Deze functie wordt ondersteund in de volgende versies: Enterprise Plus, Education Standard en Education Plus. Versies vergelijken
Nadat u uw externe sleutelservice heeft gekozen voor versleuteling aan de clientzijde (VCZ) voor Google Workspace, moet u Google Workspace koppelen aan een identiteitsprovider (IdP). Dit kan een IdP van derden of een Google-identiteit zijn. De versleutelingssleutelservice die is gekozen om content te versleutelen, gebruikt uw IdP om gebruikers te verifiëren voordat ze content kunnen versleutelen of toegang kunnen krijgen tot versleutelde content.
Opmerking: Nadat u de IdP heeft ingesteld, kunt u een gast-IdP instellen om externe toegang toe te staan tot de content die is versleuteld aan de clientzijde van uw organisatie. Ga naar Een gast-IdP instellen voor meer informatie.
Voordat u begint
Zorg dat u de versleutelingssleutelservices heeft gekozen die u wilt gebruiken met VCZ. Ga naar Een externe sleutelservice kiezen voor meer informatie.
Stap 1: Plan de IdP-verbinding
Gedeelte openen | Alles samenvouwen
Met uw IdP-koppeling kunt u VCZ instellen voor alle ondersteunde web-apps van Google Workspace:
- Google Drive
- Google Documenten
- Google Spreadsheets
- Google Presentaties
- Gmail
- Google Agenda
- Google Meet (audio, video en chatberichten)
Met uw ldP-koppeling kunt u VCZ ook instellen voor de volgende desktop- en mobiele apps:
Als u een versleutelingssleutelservice wilt gebruiken met VCZ, heeft u een identiteitsprovider (IdP) nodig die de OpenID Connect-standaard (OIDC) ondersteunt. Als u nog geen OIDC-IdP gebruikt met Google Workspace, kunt u uw IdP op 2 manieren instellen voor gebruik met uw sleutelservice:
Optie 1: Een IdP van derden gebruiken (aanbevolen)
Gebruik een OIDC-IdP van derden als in uw beveiligingsmodel versleutelde gegevens meer moeten worden geïsoleerd van Google.
Gebruikt u al een IdP van derden voor SAML-gebaseerde Single sign-on (SSO) en ondersteunt deze OIDC? Dan raden we u aan dezelfde IdP te gebruiken voor VCZ als de IdP die u gebruikt voor toegang tot Google Workspace-services. Meer informatie over het gebruik van SAML-SSO met Google Workspace
Optie 2: Google-identiteit gebruiken
Als uw beveiligingsmodel niet vereist dat versleutelde gegevens meer moeten worden geïsoleerd van Google, kunt u de standaard Google-identiteit gebruiken als IdP.
Als u een IdP van derden gebruikt voor VCZ, raden we u aan cookies van derden van uw IdP toe te staan in de browsers van uw gebruikers. Anders moeten gebruikers misschien vaker inloggen bij uw IdP als ze VCZ gebruiken.
- Als uw organisatie Chrome Enterprise gebruikt, kunt u het beleid CookiesAllowedForUrls gebruiken.
- Voor andere browsers raadpleegt u de ondersteunende content van de browser voor instructies over hoe u cookies van derden kunt toestaan.
U kunt uw IdP (een IdP van derden of Google-identiteit) instellen met een .well-known-bestand dat u host op de website van uw organisatie of via de Beheerdersconsole (uw IdP-reserve). Beide methoden hebben voor- en nadelen, zoals beschreven in de onderstaande tabel.
Opmerking: Als u een gast-IdP instelt, moet u de Beheerdersconsole gebruiken.
