Unterstützte Versionen für diese Funktion: Enterprise Plus; Education Standard und Education Plus. G Suite-Versionen vergleichen
Nachdem Sie den externen Schlüsseldienst für die clientseitige Verschlüsselung (Client-side Encryption, CSE) in Google Workspace ausgewählt haben, müssen Sie Google Workspace mit einem Identitätsanbieter (Identity Provider, IdP) verbinden, entweder einem externen Identitätsanbieter oder einer Google-Identität. Der Verschlüsselungsschlüsseldienst, der Inhalte verschlüsselt, nutzt Ihren IdP, um Nutzer zu authentifizieren, bevor sie Inhalte verschlüsseln oder auf verschlüsselte Inhalte zugreifen können.
Hinweis:Nachdem Sie Ihren IdP konfiguriert haben, können Sie einen Gast-IdP konfigurieren, um den externen Zugriff auf clientseitig verschlüsselte Inhalte Ihrer Organisation zu ermöglichen. Weitere Informationen finden Sie im Hilfeartikel Gast-IdP konfigurieren.
Hinweise
Wählen Sie die Schlüsseldienste für die Verschlüsselung aus, die Sie mit der clientseitigen Verschlüsselung verwenden möchten. Weitere Informationen finden Sie im Hilfeartikel Externen Schlüsseldienst auswählen.
Schritt 1: IdP-Verbindung planen
Abschnitt öffnen | Alle minimieren
Über Ihre IdP-Verbindung können Sie die clientseitige Verschlüsselung für alle unterstützten Google Workspace-Webanwendungen einrichten:
- Google Drive
- Google Docs
- Google Tabellen
- Google Präsentationen
- Gmail
- Google Kalender
- Google Meet (Audio-, Video- und Chatnachrichten)
Über die ldP-Verbindung können Sie die clientseitige Verschlüsselung für die folgenden Desktop- und mobilen Anwendungen einrichten:
Wenn Sie einen Verschlüsselungsschlüsseldienst mit CSE verwenden möchten, benötigen Sie einen Identitätsanbieter (Identity Provider, IdP), der den OIDC-Standard (OpenID Connect) unterstützt. Wenn Sie noch keinen OIDC-IdP mit Google Workspace verwenden, haben Sie zwei Möglichkeiten, ihn zur Verwendung mit Ihrem Schlüsseldienst einzurichten:
Option 1: Externen Identitätsanbieter verwenden (empfohlen)
Verwenden Sie einen OIDC-Drittanbieter-IdP, wenn Ihr Sicherheitsmodell eine stärkere Isolierung Ihrer verschlüsselten Daten von Google erfordert.
Wenn Sie bereits einen externen Identitätsanbieter für die SAML-basierte Einmalanmeldung (SSO) verwenden: Es empfiehlt sich, denselben IdP für die clientseitige Verschlüsselung zu verwenden, den Sie für den Zugriff auf Google Workspace-Dienste verwenden, wenn dieser IdP OIDC unterstützt. Weitere Informationen zur Verwendung der SAML-basierten SSO mit Google Workspace
Option 2: Google-Identität verwenden
Wenn gemäß Ihrem Sicherheitsmodell keine zusätzliche Isolierung der verschlüsselten Daten von Google erforderlich ist, können Sie die standardmäßige Google-Identität als IdP verwenden.
Wenn Sie einen externen Identitätsanbieter für die clientseitige Verschlüsselung verwenden, wird empfohlen, Drittanbieter-Cookies von Ihrem Identitätsanbieter in den Browsern Ihrer Nutzer zuzulassen. Andernfalls müssen sich Nutzer möglicherweise häufiger bei Ihrem IdP anmelden, wenn sie die clientseitige Verschlüsselung verwenden.
- Wenn Ihre Organisation Chrome Enterprise verwendet, können Sie die Richtlinie CookiesAllowedForUrls verwenden.
- Andere Browser: Lesen Sie in der Hilfe des jeweiligen Browsers nach, wie Sie Drittanbieter-Cookies zulassen können.
