Menghubungkan ke penyedia identitas Anda untuk enkripsi sisi klien

Edisi yang didukung untuk fitur ini: Enterprise Plus; Education Standard dan Education Plus. Bandingkan edisi

Setelah memilih layanan kunci enkripsi eksternaluntuk Google Workspace Enkripsi sisi klien (CSE), Anda perlu menghubungkan Google Workspace dengan penyedia identitas (IdP)—baik IdP pihak ketiga atau identitas Google. Layanan kunci enkripsi yang dipilih untuk mengenkripsi konten akan menggunakan IdP Anda untuk mengautentikasi pengguna sebelum pengguna dapat mengenkripsi konten atau mengakses konten terenkripsi.

Catatan: Setelah mengonfigurasi IdP, Anda dapat mengonfigurasi IdP tamu untuk mengizinkan akses eksternal ke konten terenkripsi sisi klien milik organisasi Anda. Untuk mengetahui detailnya, buka Mengonfigurasi IdP tamu.

Sebelum memulai

Pastikan Anda telah memilih layanan kunci enkripsi yang ingin digunakan dengan CSE. Untuk mengetahui detailnya, buka Memilih layanan kunci enkripsi eksternal.

Langkah 1: Rencanakan koneksi IdP Anda

Buka bagian  |  Ciutkan semua

Meninjau aplikasi web, desktop, dan seluler yang didukung

Dengan koneksi IdP, Anda dapat menyiapkan CSE untuk semua aplikasi web Google Workspace yang didukung:

  • Google Drive 
  • Google Dokumen
  • Google Spreadsheet
  • Google Slide
  • Gmail 
  • Google Kalender
  • Google Meet (pesan chat, audio, dan video)

Koneksi ldP juga memungkinkan Anda menyiapkan CSE untuk aplikasi desktop dan seluler berikut:

Memilih IdP Anda untuk CSE

Untuk menggunakan layanan kunci enkripsi dengan CSE, Anda memerlukan Penyedia Identitas (IdP) yang mendukung standar OpenID Connect (OIDC). Jika belum menggunakan IdP OIDC dengan Google Workspace, Anda dapat menyiapkan IdP Anda untuk digunakan dengan layanan kunci enkripsi melalui salah satu dari dua cara berikut:

Opsi 1: Menggunakan IdP pihak ketiga (direkomendasikan)

Gunakan IdP pihak ketiga OIDC jika model keamanan Anda mewajibkan isolasi data terenkripsi yang lebih luas dari Google.

Jika Anda sudah menggunakan IdP pihak ketiga untuk Single Sign-On (SSO) berbasis SAML: Sebaiknya gunakan IdP yang sama untuk CSE yang Anda gunakan untuk mengakses layanan Google Workspace, jika IdP tersebut mendukung OIDC. Pelajari lebih lanjut cara menggunakan SSO berbasis SAML dengan Google Workspace.

Opsi 2: Menggunakan identitas Google

Jika model keamanan Anda tidak mewajibkan isolasi data terenkripsi tambahan dari Google, Anda dapat menggunakan identitas Google default sebagai IdP. 

Khusus IdP pihak ketiga: Menyiapkan browser pengguna 

Jika menggunakan IdP pihak ketiga untuk CSE, sebaiknya Anda mengizinkan cookie pihak ketiga dari IdP di browser pengguna; jika tidak, pengguna mungkin perlu lebih sering login ke IdP Anda saat menggunakan CSE.

  • Jika organisasi Anda menggunakan Chrome Enterprise: Anda dapat menggunakan kebijakan CookiesAllowedForUrls .
  • Untuk browser lain: Periksa konten dukungan browser untuk mendapatkan petunjuk tentang cara mengizinkan cookie pihak ketiga.
Memilih cara menghubungkan ke IdP Anda untuk CSE

Anda dapat menyiapkan IdP—misalnya, IdP pihak ketiga atau identitas Google—menggunakan file .well-known yang dihosting di situs organisasi Anda atau konsol Admin (yang merupakan pengganti IdP Anda). Ada beberapa pertimbangan untuk setiap metode, seperti yang dijelaskan pada tabel di bawah.