Aandachtspunten | Installatie via .well-known-bestand | Installatie via Beheerdersconsole (IdP-reserve) |
---|---|---|
Geïsoleerd van Google | De IdP-instellingen worden opgeslagen op uw eigen server. | De IdP-instellingen worden opgeslagen op de servers van Google. |
Verantwoordelijkheden van de beheerder | Een webmaster kan de installatie beheren in plaats van een Google Workspace-hoofdbeheerder. | Alleen een Google Workspace-hoofdbeheerder kan de IdP-installatie beheren. |
Beschikbaarheid van VCZ | De beschikbaarheid (uptime) van VCZ is afhankelijk van de beschikbaarheid van de server waarop het .well-known-bestand wordt gehost. | De beschikbaarheid van VCZ komt overeen met de algemene beschikbaarheid van Google Workspace-services. |
Eenvoud van installatie | U moet de DNS-instellingen van uw server wijzigen, buiten de Beheerdersconsole. | U stelt de instellingen in de Beheerdersconsole in. |
Delen buiten uw organisatie | De externe sleutelservice van een bijdrager heeft makkelijk toegang tot uw IdP-instellingen. U kunt deze toegang automatiseren en zorgen dat de service van de bijdrager direct toegang heeft tot wijzigingen aan de IdP-instellingen. |
De externe sleutelservice van een bijdrager heeft geen toegang tot uw IdP-instellingen in de Beheerdersconsole. U moet de IdP-instellingen rechtstreeks doorgeven aan de bijdrager voordat u versleutelde bestanden deelt. U moet dit niet alleen doen als u ze voor de eerste keer deelt, maar ook elke keer dat u de IdP-instellingen wijzigt. |
Stap 2: Maak client-ID's voor VCZ
Gedeelte openen | Alles samenvouwen
U moet een client-ID maken en omleidings-URI's toevoegen voor ondersteunde web-apps van Google Workspace. Ga eerder op deze pagina naar Ondersteunde web-, desktop- en mobiele apps voor een lijst met ondersteunde apps.
Hoe u een client-ID voor web-apps maakt, hangt af van of u een IdP van derden of een Google-identiteit gebruikt.
Opmerking: Als u een gast-IdP instelt, moet u een aanvullende client-ID maken voor toegang tot Google Meet. Deze wordt gebruikt om te verifiëren dat de gast is uitgenodigd voor de vergadering. Ga naar Een gast-IdP instellen voor meer informatie.
Als u een IdP van derden gebruikt voor VCZ
Maak een client-ID in de beheerdersconsole van uw IdP. U moet ook de volgende omleidings-URI's toevoegen in de beheerdersconsole van uw IdP:
Webservices:
https://client-side-encryption.google.com/callback
https://client-side-encryption.google.com/oidc/cse/callback
https://client-side-encryption.google.com/oidc/drive/callback
https://client-side-encryption.google.com/oidc/gmail/callback
https://client-side-encryption.google.com/oidc/meet/callback
https://client-side-encryption.google.com/oidc/calendar/callback
https://client-side-encryption.google.com/oidc/docs/callback
https://client-side-encryption.google.com/oidc/sheets/callback
https://client-side-encryption.google.com/oidc/slides/callback
Drive voor desktop:
http://localhost
Mobiele Android- en iOS-apps:
https://client-side-encryption.google.com/oidc/gmail/native/callback
https://client-side-encryption.google.com/oidc/meet/native/callback
https://client-side-encryption.google.com/oidc/calendar/native/callback
https://client-side-encryption.google.com/oidc/drive/native/callback
https://client-side-encryption.google.com/oidc/gmail/meet/native/callback
Als u een Google-identiteit gebruikt voor VCZ
Maak een client-ID in de Google Cloud Console. Stel ook JavaScript-bronnen in (dit wordt ook wel resources van verschillende bronnen delen of CORS genoemd) in en voeg omleidings-URL's toe.
- Ga naar console.cloud.google.com.
- Maak een nieuw Google Cloud-project. Bekijk de instructies.
Stel het project in zoals u wilt, u gebruikt het alleen om uw inloggegevens in te bewaren.
- Ga in de console naar Menu API's en servicesInloggegevens.
- Maak een OAuth-client-ID voor een nieuwe web-app die u gaat gebruiken met VCZ. Hier vindt u de volledige instructies.
- Voeg het volgende toe aanJavaScript-oorsprongen:
https://admin.google.com
https://client-side-encryption.google.com
- Voeg het volgende toe aan Geautoriseerde omleidings-URI's:
Webservices:
https://client-side-encryption.google.com/callback
https://client-side-encryption.google.com/oidc/cse/callback
https://client-side-encryption.google.com/oidc/drive/callback
https://client-side-encryption.google.com/oidc/gmail/callback
https://client-side-encryption.google.com/oidc/meet/callback
https://client-side-encryption.google.com/oidc/calendar/callback
https://client-side-encryption.google.com/oidc/docs/callback
https://client-side-encryption.google.com/oidc/sheets/callback
https://client-side-encryption.google.com/oidc/slides/callback
Drive voor desktop:
http://localhost
Mobiele Android- en iOS-apps:
Er is geen aanvullende configuratie nodig voor mobiele Android- en iOS-apps.
