این صفحه به‌وسیله ‏Cloud Translation API‏ ترجمه شده است.

دسترسی خارجی به محتوای رمزگذاری شده سمت کلاینت را فراهم کنید

نسخه‌های پشتیبانی‌شده برای این ویژگی: Frontline Plus؛ Enterprise Plus؛ Education Standard و Education Plus. نسخه خود را مقایسه کنید

به عنوان مدیر، می‌توانید به کاربران خارجی اجازه دهید به محتوای رمزگذاری شده با رمزگذاری سمت کلاینت (CSE) در Google Workspace دسترسی داشته باشند. 2 روش برای ارائه دسترسی خارجی وجود دارد:

دسترسی را برای سازمان‌های خارجی که از CSE نیز استفاده می‌کنند، تنظیم کنید . با این روش، می‌توانید به یک سازمان خارجی در صورت برآورده کردن الزامات کاربر و CSE، دسترسی به محتوای رمزگذاری شده را بدهید.
یک ارائه‌دهنده هویت مهمان (IdP) را پیکربندی کنید تا به هر کاربر خارجی اجازه دسترسی بدهد. با این روش، کاربران شما می‌توانند به محتوای رمزگذاری‌شده سمت کلاینت شما، هم برای حساب‌های گوگل و هم غیر گوگل، دسترسی بدهند. سازمان‌های خارجی نیازی به راه‌اندازی CSE ندارند و کاربران آنها نیازی به مجوز Google Workspace یا Cloud Identity ندارند.
پیکربندی IdP مهمان در حال حاضر فقط برای برنامه‌های وب Gmail، Google Meet، Drive، Docs، Sheets و Slides در دسترس است . پیکربندی IdP مهمان برای برنامه‌های تلفن همراه این سرویس‌ها در نسخه بعدی در دسترس خواهد بود.

درباره دسترسی خارجی به ایمیل رمزگذاری شده

شما دو گزینه برای ارائه دسترسی خارجی به پیام‌های ایمیل رمزگذاری شده سمت کلاینت دارید.

گزینه ۱: استفاده از Gmail E2EE بدون S/MIME

اگر کاربران پیام‌های رمزگذاری شده سمت کلاینت را با کاربران خارجی که ممکن است از S/MIME استفاده نکنند، رد و بدل می‌کنند، می‌توانید از گزینه رمزگذاری با حساب‌های مهمان استفاده کنید. این گزینه از رمزگذاری سرتاسری Gmail (E2EE) برای مدیریت خودکار ارتباطات رمزگذاری شده با کاربران خارجی، بدون نیاز به تنظیمات یا گواهینامه‌های سنتی S/MIME، استفاده می‌کند. با Gmail E2EE، کاربران پیام‌های رمزگذاری شده را برای هر کاربر خارجی ارسال می‌کنند. این امر مستلزم داشتن افزونه Assured Controls یا Assured Controls Plus است .

برای ارائه دسترسی خارجی با استفاده از Gmail E2EE:

شما باید یک شناسه مهمان (guest IdP) را پیکربندی کنید ، همانطور که بعداً در این صفحه توضیح داده شده است.
وقتی کاربری یک پیام رمزگذاری شده را به خارج از سازمان شما ارسال می‌کند، از گیرنده خارجی خواسته می‌شود که برای باز کردن پیام، یک حساب مهمان ایجاد کند.
شما می‌توانید حساب‌های مهمان را در واحد سازمانی Workspace Guests در کنسول مدیریت مدیریت کنید. این واحد سازمانی پس از فعال کردن رمزگذاری با حساب‌های مهمان و پیکربندی شناسه مهمان، به طور خودکار ایجاد می‌شود. برای جزئیات بیشتر، به مدیریت مهمانان Workspace بروید.

برای جزئیات بیشتر در مورد ارسال و دریافت پیام‌های ایمیل رمزگذاری شده سمت کلاینت و ایجاد حساب‌های مهمان، به بخش «یادگیری رمزگذاری سمت کلاینت جیمیل» مراجعه کنید.

گزینه ۲: استفاده از گواهی‌های S/MIME

اگر کاربران فقط با کاربران خارجی که از S/MIME استفاده می‌کنند، پیام‌های رمزگذاری شده سمت کلاینت را رد و بدل می‌کنند، نیازی به تنظیمات اضافی نیست. نیازی به استفاده از IdP مهمان ندارید و کاربران خارجی نیازی به مجوز Google Workspace یا Cloud Identity ندارند.

دسترسی خارجی را برای سازمان‌های خارجی که از CSE استفاده می‌کنند، تنظیم کنید.

اگر یک سازمان خارجی و سازمان شما شرایط زیر را داشته باشند، می‌توانید به آن سازمان خارجی دسترسی به محتوای رمزگذاری‌شده سمت کلاینت سازمان خود برای Drive & Docs، Calendar و Meet را بدهید.

الزامات مجوز برای کاربران خارجی

کاربران خارجی برای دسترسی به داده‌های رمزگذاری شده با CSE باید مجوز Google Workspace یا Cloud Identity داشته باشند.

توجه: با این روش دسترسی خارجی، کاربرانی که حساب گوگل مصرفی (مدیریت نشده) یا حساب بازدیدکننده دارند، نمی‌توانند به محتوای رمزگذاری شده سمت کلاینت سازمان شما دسترسی پیدا کنند.

الزامات راه‌اندازی برای سازمان‌های خارجی

برای دسترسی به محتوای رمزگذاری شده سمت کلاینت سازمان شما، سازمان‌های خارجی نیز باید CSE را راه‌اندازی کنند.