Catatan: Jika mengonfigurasi IdP tamu, Anda harus menggunakan konsol Admin.

Pertimbangan Penyiapan file .well-known Penyiapan konsol Admin (pengganti IdP)
Isolasi dari Google Setelan IdP disimpan di server Anda sendiri. Setelan IdP disimpan di server Google.
Tanggung jawab admin Webmaster dapat mengelola penyiapan Anda, bukan Admin Super Google Workspace. Hanya Admin Super Google Workspace yang dapat mengelola penyiapan IdP Anda.
Ketersediaan CSE Ketersediaan CSE (waktu beroperasi) bergantung pada ketersediaan server yang menghosting file .well-known Anda. Ketersediaan CSE terkait dengan ketersediaan umum layanan Google Workspace.
Kemudahan penyiapan Memerlukan perubahan setelan DNS untuk server Anda, di luar konsol Admin. Mengonfigurasi setelan di konsol Admin.
Berbagi di luar organisasi Layanan kunci enkripsi eksternal milik kolaborator dapat dengan mudah mengakses setelan IdP Anda. Akses ini dapat diotomatiskan dan memastikan layanan milik kolaborator Anda memiliki akses langsung ke perubahan apa pun pada setelan IdP Anda.

Layanan kunci enkripsi eksternal milik kolaborator tidak dapat mengakses setelan IdP Anda di konsol Admin. Anda harus memberikan setelan IdP langsung ke kolaborator sebelum membagikan file terenkripsi untuk pertama kalinya, serta setiap kali Anda mengubah setelan IdP.

Langkah 2: Buat client ID untuk CSE

Buka bagian  |  Ciutkan semua

Membuat client ID untuk aplikasi web

Anda perlu membuat client ID dan menambahkan URI pengalihan untuk aplikasi web Google Workspace yang didukung. Untuk mengetahui daftar aplikasi yang didukung, buka Aplikasi web, desktop, dan seluler yang didukung di bagian sebelumnya di halaman ini.

Cara membuat client ID untuk aplikasi web tergantung pada apakah Anda menggunakan IDP pihak ketiga atau identitas Google.

Catatan: Jika mengonfigurasi IdP tamu, Anda harus membuat client ID tambahan untuk akses Google Meet, yang digunakan untuk memverifikasi bahwa tamu diundang ke rapat. Untuk mengetahui informasi selengkapnya, buka Mengonfigurasi IdP tamu.

Jika Anda menggunakan IdP pihak ketiga untuk CSE

Buat client ID menggunakan konsol admin IdP Anda. Anda juga perlu menambahkan URI pengalihan berikut ke konsol Admin IdP:

Layanan Web:

  • https://client-side-encryption.google.com/callback
  • https://client-side-encryption.google.com/oidc/cse/callback
  • https://client-side-encryption.google.com/oidc/drive/callback
  • https://client-side-encryption.google.com/oidc/gmail/callback
  • https://client-side-encryption.google.com/oidc/meet/callback
  • https://client-side-encryption.google.com/oidc/calendar/callback
  • https://client-side-encryption.google.com/oidc/docs/callback
  • https://client-side-encryption.google.com/oidc/sheets/callback
  • https://client-side-encryption.google.com/oidc/slides/callback

Drive untuk Desktop:

http://localhost

Aplikasi seluler Android dan iOS:

  • https://client-side-encryption.google.com/oidc/gmail/native/callback
  • https://client-side-encryption.google.com/oidc/meet/native/callback
  • https://client-side-encryption.google.com/oidc/calendar/native/callback
  • https://client-side-encryption.google.com/oidc/drive/native/callback
  • https://client-side-encryption.google.com/oidc/gmail/meet/native/callback

Jika Anda menggunakan identitas Google untuk CSE

Anda perlu membuat client ID di konsol Google Cloud. Anda juga akan menyiapkan origin JavaScript (juga disebut cross-origin resource sharing, atau CORS) dan menambahkan URI pengalihan.