Er wordt een OAuth-client-ID gemaakt. Sla deze ID op zodat u deze kunt gebruiken voor het bestand .well-known/cse-configuration of de Beheerdersconsole.
Als u wilt dat uw gebruikers VCZ gebruiken met desktop- en mobiele apps, heeft u client-ID's nodig voor die apps. Voor elke mobiele app heeft u één client-ID per platform nodig (Android en iOS). Ga eerder op deze pagina naar Ondersteunde web-, desktop- en mobiele apps voor een lijst met ondersteunde apps.
Hoe u client-ID's voor desktop- en mobiele apps krijgt, hangt af van of u een IdP van derden of een Google-identiteit gebruikt.
Opmerking: Deze client-ID's moeten het toewijzingstype authorization_code
ondersteunen voor PKCE (RFC 7636).
Als u een IdP van derden wilt gebruiken voor VCZ
Gebruik de Beheerdersconsole van uw IdP om een aparte client-ID te maken voor elke app.
Als u Google-identiteit wilt gebruiken voor VCZ
Gebruik de volgende client-ID's:
- Drive voor Desktop: Gebruik de client-ID
947318989803-k88lapdik9bledfml8rr69ic6d3rdv57.apps.googleusercontent.com
- Drive op Android: Gebruik de client-ID
313892590415-6lbccuf47cou4q45vanraqp3fv5jt9do.apps.googleusercontent.com
- Drive op iOS: Gebruik de client-ID
313892590415-d3h1l7kl4htab916r6jevqdtu8bfmh9m.apps.googleusercontent.com
- Agenda op Android: Gebruik de client-ID
313892590415-q84luo8fon5pn5vl8a6rppo1qvcd3qvn.apps.googleusercontent.com
- Agenda op iOS: Gebruik de client-ID
313892590415-283b3nilr8561tedgu1n4dcm9hd6g3hr.apps.googleusercontent.com
- Gmail op Android: Gebruik de client-ID
313892590415-samhd32i4piankgs42o9sit5e9dug452.apps.googleusercontent.com
- Gmail op iOS: Gebruik de client-ID
313892590415-ijvjpbnsh0gauuunjgsdn64ngg37k6rc.apps.googleusercontent.com
- Meet op Android: Gebruik de client-ID
313892590415-i06v47su4k03ns7ot38akv7s9ari5oa5.apps.googleusercontent.com
- Meet op iOS: Gebruik de client-ID
313892590415-32ha2bvs0tr1b12s089i33o58hjvqt55.apps.googleusercontent.com
Stap 3: Koppel uw IdP voor VCZ
U kunt Google Workspace koppelen aan uw identiteitsprovider (IdP) via een .well-known-bestand of de Beheerdersconsole. Nadat u de koppeling heeft gemaakt, moet u de IdP op de toelatingslijst zetten in de Beheerdersconsole.
Opmerking: Als u een gast-IdP instelt, moet u de Beheerdersconsole gebruiken.
Optie 1: Koppelen met de IdP via een .well-known-bestand
Als u uw IdP van derden of Google, wilt instellen met deze optie moet u een .well-known-bestand op de openbare website van uw organisatie plaatsen. In dit bestand staat welke IdP u gebruikt. Met het bestand kunnen externe bijdragers uw IdP-instellingen ontdekken.
Gedeelte openen | Alles samenvouwen
De IdP-configuratie moet op deze URI in uw domein worden geplaatst:
https://cse.subdomein.domein.tld/.well-known/cse-configuration
Hierbij moet subdomein.domein.tld het domein zijn in uw e-mailadres. Als het domein in uw e-mailadres bijvoorbeeld solarmora.com is, zet u het .well-known-bestand op:
https://cse.solarmora.com/.well-known/cse-configuration
Opmerking: Het voorvoegsel https://cse. is vereist omdat de .well-known-URI niet is geregistreerd bij de IETF (RFC 8615).
