Memberikan akses eksternal ke konten terenkripsi sisi klien

Edisi yang didukung untuk fitur ini: Frontline Plus; Enterprise Plus; Education Standard dan Education Plus. Bandingkan edisi Anda

Sebagai administrator, Anda dapat mengizinkan pengguna eksternal mengakses konten Anda yang dienkripsi dengan Enkripsi sisi klien (CSE) Google Workspace. Ada 2 metode untuk memberikan akses eksternal:

Menyiapkan akses untuk organisasi eksternal yang juga menggunakan CSE. Dengan metode ini, Anda dapat memberikan akses ke konten terenkripsi kepada organisasi eksternal jika mereka memenuhi persyaratan pengguna dan CSE.
Mengonfigurasi penyedia identitas (IdP) tamu untuk mengizinkan akses bagi pengguna eksternal Dengan metode ini, pengguna Anda dapat memberikan akses ke konten terenkripsi sisi klien untuk Akun Google dan non-Google. Organisasi eksternal tidak perlu menyiapkan CSE, dan penggunanya tidak memerlukan lisensi Google Workspace atau Cloud Identity.
Konfigurasi IdP tamu saat ini hanya tersedia untuk aplikasi web Gmail, Google Meet, Drive, Dokumen, Spreadsheet, dan Slide. Konfigurasi IdP tamu untuk aplikasi seluler layanan ini akan tersedia di rilis mendatang.

Tentang akses eksternal ke email terenkripsi

Anda memiliki 2 opsi untuk memberikan akses eksternal ke pesan email terenkripsi sisi klien.

Opsi 1: Menggunakan E2EE Gmail tanpa S/MIME

Jika pengguna akan bertukar pesan terenkripsi sisi klien dengan pengguna eksternal yang mungkin tidak menggunakan S/MIME, Anda dapat menggunakan opsi Enkripsi dengan akun tamu. Opsi ini menggunakan enkripsi end-to-end (E2EE) Gmail untuk menangani komunikasi terenkripsi dengan pengguna eksternal secara otomatis, tanpa memerlukan penyiapan atau sertifikat S/MIME tradisional. Dengan E2EE Gmail, pengguna dapat mengirim pesan terenkripsi kepada pengguna eksternal mana pun. Memerlukan add-on Assured Controls atau Assured Controls Plus.

Untuk memberikan akses eksternal menggunakan E2EE Gmail:

Anda perlu mengonfigurasi IdP tamu, seperti yang akan dijelaskan di halaman ini.
Saat pengguna mengirim pesan terenkripsi ke luar organisasi Anda, penerima eksternal diminta untuk membuat akun tamu guna membuka pesan.
Anda dapat mengelola akun tamu di unit organisasi Tamu Workspace di konsol Admin. Unit organisasi ini dibuat secara otomatis setelah Anda mengaktifkan Enkripsi dengan akun tamu dan mengonfigurasi IdP tamu. Untuk mengetahui detailnya, buka Mengelola tamu Workspace.

Untuk mengetahui detail tentang mengirim dan menerima pesan email terenkripsi sisi klien serta membuat akun tamu, buka Mempelajari Enkripsi sisi klien Gmail.

Opsi 2: Menggunakan sertifikat S/MIME

Jika pengguna hanya akan bertukar pesan terenkripsi sisi klien dengan pengguna eksternal yang menggunakan S/MIME, tidak ada penyiapan tambahan yang diperlukan. Anda tidak perlu menggunakan IdP tamu, dan pengguna eksternal tidak memerlukan lisensi Google Workspace atau Cloud Identity.

Menyiapkan akses eksternal untuk organisasi eksternal yang menggunakan CSE

Jika organisasi eksternal dan organisasi Anda memenuhi persyaratan berikut, Anda dapat memberikan akses eksternal ke konten terenkripsi sisi klien organisasi untuk Drive & Dokumen, Kalender, serta Meet.

Persyaratan lisensi untuk pengguna eksternal

Pengguna eksternal harus memiliki lisensi Google Workspace atau Cloud Identity untuk mengakses data yang dienkripsi dengan CSE.

Catatan: Dengan metode akses eksternal ini, pengguna dengan Akun Google konsumen (tidak terkelola) atau akun pengunjung tidak dapat mengakses konten terenkripsi sisi klien milik organisasi Anda.

Persyaratan penyiapan untuk organisasi eksternal

Untuk mengakses konten terenkripsi sisi klien milik organisasi Anda, organisasi eksternal juga harus menyiapkan CSE.