  1. Buka console.cloud.google.com.
  2. Membuat project Google Cloud baru. Dapatkan petunjuk.

    Siapkan project sesuai keinginan Anda—tindakan ini hanya untuk menyimpan kredensial.

  3. Di konsol, buka Menu laluAPI & LayananlaluKredensial.
  4. Buat Client ID OAuth untuk aplikasi web baru yang akan Anda gunakan dengan CSE. Dapatkan petunjuk lengkap.
  5. Perbarui URL asal JavaScript dengan URL berikut:
    • https://admin.google.com
    • https://client-side-encryption.google.com
  6. Perbarui URI Pengalihan yang Diberi Otorisasi dengan URL berikut.

    Layanan web:

    • https://client-side-encryption.google.com/callback
    • https://client-side-encryption.google.com/oidc/cse/callback
    • https://client-side-encryption.google.com/oidc/drive/callback
    • https://client-side-encryption.google.com/oidc/gmail/callback
    • https://client-side-encryption.google.com/oidc/meet/callback
    • https://client-side-encryption.google.com/oidc/calendar/callback
    • https://client-side-encryption.google.com/oidc/docs/callback
    • https://client-side-encryption.google.com/oidc/sheets/callback
    • https://client-side-encryption.google.com/oidc/slides/callback

    Drive untuk Desktop:

    http://localhost

    Aplikasi seluler Android dan iOS:

    Tidak diperlukan konfigurasi tambahan untuk aplikasi seluler Android dan iOS.

Client ID OAuth telah dibuat. Simpan ID ini sehingga Anda dapat menggunakannya untuk file .well-known/cse-configuration Anda atau konsol Admin.

Membuat client ID untuk aplikasi desktop dan seluler

Jika Anda ingin agar pengguna menggunakan CSE dengan aplikasi desktop dan seluler, Anda memerlukan client ID untuk aplikasi tersebut. Untuk setiap aplikasi seluler, Anda memerlukan satu client ID untuk setiap platform (Android dan iOS). Untuk mengetahui daftar aplikasi yang didukung, buka Aplikasi web, desktop, dan seluler yang didukung di bagian sebelumnya di halaman ini.

Cara Anda mendapatkan client ID untuk aplikasi desktop dan seluler bergantung pada apakah Anda menggunakan IDP pihak ketiga atau identitas Google.

Catatan: Client ID ini harus mendukung jenis pemberian authorization_code untuk PKCE (RFC 7636).

Jika Anda akan menggunakan IdP pihak ketiga untuk CSE

Gunakan konsol admin IdP untuk membuat client ID terpisah bagi setiap aplikasi.

Jika Anda akan menggunakan identitas Google untuk CSE

Gunakan client ID berikut:

  • Drive untuk Desktop—Gunakan client ID 947318989803-k88lapdik9bledfml8rr69ic6d3rdv57.apps.googleusercontent.com
  • Drive di Android—Gunakan client ID 313892590415-6lbccuf47cou4q45vanraqp3fv5jt9do.apps.googleusercontent.com
  • Drive di iOS—Gunakan client ID 313892590415-d3h1l7kl4htab916r6jevqdtu8bfmh9m.apps.googleusercontent.com
  • Kalender di Android—Gunakan client ID 313892590415-q84luo8fon5pn5vl8a6rppo1qvcd3qvn.apps.googleusercontent.com
  • Kalender di iOS—Gunakan client ID 313892590415-283b3nilr8561tedgu1n4dcm9hd6g3hr.apps.googleusercontent.com
  • Gmail di Android—Gunakan client ID 313892590415-samhd32i4piankgs42o9sit5e9dug452.apps.googleusercontent.com
  • Gmail di iOS—Gunakan client ID 313892590415-ijvjpbnsh0gauuunjgsdn64ngg37k6rc.apps.googleusercontent.com
  • Meet di Android—Gunakan client ID 313892590415-i06v47su4k03ns7ot38akv7s9ari5oa5.apps.googleusercontent.com
  • Meet di iOS—Gunakan client ID 313892590415-32ha2bvs0tr1b12s089i33o58hjvqt55.apps.googleusercontent.com

Langkah 3: Hubungkan ke IdP Anda untuk CSE

Untuk menghubungkan Google Workspace ke penyedia identitas (IdP), Anda dapat menggunakan file .well-known atau konsol Admin. Setelah terhubung, Anda harus memasukkan IdP ke dalam daftar yang diizinkan di konsol Admin.

