Unterstützte Versionen für diese Funktion: Frontline Plus; Enterprise Plus; Education Standard und Education Plus. Versionen vergleichen
Nachdem Sie den externen Schlüsseldienst für die clientseitige Verschlüsselung (Client-side Encryption, CSE) in Google Workspace ausgewählt haben, müssen Sie Google Workspace mit einem Identitätsanbieter (Identity Provider, IdP) verbinden, entweder einem externen Identitätsanbieter oder einer Google-Identität. Der Verschlüsselungsschlüsseldienst, der Inhalte verschlüsselt, nutzt Ihren IdP, um Nutzer zu authentifizieren, bevor sie Inhalte verschlüsseln oder auf verschlüsselte Inhalte zugreifen können.
Hinweis: Nachdem Sie Ihren IdP konfiguriert haben, können Sie einen Gast-IdP konfigurieren, um externen Zugriff auf die clientseitig verschlüsselten Inhalte Ihrer Organisation zu ermöglichen. Weitere Informationen finden Sie unter Gast-IdP konfigurieren.
Hinweise
Wählen Sie den Verschlüsselungsschlüsseldienst aus, den Sie mit der clientseitigen Verschlüsselung verwenden möchten. Weitere Informationen finden Sie im Hilfeartikel Externen Schlüsseldienst auswählen.
Schritt 1: IdP-Verbindung planen
Abschnitt öffnen | Alle minimieren
Über Ihre IdP-Verbindung können Sie die clientseitige Verschlüsselung für alle unterstützten Google Workspace-Webanwendungen einrichten:
- Google Drive
- Google Docs
- Google Sheets
- Google Präsentationen
- Gmail
- Google Kalender
- Google Meet (Audio-, Video- und Chatnachrichten)
Über die ldP-Verbindung können Sie die clientseitige Verschlüsselung für folgende Desktop- und mobile Anwendungen einrichten:
Wenn Sie einen Verschlüsselungsschlüsseldienst mit CSE verwenden möchten, benötigen Sie einen Identitätsanbieter (Identity Provider, IdP), der den OpenID Connect-Standard (OIDC) unterstützt. Wenn Sie noch keinen OIDC-Identitätsanbieter mit Google Workspace verwenden, haben Sie zwei Möglichkeiten, den IdP zur Verwendung mit dem Schlüsseldienst einzurichten:
Option 1: Externen Identitätsanbieter verwenden (empfohlen)
Verwenden Sie einen externen OIDC-Identitätsanbieter, wenn Ihr Sicherheitsmodell eine stärkere Isolierung Ihrer verschlüsselten Daten von Google erfordert.
Wenn Sie bereits einen externen Identitätsanbieter für die SAML-basierte Einmalanmeldung (SSO) verwenden: Es empfiehlt sich, denselben IdP für die clientseitige Verschlüsselung zu verwenden, den Sie für den Zugriff auf Google Workspace-Dienste verwenden, wenn dieser IdP OIDC unterstützt. Weitere Informationen zur Verwendung der SAML-basierten SSO mit Google Workspace
Option 2: Google-Identität verwenden
Wenn gemäß Ihrem Sicherheitsmodell keine zusätzliche Isolierung der verschlüsselten Daten von Google erforderlich ist, können Sie die standardmäßige Google-Identität als IdP verwenden.
Wenn Sie einen externen Identitätsanbieter für die clientseitige Verschlüsselung verwenden, empfehlen wir, Drittanbieter-Cookies von Ihrem IdP in den Browsern Ihrer Nutzer zuzulassen. Andernfalls müssen sich Nutzer bei der Verwendung der clientseitigen Verschlüsselung möglicherweise häufiger bei Ihrem IdP anmelden.
- Wenn Ihre Organisation Chrome Enterprise verwendet: Sie können die Richtlinie CookiesAllowedForUrls verwenden.
- Andere Browser: Informationen zum Zulassen von Drittanbieter-Cookies finden Sie in den Supportinhalten des jeweiligen Browsers.
Sie können Ihren IdP (Drittanbieter oder Google-Identität) entweder mit einer .well-known-Datei einrichten, die Sie auf der Website Ihrer Organisation hosten, oder über die Admin-Konsole (Ihr IdP-Fallback). In der folgenden Tabelle finden Sie Hinweise zu den einzelnen Methoden.