الزامات راه‌اندازی برای سازمان شما

سرویس IdP سازمان خارجی را در فهرست مجاز سرویس کلید رمزگذاری خود قرار دهید. معمولاً می‌توانید سرویس IdP را در فایل عمومی .well-known آنها پیدا کنید، البته اگر آنها چنین فایلی راه‌اندازی کرده باشند. در غیر این صورت، برای دریافت جزئیات IdP با مدیر Google Workspace سازمان خارجی تماس بگیرید.
مطمئن شوید که مدیر آنها متوجه شده است که کاربرانشان برای مشاهده یا ویرایش محتوای رمزگذاری شده سازمان شما، باید توکن‌های احراز هویت خود را در اختیار سرویس کلید شما قرار دهند. فرآیند احراز هویت مستلزم آن است که کاربر آدرس IP و سایر اطلاعات هویتی خود را به اشتراک بگذارد. برای جزئیات بیشتر، به بخش توکن‌های احراز هویت در راهنمای مرجع API رمزگذاری سمت کلاینت مراجعه کنید.
بسته به سیاست‌های امنیتی شما و سازمان‌های خارجی، ممکن است لازم باشد که آنها برای دسترسی به محتوای رمزگذاری شده سازمان شما، شناسه‌های کلاینت وب و موبایل جداگانه‌ای ایجاد کنند. شما باید این شناسه‌های کلاینت را در فهرست سرویس کلید رمزگذاری قرار دهید.

پیکربندی شناسه مهمان برای هر کاربر خارجی

برای اینکه به سازمان‌های خارجی اجازه دسترسی به محتوای رمزگذاری‌شده سمت کلاینت خود را بدهید، می‌توانید یک شناسه مهمان (guest IdP) پیکربندی کنید تا کاربران خارجی را با استفاده از همان شناسه‌ای که استفاده می‌کنید یا شناسه‌ای متفاوت، احراز هویت کند. با شناسه مهمان، کاربران شما می‌توانند محتوای رمزگذاری‌شده را با دیگران در سازمان‌های خارجی به اشتراک بگذارند، چه آن سازمان‌ها از CSE استفاده کنند و چه نکنند.

توجه: اگر قبلاً دسترسی خارجی را برای سازمان‌هایی که از CSE نیز استفاده می‌کنند تنظیم کرده‌اید (همانطور که قبلاً در این صفحه توضیح داده شد)، پس از پیکربندی شناسه مهمان، این تنظیم نادیده گرفته می‌شود.

پیکربندی شناسه مهمان (guest IdP) در کنسول مدیریت

برای تنظیم یک IdP در Connect to identity provider برای رمزگذاری سمت کلاینت ، دستورالعمل‌ها را دنبال کنید. در طول راه‌اندازی، موارد زیر را انجام خواهید داد:

یک IdP سازگار با OIDC انتخاب کنید — برای Gmail و Google Meet، می‌توانید از IdP شخص ثالث یا هویت گوگل استفاده کنید. با این حال، برای ویرایشگرهای Google Drive و Docs، فقط می‌توانید از IdP شخص ثالث استفاده کنید. این محدودیت پشتیبانی از حساب‌های بازدیدکننده برای Drive و Docs را تضمین می‌کند. IdP شخص ثالث شما می‌تواند همان IdP مورد استفاده برای کاربران شما یا نوع دیگری باشد.
ایجاد یک شناسه کلاینت اضافی برای Google Meet — در طول مرحله‌ای که شناسه کلاینت خود را برای سرویس‌های وب ایجاد می‌کنید، باید یک شناسه کلاینت اضافی برای Google Meet ایجاد کنید.
شناسه کلاینت اصلی برای سرویس‌های وب، برای سرویس رمزگذاری کلید استفاده می‌شود و با سیستم‌های گوگل به اشتراک گذاشته نمی‌شود. شناسه کلاینت اضافی برای Meet برای تأیید دعوت مهمانانی که در Meet وارد نشده‌اند، به جلسه استفاده می‌شود.
از کنسول مدیریت برای پیکربندی شناسه مهمان خود استفاده کنید — شما باید از کنسول مدیریت برای پیکربندی اتصال شناسه مهمان خود استفاده کنید و گزینه پیکربندی شناسه مهمان را انتخاب کنید. شما نمی‌توانید شناسه مهمان خود را با استفاده از یک فایل .well-known پیکربندی کنید.

گزینه‌های احراز هویت مهمان IdP را تنظیم کنید

پس از تکمیل پیکربندی IdP در کنسول مدیریت، می‌توانید از ابزارهای IdP خود برای تنظیم نحوه احراز هویت کاربران خارجی استفاده کنید. بسته به پیاده‌سازی IdP مهمان شما، گزینه‌های زیر ممکن است در دسترس باشند:

برای مهمانان حساب‌های کاربری جداگانه تنظیم کنید و رمز عبور حساب‌ها را در اختیار آنها قرار دهید.
برای تأیید آدرس ایمیل مهمانان، کدهای یکبار مصرف ارسال کنید.
به مهمانان اجازه دهید از IdP های از پیش تنظیم شده مانند گوگل، اپل یا مایکروسافت استفاده کنند.
توجه: با هویت گوگل، کاربران می‌توانند با حساب گوگل خود وارد سیستم شوند. اگر حساب کاربری ندارند، می‌توانند یکی ایجاد کنند .

با هر روش احراز هویتی، مهمانان با یک پیام پاپ‌آپ مواجه می‌شوند که از آنها می‌خواهد قبل از دسترسی به محتوای رمزگذاری شده سمت کلاینت، با یک ارائه دهنده هویت وارد سیستم شوند.