Catatan: Jika mengonfigurasi IdP tamu, Anda harus menggunakan konsol Admin.

Opsi 1: Untuk terhubung ke IdP menggunakan file .well-known

Untuk menyiapkan IdP pihak ketiga atau IdP Google dengan opsi ini, Anda perlu menempatkan file .well-known di situs publik milik organisasi Anda. File ini akan menetapkan IdP mana yang Anda gunakan dan memungkinkan kolaborator eksternal menemukan setelan IdP Anda.

Buka bagian  |  Ciutkan semua

Langkah 1: Tempatkan file .well-known di server Anda

Konfigurasi IdP Anda harus ditempatkan pada URI berikut di domain Anda:

https://cse.subdomain.domain.tld/.well-known/cse-configuration

di mana subdomain.domain.tld harus cocok dengan domain di alamat email Anda. Misalnya, jika domain di alamat email Anda adalah solarmora.com, Anda akan menempatkan file .well-known di:

https://cse.solarmora.com/.well-known/cse-configuration

Catatan: Awalan https://cse. wajib disertakan karena URI .well-known tidak terdaftar dengan IETF (RFC 8615).

Langkah 2: Konfigurasi file .well-known Anda

Konten file .well-known Anda, di konfigurasi cse/well known, harus dienkode JSON (RFC 8259) dan berisi kolom berikut:

Kolom Deskripsi

name

 Nama IdP—Anda dapat menggunakan nama apa pun yang Anda sukai. Nama ini muncul dalam pesan error IdP untuk pengguna di layanan Google, seperti Drive dan Editor Dokumen.

client_id

Client ID OpenID Connect (OIDC) yang digunakan aplikasi web klien CSE untuk memperoleh Token Web JSON (JWT)

Saat membuat client ID, Anda juga akan menambahkan URI pengalihan di konsol Google Cloud.

Untuk mengetahui detail tentang pembuatan client ID, buka Membuat client ID untuk aplikasi web di atas.
discovery_uri

URL penemuan OIDC, seperti yang ditetapkan dalam spesifikasi OpenID ini.

Jika Anda menggunakan IdP pihak ketiga

IdP Anda akan memberikan URL ini, yang biasanya diakhiri dengan /.well-known/openid-configuration

Jika Anda menggunakan identitas Google

Gunakan https://accounts.google.com/.well-known/openid-configuration
grant_type

Alur OAuth yang digunakan untuk OIDC dengan aplikasi web klien CSE

Jika Anda menggunakan IdP pihak ketiga

Anda dapat menggunakan jenis pemberian implicit atau authorization_code untuk aplikasi web CSE. 

Jika Anda menggunakan identitas Google

Anda hanya dapat menggunakan jenis pemberian implicit untuk aplikasi web.

applications

Aplikasi klien tambahan yang ingin Anda gunakan dengan CSE. Anda perlu menambahkan client ID untuk setiap aplikasi ke file .well-known Anda. 

Catatan: Client ID ini harus mendukung jenis pemberian authorization_code untuk PKCE (RFC 7636).

Untuk mengetahui detail tentang cara membuat client ID, buka Membuat client ID untuk aplikasi desktop dan seluler di bagian sebelumnya di halaman ini.

