รุ่นที่รองรับฟีเจอร์นี้ได้แก่ Enterprise Plus และ Education Standard และ Education Plus เปรียบเทียบรุ่นของคุณ
หลังจากเลือกบริการจัดการคีย์ภายนอกสำหรับการเข้ารหัสฝั่งไคลเอ็นต์ (CSE) ของ Google Workspace แล้ว คุณจะต้องเชื่อมต่อ Google Workspace กับ ผู้ให้บริการข้อมูลประจำตัว (IdP) ไม่ว่าจะเป็น IdP ของบุคคลที่สามหรือข้อมูลประจำตัวของ Google บริการจัดการคีย์การเข้ารหัสที่เลือกไว้สำหรับการเข้ารหัสเนื้อหาจะใช้ IdP เพื่อตรวจสอบสิทธิ์ผู้ใช้ก่อนจะอนุญาตให้เข้ารหัสเนื้อหาหรือเข้าถึงเนื้อหาที่เข้ารหัส
หมายเหตุ: หลังจากกำหนดค่า IdP แล้ว คุณสามารถกำหนดค่า IdP ของผู้เข้าร่วมเพื่ออนุญาตการเข้าถึงเนื้อหาที่เข้ารหัสฝั่งไคลเอ็นต์ขององค์กรจากภายนอกได้ โปรดดูรายละเอียดที่หัวข้อกำหนดค่า IdP ของผู้เข้าร่วม
ข้อควรปฏิบัติก่อนที่จะเริ่มต้น
ตรวจสอบว่าคุณได้เลือกบริการจัดการคีย์การเข้ารหัสที่ต้องการใช้กับ CSE แล้ว โปรดดูรายละเอียดที่หัวข้อเลือกบริการจัดการคีย์ภายนอก
ขั้นตอนที่ 1: วางแผนการเชื่อมต่อ IdP
เมื่อใช้การเชื่อมต่อ IdP คุณสามารถตั้งค่า CSE ให้กับเว็บแอปพลิเคชัน Google Workspace ทั้งหมดที่รองรับได้ดังนี้
- Google ไดรฟ์
- Google เอกสาร
- Google ชีต
- Google สไลด์
- Gmail
- Google ปฏิทิน
- Google Meet (เสียง วิดีโอ และข้อความแชท)
การเชื่อมต่อ ldP ยังช่วยให้คุณตั้งค่า CSE สำหรับแอปพลิเคชันบนเดสก์ท็อปและอุปกรณ์เคลื่อนที่ต่อไปนี้ได้
หากต้องการใช้บริการจัดการคีย์การเข้ารหัสกับ CSE คุณต้องมีผู้ให้บริการข้อมูลประจำตัว (IdP) ที่รองรับมาตรฐาน OpenID Connect (OIDC) หากยังไม่ได้ใช้ IdP ของ OIDC กับ Google Workspace คุณสามารถตั้งค่า IdP เพื่อใช้กับบริการจัดการคีย์ได้โดยเลือกจาก 2 วิธีดังนี้
ตัวเลือกที่ 1: ใช้ IdP ของบุคคลที่สาม (แนะนำ)
ใช้ IdP บุคคลที่สามของ OIDC หากรูปแบบการรักษาความปลอดภัยกำหนดให้แยกข้อมูลที่เข้ารหัสจาก Google มากขึ้น
หากใช้ IdP ของบุคคลที่สามสำหรับการลงชื่อเพียงครั้งเดียว (SSO) ที่ใช้ SAML อยู่แล้ว เราขอแนะนำให้คุณใช้ IdP เดียวกันสำหรับ CSE ที่ใช้เข้าถึง Google Workspace หาก IdP นั้นรองรับ OIDC โปรดดูข้อมูลเพิ่มเติมเกี่ยวกับการใช้ SSO ด้วย SAML กับ Google Workspace
ตัวเลือกที่ 2: ใช้ข้อมูลประจำตัวของ Google
หากรูปแบบการรักษาความปลอดภัยไม่ได้กำหนดให้แยกข้อมูลที่เข้ารหัสจาก Google เพิ่มเติม คุณจะใช้ข้อมูลประจำตัวเริ่มต้นของ Google เป็น IdP ได้