Persyaratan penyiapan untuk organisasi Anda

Minta layanan IdP organisasi eksternal ke daftar yang diizinkan dengan layanan kunci enkripsi Anda. Anda biasanya dapat menemukan layanan IdP di file .well-known publik, jika layanan menyiapkannya. Jika tidak, hubungi admin Google Workspace organisasi eksternal untuk mengetahui detail IdP organisasi.
Pastikan admin mereka memahami bahwa pengguna mereka perlu memberikan token autentikasi ke layanan kunci enkripsi Anda untuk melihat atau mengedit konten terenkripsi organisasi Anda. Proses autentikasi ini mengharuskan pengguna membagikan alamat IP dan informasi identitas lainnya. Untuk mengetahui detailnya, buka Token autentikasi di panduan Referensi API Enkripsi sisi klien.
Bergantung pada kebijakan keamanan organisasi Anda dan organisasi eksternal, mereka mungkin juga perlu membuat client ID seluler serta web terpisah untuk mengakses konten terenkripsi milik organisasi Anda. Anda harus mengizinkan client ID ini dalam daftar yang diizinkan dengan layanan kunci enkripsi.

Mengonfigurasi IdP tamu untuk setiap pengguna eksternal

Untuk memberi organisasi eksternal akses ke konten terenkripsi sisi klien, Anda dapat mengonfigurasi IdP tamu untuk mengautentikasi pengguna eksternal, menggunakan IdP yang sama dengan yang Anda gunakan atau IdP yang berbeda. Dengan IdP tamu, pengguna Anda dapat berbagi konten terenkripsi dengan orang lain di organisasi eksternal, baik organisasi tersebut juga menggunakan CSE atau tidak.

Catatan: Jika Anda sudah menyiapkan akses eksternal untuk organisasi yang juga menggunakan CSE (seperti yang dijelaskan sebelumnya di halaman ini), penyiapan tersebut akan diabaikan setelah Anda mengonfigurasi IdP tamu.

Mengonfigurasi IdP tamu di konsol Admin

Ikuti petunjuk untuk menyiapkan IdP di Menghubungkan ke penyedia identitas untuk enkripsi sisi klien. Selama penyiapan, Anda akan melakukan hal berikut:

Memilih IdP yang mematuhi OIDC—Untuk Gmail dan Google Meet, Anda dapat menggunakan IdP pihak ketiga atau identitas Google. Namun, untuk Google Drive dan Editor Dokumen, Anda hanya dapat menggunakan IdP pihak ketiga. Pembatasan ini memastikan dukungan untuk akun pengunjung di Drive dan Dokumen. IdP pihak ketiga Anda dapat berupa IdP yang sama dengan yang Anda gunakan untuk pengguna atau IdP yang berbeda.
Membuat client ID tambahan untuk Google Meet—Selama menjalankan langkah membuat client ID untuk layanan web, Anda perlu membuat client ID tambahan untuk Google Meet.
Client ID utama untuk layanan web digunakan untuk layanan enkripsi kunci, dan tidak dibagikan ke sistem Google. Client ID tambahan untuk Meet digunakan untuk memverifikasi bahwa tamu yang tidak login ke Meet telah diundang ke rapat.
Menggunakan konsol Admin untuk mengonfigurasi IdP tamu—Anda harus menggunakan konsol Admin untuk mengonfigurasi koneksi IdP tamu, lalu memilih opsi Konfigurasi IdP tamu. Anda tidak dapat mengonfigurasi IdP tamu menggunakan file .well-known.

Menyiapkan opsi autentikasi IdP tamu

Setelah menyelesaikan konfigurasi IdP di konsol Admin, Anda dapat menggunakan alat IdP untuk menyiapkan cara pengguna eksternal akan diautentikasi. Bergantung pada penerapan IdP tamu, opsi berikut mungkin tersedia:

Menyiapkan akun terpisah untuk tamu dan berikan sandi akun kepada mereka.
Mengirimkan kode sekali pakai kepada tamu untuk memverifikasi alamat email mereka.
Mengizinkan tamu menggunakan IdP yang telah dikonfigurasi sebelumnya, seperti Google, Apple, atau Microsoft.
Catatan: Dengan identitas Google, pengguna dapat login dengan Akun Google mereka. Jika tidak memiliki akun, mereka dapat membuat akun.

Dengan metode autentikasi apa pun, tamu akan melihat pesan pop-up yang meminta mereka untuk login dengan penyedia identitas sebelum dapat mengakses konten terenkripsi sisi klien.