Jika Anda menggunakan IdP pihak ketiga, file .well-known Anda akan terlihat seperti ini:

{

  "name" : "nama IdP Anda",

  "client_id" : "ID dari IdP",

  "discovery_uri" : "https://your_idp.com/.well-known/openid-configuration",d

  "applications":{

    "drivefs":{

      "client_id": "ID dari IdP"

    },

    "drive-android": {

      "client_id": "ID dari IdP"
    },

    "drive-ios": {

      "client_id": "ID dari IdP"

    },

    "calendar-android": {

      "client_id": "ID dari IdP"

    },

    "calendar-ios": {

      "client_id": "ID dari IdP"

    },

    "gmail-android": {

      "client_id": "ID dari IdP"

    },

    "gmail-ios": {

      "client_id": "ID dari IdP"

    },

    "meet-android": {

      "client_id": "ID dari IdP"

    },

    "meet-ios": {

      "client_id": "ID dari IdP"

    }

  }

}

Jika Anda menggunakan identitas Google, file .well-known Anda akan terlihat seperti ini:

{

  "name" : "Google Identity",

  "client_id" : "ID dari Google Cloud (dibuat di atas)",

  "discovery_uri" : "https://accounts.google.com/.well-known/openid-configuration",

  "applications":{

    "drivefs":{

      "client_id": "947318989803-k88lapdik9bledfml8rr69ic6d3rdv57.apps.googleusercontent.com"

    },

    "drive-android":{
      "client_id": "313892590415-6lbccuf47cou4q45vanraqp3fv5jt9do.apps.googleusercontent.com"
    },
    "drive-ios":{
      "client_id": "313892590415-d3h1l7kl4htab916r6jevqdtu8bfmh9m.apps.googleusercontent.com"

    },
    "calendar-android":{
      "client_id": "313892590415-q84luo8fon5pn5vl8a6rppo1qvcd3qvn.apps.googleusercontent.com"

    },
    "calendar-ios":{
      "client_id": "313892590415-283b3nilr8561tedgu1n4dcm9hd6g3hr.apps.googleusercontent.com"

    },
    "gmail-android":{
      "client_id": "313892590415-samhd32i4piankgs42o9sit5e9dug452.apps.googleusercontent.com"

    },
    "gmail-ios":{
      "client_id": "313892590415-ijvjpbnsh0gauuunjgsdn64ngg37k6rc.apps.googleusercontent.com"

    },
    "meet-android":{
      "client_id": "313892590415-i06v47su4k03ns7ot38akv7s9ari5oa5.apps.googleusercontent.com"

    },
    "meet-ios":{
      "client_id": "313892590415-32ha2bvs0tr1b12s089i33o58hjvqt55.apps.googleusercontent.com"

    }

  }

}

Langkah 3: Siapkan CORS

Jika menggunakan identitas Google untuk IdP Anda: Anda menyiapkan CORS di konsol Google Cloud saat membuat ID klien. Untuk mengetahui detailnya, buka Membuat client ID untuk aplikasi web di atas.

Jika menggunakan IdP pihak ketiga: .well-known/openid-configuration dan .well-known/cse-configuration Anda harus mengizinkan URL origin untuk panggilan Cross-Origin Resource Sharing (CORS). Di konsol admin IdP, siapkan konfigurasi Anda seperti berikut:

.well-known/openid-configuration (URI penemuan)

  • Metode: GET
  • URL asal yang diizinkan:
    • https://admin.google.com
    • https://client-side-encryption.google.com

.well-known/cse-configuration

  • Metode: GET
  • URL asal yang diizinkan:
    • https://admin.google.com
    • https://client-side-encryption.google.com

Opsi 2: Menghubungkan ke IdP menggunakan konsol Admin

Sebagai ganti penggunaan file .well-known, Anda dapat menghubungkan Google Workspace ke IdP Anda menggunakan konsol Admin.
Catatan: Jika mengonfigurasi IdP tamu, Anda harus menggunakan konsol Admin.

Buka bagian  |  Ciutkan semua

Langkah 1: Kumpulkan informasi tentang IdP Anda

 Untuk terhubung ke IdP menggunakan konsol Admin, Anda memerlukan informasi berikut tentang IdP Anda:

Nama IdP Anda Untuk mengetahui detailnya, buka Mengonfigurasi file .well-known Anda di atas.
Client ID untuk aplikasi web Untuk mengetahui detailnya, buka Membuat client ID untuk aplikasi web di atas.
URI Discovery Untuk mengetahui detailnya, buka Mengonfigurasi file .well-known Anda di atas.
Client-ID untuk aplikasi seluler dan desktop (opsional) Untuk mengetahui detailnya, lihat Membuat client ID untuk aplikasi desktop dan seluler di bagian sebelumnya di halaman ini.