Sie können Ihren IdP (Drittanbieter oder Google-Identität) entweder mit einer .well-known-Datei einrichten, die Sie auf der Website Ihrer Organisation hosten, oder über die Admin-Konsole (Ihr IdP-Fallback). In der folgenden Tabelle finden Sie Hinweise zu den einzelnen Methoden.
Hinweis:Wenn Sie einen Gast-IdP konfigurieren, müssen Sie die Admin-Konsole verwenden.
Hinweise | .well-known-Datei | Admin-Konsole (IdP-Fallback) |
---|---|---|
Isolierung von Google | Die IdP-Einstellungen werden auf Ihrem eigenen Server gespeichert. | Die IdP-Einstellungen werden auf Servern von Google gespeichert. |
Zuständigkeiten der Administratoren | Ein Webmaster kann Ihre Einrichtung anstelle eines Google Workspace-Super Admins verwalten. | Nur ein Google Workspace-Super Admin kann die IdP-Einrichtung verwalten. |
Verfügbarkeit der clientseitigen Verschlüsselung | Die Verfügbarkeit der clientseitigen Verschlüsselung hängt von der Verfügbarkeit des Servers ab, auf dem die .well-known-Datei gehostet wird. | Die Verfügbarkeit der clientseitigen Verschlüsselung entspricht der allgemeinen Verfügbarkeit der Google Workspace-Dienste. |
Einrichtungsaufwand | Die DNS-Einstellungen für Ihren Server müssen außerhalb der Admin-Konsole geändert werden. | Sie können die Einstellungen in der Admin-Konsole festlegen. |
Freigabe außerhalb Ihrer Organisation | Ihre IdP-Einstellungen lassen sich vom Schlüsseldienst der Mitbearbeiter einfach und automatisiert abrufen. So werden alle Änderungen der Einstellungen berücksichtigt. |
Der externe Schlüsseldienst der Mitbearbeiter kann Ihre IdP-Einstellungen in der Admin-Konsole nicht abrufen. Sie müssen diese direkt an Mitbearbeiter weitergeben, bevor Sie verschlüsselte Dateien zum ersten Mal freigeben und jedes Mal, wenn Sie die IdP-Einstellungen ändern. |
Schritt 2: Client-IDs für die clientseitige Verschlüsselung erstellen
Abschnitt öffnen | Alle minimieren
Sie müssen für unterstützte Google Workspace-Webanwendungen eine Client-ID erstellen und Weiterleitungs-URIs hinzufügen. Eine Liste der unterstützten Apps finden Sie weiter oben auf dieser Seite unter Unterstützte Web-, Desktop- und mobile Apps.
Wie Sie eine Client-ID für Webanwendungen erstellen, hängt davon ab, ob Sie einen externen Identitätsanbieter oder eine Google-Identität verwenden.
Hinweis: Wenn Sie einen Gast-IdP konfigurieren, müssen Sie eine zusätzliche Client-ID für den Google Meet-Zugriff erstellen, die zur Bestätigung verwendet wird, dass der Gast zur Besprechung eingeladen wurde. Weitere Informationen finden Sie unter Gast-IdP konfigurieren.
Wenn Sie einen externen Identitätsanbieter für die clientseitige Verschlüsselung verwenden
Erstellen Sie über die Admin-Konsole Ihres IdP eine Client-ID. Außerdem müssen Sie der Admin-Konsole Ihres IdP die folgenden Weiterleitungs-URIs hinzufügen:
Webdienste:
https://client-side-encryption.google.com/callback
https://client-side-encryption.google.com/oidc/cse/callback
https://client-side-encryption.google.com/oidc/drive/callback
https://client-side-encryption.google.com/oidc/gmail/callback
https://client-side-encryption.google.com/oidc/meet/callback
https://client-side-encryption.google.com/oidc/calendar/callback
https://client-side-encryption.google.com/oidc/docs/callback
https://client-side-encryption.google.com/oidc/sheets/callback
https://client-side-encryption.google.com/oidc/slides/callback
Drive for Desktop:
http://localhost
Android- und iOS-Apps:
https://client-side-encryption.google.com/oidc/gmail/native/callback
https://client-side-encryption.google.com/oidc/meet/native/callback
https://client-side-encryption.google.com/oidc/calendar/native/callback
https://client-side-encryption.google.com/oidc/drive/native/callback
https://client-side-encryption.google.com/oidc/gmail/meet/native/callback
Wenn Sie die Google-Identität für die clientseitige Verschlüsselung verwenden
Sie müssen eine Client-ID in der Google Cloud Console erstellen. Außerdem richten Sie die JavaScript-Quellen ein (auch Cross-Origin Resource Sharing oder CORS genannt) und fügen Weiterleitungs-URIs hinzu.