Hinweis: Wenn Sie einen Gast-IdP konfigurieren, müssen Sie die Admin-Konsole verwenden.
| Hinweise | .well-known-Datei | Admin-Konsole (IdP-Fallback) |
|---|---|---|
| Isolierung von Google | Die IdP-Einstellungen werden auf Ihrem eigenen Server gespeichert. | Die IdP-Einstellungen werden auf Servern von Google gespeichert. |
| Zuständigkeiten der Administratoren | Die Einrichtung kann statt von einem Google Workspace-Super Admin von einem Webmaster verwaltet werden. | Nur ein Google Workspace-Super Admin kann die IdP-Einrichtung verwalten. |
| Verfügbarkeit der clientseitigen Verschlüsselung | Die Verfügbarkeit der clientseitigen Verschlüsselung hängt von der Verfügbarkeit des Servers ab, auf dem die .well-known-Datei gehostet wird. | Die Verfügbarkeit der clientseitigen Verschlüsselung entspricht der allgemeinen Verfügbarkeit der Google Workspace-Dienste. |
| Einrichtungsaufwand | Die DNS-Einstellungen für Ihren Server müssen außerhalb der Admin-Konsole geändert werden. | Sie können die Einstellungen in der Admin-Konsole festlegen. |
| Freigabe außerhalb Ihrer Organisation | Ihre IdP-Einstellungen lassen sich vom Schlüsseldienst der Mitbearbeiter einfach und automatisiert abrufen. So werden alle Änderungen der Einstellungen berücksichtigt. |
Der externe Schlüsseldienst der Mitbearbeiter kann Ihre IdP-Einstellungen in der Admin-Konsole nicht abrufen. Sie müssen diese direkt an Mitbearbeiter weitergeben, bevor Sie verschlüsselte Dateien zum ersten Mal freigeben und jedes Mal, wenn Sie die IdP-Einstellungen ändern. |
Schritt 2: Client-IDs für CSE erstellen
Abschnitt öffnen | Alle minimieren
Sie müssen eine Client-ID erstellen und Weiterleitungs-URIs für unterstützte Google Workspace-Webanwendungen hinzufügen. Eine Liste der unterstützten Apps finden Sie weiter oben auf dieser Seite unter Unterstützte Web-, Computer- und mobile Apps.
Wie Sie eine Client-ID für Webanwendungen erstellen, hängt davon ab, ob Sie einen externen Identitätsanbieter oder die Google-Identität verwenden.
Wenn Sie einen Gast-IdP konfigurieren: Sie müssen eine zusätzliche Client-ID für den Google Meet-Zugriff erstellen, die zur Bestätigung verwendet wird, dass der Gast zur Besprechung eingeladen wurde. Weitere Informationen finden Sie unter Gast-IdP konfigurieren.
Wenn Sie einen externen Identitätsanbieter für die clientseitige Verschlüsselung verwenden
Erstellen Sie eine Client-ID über die Admin-Konsole Ihres Identitätsanbieters. Außerdem müssen Sie der Admin-Konsole Ihres IdP die folgenden Weiterleitungs-URIs hinzufügen:
Webdienste:
https://client-side-encryption.google.com/callbackhttps://client-side-encryption.google.com/oidc/cse/callbackhttps://client-side-encryption.google.com/oidc/drive/callbackhttps://client-side-encryption.google.com/oidc/gmail/callbackhttps://client-side-encryption.google.com/oidc/meet/callbackhttps://client-side-encryption.google.com/oidc/calendar/callbackhttps://client-side-encryption.google.com/oidc/docs/callbackhttps://client-side-encryption.google.com/oidc/sheets/callbackhttps://client-side-encryption.google.com/oidc/slides/callback
Drive for Desktop:
http://localhost
Android- und iOS-Apps:
https://client-side-encryption.google.com/oidc/gmail/native/callbackhttps://client-side-encryption.google.com/oidc/meet/native/callbackhttps://client-side-encryption.google.com/oidc/calendar/native/callbackhttps://client-side-encryption.google.com/oidc/drive/native/callbackhttps://client-side-encryption.google.com/oidc/gmail/meet/native/callback
Wenn Sie die Google-Identität für CSE verwenden
Sie müssen eine Client-ID in der Google Cloud Console erstellen. Sie fügen sie in Ihrer .well-known/cse-Konfigurationsdatei oder in der Admin-Konsole hinzu. Außerdem richten Sie die JavaScript-Quellen ein (auch Cross-Origin Resource Sharing oder CORS genannt) und fügen Weiterleitungs-URIs hinzu.
