Versioni supportate per questa funzionalità: Frontline Plus; Enterprise Plus; Education Standard ed Education Plus. Confronta la tua versione
In qualità di amministratore, puoi consentire agli utenti esterni di accedere ai tuoi contenuti criptati con la crittografia lato client di Google Workspace. Esistono due metodi per fornire l'accesso esterno:
- Configurare l'accesso per le organizzazioni esterne che utilizzano anche la crittografia lato client. Con questo metodo, puoi concedere a un'organizzazione esterna l'accesso ai contenuti criptati se soddisfano i requisiti relativi agli utenti e alla crittografia lato client.
- Configurare un provider di identità ospite (IdP) per consentire l'accesso a qualsiasi utente esterno. Con questo metodo, gli utenti possono fornire l'accesso ai contenuti con crittografia lato client agli Account Google e non Google. Le organizzazioni esterne non devono configurare la crittografia lato client e i loro utenti non hanno bisogno di una licenza Google Workspace o Cloud Identity.
Informazioni sull'accesso esterno alle email criptate
Hai a disposizione 2 opzioni per fornire l'accesso esterno alle email con crittografia lato client.
Opzione 1: utilizzare la crittografia end-to-end di Gmail senza S/MIME
Se gli utenti scambieranno messaggi con crittografia lato client con utenti esterni che potrebbero non utilizzare S/MIME, puoi utilizzare l'opzione Crittografia con account ospiti. Questa opzione utilizza la crittografia end-to-end (E2EE) di Gmail per gestire automaticamente le comunicazioni criptate con utenti esterni, senza richiedere i certificati o la configurazione S/MIME tradizionale. Con la crittografia end-to-end di Gmail, gli utenti inviano messaggi criptati a qualsiasi utente esterno. È necessario disporre del componente aggiuntivo Assured Controls o Assured Controls Plus.
Per fornire l'accesso esterno utilizzando la crittografia end-to-end di Gmail:
- Devi configurare un IdP ospite, come descritto più avanti in questa pagina.
- Quando un utente invia un messaggio criptato all'esterno dell'organizzazione, al destinatario esterno viene chiesto di creare un account ospite per aprire il messaggio.
- Puoi gestire gli account ospiti nell'unità organizzativa Ospiti di Workspace della Console di amministrazione. Questa unità organizzativa viene creata automaticamente dopo l'attivazione della crittografia con account ospiti e la configurazione di un IdP ospite. Per maggiori dettagli, vedi Gestire gli ospiti di Workspace.
Per maggiori dettagli sull'invio e sulla ricezione di email con crittografia lato client e sulla creazione di account ospiti, vedi Informazioni sulla crittografia lato client di Gmail.
Opzione 2: utilizza i certificati S/MIME
Se gli utenti scambieranno messaggi con crittografia lato client solo con utenti esterni che utilizzano S/MIME, non è necessaria alcuna configurazione aggiuntiva. Non è necessario utilizzare un IdP ospite e gli utenti esterni non hanno bisogno di una licenza Google Workspace o Cloud Identity.
Configurare l'accesso esterno per le organizzazioni esterne che utilizzano la crittografia lato client
Se un'organizzazione esterna e la tua organizzazione soddisfano i seguenti requisiti, puoi concedere l'accesso esterno ai contenuti con crittografia lato client della tua organizzazione per Drive e Documenti, Calendar e Meet.
Requisiti relativi alle licenze per gli utenti esterni
Gli utenti esterni devono disporre di una licenza Google Workspace o Cloud Identity per accedere ai dati criptati con la crittografia lato client.
Nota:con questo metodo di accesso esterno, gli utenti con un Account Google consumer (non gestito) o con un account visitatore non possono accedere ai contenuti con crittografia lato client della tua organizzazione.
Requisiti di configurazione per le organizzazioni esterne
Per accedere ai contenuti con crittografia lato client della tua organizzazione, anche le organizzazioni esterne devono configurare la crittografia lato client.