- Rufen Sie console.cloud.google.com auf.
- Erstellen Sie ein neues Google Cloud-Projekt. Eine Anleitung dazu finden Sie hier.
Richten Sie das Projekt beliebig ein. Es dient lediglich zur Speicherung der Anmeldedaten.
- Gehen Sie in der Console zum Dreistrich-Menü APIs und DiensteAnmeldedaten.
- Erstellen Sie eine OAuth-Client-ID für eine neue Webanwendung, die Sie mit der clientseitigen Verschlüsselung verwenden. Eine vollständige Anleitung dazu finden Sie hier.
- Geben Sie unter JavaScript-Quellen Folgendes ein:
https://admin.google.com
https://client-side-encryption.google.com
- Geben Sie unter Autorisierte Weiterleitungs-URIs Folgendes ein:
Webdienste:
https://client-side-encryption.google.com/callback
https://client-side-encryption.google.com/oidc/cse/callback
https://client-side-encryption.google.com/oidc/drive/callback
https://client-side-encryption.google.com/oidc/gmail/callback
https://client-side-encryption.google.com/oidc/meet/callback
https://client-side-encryption.google.com/oidc/calendar/callback
https://client-side-encryption.google.com/oidc/docs/callback
https://client-side-encryption.google.com/oidc/sheets/callback
https://client-side-encryption.google.com/oidc/slides/callback
Drive for Desktop:
http://localhost
Android- und iOS-Apps:
Für mobile Android- und iOS-Apps ist keine zusätzliche Konfiguration erforderlich.
Eine OAuth-Client-ID wird erstellt. Speichern Sie diese ID, damit Sie sie für Ihre .well-known/cse-Konfigurationsdatei oder die Admin-Konsole verwenden können.
Wenn Sie möchten, dass Ihre Nutzer die clientseitige Verschlüsselung mit Desktop- und mobilen Anwendungen verwenden, benötigen Sie Client-IDs für diese Apps. Für jede mobile App benötigen Sie eine Client-ID für jede Plattform (Android und iOS). Eine Liste der unterstützten Apps finden Sie weiter oben auf dieser Seite unter Unterstützte Web-, Desktop- und mobile Apps.
Wie Sie Client-IDs für Desktop- und mobile Anwendungen erhalten, hängt davon ab, ob Sie einen externen IdP oder eine Google-Identität verwenden.
Hinweis: Diese Client-IDs müssen den Berechtigungstyp authorization_code
für PKCE (RFC 7636) unterstützen.
Wenn Sie einen externen Identitätsanbieter für die clientseitige Verschlüsselung verwenden
Generieren Sie über die Admin-Konsole Ihres IdP eine separate Client-ID für jede Anwendung.