De inhoud van uw .well-known-bestand, op well-known/cse-configuration, moet json-gecodeerd zijn (RFC 8259) en deze velden bevatten:
Veld | Beschrijving |
---|---|
|
De naam van de IdP. U kunt elke gewenste naam gebruiken. Deze naam wordt vermeld in IdP-foutmeldingen voor gebruikers in Google-services, zoals Drive en Editors van Documenten. |
|
De client-ID van OpenID Connect (OIDC) die de VCZ-client-web-app gebruikt om een json-webtoken (JWT) te krijgen. Als u een client-ID maakt, voegt u ook omleidings-URI's toe in de Google Cloud-console. Voor meer informatie over hoe u een client-ID maakt, gaat u eerder op deze pagina naar Een client-ID maken voor web-apps. |
discovery_uri |
De OIDC-discovery-URL, zoals gedefinieerd in deze OpenID-specificatie. |
Als u een IdP van derden gebruikt U krijgt deze URL van uw IdP. Deze eindigt meestal op |
|
Als u Google-identiteit gebruikt Gebruik |
|
grant_type |
Het OAuth-proces dat wordt gebruikt voor OIDC met VCZ-client-web-apps |
Als u een IdP van derden gebruikt Voor VCZ-web-apps kunt u het toewijzingstype |
|
Als u Google-identiteit gebruikt U kunt alleen het toewijzingstype |
|
|
De aanvullende client-apps waarmee u VCZ wilt gebruiken. U moet voor elke app een client-ID toevoegen aan uw .well-known-bestand. Opmerking: Deze client-ID's moeten het toewijzingstype Voor meer informatie over hoe u client-ID's maakt, gaat u eerder op deze pagina naar Een client-ID maken voor desktop- en mobiele apps. |
Als u een IdP van derden gebruikt, ziet uw .well-known-bestand er als volgt uit:
{
"name" : "naam van uw IdP",
"client_id" : "ID van de IdP",
"discovery_uri" : "https://your_idp.com/.well-known/openid-configuration",
"applications":{
"drivefs":{
"client_id": "ID van de IdP"
},
"drive-android": {
"client_id": "ID van de IdP"
},
"drive-ios": {
"client_id": "ID van de IdP"
},
"calendar-android": {
"client_id": "ID van de IdP"
},
"calendar-ios": {
"client_id": "ID van de IdP"
},
"gmail-android": {
"client_id": "ID van de IdP"
},
"gmail-ios": {
"client_id": "ID van de IdP"
},
"meet-android": {
"client_id": "ID van de IdP"
},
"meet-ios": {
"client_id": "ID van de IdP"
}
}
}
Als u de Google-identiteit gebruikt, ziet uw .well-known-bestand er als volgt uit:
{
"name" : "Google Identity",
"client_id" : "ID van Google Cloud (hierboven gemaakt)",
"discovery_uri" : "https://accounts.google.com/.well-known/openid-configuration",
"applications":{
"drivefs":{
"client_id": "947318989803-k88lapdik9bledfml8rr69ic6d3rdv57.apps.googleusercontent.com"
},
"drive-android":{
"client_id": "313892590415-6lbccuf47cou4q45vanraqp3fv5jt9do.apps.googleusercontent.com"
},
"drive-ios":{
"client_id": "313892590415-d3h1l7kl4htab916r6jevqdtu8bfmh9m.apps.googleusercontent.com"
},
"calendar-android":{
"client_id": "313892590415-q84luo8fon5pn5vl8a6rppo1qvcd3qvn.apps.googleusercontent.com"
},
"calendar-ios":{
"client_id": "313892590415-283b3nilr8561tedgu1n4dcm9hd6g3hr.apps.googleusercontent.com"
},
"gmail-android":{
"client_id": "313892590415-samhd32i4piankgs42o9sit5e9dug452.apps.googleusercontent.com"
},
"gmail-ios":{
"client_id": "313892590415-ijvjpbnsh0gauuunjgsdn64ngg37k6rc.apps.googleusercontent.com"
},
"meet-android":{
"client_id": "313892590415-i06v47su4k03ns7ot38akv7s9ari5oa5.apps.googleusercontent.com"
},
"meet-ios":{
"client_id": "313892590415-32ha2bvs0tr1b12s089i33o58hjvqt55.apps.googleusercontent.com"
}
}
}
Als u een Google-identiteit gebruikt voor uw IdP: U stelt CORS in de Google Cloud Console in als u de client-ID maakt. Ga naar Een client-ID maken voor web-apps eerder op deze pagina voor meer informatie.