- Rufen Sie console.cloud.google.com auf.
- Erstellen Sie ein neues Google Cloud-Projekt. Eine Anleitung dazu finden Sie hier.
Richten Sie das Projekt beliebig ein. Es dient lediglich zur Speicherung der Anmeldedaten.
- Gehen Sie in der Console zum Dreistrich-Menü
APIs und Dienste
- Erstellen Sie eine OAuth-Client-ID für eine neue Webanwendung, die Sie mit der clientseitigen Verschlüsselung verwenden. Eine vollständige Anleitung dazu finden Sie hier.
- Geben Sie unter JavaScript-Quellen Folgendes ein:
https://admin.google.comhttps://client-side-encryption.google.com
- Geben Sie unter Autorisierte Weiterleitungs-URIs Folgendes ein:
Webdienste:
https://client-side-encryption.google.com/callbackhttps://client-side-encryption.google.com/oidc/cse/callbackhttps://client-side-encryption.google.com/oidc/drive/callbackhttps://client-side-encryption.google.com/oidc/gmail/callbackhttps://client-side-encryption.google.com/oidc/meet/callbackhttps://client-side-encryption.google.com/oidc/calendar/callbackhttps://client-side-encryption.google.com/oidc/docs/callbackhttps://client-side-encryption.google.com/oidc/sheets/callbackhttps://client-side-encryption.google.com/oidc/slides/callback
Drive for Desktop:
http://localhostAndroid- und iOS-Apps:
Für mobile Android- und iOS-Apps ist keine zusätzliche Konfiguration erforderlich.
Eine OAuth-Client-ID wird erstellt. Speichern Sie diese ID, damit Sie sie Ihrer .well-known/cse-Konfigurationsdatei oder der Admin-Konsole hinzufügen können.
Wenn Sie möchten, dass Ihre Nutzer die clientseitige Verschlüsselung mit Desktop- und mobilen Anwendungen verwenden, benötigen Sie Client-IDs für diese Apps. Sie fügen sie Ihrer .well-known/cse-Konfigurationsdatei oder der Admin-Konsole hinzu. Möglicherweise müssen Sie die Client-IDs auch der Konfiguration Ihres Schlüsseldienstes hinzufügen. Weitere Informationen finden Sie in der Dokumentation Ihres Schlüsseldienstes.
Für jede mobile App benötigen Sie eine Client-ID für jede Plattform (Android und iOS). Eine Liste der unterstützten Apps finden Sie weiter oben auf dieser Seite unter Unterstützte Web-, Computer- und mobile Apps.
Wie Sie Client-IDs für Desktop- und mobile Anwendungen erhalten, hängt davon ab, ob Sie einen externen Identitätsanbieter oder die Google-Identität verwenden.
Hinweis: Diese Client-IDs müssen den Berechtigungstyp authorization_code für PKCE (RFC 7636) unterstützen.
Wenn Sie einen externen Identitätsanbieter für die clientseitige Verschlüsselung verwenden
Generieren Sie über die Admin-Konsole Ihres Identitätsanbieters eine separate Client-ID für jede App.