หากใช้ IdP ของบุคคลที่สามสำหรับ CSE เราขอแนะนำให้อนุญาตคุกกี้ของบุคคลที่สามจาก IdP ในเบราว์เซอร์ของผู้ใช้ ไม่เช่นนั้นผู้ใช้อาจต้องลงชื่อเข้าใช้ IdP บ่อยขึ้นเมื่อใช้ CSE
- หากองค์กรใช้ Chrome Enterprise คุณจะใช้นโยบาย CookiesAllowedForUrls ได้
- สำหรับเบราว์เซอร์อื่นๆ: ตรวจสอบเนื้อหาการสนับสนุนของเบราว์เซอร์เพื่อดูวิธีอนุญาตคุกกี้ของบุคคลที่สาม
คุณสามารถตั้งค่า IdP ไม่ว่าจะเป็น IdP ของบุคคลที่สามหรือข้อมูลประจำตัวของ Google โดยใช้ไฟล์ .well-known ซึ่งคุณโฮสต์ไว้ในเว็บไซต์ขององค์กรหรือคอนโซลผู้ดูแลระบบ (ซึ่งเป็น IdP สำรอง) ก็ได้ ทั้งนี้แต่ละวิธีมีข้อควรพิจารณาหลายข้อดังที่อธิบายไว้ในตารางด้านล่าง
หมายเหตุ: หากต้องการกำหนดค่า IdP สำหรับผู้เข้าร่วม คุณจะต้องใช้คอนโซลผู้ดูแลระบบ
| ข้อควรพิจารณา | การตั้งค่า .well-known | การตั้งค่าคอนโซลผู้ดูแลระบบ (IdP สํารอง) |
|---|---|---|
| การแยกจาก Google | การตั้งค่า IdP จะเก็บไว้ในเซิร์ฟเวอร์ของคุณเอง | การตั้งค่า IdP จะเก็บไว้ในเซิร์ฟเวอร์ของ Google |
| ความรับผิดชอบของผู้ดูแลระบบ | ผู้ดูแลเว็บจะจัดการการตั้งค่าแทนผู้ดูแลระบบขั้นสูงของ Google Workspace ได้ | มีเพียงผู้ดูแลระบบขั้นสูงของ Google Workspace เท่านั้นที่จะจัดการการตั้งค่า IdP ได้ |
| ความพร้อมใช้งานของ CSE | ความพร้อมใช้งานของ CSE (ระยะเวลาทำงาน) ขึ้นอยู่กับความพร้อมใช้งานของเซิร์ฟเวอร์ที่โฮสต์ไฟล์ .well-known | ความพร้อมใช้งานของ CSE จะสอดคล้องกับเวอร์ชันสำหรับผู้ใช้ทั่วไปของบริการต่างๆ ของ Google Workspace |
| ความยากง่ายในการตั้งค่า | ต้องเปลี่ยนการตั้งค่า DNS สําหรับเซิร์ฟเวอร์จากนอกคอนโซลผู้ดูแลระบบ | กําหนดการตั้งค่าได้ในคอนโซลผู้ดูแลระบบ |
| การแชร์ภายนอกองค์กร | บริการจัดการคีย์ภายนอกของผู้ทํางานร่วมกันสามารถเข้าถึงการตั้งค่า IdP ได้อย่างง่ายดาย ซึ่งการเข้าถึงนี้จะทําได้แบบอัตโนมัติและช่วยให้มั่นใจว่าบริการของผู้ทํางานร่วมกันจะเข้าถึงการเปลี่ยนแปลงการตั้งค่า IdP ของคุณได้ทันที |
บริการจัดการคีย์ภายนอกของผู้ทํางานร่วมกันจะเข้าถึงการตั้งค่า IdP ในคอนโซลผู้ดูแลระบบไม่ได้ คุณต้องแจ้งการตั้งค่า IdP ให้ผู้ทำงานร่วมกันโดยตรงก่อนจะแชร์ไฟล์ที่เข้ารหัสเป็นครั้งแรก และทุกครั้งที่เปลี่ยนการตั้งค่า IdP |
ขั้นตอนที่ 2: สร้างรหัสไคลเอ็นต์สำหรับ CSE