Wenn Sie die Google-Identität für die clientseitige Verschlüsselung verwenden
Verwenden Sie die folgenden Client-IDs:
- Drive for Desktop: Verwenden Sie die Client-ID
947318989803-k88lapdik9bledfml8rr69ic6d3rdv57.apps.googleusercontent.com
- Drive unter Android: Verwenden Sie die Client-ID
313892590415-6lbccuf47cou4q45vanraqp3fv5jt9do.apps.googleusercontent.com
- Drive unter iOS: Verwenden Sie die Client-ID
313892590415-d3h1l7kl4htab916r6jevqdtu8bfmh9m.apps.googleusercontent.com
- Kalender auf Android-Geräten: Verwenden Sie die Client-ID
313892590415-q84luo8fon5pn5vl8a6rppo1qvcd3qvn.apps.googleusercontent.com
- Kalender auf iOS-Geräten: Verwenden Sie die Client-ID
313892590415-283b3nilr8561tedgu1n4dcm9hd6g3hr.apps.googleusercontent.com
- Gmail unter Android: Verwenden Sie die Client-ID
313892590415-samhd32i4piankgs42o9sit5e9dug452.apps.googleusercontent.com
- Gmail unter iOS: Verwenden Sie die Client-ID
313892590415-ijvjpbnsh0gauuunjgsdn64ngg37k6rc.apps.googleusercontent.com
- Meet unter Android: Verwenden Sie die Client-ID
313892590415-i06v47su4k03ns7ot38akv7s9ari5oa5.apps.googleusercontent.com
- Meet unter iOS: Verwenden Sie die Client-ID
313892590415-32ha2bvs0tr1b12s089i33o58hjvqt55.apps.googleusercontent.com
.
Schritt 3: Verbindung zum IdP für die clientseitige Verschlüsselung herstellen
Sie können Google Workspace über eine .well-known-Datei oder über die Admin-Konsole mit Ihrem IdP verbinden. Nachdem Sie die Verbindung hergestellt haben, müssen Sie den IdP in der Admin-Konsole auf die Zulassungsliste setzen.
Hinweis:Wenn Sie einen Gast-IdP konfigurieren, müssen Sie die Admin-Konsole verwenden.
Option 1: IdP-Verbindung über eine .well-known-Datei herstellen
Wenn Sie Ihren externen oder Google-IdP für diese Option einrichten möchten, müssen Sie eine .well-known-Datei auf der öffentlichen Website Ihrer Organisation platzieren. Diese Datei enthält die Information, welchen IdP Sie verwenden, sowie die IdP-Einstellungen zum Abrufen für Ihre externen Mitbearbeiter.
Abschnitt öffnen | Alle minimieren
Sie müssen Ihre IdP-Konfiguration unter diesem URI in Ihrer Domain ablegen:
https://cse.subdomain.domain.tld/.well-known/cse-configuration
Dabei muss subdomain.domain.tld der Domain in Ihrer E-Mail-Adresse entsprechen. Wenn die Domain in Ihrer E-Mail-Adresse beispielsweise solarmora.com lautet, müssen Sie folgenden Pfad für die .well-known-Datei verwenden:
https://cse.solarmora.com/.well-known/cse-configuration
Hinweis: Das Präfix https://cse. ist erforderlich, da der .well-known-URI nicht beim IETF (RFC 8615) registriert ist.
Der Inhalt der .well-known-Datei unter „well-known/cse-configuration“ muss JSON-codiert sein (RFC 8259) und die folgenden Felder enthalten:
Feld | Beschreibung |
---|---|
|
Der Name des IdP – Sie können einen beliebigen Namen verwenden. Dieser Name wird in IdP-Fehlermeldungen für Nutzer in Google-Diensten wie Google Drive und den Docs-Editoren angezeigt. |
|
Die OIDC-Client-ID (OpenID Connect), die von der Clientwebanwendung verwendet wird, um ein JSON Web Token (JWT) zu erhalten. Beim Erstellen einer Client-ID fügen Sie in der Google Cloud Console auch Weiterleitungs-URIs hinzu. Weitere Informationen zum Erstellen einer Client-ID finden Sie weiter oben auf dieser Seite unter Client-ID für Webanwendungen erstellen. |