Als u een IdP van derden gebruikt: In .well-known/openid-configuration en .well-known/cse-configuration moeten oorsprong-URL's voor het delen van resources van verschillende bronnen (Cross-Origin Resource Sharing, CORS) worden toegestaan. Stel in de beheerdersconsole van de IdP de configuraties op de volgende manier in:
.well-known/openid-configuration (discovery-URI)
- Methoden: GET
- Toegestane oorsprongen:
https://admin.google.com
https://client-side-encryption.google.com
.well-known/cse-configuration
- Methoden: GET
- Toegestane oorsprongen:
https://admin.google.com
https://client-side-encryption.google.com
Optie 2: Koppelen met uw IdP via de Beheerdersconsole
Gedeelte openen | Alles samenvouwen
Als u uw IdP wilt koppelen via de Beheerdersconsole, heeft u de volgende gegevens van uw IdP nodig:
Naam van uw IdP | Ga naar Het .well-known-bestand instellen eerder op deze pagina voor meer informatie. |
Client-ID voor web-apps | Ga naar Een client-ID maken voor web-apps eerder op deze pagina voor meer informatie. |
Discovery-URI | Ga naar Het .well-known-bestand instellen eerder op deze pagina voor meer informatie. |
Client-ID's voor desktop- en mobiele apps (optioneel) | Ga naar Client-ID's maken voor desktop- en mobiele apps eerder op deze pagina voor meer informatie. |
Als u een Google-identiteit gebruikt: U stelt resources van verschillende bronnen delen (CORS) in de Google Cloud Console in als u uw client-ID maakt. Ga naar Een client-ID maken voor web-apps eerder op deze pagina voor meer informatie.
Als u een IdP van derden gebruikt: Volg deze stappen om de beheerdersconsole van de IdP de discovery-URI in te stellen, zodat oorsprong-URL's voor aanroepen om resources van verschillende bronnen te delen (CORS) zijn toegestaan:
- Methode: GET
- Toegestane oorsprongen:
https://admin.google.com
https://client-side-encryption.google.com
U moet zijn ingelogd als hoofdbeheerder om deze taak te kunnen uitvoeren.
-
Log in bij de Google Beheerdersconsole.
Log in met een account met hoofdbeheerdersrechten (eindigt niet op @gmail.com).
- Ga in de Beheerdersconsole naar Menu BeveiligingToegangs- en gegevenscontroleVersleuteling aan de clientzijde.
Opmerking: Onder Configuratie identiteitsprovider verschijnt er een bericht waarin staat dat Google Workspace uw .well-known-bestand niet kan bereiken. U kunt dit bericht negeren omdat u koppelt met uw IdP via de Beheerdersconsole.
- Klik onder Configuratie identiteitsprovider op Reserve-IdP configureren.
Als u een gast-IdP instelt, klikt u op IdP voor gasten instellen.
- Voer de volgende gegevens in over uw IdP:
- Naam
- Client-ID (voor web-apps)
- Discovery-URI
-
Klik op Verbinding testen.
Als Google Workspace verbinding kan maken met de IdP, ziet u de volgende melding: Verbinding gemaakt.
- Als u een gast-IdP instelt: Klik op Doorgaan en kies de web-apps waarvoor u gasttoegang wilt geven. Klik daarna op Opslaan om de kaart te sluiten.
Opmerking: Momenteel is alleen Google Meet beschikbaar.
- (Optioneel) Zo gebruikt u VCZ met specifieke apps:
- Selecteer onder Verificatie voor desktop- en mobiele apps van Google (optioneel) de apps waarmee u VCZ wilt gebruiken.
- Voer bij Client-ID de client-ID van de app in.
- Klik op Provider toevoegen om de kaart te sluiten.
Stap 4 (alleen IdP's van derden): Zet de IdP op de toelatingslijst in de Beheerdersconsole
Volgende stap
Nadat u de IdP heeft ingesteld, kunt u de versleutelingssleutelservice.