 

Langkah 2: Siapkan CORS

Jika Anda menggunakan identitas Google: Anda dapat menyiapkan Cross-Origin Resource Sharing (CORS) di konsol Google Cloud saat membuat client ID. Untuk mengetahui detailnya, buka Membuat client ID untuk aplikasi web di atas.

Jika Anda menggunakan IdP pihak ketiga: Di konsol admin IdP Anda, konfigurasi URI discovery untuk mengizinkan URL origin melakukan panggilan Cross-Origin Resource Sharing (CORS), seperti berikut:

  • Metode: GET
  • URL asal yang diizinkan:
    • https://admin.google.com
    • https://client-side-encryption.google.com
Langkah 3: Tambahkan informasi ke konsol Admin

Anda harus login sebagai administrator super untuk tugas ini.

  1. Login ke Konsol Google Admin dengan akun administrator super.

    Jika tidak menggunakan akun administrator super, Anda tidak dapat menyelesaikan langkah-langkah ini.

  2. Buka Menu laluPeluncur Aplikasi Data > Kepatuhan > Enkripsi sisi klien.

    Catatan: Pada bagian Konfigurasi penyedia identitas, akan muncul pesan yang menunjukkan bahwa Google Workspace tidak dapat menjangkau file .well-known Anda. Anda dapat mengabaikan pesan ini karena Anda terhubung ke IdP menggunakan konsol Admin.

  3. Pada bagian Konfigurasi penyedia identitas, klik Konfigurasi penggantian IdP.

    Atau, jika Anda mengonfigurasi IdP tamu, klik Konfigurasi IdP tamu.

  4. Masukkan informasi berikut tentang IdP Anda:
    • Nama
    • Client-ID (untuk aplikasi web)
    • URI Discovery 

  5. Klik Uji koneksi.

    Jika Google Workspace dapat terhubung ke IdP Anda, pesan "Koneksi berhasil" akan muncul.

  6. Jika Anda mengonfigurasi IdP tamu: Klik Lanjutkan, lalu pilih aplikasi Web yang ingin diberi akses tamu. Lalu, klik Simpan untuk menutup kartu.

    Catatan: Saat ini, hanya Google Meet yang tersedia.

  7. (Opsional) Agar dapat menggunakan CSE dengan aplikasi tertentu:
    1. Pada bagian Autentikasi untuk aplikasi seluler dan desktop Google (opsional), pilih aplikasi tempat Anda ingin menggunakan CSE.
    2. Untuk Client-ID, berikan client ID bagi aplikasi tersebut.
  8. Klik Tambahkan penyedia untuk menutup kartu.

Langkah 4 (khusus IdP pihak ketiga): Tambahkan IdP ke daftar yang diizinkan di konsol Admin

Anda harus menambahkan IdP pihak ketiga Anda ke daftar aplikasi pihak ketiga tepercaya sehingga pengguna tidak perlu login ke IdP Anda berulang kali. Ikuti petunjuk di Mengontrol aplikasi pihak ketiga & internal yang mengakses data Google Workspace, pada bagian "Kelola akses ke aplikasi: Terpercaya, Dibatasi, atau Diblokir".

Langkah berikutnya

Setelah menyiapkan IdP, Anda dapat menyiapkan layanan enkripsi kunci.

Apakah ini membantu?

Bagaimana cara meningkatkannya?

Perlu bantuan lain?

Coba langkah-langkah selanjutnya berikut:

Posting ke komunitas bantuan Dapatkan jawaban dari anggota komunitas
Hubungi kami Beri tahu kami selengkapnya dan kami akan membantu Anda
true
Mulailah uji coba gratis 14 hari Anda

Email profesional, penyimpanan online, kalender bersama, rapat video, dan lainnya. Mulailah uji coba gratis G Suite sekarang.

Telusuri
Hapus penelusuran
Tutup penelusuran
Menu utama
17129462189789278215
true
Pusat Bantuan Penelusuran
true
true
true
true
true
73010
false
false
false