Wenn Sie die Google-Identität für die clientseitige Verschlüsselung verwenden
Verwenden Sie die folgenden Client-IDs:
- Drive for Desktop: Verwenden Sie die Client-ID
947318989803-k88lapdik9bledfml8rr69ic6d3rdv57.apps.googleusercontent.com - Drive unter Android: Verwenden Sie die Client-ID
313892590415-6lbccuf47cou4q45vanraqp3fv5jt9do.apps.googleusercontent.com - Drive unter iOS: Verwenden Sie die Client-ID
313892590415-d3h1l7kl4htab916r6jevqdtu8bfmh9m.apps.googleusercontent.com - Kalender auf Android-Geräten: Verwenden Sie die Client-ID
313892590415-q84luo8fon5pn5vl8a6rppo1qvcd3qvn.apps.googleusercontent.com - Kalender auf iOS-Geräten: Verwenden Sie die Client-ID
313892590415-283b3nilr8561tedgu1n4dcm9hd6g3hr.apps.googleusercontent.com - Gmail unter Android: Verwenden Sie die Client-ID
313892590415-samhd32i4piankgs42o9sit5e9dug452.apps.googleusercontent.com - Gmail unter iOS: Verwenden Sie die Client-ID
313892590415-ijvjpbnsh0gauuunjgsdn64ngg37k6rc.apps.googleusercontent.com - Meet unter Android: Verwenden Sie die Client-ID
313892590415-i06v47su4k03ns7ot38akv7s9ari5oa5.apps.googleusercontent.com - Meet unter iOS: Verwenden Sie die Client-ID
313892590415-32ha2bvs0tr1b12s089i33o58hjvqt55.apps.googleusercontent.com.
Schritt 3: IdP-Verbindung für die clientseitige Verschlüsselung herstellen
Sie können Google Workspace über eine .well-known-Datei oder über die Admin-Konsole mit Ihrem IdP verbinden. Nachdem Sie die Verbindung hergestellt haben, müssen Sie den IdP in der Admin-Konsole auf die Zulassungsliste setzen.
Hinweis: Wenn Sie einen Gast-IdP konfigurieren, müssen Sie die Admin-Konsole verwenden.
Option 1: IdP-Verbindung über eine .well-known-Datei herstellen
Bei der Einrichtung des IdP (extern oder Google-Identität) mit dieser Option müssen Sie der öffentlichen Website Ihrer Organisation eine .well-known-Datei hinzufügen. Diese Datei enthält die Information, welchen IdP Sie verwenden, sowie die IdP-Einstellungen zum Abrufen für Ihre externen Mitbearbeiter.
Abschnitt öffnen | Alle minimieren
Sie müssen Ihre IdP-Konfiguration unter diesem URI in Ihrer Domain ablegen:
https://cse.subdomain.domain.tld/.well-known/cse-configuration
Dabei muss subdomain.domain.tld der Domain in Ihrer E-Mail-Adresse entsprechen. Wenn die Domain in Ihrer E-Mail-Adresse beispielsweise solarmora.com lautet, müssen Sie folgenden Pfad für die .well-known-Datei verwenden:
https://cse.solarmora.com/.well-known/cse-configuration
Hinweis: Das Präfix https://cse. ist erforderlich, da der .well-known-URI nicht beim IETF (RFC 8615) registriert ist.
Der Inhalt der .well-known-Datei unter „well-known/cse-configuration“ muss JSON-codiert sein (RFC 8259) und die folgenden Felder enthalten:
| Feld | Beschreibung |
|---|---|
|
|
Der Name des IdP – Sie können einen beliebigen Namen verwenden. Der Name wird Nutzern in Fehlermeldungen des Identitätsanbieters in Google-Diensten wie Google Drive und den Docs-Editoren angezeigt. |
|
|
Die OIDC-Client-ID (OpenID Connect), die von der Clientwebanwendung verwendet wird, um ein JSON Web Token (JWT) zu erhalten. Wenn Sie eine Client-ID erstellen, fügen Sie auch Weiterleitungs-URIs in der Google Cloud Console hinzu. Weitere Informationen zum Erstellen einer Client-ID finden Sie weiter oben auf dieser Seite im Abschnitt Client-ID für Webanwendungen erstellen. |
