Эта страница переведена с помощью Cloud Translation API.

Обеспечить внешний доступ к зашифрованному содержимому на стороне клиента.

Поддерживаемые версии для этой функции: Frontline Plus; Enterprise Plus; Education Standard и Education Plus. Сравните вашу версию.

Как администратор, вы можете разрешить внешним пользователям доступ к вашему контенту, зашифрованному с помощью клиентского шифрования Google Workspace (CSE). Существует 2 способа предоставления внешнего доступа:

Настройте доступ для внешних организаций, которые также используют CSE . Таким образом, вы можете предоставить внешней организации доступ к зашифрованному контенту, если она соответствует требованиям пользователя и CSE.
Настройте поставщика идентификации (IdP) для гостей, чтобы разрешить доступ любым внешним пользователям. Этот метод позволит вашим пользователям предоставлять доступ к зашифрованному на стороне клиента контенту как для учетных записей Google, так и для учетных записей, не относящихся к Google. Внешним организациям не нужно настраивать CSE, а их пользователям не требуется лицензия Google Workspace или Cloud Identity.
В настоящее время настройка гостевого поставщика идентификации (IdP) доступна только для веб-приложений Gmail, Google Meet, Drive, Docs, Sheets и Slides . Настройка гостевого поставщика идентификации для мобильных приложений этих сервисов будет доступна в одном из следующих релизов.

О внешнем доступе к зашифрованной электронной почте

У вас есть 2 варианта предоставления внешнего доступа к зашифрованным на стороне клиента электронным письмам.

Вариант 1: Использование Gmail E2EE без S/MIME.

Если пользователи будут обмениваться зашифрованными сообщениями на стороне клиента с внешними пользователями, которые могут не использовать S/MIME, вы можете использовать опцию «Шифрование с гостевыми учетными записями» . Эта опция использует сквозное шифрование Gmail (E2EE) для автоматической обработки зашифрованных сообщений с внешними пользователями без необходимости традиционной настройки S/MIME или сертификатов. С помощью Gmail E2EE пользователи могут отправлять зашифрованные сообщения любым внешним пользователям. Требуется наличие дополнения Assured Controls или Assured Controls Plus .

Для обеспечения внешнего доступа с использованием Gmail E2EE:

Вам необходимо настроить гостевой поставщик идентификации (IdP) , как описано далее на этой странице.
Когда пользователь отправляет зашифрованное сообщение за пределы вашей организации, внешнему получателю предлагается создать гостевую учетную запись, чтобы открыть сообщение.
В консоли администратора вы можете управлять гостевыми учетными записями в организационной единице « Гости рабочего пространства» . Эта организационная единица создается автоматически после включения шифрования для гостевых учетных записей и настройки поставщика идентификации для гостей. Для получения более подробной информации перейдите в раздел «Управление гостями рабочего пространства» .

Подробную информацию об отправке и получении электронных писем с шифрованием на стороне клиента, а также о создании гостевых учетных записей см. в разделе «Узнайте больше о шифровании на стороне клиента в Gmail» .

Вариант 2: Использование S/MIME-сертификатов

Если пользователи будут обмениваться зашифрованными сообщениями на стороне клиента только с внешними пользователями, использующими S/MIME, дополнительная настройка не требуется. Вам не нужно использовать гостевой поставщик идентификации, а внешним пользователям не требуется лицензия Google Workspace или Cloud Identity.

Настройте внешний доступ для внешних организаций, использующих CSE.

Если внешняя организация и ваша организация соответствуют следующим требованиям, вы можете предоставить внешней организации доступ к зашифрованному на стороне клиента содержимому вашей организации для Google Диска и Документов, Календаря и Встреч.

Лицензионные требования для внешних пользователей

Для доступа к данным, зашифрованным с помощью CSE, внешним пользователям необходима лицензия Google Workspace или Cloud Identity.

Примечание: При использовании этого метода внешнего доступа пользователи с потребительской (неуправляемой) учетной записью Google или гостевой учетной записью не смогут получить доступ к зашифрованному на стороне клиента контенту вашей организации.

Требования к настройке для внешних организаций

Для доступа к зашифрованному на стороне клиента контенту вашей организации внешним организациям также необходимо настроить CSE.