Requisiti di configurazione per l'organizzazione
- Il servizio IdP dell'organizzazione esterna deve essere inserito nella lista consentita con il servizio chiavi di crittografia. Normalmente, puoi trovare il servizio IdP nel file .well-known dell'organizzazione esterna disponibile pubblicamente, se configurato. In caso contrario, contatta l'amministratore di Google Workspace dell'organizzazione esterna per richiedere i dettagli dell'IdP.
- Assicurati che l'amministratore comprenda che gli utenti devono fornire i token di autenticazione al servizio chiavi per visualizzare o modificare i contenuti criptati dell'organizzazione. Il processo di autenticazione richiede che un utente condivida il proprio indirizzo IP e altre informazioni sull'identità. Per informazioni dettagliate, vai a Token di autenticazione nella Guida di riferimento API per la crittografia lato client.
- A seconda dei criteri di sicurezza della tua organizzazione e di quella esterna, potrebbe anche essere necessario creare ID client web e mobile separati per accedere ai contenuti criptati dell'organizzazione. Questi ID client devono essere inseriti nella lista consentita con il servizio chiavi di crittografia.
Configurare un IdP ospite per gli utenti esterni
Per concedere a organizzazioni esterne l'accesso ai tuoi contenuti criptati sul lato client, puoi configurare un IdP ospite per autenticare gli utenti esterni, con lo stesso IdP che utilizzi o un altro. Con un IdP ospite, gli utenti possono condividere contenuti criptati con altre persone di organizzazioni esterne, indipendentemente dal fatto che anche queste utilizzino o meno la crittografia lato client.
Nota:se hai già configurato l'accesso esterno per le organizzazioni che utilizzano anche la crittografia lato client (come descritto in precedenza in questa pagina), questa configurazione viene ignorata una volta configurato un IdP ospite.
Configurare un IdP ospite nella Console di amministrazione
Segui le istruzioni per configurare un IdP in Stabilire la connessione a un provider di identità per la crittografia lato client. Durante la configurazione, potrai:
- Scegliere un IdP conforme a OIDC: per Gmail e Google Meet, puoi utilizzare un IdP di terze parti o un'identità Google. Tuttavia, per Google Drive e gli editor di documenti, puoi utilizzare solo un IdP di terze parti. Questa limitazione garantisce il supporto degli account visitatore per Drive e Documenti. L'IdP di terze parti può essere lo stesso IdP che utilizzi per gli utenti o uno diverso.
- Creare un ID client aggiuntivo per Google Meet: durante il passaggio della creazione dell'ID client per i servizi web, dovrai creare un ID client aggiuntivo per Google Meet.
L'ID client principale per i servizi web viene utilizzato per il servizio di crittografia delle chiavi e non viene condiviso con i sistemi Google. L'ID client aggiuntivo per Meet viene utilizzato per verificare che gli invitati che non hanno eseguito l'accesso a Meet siano stati invitati alla riunione.
- Utilizzare la Console di amministrazione per configurare l'IdP ospite: devi utilizzare la Console di amministrazione per configurare la connessione IdP ospite e scegliere l'opzione Configura IdP ospite. Non puoi configurare l'IdP ospite utilizzando un file .well-known.
Configurare le opzioni di autenticazione dell'IdP ospite
Dopo aver completato la configurazione dell'IdP nella Console di amministrazione, puoi utilizzare gli strumenti dell'IdP per configurare il modo in cui verranno autenticati gli utenti esterni. A seconda dell'implementazione dell'IdP ospite, potrebbero essere disponibili le seguenti opzioni:
- Configurare account separati per gli ospiti e fornire loro le password degli account.
- Inviare agli ospiti dei codici monouso per verificare il loro indirizzo email.
- Consentire agli ospiti di utilizzare IdP preconfigurati, come Google, Apple o Microsoft.
Nota:con l'identità Google, gli utenti possono accedere con il proprio Account Google. Se non hanno un account, possono crearne uno.
Con qualsiasi metodo di autenticazione, gli ospiti visualizzeranno un messaggio popup che chiede loro di accedere con un provider di identità prima di poter accedere ai contenuti con crittografia lato client.