คุณต้องสร้างรหัสไคลเอ็นต์และเพิ่ม URI การเปลี่ยนเส้นทางสำหรับเว็บแอปพลิเคชัน Google Workspace ที่รองรับ โปรดดูรายชื่อแอปที่รองรับที่หัวข้อแอปพลิเคชันบนเว็บ เดสก์ท็อป และอุปกรณ์เคลื่อนที่ที่รองรับในหน้านี้
วิธีสร้างรหัสไคลเอ็นต์สำหรับเว็บแอปพลิเคชันจะขึ้นอยู่กับว่าคุณใช้ IdP ของบุคคลที่สามหรือข้อมูลประจำตัวของ Google
หมายเหตุ: หากต้องการกำหนดค่า IdP สำหรับผู้เข้าร่วม คุณจะต้องสร้างรหัสไคลเอ็นต์เพิ่มเติมสำหรับการเข้าถึง Google Meet ซึ่งใช้ในการยืนยันว่าผู้เข้าร่วมได้รับเชิญให้เข้าร่วมการประชุม โปรดดูข้อมูลเพิ่มเติมที่หัวข้อกำหนดค่า IdP ของผู้เข้าร่วม
หากคุณใช้ IdP ของบุคคลที่สามสำหรับ CSE
สร้างรหัสไคลเอ็นต์โดยใช้คอนโซลผู้ดูแลระบบของ IdP โดยคุณจะต้องเพิ่ม URI การเปลี่ยนเส้นทางต่อไปนี้ในคอนโซลผู้ดูแลระบบของ IdP ด้วย
บริการผ่านเว็บ
https://client-side-encryption.google.com/callbackhttps://client-side-encryption.google.com/oidc/cse/callbackhttps://client-side-encryption.google.com/oidc/drive/callbackhttps://client-side-encryption.google.com/oidc/gmail/callbackhttps://client-side-encryption.google.com/oidc/meet/callbackhttps://client-side-encryption.google.com/oidc/calendar/callbackhttps://client-side-encryption.google.com/oidc/docs/callbackhttps://client-side-encryption.google.com/oidc/sheets/callbackhttps://client-side-encryption.google.com/oidc/slides/callback
ไดรฟ์สำหรับเดสก์ท็อป
http://localhost
แอปบนอุปกรณ์เคลื่อนที่ Android และ iOS
https://client-side-encryption.google.com/oidc/gmail/native/callbackhttps://client-side-encryption.google.com/oidc/meet/native/callbackhttps://client-side-encryption.google.com/oidc/calendar/native/callbackhttps://client-side-encryption.google.com/oidc/drive/native/callbackhttps://client-side-encryption.google.com/oidc/gmail/meet/native/callback
หากคุณใช้ข้อมูลประจำตัวของ Google สำหรับ CSE
คุณต้องสร้างรหัสไคลเอ็นต์ในคอนโซล Google Cloud นอกจากนี้ คุณยังต้องตั้งค่าต้นทางของ JavaScript (เรียกอีกอย่างว่า กลไกการแชร์ทรัพยากรข้ามโดเมน หรือ CORS) และเพิ่ม URI การเปลี่ยนเส้นทางด้วย
- ไปที่ console.cloud.google.com
- สร้างโปรเจ็กต์ Google Cloud ใหม่ ดูวิธีการ
ตั้งค่าโปรเจ็กต์ได้ตามต้องการ เนื่องจากจะใช้เพื่อเก็บข้อมูลเข้าสู่ระบบเท่านั้น
- ในคอนโซล ให้ไปที่เมนู
API และบริการ