Требования к настройке для вашей организации

Добавьте службу IdP внешней организации в список разрешенных служб вместе со службой ключей шифрования. Обычно службу IdP можно найти в их общедоступном файле .wellknown, если он у них есть. В противном случае обратитесь к администратору Google Workspace внешней организации за информацией о её службе IdP.
Убедитесь, что администратор понимает, что пользователям необходимо предоставлять свои токены аутентификации в вашу службу ключей для просмотра или редактирования зашифрованного контента вашей организации. Процесс аутентификации требует от пользователя предоставления своего IP-адреса и другой информации, позволяющей идентифицировать личность. Подробности см. в разделе «Токены аутентификации» в справочнике по API шифрования на стороне клиента.
В зависимости от вашей политики безопасности и политики безопасности внешней организации, им также может потребоваться создать отдельные идентификаторы клиентов для веб- и мобильного доступа к зашифрованному контенту вашей организации. Вам необходимо будет добавить эти идентификаторы клиентов в список разрешенных в службе ключей шифрования.

Настройте гостевой поставщик идентификации (IdP) для любых внешних пользователей.

Чтобы предоставить внешним организациям доступ к вашему зашифрованному контенту на стороне клиента, вы можете настроить гостевой поставщик идентификации (IdP) для аутентификации внешних пользователей, используя тот же IdP, что и вы, или другой. С помощью гостевого IdP ваши пользователи могут обмениваться зашифрованным контентом с другими сотрудниками внешних организаций, независимо от того, используют ли эти организации также CSE.

Примечание: Если вы уже настроили внешний доступ для организаций, которые также используют CSE (как описано ранее на этой странице), эта настройка будет проигнорирована после настройки гостевого поставщика идентификации.

Настройте гостевой поставщик идентификации в консоли администратора.

Следуйте инструкциям по настройке поставщика идентификации (IdP) в разделе «Подключение к поставщику идентификации для шифрования на стороне клиента» . В процессе настройки вы выполните следующие действия:

Выберите поставщика идентификации (IdP), совместимого с OIDC. — Для Gmail и Google Meet вы можете использовать либо стороннего поставщика идентификации, либо учетную запись Google. Однако для редакторов Google Drive и Docs вы можете использовать только стороннего поставщика идентификации. Это ограничение обеспечивает поддержку гостевых учетных записей в Drive и Docs. Ваш сторонний поставщик идентификации может быть тем же поставщиком идентификации, который вы используете для своих пользователей, или другим.
Создайте дополнительный идентификатор клиента для Google Meet — На этапе создания идентификатора клиента для веб-сервисов вам потребуется создать дополнительный идентификатор клиента для Google Meet.
Основной идентификатор клиента для веб-сервисов используется для службы шифрования ключей и не передается в системы Google. Дополнительный идентификатор клиента для Meet используется для проверки того, были ли приглашены на встречу гости, не вошедшие в Meet.
Для настройки гостевого IdP используйте консоль администратора. — Для настройки подключения гостевого IdP необходимо использовать консоль администратора и выбрать опцию «Настроить гостевой IdP» . Настроить гостевой IdP с помощью файла .well-known невозможно.

Настройте параметры аутентификации гостевого поставщика идентификации (IDP).

После завершения настройки поставщика идентификации (IdP) в консоли администратора вы можете использовать инструменты вашего IdP для настройки способа аутентификации внешних пользователей. В зависимости от вашей реализации гостевого IdP могут быть доступны следующие параметры:

Создайте отдельные учетные записи для гостей и предоставьте им пароли от этих учетных записей.
Отправьте гостям одноразовые коды для подтверждения их адреса электронной почты.
Разрешите гостям использовать предварительно настроенные поставщики идентификации, такие как Google, Apple или Microsoft.
Примечание: С помощью Google Identity пользователи могут входить в систему, используя свою учетную запись Google. Если у них нет учетной записи, они могут ее создать .

При любом методе аутентификации гостям будет показано всплывающее сообщение с просьбой войти в систему через поставщика идентификационных данных, прежде чем они смогут получить доступ к зашифрованному контенту на стороне клиента.