discovery_uri |
Die OIDC-Erkennungs-URL gemäß dieser OpenID-Spezifikation. |
Wenn Sie einen externen Identitätsanbieter verwenden Diese URL, die normalerweise auf |
|
Wenn Sie die Google-Identität verwenden Verwenden Sie |
|
grant_type |
Der für OIDC mit CSE-Client-Webanwendungen verwendete OAuth-Ablauf |
Wenn Sie einen externen Identitätsanbieter verwenden Sie können für CSE-Webanwendungen entweder den Berechtigungstyp |
|
Wenn Sie die Google-Identität verwenden Für Webanwendungen kann nur der Berechtigungstyp |
|
|
Die zusätzlichen Clientanwendungen, mit denen Sie die clientseitige Verschlüsselung verwenden möchten. Sie müssen Ihrer .well-known-Datei eine Client-ID für jede Anwendung hinzufügen. Hinweis: Diese Client-IDs müssen den Berechtigungstyp Weitere Informationen zum Erstellen von Client-IDs finden Sie weiter oben auf dieser Seite unter Client-ID für Desktop- und mobile Apps erstellen. |
Bei Verwendung eines externen Identitätsanbieters muss die .well-known-Datei so aussehen:
{
"name" : "Name Ihres IdP",
"client_id" : "ID des IdP",
"discovery_uri" : "https://mein_idp.com/.well-known/openid-configuration",
"applications":{
"drivefs":{
"client_id": "IdP-ID"
},
"drive-android": {
"client_id": "IdP-ID"
},
"drive-ios": {
"client_id": "IdP-ID"
},
"calendar-android": {
"client_id": "IdP-ID"
},
"calendar-ios": {
"client_id": "IdP-ID"
},
"gmail-android": {
"client_id": "IdP-ID"
},
"gmail-ios": {
"client_id": "IdP-ID"
},
"meet-android": {
"client_id": "IdP-ID"
},
"meet-ios": {
"client_id": "IdP-ID"
}
}
}
Bei Verwendung der Google-Identität muss die .well-known-Datei so aussehen:
{
"name" : "Google Identity",
"client_id" : "ID aus Google Cloud (oben erstellt)",
"discovery_uri" : "https://accounts.google.com/.well-known/openid-configuration",
"applications":{
"drivefs":{
"client_id": "947318989803-k88lapdik9bledfml8rr69ic6d3rdv57.apps.googleusercontent.com"
},
"drive-android":{
"client_id": "313892590415-6lbccuf47cou4q45vanraqp3fv5jt9do.apps.googleusercontent.com"
},
"drive-ios":{
"client_id": "313892590415-d3h1l7kl4htab916r6jevqdtu8bfmh9m.apps.googleusercontent.com"
},
"calendar-android":{
"client_id": "313892590415-q84luo8fon5pn5vl8a6rppo1qvcd3qvn.apps.googleusercontent.com"
},
"calendar-ios":{
"client_id": "313892590415-283b3nilr8561tedgu1n4dcm9hd6g3hr.apps.googleusercontent.com"
},
"gmail-android":{
"client_id": "313892590415-samhd32i4piankgs42o9sit5e9dug452.apps.googleusercontent.com"
},
"gmail-ios":{
"client_id": "313892590415-ijvjpbnsh0gauuunjgsdn64ngg37k6rc.apps.googleusercontent.com"
},
"meet-android":{
"client_id": "313892590415-i06v47su4k03ns7ot38akv7s9ari5oa5.apps.googleusercontent.com"
},
"meet-ios":{
"client_id": "313892590415-32ha2bvs0tr1b12s089i33o58hjvqt55.apps.googleusercontent.com"
}
}
}
Wenn Sie die Google-Identität als IdP verwenden:Richten Sie CORS in der Google Cloud Console ein, wenn Sie Ihre Client-ID erstellen. Weitere Informationen finden Sie weiter oben auf dieser Seite im Abschnitt Client-ID für Webanwendungen erstellen.