- สร้างรหัสไคลเอ็นต์ OAuth สำหรับเว็บแอปใหม่ที่จะใช้กับ CSE ดูวิธีการแบบเต็ม
- อัปเดตต้นทาง JavaScript ด้วยข้อมูลต่อไปนี้
https://admin.google.comhttps://client-side-encryption.google.com
- อัปเดต URI การเปลี่ยนเส้นทางที่ได้รับอนุญาตด้วยข้อมูลต่อไปนี้
บริการผ่านเว็บ
https://client-side-encryption.google.com/callbackhttps://client-side-encryption.google.com/oidc/cse/callbackhttps://client-side-encryption.google.com/oidc/drive/callbackhttps://client-side-encryption.google.com/oidc/gmail/callbackhttps://client-side-encryption.google.com/oidc/meet/callbackhttps://client-side-encryption.google.com/oidc/calendar/callbackhttps://client-side-encryption.google.com/oidc/docs/callbackhttps://client-side-encryption.google.com/oidc/sheets/callbackhttps://client-side-encryption.google.com/oidc/slides/callback
ไดรฟ์สำหรับเดสก์ท็อป
http://localhostแอปบนอุปกรณ์เคลื่อนที่ Android และ iOS
คุณไม่จำเป็นต้องกำหนดค่าแอปบนอุปกรณ์เคลื่อนที่ Android และ iOS เพิ่มเติมอีก
ระบบได้สร้างรหัสไคลเอ็นต์ OAuth เรียบร้อยแล้ว ให้บันทึกรหัสนี้ไว้เพื่อใช้งานกับไฟล์ .well-known/cse-configuration หรือคอนโซลผู้ดูแลระบบ
หากต้องการให้ผู้ใช้ใช้ CSE กับแอปพลิเคชันบนเดสก์ท็อปและอุปกรณ์เคลื่อนที่ คุณต้องใช้รหัสไคลเอ็นต์สําหรับแอปเหล่านั้น สำหรับแอปบนอุปกรณ์เคลื่อนที่แต่ละแอป คุณจะต้องมีรหัสไคลเอ็นต์ 1 รหัสสำหรับแต่ละแพลตฟอร์ม (Android และ iOS) โปรดดูรายชื่อแอปที่รองรับที่หัวข้อแอปพลิเคชันบนเว็บ เดสก์ท็อป และอุปกรณ์เคลื่อนที่ที่รองรับในหน้านี้
วิธีรับรหัสไคลเอ็นต์สำหรับแอปพลิเคชันบนเดสก์ท็อปและอุปกรณ์เคลื่อนที่จะขึ้นอยู่กับว่าคุณใช้ IdP บุคคลที่สามหรือข้อมูลประจำตัวของ Google
หมายเหตุ: รหัสไคลเอ็นต์เหล่านี้ต้องรองรับประเภทการให้สิทธิ์ authorization_code สำหรับ PKCE (RFC 7636)
หากคุณใช้ IdP ของบุคคลที่สามสำหรับ CSE
ใช้คอนโซลผู้ดูแลระบบของ IdP เพื่อสร้างรหัสไคลเอ็นต์แยกต่างหากสำหรับแต่ละแอป
หากคุณใช้ข้อมูลประจำตัวของ Google สำหรับ CSE
ใช้รหัสไคลเอ็นต์ต่อไปนี้
- ไดรฟ์สำหรับเดสก์ท็อป - ให้ใช้รหัสไคลเอ็นต์
947318989803-k88lapdik9bledfml8rr69ic6d3rdv57.apps.googleusercontent.com - ไดรฟ์ใน Android - ใช้รหัสไคลเอ็นต์
313892590415-6lbccuf47cou4q45vanraqp3fv5jt9do.apps.googleusercontent.com - ไดรฟ์ใน iOS - ให้ใช้รหัสไคลเอ็นต์
