מתן גישה חיצונית לתוכן המוצפן בצד הלקוח

התכונה הזו נתמכת במהדורות הבאות: Frontline Plus,‏ Enterprise Plus,‏ Education Standard ו-Education Plus. השוואה בין מהדורות

אדמינים יכולים לאפשר למשתמשים חיצוניים לגשת לתוכן שמוצפן באמצעות הצפנה מצד הלקוח ב-Google Workspace (‏CSE). יש 2 שיטות למתן גישה חיצונית:

הגדרת גישה לארגונים חיצוניים שגם משתמשים בהצפנה מצד הלקוח באמצעות השיטה הזו, אתם יכולים לתת לארגון חיצוני גישה לתוכן מוצפן אם הוא עומד בדרישות המשתמש וההצפנה מצד הלקוח.
הגדרה של ספק זהויות (IdP) לאורחים כדי לאפשר גישה לכל המשתמשים החיצוניים בשיטה הזו, המשתמשים יכולים לספק גישה לתוכן שהוצפן מצד הלקוח גם לחשבונות Google וגם לחשבונות שאינם של Google. בארגונים חיצוניים לא צריך להגדיר הצפנה מצד הלקוח, והמשתמשים שלהם לא צריכים רישיון ל-Google Workspace או ל-Cloud Identity.
הגדרת IdP לאורחים זמינה כרגע רק באפליקציות האינטרנט של Gmail,‏ Google Meet,‏ Drive,‏ Docs,‏ Sheets ו-Slides. ההגדרה של IdP לאורח באפליקציות לנייד של השירותים האלה תהיה זמינה בגרסה קרובה.

מידע על גישה חיצונית לאימייל מוצפן

יש 2 אפשרויות למתן גישה חיצונית להודעות אימייל עם הצפנה מצד הלקוח.

אפשרות 1: שימוש בהצפנה מקצה לקצה ב-Gmail בלי S/MIME

אם המשתמשים שלכם ישלחו הודעות עם הצפנה בצד הלקוח למשתמשים חיצוניים שלא משתמשים ב-S/MIME, תוכלו להשתמש באפשרות הצפנה באמצעות חשבונות אורחים. האפשרות הזו משתמשת בהצפנה מקצה לקצה (E2EE) ב-Gmail כדי לטפל באופן אוטומטי בתקשורת מוצפנת עם משתמשים חיצוניים, בלי לדרוש הגדרה או אישורים מסורתיים של S/MIME. באמצעות הצפנה מקצה לקצה ב-Gmail, המשתמשים יכולים לשלוח הודעות מוצפנות לכל משתמש חיצוני. נדרש התוסף Assured Controls או Assured Controls Plus.

כדי לספק גישה חיצונית באמצעות הצפנה מקצה לקצה ב-Gmail:

צריך להגדיר IdP לאורח, כמו שמתואר בהמשך הדף.
כשמשתמש שולח הודעה מוצפנת מחוץ לארגון, הנמען החיצוני מתבקש ליצור חשבון אורח כדי לפתוח את ההודעה.
אפשר לנהל חשבונות אורחים ביחידה הארגונית אורחים ב-Workspace במסוף Admin. היחידה הארגונית הזו נוצרת באופן אוטומטי אחרי שמפעילים את ההצפנה עם חשבונות אורח ומגדירים IdP של אורח. פרטים נוספים זמינים במאמר בנושא ניהול אורחים ב-Workspace.

פרטים על שליחה וקבלה של הודעות אימייל מוצפנות מצד הלקוח ועל יצירת חשבונות אורחים מופיעים במאמר הסבר על תכונת ההצפנה מצד הלקוח ב-Gmail.

אפשרות 2: שימוש באישור S/MIME

אם המשתמשים ישלחו ויקבלו הודעות עם הצפנה בצד הלקוח רק עם משתמשים חיצוניים שמשתמשים ב-S/MIME, לא צריך לבצע הגדרה נוספת. לא צריך להשתמש ב-IdP לאורחים, ולמשתמשים חיצוניים לא צריך להיות רישיון ל-Google Workspace או ל-Cloud Identity.

הגדרה של גישה חיצונית לארגונים חיצוניים שמשתמשים בהצפנה מצד הלקוח

אם ארגון חיצוני והארגון שלכם עומדים בדרישות הבאות, אתם יכולים לתת לארגון החיצוני גישה לתוכן מוצפן בצד הלקוח ב-Drive וב-Docs, ביומן וב-Meet.

דרישות רישיון למשתמשים חיצוניים

משתמשים חיצוניים צריכים רישיון ל-Google Workspace או ל-Cloud Identity כדי לגשת לנתונים שמוצפנים באמצעות הצפנה מצד הלקוח.

הערה: בשיטה הזו למתן גישה חיצונית, משתמשים עם חשבון Google לצרכן (לא מנוהל) או עם חשבון מבקר לא יכולים לגשת לתוכן המוצפן בצד הלקוח של הארגון.

דרישות ההגדרה לארגונים חיצוניים

כדי לגשת לתוכן מוצפן מצד הלקוח של הארגון שלכם, גם ארגונים חיצוניים צריכים להגדיר הצפנה מצד הלקוח.