Wenn Sie einen externen Identitätsanbieter verwenden, müssen die Konfigurationen „.well-known/openid-configuration“ und „.well-known/cse-configuration“ Ursprungs-URLs für CORS-Anrufe (Cross-Origin Resource Sharing) zulassen. Richten Sie in der Admin-Konsole Ihres IdP die Konfigurationen so ein:
.well-known/openid-configuration (Erkennungs-URI)
- Methoden: GET
- Zulässige Ursprünge:
https://admin.google.com
https://client-side-encryption.google.com
.well-known/cse-configuration
- Methoden: GET
- Zulässige Ursprünge:
https://admin.google.com
https://client-side-encryption.google.com
Option 2: IdP über die Admin-Konsole verbinden
Abschnitt öffnen | Alle minimieren
Um über die Admin-Konsole eine Verbindung zu Ihrem IdP herzustellen, benötigen Sie die folgenden Informationen zu Ihrem IdP:
Name Ihres IdP | Weitere Informationen finden Sie weiter oben im Abschnitt .well-known-Datei konfigurieren. |
Client-ID für Webanwendungen | Weitere Informationen finden Sie weiter oben auf dieser Seite im Abschnitt Client-ID für Webanwendungen erstellen. |
Erkennungs-URI | Weitere Informationen finden Sie weiter oben im Abschnitt .well-known-Datei konfigurieren. |
Client-IDs für Desktop- und mobile Apps (optional) | Weitere Informationen finden Sie weiter oben auf dieser Seite im Abschnitt Client-IDs für Desktop- und mobile Apps erstellen. |
Wenn Sie die Google-Identität verwenden, richten Sie beim Erstellen Ihrer Client-ID in der Google Cloud Console Cross-Origin Resource Sharing (CORS) ein. Weitere Informationen finden Sie weiter oben auf dieser Seite im Abschnitt Client-ID für Webanwendungen erstellen.
Wenn Sie einen externen Identitätsanbieter verwenden, konfigurieren Sie in der Admin-Konsole Ihres IdP den Erkennungs-URI so, dass Ursprungs-URLs für CORS-Aufrufe (Cross-Origin Resource Sharing) zugelassen werden:
- Methode: GET
- Zulässige Ursprünge:
https://admin.google.com
https://client-side-encryption.google.com
Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.
-
Melden Sie sich in der Google Admin-Konsole an.
Verwenden Sie zur Anmeldung ein Konto mit Super Admin-Berechtigungen (endet nicht auf @gmail.com).
- Gehen Sie in der Admin-Konsole zu „Menü“ SicherheitZugriff und DatenkontrolleClientseitige Verschlüsselung.
Hinweis: Unter Konfiguration des Identitätsanbieters wird eine Meldung angezeigt, dass Google Workspace nicht auf Ihre .well-known-Datei zugreifen kann. Da Sie die IdP-Verbindung über die Admin-Konsole herstellen, können Sie diese Meldung ignorieren.
- Klicken Sie unter Konfiguration des Identitätsanbieters auf IdP-Fallback konfigurieren.
Wenn Sie einen Gast-IdP konfigurieren, klicken Sie auf Gast-IdP konfigurieren.
- Geben Sie die folgenden Informationen zu Ihrem IdP ein:
- Name
- Client-ID (für Webanwendungen)
- Erkennungs-URI
-
Klicken Sie auf Test connection (Verbindung testen).
Wenn Google Workspace eine Verbindung zum IdP herstellen kann, wird die Meldung „Verbindung erfolgreich“ angezeigt.
- Wenn Sie einen Gast-IdP konfigurieren: Klicken Sie auf Weiter und wählen Sie die Web-Apps aus, für die Sie den Gastzugriff gewähren möchten. Klicken Sie dann auf Speichern, um die Karte zu schließen.
Hinweis:Derzeit ist nur Google Meet verfügbar.
- Optional: So verwenden Sie die clientseitige Verschlüsselung mit bestimmten Anwendungen:
- Wählen Sie unter Authentifizierung für Desktop- und mobile Apps von Google (optional) die Anwendungen aus, für die Sie die clientseitige Verschlüsselung nutzen möchten.
- Geben Sie als Client-ID die Client-ID für die Anwendung an.
- Klicken Sie auf Anbieter hinzufügen, um die Karte zu schließen.
Schritt 4 (nur Drittanbieter-IdP): IdP auf die Zulassungsliste in der Admin-Konsole setzen
Nächster Schritt
Nachdem Sie Ihren IdP eingerichtet haben, können Sie den Schlüsselverschlüsselungsdienst einrichten.