313892590415-d3h1l7kl4htab916r6jevqdtu8bfmh9m.apps.googleusercontent.com - ปฏิทินใน Android - ให้ใช้รหัสไคลเอ็นต์
313892590415-q84luo8fon5pn5vl8a6rppo1qvcd3qvn.apps.googleusercontent.com - ปฏิทินใน iOS - ให้ใช้รหัสไคลเอ็นต์
313892590415-283b3nilr8561tedgu1n4dcm9hd6g3hr.apps.googleusercontent.com - Gmail ใน Android - ให้ใช้รหัสไคลเอ็นต์
313892590415-samhd32i4piankgs42o9sit5e9dug452.apps.googleusercontent.com - Gmail ใน iOS - ให้ใช้รหัสไคลเอ็นต์
313892590415-ijvjpbnsh0gauuunjgsdn64ngg37k6rc.apps.googleusercontent.com - Meet ใน Android - ให้ใช้รหัสไคลเอ็นต์
313892590415-i06v47su4k03ns7ot38akv7s9ari5oa5.apps.googleusercontent.com - Meet ใน iOS - ให้ใช้รหัสไคลเอ็นต์
313892590415-32ha2bvs0tr1b12s089i33o58hjvqt55.apps.googleusercontent.com
ขั้นตอนที่ 3: เชื่อมต่อกับ IdP สำหรับ CSE
หากต้องการเชื่อมต่อ Google Workspace กับผู้ให้บริการข้อมูลประจำตัว (IdP) คุณสามารถใช้ได้ทั้งไฟล์ .well-known หรือคอนโซลผู้ดูแลระบบ และหลังจากสร้างการเชื่อมต่อแล้ว คุณจะต้องเพิ่ม IdP ในรายการที่อนุญาตในคอนโซลผู้ดูแลระบบ
หมายเหตุ: หากต้องการกำหนดค่า IdP สำหรับผู้เข้าร่วม คุณจะต้องใช้คอนโซลผู้ดูแลระบบ
ตัวเลือกที่ 1: เชื่อมต่อกับ IdP โดยใช้ไฟล์ .well-known
หากต้องการตั้งค่า IdP ของบุคคลที่สามหรือของ Google ด้วยตัวเลือกนี้ คุณจะต้องนำไฟล์ .well-known ไปไว้ในเว็บไซต์สาธารณะขององค์กร ไฟล์นี้จะกำหนด IdP ที่คุณใช้และอนุญาตให้ผู้ทำงานร่วมกันจากภายนอกค้นพบการตั้งค่า IdP ได้
คุณต้องนำการกำหนดค่า IdP ไปไว้ที่ URI นี้ในโดเมน
https://cse.subdomain.domain.tld/.well-known/cse-configuration
โดยที่ subdomain.domain.tld ควรตรงกับโดเมนในอีเมลของคุณ ตัวอย่างเช่น หากโดเมนในอีเมลของคุณคือ solarmora.com คุณต้องระบุไฟล์ .well-known ในตำแหน่งต่อไปนี้
https://cse.solarmora.com/.well-known/cse-configuration
หมายเหตุ: จำเป็นต้องระบุคำนำหน้า https://cse. เนื่องจาก URI ของ .well-known ไม่ได้ลงทะเบียนกับ IETF (RFC 8615)
เนื้อหาของไฟล์ .well-known ที่ well-known/cse-configuration จะต้องเข้ารหัสแบบ JSON (RFC 8259) และมีช่องต่อไปนี้
| ช่อง | คำอธิบาย |
|---|---|
|
|
ชื่อ IdP ซึ่งสามารถใช้ชื่อใดก็ได้ตามต้องการ โดยชื่อนี้จะปรากฏในข้อความแสดงข้อผิดพลาด IdP สำหรับผู้ใช้ในบริการของ Google เช่น ไดรฟ์และเครื่องมือแก้ไขเอกสาร |