הדרישות להגדרה בארגון

מוסיפים את שירות ה-IdP של הארגון החיצוני לרשימת ההיתרים בשירות מפתחות ההצפנה. בדרך כלל אפשר למצוא את שירות ה-IdP בקובץ ה-‎ .well-known הציבורי שלהם, אם הם הגדירו כזה. אחרת, צריך לפנות לאדמין ב-Google Workspace של הארגון החיצוני כדי לקבל את פרטי ספק הזהויות שלו.
חשוב לוודא שהאדמין שלהם מבין שהמשתמשים צריכים לספק את אסימוני האימות שלהם לשירות למפתחות הצפנה כדי לצפות בתוכן המוצפן של הארגון או לערוך אותו. תהליך האימות מחייב את המשתמשים לשתף את כתובת ה-IP שלהם ופרטי זהות אחרים. פרטים נוספים מופיעים במאמר בנושא אסימוני אימות במדריך ההפניה ל-API של הצפנה מצד הלקוח.
בהתאם למדיניות האבטחה שלכם ושל הארגון החיצוני, יכול להיות שהם יצטרכו גם ליצור מזהים נפרדים של לקוחות אינטרנט ונייד כדי לגשת לתוכן המוצפן של הארגון שלכם. תצטרכו להוסיף את מזהי הלקוח האלה לרשימת ההיתרים בשירות מפתחות ההצפנה.

הגדרת IdP לאורחים עבור משתמשים חיצוניים

כדי לתת לארגונים חיצוניים גישה לתוכן המוצפן מצד הלקוח, אתם יכולים להגדיר ספק זהויות (IdP) לאורחים כדי לאמת משתמשים חיצוניים, באמצעות אותו ספק זהויות שבו אתם משתמשים או ספק זהויות אחר. בעזרת ספק זהויות אורח, המשתמשים יכולים לשתף תוכן מוצפן עם משתמשים בארגונים חיצוניים, גם אם הארגונים האלה משתמשים בהצפנה מצד הלקוח וגם אם לא.

הערה: אם כבר הגדרתם גישה חיצונית לארגונים שגם משתמשים בהצפנה מצד הלקוח (כמו שמתואר בהמשך הדף), ההגדרה הזו תבוטל ברגע שתגדירו ספק זהויות (IdP) לאורחים.

הגדרת IdP של אורח במסוף Admin

פועלים לפי ההוראות להגדרת IdP במאמר התחברות לספק הזהויות לצורך הצפנה מצד הלקוח. במהלך ההגדרה, תבצעו את הפעולות הבאות:

בחירת ספק זהויות שתואם ל-OIDC – ל-Gmail ול-Google Meet, אפשר להשתמש בספק זהויות של צד שלישי או בזהות Google. עם זאת, ב-Google Drive ובכלי העריכה של Docs אפשר להשתמש רק ב-IdP של צד שלישי. ההגבלה הזו מבטיחה תמיכה בחשבונות של מבקרים ב-Drive וב-Docs. ספק הזהויות של הצד השלישי יכול להיות אותו ספק זהויות שבו אתם משתמשים עבור המשתמשים שלכם, או ספק אחר.
יצירת Client ID נוסף ל-Google Meet – במהלך השלב שבו יוצרים Client ID לשירותי אינטרנט, צריך ליצור Client ID נוסף ל-Google Meet.
מזהה הלקוח הראשי לשירותי אינטרנט משמש לשירות הצפנת המפתחות, ולא משותף עם מערכות Google. מזהה הלקוח הנוסף ל-Meet משמש לאימות של אורחים שלא מחוברים ל-Meet שהוזמנו לפגישה.
הגדרת ספק הזהויות של האורח באמצעות מסוף Admin – צריך להשתמש במסוף Admin כדי להגדיר את החיבור לספק הזהויות של האורח ולבחור באפשרות הגדרת ספק הזהויות של האורח. אי אפשר להגדיר את ספק הזהויות של האורח באמצעות קובץ ‎ .well-known.

הגדרת אפשרויות אימות של IdP לאורח

אחרי שמסיימים את הגדרת ה-IdP במסוף Admin, אפשר להשתמש בכלים של ה-IdP כדי להגדיר איך משתמשים חיצוניים יאומתו. בהתאם להטמעה של ספק הזהויות של האורח, יכול להיות שיהיו לכם האפשרויות הבאות:

להגדיר חשבונות נפרדים לאורחים ולספק להם את הסיסמאות לחשבונות.
שליחת קודים חד-פעמיים לאורחים כדי לאמת את כתובת האימייל שלהם.
לאפשר לאורחים להשתמש בספקי זהויות שהוגדרו מראש, כמו Google,‏ Apple או Microsoft.
הערה: באמצעות זהות Google, המשתמשים יכולים להיכנס באמצעות חשבון Google שלהם. אם אין להם חשבון, הם יכולים ליצור חשבון.

בכל שיטת אימות, האורחים יראו הודעה קופצת שמבקשת מהם להיכנס באמצעות ספק זהויות לפני שהם יכולים לגשת לתוכן שהוצפן מצד הלקוח.