discovery_uri |
Die OIDC-Erkennungs-URL gemäß dieser OpenID-Spezifikation. |
|
Wenn Sie einen externen Identitätsanbieter verwenden Diese URL wird von Ihrem IdP bereitgestellt und endet normalerweise auf |
|
|
Wenn Sie die Google-Identität verwenden Verwenden Sie |
|
grant_type |
Der für OIDC mit CSE-Clientwebanwendungen verwendete OAuth-Ablauf |
|
Wenn Sie einen externen Identitätsanbieter verwenden Sie können für CSE-Webanwendungen entweder den Berechtigungstyp |
|
|
Wenn Sie die Google-Identität verwenden Für Webanwendungen kann nur der Berechtigungstyp |
|
|
|
Die zusätzlichen Clientanwendungen, mit denen Sie die clientseitige Verschlüsselung verwenden möchten. Sie müssen Ihrer .well-known-Datei eine Client-ID für jede Anwendung hinzufügen. Hinweis: Diese Client-IDs müssen den Berechtigungstyp Weitere Informationen zum Erstellen von Client-IDs finden Sie weiter oben auf dieser Seite im Abschnitt Client-ID für Desktop- und mobile Anwendungen erstellen. |
Bei Verwendung eines externen Identitätsanbieters muss die .well-known-Datei so aussehen:
{
"name" : "Name Ihres IdP",
"client_id" : "ID des IdP",
"discovery_uri" : "https://mein_idp.com/.well-known/openid-configuration",
"applications":{
"drivefs":{
"client_id": "IdP-ID"
},
"drive-android": {
"client_id": "IdP-ID"
},
"drive-ios": {
"client_id": "IdP-ID"
},
"calendar-android": {
"client_id": "IdP-ID"
},
"calendar-ios": {
"client_id": "IdP-ID"
},
"gmail-android": {
"client_id": "IdP-ID"
},
"gmail-ios": {
"client_id": "IdP-ID"
},
"meet-android": {
"client_id": "IdP-ID"
},
"meet-ios": {
"client_id": "IdP-ID"
}
}
}
Bei Verwendung der Google-Identität muss die .well-known-Datei so aussehen:
{
"name" : "Google Identity",
"client_id" : "ID von Google Cloud (oben erstellt)",
"discovery_uri" : "https://accounts.google.com/.well-known/openid-configuration",
"applications":{
"drivefs":{
"client_id": "947318989803-k88lapdik9bledfml8rr69ic6d3rdv57.apps.googleusercontent.com"
},
"drive-android":{
"client_id": "313892590415-6lbccuf47cou4q45vanraqp3fv5jt9do.apps.googleusercontent.com"
},
"drive-ios":{
"client_id": "313892590415-d3h1l7kl4htab916r6jevqdtu8bfmh9m.apps.googleusercontent.com"
},
"calendar-android":{
"client_id": "313892590415-q84luo8fon5pn5vl8a6rppo1qvcd3qvn.apps.googleusercontent.com"
},
"calendar-ios":{
"client_id": "313892590415-283b3nilr8561tedgu1n4dcm9hd6g3hr.apps.googleusercontent.com"
},
"gmail-android":{
"client_id": "313892590415-samhd32i4piankgs42o9sit5e9dug452.apps.googleusercontent.com"
},
"gmail-ios":{
"client_id": "313892590415-ijvjpbnsh0gauuunjgsdn64ngg37k6rc.apps.googleusercontent.com"
},
"meet-android":{
"client_id": "313892590415-i06v47su4k03ns7ot38akv7s9ari5oa5.apps.googleusercontent.com"
},
"meet-ios":{
"client_id": "313892590415-32ha2bvs0tr1b12s089i33o58hjvqt55.apps.googleusercontent.com"
}
}
}
Wenn Sie die Google-Identität für Ihren Identitätsanbieter verwenden, richten Sie beim Erstellen Ihrer Client-ID in der Google Cloud Console CORS ein. Weitere Informationen finden Sie weiter oben auf dieser Seite im Abschnitt Client-ID für Webanwendungen erstellen.
