Cấp quyền truy cập bên ngoài vào nội dung được mã hoá phía máy khách

Các phiên bản hỗ trợ tính năng này: Frontline Plus; Enterprise Plus; Education Standard và Education Plus. So sánh phiên bản của bạn

Là quản trị viên, bạn có thể cho phép người dùng bên ngoài truy cập vào nội dung được mã hoá bằng tính năng Mã hoá phía máy khách (CSE) của Google Workspace. Có 2 phương thức để cấp quyền truy cập bên ngoài:

Thiết lập quyền truy cập cho các tổ chức bên ngoài cũng sử dụng tính năng CSE. Với phương thức này, bạn có thể cấp quyền truy cập vào nội dung được mã hoá cho một tổ chức bên ngoài nếu tổ chức đó đáp ứng các yêu cầu về người dùng và tính năng CSE.
Định cấu hình một nhà cung cấp dịch vụ danh tính (IdP) khách để cho phép mọi người dùng bên ngoài truy cập Với phương thức này, người dùng của bạn có thể cấp quyền truy cập vào nội dung được mã hoá phía máy khách cho cả tài khoản Google và tài khoản không phải của Google. Các tổ chức bên ngoài không cần thiết lập tính năng CSE và người dùng của họ không cần giấy phép Google Workspace hoặc Cloud Identity.
Tính năng định cấu hình IdP khách hiện chỉ dùng được cho các ứng dụng web Gmail, Google Meet, Drive, Tài liệu, Trang tính và Trang trình bày. Tính năng định cấu hình IdP khách cho các ứng dụng di động của những dịch vụ này sẽ có trong một bản phát hành sắp tới.

Giới thiệu về quyền truy cập bên ngoài vào email được mã hoá

Bạn có 2 lựa chọn để cấp quyền truy cập bên ngoài vào thư được mã hoá phía máy khách.

Cách 1: Sử dụng tính năng mã hoá hai đầu (E2EE) của Gmail mà không cần S/MIME

Nếu người dùng sẽ trao đổi thư được mã hoá phía máy khách với những người dùng bên ngoài có thể không sử dụng S/MIME, thì bạn có thể sử dụng lựa chọn Mã hoá bằng tài khoản khách. Lựa chọn này sử dụng tính năng mã hoá hai đầu (E2EE) của Gmail để tự động xử lý các thông tin liên lạc được mã hoá với người dùng bên ngoài mà không cần thiết lập hoặc chứng chỉ S/MIME truyền thống. Với tính năng E2EE của Gmail, người dùng có thể gửi thư được mã hoá cho mọi người dùng bên ngoài. Yêu cầu phải có tiện ích bổ sung Quyền kiểm soát có đảm bảo hoặc Quyền kiểm soát có đảm bảo Plus.

Cách cấp quyền truy cập bên ngoài bằng tính năng E2EE của Gmail:

Bạn cần định cấu hình một IdP khách, như mô tả ở phần sau trên trang này.
Khi người dùng gửi thư được mã hoá ra bên ngoài tổ chức của bạn, người nhận bên ngoài sẽ được nhắc tạo một tài khoản khách để mở thư.
Bạn có thể quản lý tài khoản khách trong đơn vị tổ chức Khách Workspace trong Bảng điều khiển dành cho quản trị viên. Đơn vị tổ chức này sẽ tự động được tạo sau khi bạn bật lựa chọn Mã hoá bằng tài khoản khách và định cấu hình một IdP khách. Để biết thông tin chi tiết, hãy chuyển đến bài viết Quản lý khách Workspace.

Để biết thông tin chi tiết về cách gửi và nhận thư được mã hoá phía máy khách cũng như cách tạo tài khoản khách, hãy chuyển đến bài viết Tìm hiểu về tính năng mã hoá phía máy khách của Gmail.

Cách 2: Sử dụng chứng chỉ S/MIME

Nếu người dùng chỉ trao đổi thư được mã hoá phía máy khách với những người dùng bên ngoài sử dụng S/MIME, thì bạn không cần thiết lập thêm. Bạn không cần sử dụng IdP khách và người dùng bên ngoài không cần giấy phép Google Workspace hoặc Cloud Identity.

Thiết lập quyền truy cập bên ngoài cho các tổ chức bên ngoài sử dụng tính năng CSE

Nếu một tổ chức bên ngoài và tổ chức của bạn đáp ứng các yêu cầu sau đây, thì bạn có thể cấp quyền truy cập bên ngoài vào nội dung được mã hoá phía máy khách của tổ chức cho Drive và Tài liệu, Lịch và Meet.

Yêu cầu về giấy phép đối với người dùng bên ngoài

Người dùng bên ngoài phải có giấy phép Google Workspace hoặc Cloud Identity để truy cập vào dữ liệu được mã hoá bằng tính năng CSE.

Lưu ý: Với phương thức cấp quyền truy cập bên ngoài này, người dùng có Tài khoản Google người tiêu dùng (chưa được quản lý) hoặc tài khoản khách không thể truy cập vào nội dung được mã hoá phía máy khách của tổ chức bạn.

Yêu cầu thiết lập đối với các tổ chức bên ngoài

Để truy cập vào nội dung được mã hoá phía máy khách của tổ chức bạn, các tổ chức bên ngoài cũng phải thiết lập tính năng CSE.