|
|
รหัสไคลเอ็นต์ OpenID Connect (OIDC) ที่เว็บแอปพลิเคชันไคลเอ็นต์ CSE ใช้เพื่อรับโทเค็นเว็บ JSON (JWT) เมื่อสร้างรหัสไคลเอ็นต์แล้ว คุณจะต้องเพิ่ม URI การเปลี่ยนเส้นทางในคอนโซล Google Cloud ด้วย โปรดดูรายละเอียดการสร้างรหัสไคลเอ็นต์ที่หัวข้อสร้างรหัสไคลเอ็นต์สำหรับเว็บแอปพลิเคชันในหน้านี้ |
discovery_uri |
Discovery URL ของ OIDC ตามที่กำหนดไว้ในข้อกำหนด OpenID นี้ |
|
หากคุณใช้ IdP ของบุคคลที่สาม IdP จะแสดง URL นี้ให้คุณ ซึ่งโดยปกติแล้วจะลงท้ายด้วย |
|
|
หากคุณใช้ข้อมูลประจำตัวของ Google ใช้ |
|
grant_type |
ขั้นตอน OAuth ที่ใช้สำหรับ OIDC กับเว็บแอปพลิเคชันไคลเอ็นต์ CSE |
|
หากคุณใช้ IdP ของบุคคลที่สาม คุณจะใช้ประเภทการให้สิทธิ์ |
|
|
หากคุณใช้ข้อมูลประจำตัวของ Google คุณสามารถใช้ได้เฉพาะประเภทการให้สิทธิ์ |
|
|
|
แอปพลิเคชันไคลเอ็นต์เพิ่มเติมที่คุณต้องการใช้ CSE ซึ่งคุณต้องเพิ่มรหัสไคลเอ็นต์สำหรับแต่ละแอปไปยังไฟล์ .well-known หมายเหตุ: รหัสไคลเอ็นต์เหล่านี้ต้องรองรับประเภทการให้สิทธิ์ โปรดดูรายละเอียดเกี่ยวกับการสร้างรหัสไคลเอ็นต์ที่หัวข้อสร้างรหัสไคลเอ็นต์สําหรับแอปพลิเคชันบนเดสก์ท็อปและอุปกรณ์เคลื่อนที่ในหน้านี้ |
หากคุณใช้ IdP ของบุคคลที่สาม ไฟล์ .well-known ควรมีลักษณะดังนี้
{
"name" : "ชื่อ IdP ของคุณ",
"client_id" : "รหัสจาก IdP",
"discovery_uri" : "https://your_idp.com/.well-known/openid-configuration",
"applications":{
"drivefs":{
"client_id": "รหัสจาก IdP"
},
"drive-android": {
"client_id": "รหัสจาก IdP"
},
"drive-ios": {
"client_id": "รหัสจาก IdP"
},
"calendar-android": {
"client_id": "รหัสจาก IdP"
},
"calendar-ios": {
"client_id": "รหัสจาก IdP"
},
"gmail-android": {
"client_id": "รหัสจาก IdP"
},
"gmail-ios": {
"client_id": "รหัสจาก IdP"
},
"meet-android": {
"client_id": "รหัสจาก IdP"
},
"meet-ios": {
"client_id": "รหัสจาก IdP"
}
}
}
หากคุณใช้ข้อมูลประจําตัวของ Google ไฟล์ .well-known ควรมีลักษณะดังนี้
{
"name" : "Google Identity",
"client_id" : "รหัสจาก Google Cloud (ที่สร้างไว้ข้างต้น)",
"discovery_uri" : "https://accounts.google.com/.well-known/openid-configuration",
"applications":{
"drivefs":{
"client_id": "947318989803-k88lapdik9bledfml8rr69ic6d3rdv57.apps.googleusercontent.com"