Wenn Sie einen externen Identitätsanbieter verwenden, müssen die Konfigurationen „.well-known/openid-configuration“ und „.well-known/cse-configuration“ Ursprungs-URLs für CORS-Anrufe (Cross-Origin Resource Sharing) zulassen. Richten Sie in der Admin-Konsole Ihres IdP die Konfigurationen so ein:
.well-known/openid-configuration (Erkennungs-URI)
- Methoden: GET
- Zulässige Ursprünge:
https://admin.google.comhttps://client-side-encryption.google.com
.well-known/cse-configuration
- Methoden: GET
- Zulässige Ursprünge:
https://admin.google.comhttps://client-side-encryption.google.com
Option 2: IdP-Verbindung über die Admin-Konsole herstellen
Abschnitt öffnen | Alle minimieren
Um über die Admin-Konsole eine Verbindung zu Ihrem IdP herzustellen, benötigen Sie die folgenden Informationen zu Ihrem IdP:
| Name Ihres IdP | Weitere Informationen finden Sie oben im Abschnitt .well-known-Datei konfigurieren. |
| Client-ID für Webanwendungen | Weitere Informationen finden Sie weiter oben auf dieser Seite im Abschnitt Client-ID für Webanwendungen erstellen. |
| Erkennungs-URI | Weitere Informationen finden Sie oben im Abschnitt .well-known-Datei konfigurieren. |
| Client-IDs für Desktop- und mobile Apps (optional) | Weitere Informationen finden Sie weiter oben auf dieser Seite unter Client-IDs für Desktop- und mobile Anwendungen erstellen. |
Wenn Sie die Google-Identität verwenden, richten Sie beim Erstellen Ihrer Client-ID in der Google Cloud Console Cross-Origin Resource Sharing (CORS) ein. Weitere Informationen finden Sie weiter oben auf dieser Seite im Abschnitt Client-ID für Webanwendungen erstellen.
Wenn Sie einen externen Identitätsanbieter verwenden, konfigurieren Sie in der Admin-Konsole Ihres IdP den Erkennungs-URI so, dass Ursprungs-URLs für CORS-Aufrufe (Cross-Origin Resource Sharing) zugelassen werden:
- Methode: GET
- Zulässige Ursprünge:
https://admin.google.comhttps://client-side-encryption.google.com
Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.
-
Melden Sie sich mit einem Super Admin-Konto in Admin-Konsole an.
Wenn Sie kein Super Admin-Konto verwenden, können Sie diese Schritte nicht ausführen.
- Klicken Sie auf das Dreistrich-Menü
Daten > Compliance > Clientseitige Verschlüsselung.
Hinweis: Unter Konfiguration des Identitätsanbieters wird eine Meldung angezeigt, dass Google Workspace nicht auf Ihre .well-known-Datei zugreifen kann. Da Sie die IdP-Verbindung über die Admin-Konsole herstellen, können Sie diese Meldung ignorieren.
- Klicken Sie unter Konfiguration des Identitätsanbieters auf IdP-Fallback konfigurieren.
Wenn Sie einen Gast-IdP konfigurieren, klicken Sie auf Gast-IdP konfigurieren.
- Geben Sie die folgenden Informationen zu Ihrem IdP ein:
- Name
- Client-ID (für Webanwendungen)
- Erkennungs-URI
-
Klicken Sie auf Test connection (Verbindung testen).
Wenn Google Workspace eine Verbindung zum IdP herstellen kann, wird die Meldung „Verbindung erfolgreich“ angezeigt.
- Wenn Sie einen Gast-IdP konfigurieren: Klicken Sie auf Weiter und wählen Sie dann die Web-Apps aus, für die Sie Gastzugriff gewähren möchten.
Wenn Sie Gastzugriff für Google Meet (Web) ermöglichen möchten, geben Sie auch die Client-ID für die Bestätigung der Gästeeinladung ein.
Klicken Sie dann auf Speichern, um die Karte zu schließen.
- Optional: So verwenden Sie die clientseitige Verschlüsselung mit bestimmten Anwendungen:
- Wählen Sie unter Authentifizierung für Desktop- und mobile Apps von Google (optional) die Anwendungen aus, für die Sie die clientseitige Verschlüsselung nutzen möchten.
- Geben Sie unter Client-ID die Client-ID für die Anwendung ein.
- Klicken Sie auf Anbieter hinzufügen, um die Karte zu schließen.
Schritt 4 (nur bei externen Identitätsanbietern): Identitätsanbieter in der Admin-Konsole auf die Zulassungsliste setzen
Nächster Schritt
Nachdem Sie Ihren IdP eingerichtet haben, können Sie Ihren Schlüsseldienst einrichten.
