

  • Configura el acceso para organizaciones externas que también usan la CSE. Con este método, puedes otorgar acceso a una organización externa al contenido encriptado si cumple con los requisitos del usuario y de la CSE.
  • Configura un proveedor de identidad (IdP) para invitados y permite el acceso a cualquier usuario externo. Con este método, tus usuarios pueden proporcionar acceso a tu contenido encriptado del cliente a cuentas de Google y a cuentas que no son de Google. Las organizaciones externas no necesitan configurar el CSE, y sus usuarios no necesitan una licencia de Google Workspace ni de Cloud Identity.

Acerca del acceso externo a correos electrónicos encriptados

Tienes 2 opciones para proporcionar acceso externo a los mensajes de correo electrónico con encriptación del cliente.

Opción 1: Usa el E2EE de Gmail sin S/MIME

Si los usuarios intercambiarán mensajes con encriptación del cliente con usuarios externos que tal vez no usen S/MIME, puedes usar la opción Encriptación con cuentas de invitado. Esta opción usa la encriptación de extremo a extremo (E2EE) de Gmail para controlar automáticamente las comunicaciones encriptadas con usuarios externos, sin necesidad de configurar S/MIME ni certificados tradicionales. Con la E2EE de Gmail, los usuarios pueden enviar mensajes encriptados a cualquier usuario externo. Requiere tener el complemento de Assured Controls o Assured Controls Plus.

Para proporcionar acceso externo con el E2EE de Gmail, haz lo siguiente:

  • Debes configurar un IdP externo, como se describe más adelante en esta página.
  • Cuando un usuario envía un mensaje encriptado fuera de tu organización, se le solicita al destinatario externo que cree una cuenta de invitado para abrir el mensaje.
  • Puedes administrar las cuentas de invitados en la unidad organizativa Invitados de Workspace de la Consola del administrador. Esta unidad organizativa se crea automáticamente después de que activas la Encriptación con cuentas de invitado y configuras un IdP para invitados. Para obtener más información, consulta Cómo administrar invitados de Workspace.

Para obtener detalles sobre el envío y la recepción de mensajes de correo electrónico con encriptación del cliente, y la creación de cuentas de invitado, consulta Más información sobre la encriptación del cliente de Gmail.

Opción 2: Usa certificados S/MIME

Si los usuarios solo intercambiarán mensajes con encriptación del cliente con usuarios externos que usan S/MIME, no se necesita configuración adicional. No es necesario que uses un IdP invitado, y los usuarios externos no necesitan una licencia de Google Workspace ni de Cloud Identity.

Configura el acceso externo para organizaciones externas que usan la CSE

Si una organización externa y tu organización cumplen con los siguientes requisitos, puedes otorgar acceso externo al contenido encriptado del cliente de tu organización para Drive y Documentos, Calendario y Meet.

Requisitos de licencias para usuarios externos

Los usuarios externos deben tener una licencia de Google Workspace o Cloud Identity para acceder a los datos encriptados con CSE.

Nota: Con este método de acceso externo, los usuarios con una Cuenta de Google personal (no administrada) o una cuenta de visitante no pueden acceder al contenido encriptado del cliente de tu organización.

Requisitos de configuración para organizaciones externas

Para acceder al contenido encriptado del cliente de tu organización, las organizaciones externas también deben configurar la CSE.

Requisitos de configuración para tu organización

  • El servicio de IdP de la organización externa debe estar en la lista de entidades permitidas de tu servicio de claves de encriptación. Por lo general, puedes encontrar el servicio de IdP en su archivo .well-known público, si configuraron uno. De lo contrario, comunícate con el administrador de Google Workspace de la organización externa para obtener los detalles de su IdP.
  • Asegúrate de que el administrador comprenda que sus usuarios deben proporcionar sus tokens de autenticación a tu servicio de claves para ver o editar el contenido encriptado de tu organización. El proceso de autenticación requiere que el usuario comparta su dirección IP y otra información de identidad. Para obtener más información, consulta Tokens de autenticación en la guía de referencia de la API de Client-side encryption.
  • Según las políticas de seguridad de tu organización y la externa, es posible que también deban crear IDs de cliente web y para dispositivos móviles independientes para acceder al contenido encriptado de tu organización. Deberás incluir estos IDs de cliente en la lista de entidades permitidas con el servicio de claves de encriptación.

Configura un IdP para invitados para cualquier usuario externo

Para brindarles a las organizaciones externas acceso a tu contenido con encriptación del cliente, puedes configurar un IdP para invitados para autenticar a los usuarios externos con el mismo IdP que usas o con uno diferente. Con un IdP invitado, tus usuarios pueden compartir contenido encriptado con otras personas de organizaciones externas, independientemente de si esas organizaciones también usan la CSE.

Nota: Si ya configuraste el acceso externo para las organizaciones que también usan CSE (como se describió anteriormente en esta página), esa configuración se ignorará una vez que configures un IdP invitado.

Configura un IdP para invitados en la Consola del administrador

Sigue las instrucciones para configurar un IdP en Conéctate con tu proveedor de identidad a la encriptación del cliente. Durante la configuración, harás lo siguiente:

  • Elige un IdP compatible con OIDC: En el caso de Gmail y Google Meet, puedes usar un IdP externo o la identidad de Google. Sin embargo, para los editores de Documentos y Google Drive, solo puedes usar un IdP externo. Esta restricción garantiza la compatibilidad con las cuentas de visitantes para Drive y Documentos. Tu IdP externo puede ser el mismo que usas para tus usuarios o uno diferente.
  • Crea un ID de cliente adicional para Google Meet: Durante el paso en el que creas tu ID de cliente para los servicios web, deberás crear un ID de cliente adicional para Google Meet.

    El ID de cliente principal para los servicios web se usa para el servicio de encriptación de claves y no se comparte con los sistemas de Google. El ID de cliente adicional de Meet se usa para verificar que se invitó a la reunión a los invitados que no accedieron a Meet.

  • Usa la Consola del administrador para configurar tu IdP para invitados: Debes usar la Consola del administrador para configurar la conexión de tu IdP para invitados y elegir la opción Configurar IdP para invitados. No puedes configurar tu IdP externo con un archivo .well-known.

Configura las opciones de autenticación del IdP para invitados

Después de completar la configuración del IdP en la Consola del administrador, puedes usar las herramientas de tu IdP para configurar cómo se autenticarán los usuarios externos. Según la implementación de tu IdP para invitados, es posible que tengas disponibles las siguientes opciones:

  • Configura cuentas separadas para los invitados y proporciónales las contraseñas.
  • Enviar códigos de un solo uso a los invitados para verificar su dirección de correo electrónico
  • Permite que los invitados usen IdPs preconfigurados, como Google, Apple o Microsoft.

    Nota: Con la identidad de Google, los usuarios pueden acceder con su Cuenta de Google. Si no tienen una cuenta, pueden crear una.

Con cualquier método de autenticación, los invitados verán un mensaje emergente que les pedirá que accedan con un proveedor de identidad antes de poder acceder al contenido encriptado del cliente.