},
"drive-android":{
"client_id": "313892590415-6lbccuf47cou4q45vanraqp3fv5jt9do.apps.googleusercontent.com"
},
"drive-ios":{
"client_id": "313892590415-d3h1l7kl4htab916r6jevqdtu8bfmh9m.apps.googleusercontent.com"
},
"calendar-android":{
"client_id": "313892590415-q84luo8fon5pn5vl8a6rppo1qvcd3qvn.apps.googleusercontent.com"
},
"calendar-ios":{
"client_id": "313892590415-283b3nilr8561tedgu1n4dcm9hd6g3hr.apps.googleusercontent.com"
},
"gmail-android":{
"client_id": "313892590415-samhd32i4piankgs42o9sit5e9dug452.apps.googleusercontent.com"
},
"gmail-ios":{
"client_id": "313892590415-ijvjpbnsh0gauuunjgsdn64ngg37k6rc.apps.googleusercontent.com"
},
"meet-android":{
"client_id": "313892590415-i06v47su4k03ns7ot38akv7s9ari5oa5.apps.googleusercontent.com"
},
"meet-ios":{
"client_id": "313892590415-32ha2bvs0tr1b12s089i33o58hjvqt55.apps.googleusercontent.com"
}
}
}
หากใช้ข้อมูลประจำตัวของ Google สำหรับ IdP ให้ตั้งค่า CORS ในคอนโซล Google Cloud เมื่อสร้างรหัสไคลเอ็นต์ โปรดดูรายละเอียดที่หัวข้อสร้างรหัสไคลเอ็นต์สำหรับเว็บแอปพลิเคชันในหน้านี้
หากใช้ IdP ของบุคคลที่สาม ไฟล์ .well-known/openid-configurationและ .well-known/cse-configuration ต้องอนุญาต URL ต้นทางสำหรับการเรียกใช้กลไกการแชร์ทรัพยากรข้ามโดเมน (CORS) ในคอนโซลผู้ดูแลระบบของ IdP ให้กำหนดค่าดังนี้
.well-known/openid-configuration (Discovery URI)
- วิธีการ: GET
- ต้นทางที่อนุญาต
https://admin.google.comhttps://client-side-encryption.google.com
.well-known/cse-configuration
- วิธีการ: GET
- ต้นทางที่อนุญาต
https://admin.google.comhttps://client-side-encryption.google.com
ตัวเลือกที่ 2: เชื่อมต่อกับ IdP โดยใช้คอนโซลผู้ดูแลระบบ
หากต้องการเชื่อมต่อกับ IdP โดยใช้คอนโซลผู้ดูแลระบบ คุณจะต้องมีข้อมูลเกี่ยวกับ IdP ดังต่อไปนี้
| ชื่อ IdP | โปรดดูรายละเอียดที่หัวข้อกำหนดค่าไฟล์ .well-known ในหน้านี้ |
| รหัสไคลเอ็นต์สำหรับเว็บแอปพลิเคชัน | โปรดดูรายละเอียดที่หัวข้อสร้างรหัสไคลเอ็นต์สำหรับเว็บแอปพลิเคชันในหน้านี้ |
| Discovery URI | โปรดดูรายละเอียดที่หัวข้อกำหนดค่าไฟล์ .well-known ในหน้านี้ |
| รหัสไคลเอ็นต์สำหรับแอปบนเดสก์ท็อปและอุปกรณ์เคลื่อนที่ (ไม่บังคับ) | โปรดดูรายละเอียดที่หัวข้อสร้างรหัสไคลเอ็นต์สําหรับแอปพลิเคชันบนเดสก์ท็อปและอุปกรณ์เคลื่อนที่ในหน้านี้ |