Yêu cầu thiết lập đối với tổ chức của bạn

Đưa dịch vụ IdP của tổ chức bên ngoài vào danh sách cho phép bằng dịch vụ khoá mã hoá của bạn. Bạn thường có thể tìm thấy dịch vụ IdP trong tệp .well-known công khai của họ, nếu họ thiết lập một dịch vụ. Nếu không, hãy liên hệ với quản trị viên Google Workspace của tổ chức bên ngoài để biết thông tin chi tiết về IdP của họ.
Đảm bảo rằng quản trị viên của họ hiểu rằng người dùng của họ cần cung cấp mã xác thực cho dịch vụ khoá của bạn để xem hoặc chỉnh sửa nội dung được mã hoá của tổ chức bạn. Quá trình xác thực yêu cầu người dùng chia sẻ địa chỉ IP và thông tin nhận dạng khác. Để biết thông tin chi tiết, hãy chuyển đến bài viết Mã xác thực trong hướng dẫn Tham khảo API mã hoá phía máy khách.
Tuỳ thuộc vào chính sách bảo mật của bạn và tổ chức bên ngoài, họ cũng có thể cần tạo mã ứng dụng khách riêng biệt cho web và thiết bị di động để truy cập vào nội dung được mã hoá của tổ chức bạn. Bạn cần đưa các mã ứng dụng khách này vào danh sách cho phép bằng dịch vụ khoá mã hoá.

Định cấu hình một IdP khách cho mọi người dùng bên ngoài

Để cấp quyền truy cập vào nội dung được mã hoá phía máy khách cho các tổ chức bên ngoài, bạn có thể định cấu hình một IdP khách để xác thực người dùng bên ngoài, sử dụng cùng một IdP mà bạn sử dụng hoặc một IdP khác. Với IdP khách, người dùng của bạn có thể chia sẻ nội dung được mã hoá với những người khác tại các tổ chức bên ngoài, bất kể các tổ chức đó có sử dụng tính năng CSE hay không.

Lưu ý: Nếu bạn đã thiết lập quyền truy cập bên ngoài cho các tổ chức cũng sử dụng tính năng CSE (như mô tả ở phần trước trên trang này), thì quá trình thiết lập đó sẽ bị bỏ qua sau khi bạn định cấu hình một IdP khách.

Định cấu hình một IdP khách trong Bảng điều khiển dành cho quản trị viên

Làm theo hướng dẫn để thiết lập một IdP trong bài viết Kết nối với nhà cung cấp danh tính để dùng tính năng mã hoá phía máy khách. Trong quá trình thiết lập, bạn sẽ thực hiện những việc sau:

Chọn một IdP tuân thủ OIDC—Đối với Gmail và Google Meet, bạn có thể sử dụng IdP của bên thứ ba hoặc danh tính Google. Tuy nhiên, đối với trình chỉnh sửa Google Drive và Tài liệu, bạn chỉ có thể sử dụng IdP của bên thứ ba. Quy định hạn chế này đảm bảo hỗ trợ tài khoản khách cho Drive và Tài liệu. IdP của bên thứ ba có thể là cùng một IdP mà bạn sử dụng cho người dùng hoặc một IdP khác.
Tạo một mã ứng dụng khách bổ sung cho Google Meet – Trong bước tạo mã ứng dụng khách cho các dịch vụ web, bạn cần tạo một mã ứng dụng khách bổ sung cho Google Meet.
Mã ứng dụng khách chính cho các dịch vụ web được dùng cho dịch vụ mã hoá khoá và không được chia sẻ với các hệ thống của Google. Mã ứng dụng khách bổ sung cho Meet được dùng để xác minh rằng những khách không đăng nhập vào Meet đã được mời tham gia cuộc họp.
Sử dụng Bảng điều khiển dành cho quản trị viên để định cấu hình IdP khách – Bạn phải sử dụng Bảng điều khiển dành cho quản trị viên để định cấu hình kết nối IdP khách và chọn lựa chọn Định cấu hình IdP khách. Bạn không thể định cấu hình IdP khách bằng tệp .well-known.

Thiết lập các lựa chọn xác thực IdP khách

Sau khi hoàn tất quá trình định cấu hình IdP trong Bảng điều khiển dành cho quản trị viên, bạn có thể sử dụng các công cụ của IdP để thiết lập cách xác thực người dùng bên ngoài. Tuỳ thuộc vào cách triển khai IdP khách, bạn có thể có các lựa chọn sau:

Thiết lập các tài khoản riêng biệt cho khách và cung cấp mật khẩu tài khoản cho họ.
Gửi cho khách mã dùng một lần để xác minh địa chỉ email của họ.
Cho phép khách sử dụng các IdP được định cấu hình trước, chẳng hạn như Google, Apple hoặc Microsoft.
Lưu ý: Với danh tính Google, người dùng có thể đăng nhập bằng Tài khoản Google của họ. Nếu không có tài khoản, họ có thể tạo một tài khoản.

Với bất kỳ phương thức xác thực nào, khách sẽ thấy thông báo bật lên yêu cầu họ đăng nhập bằng một nhà cung cấp danh tính trước khi có thể truy cập vào nội dung được mã hoá phía máy khách.