หากใช้ข้อมูลประจำตัวของ Google คุณจะต้องตั้งค่ากลไกการแชร์ทรัพยากรข้ามโดเมน (CORS) ในคอนโซล Google Cloud เมื่อสร้างรหัสไคลเอ็นต์ โปรดดูรายละเอียดที่หัวข้อสร้างรหัสไคลเอ็นต์สำหรับเว็บแอปพลิเคชันในหน้านี้
หากใช้ IdP ของบุคคลที่สาม ในคอนโซลผู้ดูแลระบบของ IdP ให้กำหนดค่า Discovery URI เพื่ออนุญาต URL ต้นทางสำหรับกลไกการแชร์ทรัพยากรข้ามโดเมน (CORS) ดังนี้
- วิธีการ: GET
- ต้นทางที่อนุญาต
https://admin.google.comhttps://client-side-encryption.google.com
คุณต้องลงชื่อเข้าใช้ในฐานะผู้ดูแลระบบขั้นสูงสำหรับงานนี้
-
ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google ด้วยบัญชีผู้ดูแลระบบขั้นสูง
หากไม่ได้ใช้บัญชีผู้ดูแลระบบขั้นสูง คุณจะทำตามขั้นตอนเหล่านี้ไม่ได้
- ไปที่เมนู
ข้อมูล > การปฏิบัติตามข้อกำหนด > การเข้ารหัสฝั่งไคลเอ็นต์
หมายเหตุ: ในส่วนการกำหนดค่าผู้ให้บริการข้อมูลประจำตัว จะมีข้อความแสดงขึ้นว่า Google Workspace เข้าถึงไฟล์ .well-known ไม่ได้ ซึ่งคุณไม่ต้องสนใจข้อความนี้เนื่องจากคุณเชื่อมต่อกับ IdP โดยใช้คอนโซลผู้ดูแลระบบ
- ในส่วนการกำหนดค่าผู้ให้บริการข้อมูลประจำตัว ให้คลิกกำหนดค่า IdP สำรอง
หรือหากต้องการกำหนดค่า IdP ของผู้เข้าร่วม ให้คลิกกำหนดค่า IdP ของผู้เข้าร่วม
- ป้อนข้อมูลเกี่ยวกับ IdP ดังต่อไปนี้
- ชื่อ
- รหัสไคลเอ็นต์ (สำหรับเว็บแอปพลิเคชัน)
- Discovery URI
-
คลิกทดสอบการเชื่อมต่อ
หาก Google Workspace เชื่อมต่อกับ IdP ได้ ข้อความ "เชื่อมต่อสำเร็จ" จะปรากฏขึ้น
- หากคุณต้องการกำหนดค่า IdP ของผู้เข้าร่วม ให้คลิกต่อไป จากนั้นเลือกเว็บแอปที่คุณต้องการให้สิทธิ์การเข้าถึงของผู้เข้าร่วม จากนั้นคลิกบันทึกเพื่อปิดการ์ด
หมายเหตุ: ขณะนี้ใช้ได้เฉพาะ Google Meet เท่านั้น
- (ไม่บังคับ) หากต้องการใช้ CSE กับแอปพลิเคชันบางรายการโดยเฉพาะ ให้ทำดังนี้
- ในส่วนการตรวจสอบสิทธิ์สำหรับแอปพลิเคชันของ Google บนเดสก์ท็อปและอุปกรณ์เคลื่อนที่ (ไม่บังคับ) ให้เลือกแอปพลิเคชันที่คุณต้องการใช้ CSE ด้วย
- ในส่วนรหัสไคลเอ็นต์ ให้ระบุรหัสไคลเอ็นต์สำหรับแอปพลิเคชัน
- คลิกเพิ่มผู้ให้บริการเพื่อปิดการ์ด
ขั้นตอนที่ 4 (IdP ของบุคคลที่สามเท่านั้น): เพิ่ม IdP ลงในรายการที่อนุญาตในคอนโซลผู้ดูแลระบบ
ขั้นตอนถัดไป
หลังจากตั้งค่า IdP แล้ว คุณก็พร้อมที่จะตั้งค่าบริการเข้ารหัสคีย์