Versioni supportate per questa funzionalità: Enterprise Plus; Education Standard ed Education Plus. Confronta la tua versione
Dopo aver scelto il servizio chiavi esterno per la crittografia lato client di Google Workspace, devi connetterti a Google Workspace per un provider di identità (IdP): un IdP di terze parti o un'identità Google. Il servizio chiavi di crittografia scelto per criptare i contenuti utilizzerà il tuo IdP per autenticare gli utenti prima che possano criptare i contenuti o accedere a contenuti criptati.
Nota: dopo aver configurato l'IdP, puoi configurare un IdP ospite per consentire l'accesso esterno ai contenuti criptati sul lato client della tua organizzazione. Per maggiori dettagli, vedi Configurare un IdP ospite.
Prima di iniziare
Assicurati di aver scelto i servizi chiavi di crittografia che vuoi utilizzare con la crittografia lato client. Per maggiori dettagli, vedi Scegliere il servizio chiavi esterno.
Passaggio 1: pianifica la connessione IdP
Con la connessione IdP, puoi configurare la crittografia lato client per tutte le applicazioni web di Google Workspace supportate:
- Google Drive
- Documenti Google
- Fogli Google
- Presentazioni Google
- Gmail
- Google Calendar
- Google Meet (audio, video e chat)
La connessione all'ldP ti consente anche di configurare la crittografia lato client per le seguenti applicazioni desktop e mobile:
Per utilizzare un servizio chiavi di crittografia con crittografia lato client, devi avere un provider di identità (IdP) che supporti lo standard OpenID Connect (OIDC). Se non utilizzi già un IdP OIDC con Google Workspace, puoi configurare l'IdP per l'utilizzo con il servizio chiavi in uno dei due seguenti modi:
Opzione 1: utilizza un IdP di terze parti (opzione consigliata)
Utilizza un IdP di terze parti OIDC se il tuo modello di sicurezza richiede un maggiore isolamento dei dati criptati rispetto a Google.
Se utilizzi già un IdP di terze parti per l'accesso Single Sign-On (SSO) basato su SAML, ti consigliamo di utilizzare per la crittografia lato client lo stesso IdP che usi per accedere ai servizi Google Workspace, se questo IdP supporta OIDC. Scopri di più sull'utilizzo del servizio SSO basato su SAML con Google Workspace.
Opzione 2: utilizza l'identità Google
Se il tuo modello di sicurezza non richiede un ulteriore isolamento dei dati criptati rispetto a Google, puoi utilizzare l'identità Google predefinita come IdP.
Se utilizzi un IdP di terze parti per la crittografia lato client, ti consigliamo di consentire i cookie di terze parti del tuo IdP nei browser degli utenti. In caso contrario, gli utenti potrebbero dover accedere più spesso al tuo IdP quando utilizzano la crittografia lato client.
- Se la tua organizzazione utilizza Chrome Enterprise: puoi utilizzare il criterio CookiesAllowedForUrls.
- Per gli altri browser: consulta i contenuti di assistenza del browser per avere istruzioni su come consentire i cookie di terze parti.
Puoi configurare l'IdP (un IdP di terze parti o l'identità Google) utilizzando un file .well-known ospitato sul sito web della tua organizzazione o nella Console di amministrazione (ovvero l'IdP di riserva). Per ciascun metodo è bene valutare diverse considerazioni, descritte nella tabella seguente.
Nota: se stai configurando un IdP ospite, devi utilizzare la Console di amministrazione.
Considerazioni | Configurazione mediante file .well-known | Configurazione nella Console di amministrazione (IdP di riserva) |
---|---|---|
Isolamento da Google | Le impostazioni dell'IdP sono archiviate sul tuo server. | Le impostazioni dell'IdP sono archiviate sui server di Google. |
Responsabilità dell'amministratore | Invece che da un super amministratore di Google Workspace, la configurazione può essere gestita da un webmaster. | Solo un super amministratore di Google Workspace può gestire la configurazione dell'IdP. |
Disponibilità della crittografia lato client | La disponibilità (tempo di attività) della crittografia lato client dipende dalla disponibilità del server che ospita il file .well-known. | La disponibilità della crittografia lato client corrisponde alla disponibilità generale dei servizi Google Workspace. |
Facilità di configurazione | Richiede la modifica delle impostazioni del DNS per il server, da effettuare al di fuori della Console di amministrazione. | Le impostazioni vengono configurate nella Console di amministrazione. |
Condivisione di contenuti all'esterno dell'organizzazione | Il servizio chiavi esterno del tuo collaboratore può accedere facilmente alle impostazioni dell'IdP. Questo accesso può essere automatizzato e assicura che il servizio del collaboratore abbia accesso immediato a qualsiasi modifica venga apportata alle impostazioni dell'IdP. |
Il servizio chiavi esterno del tuo collaboratore non può accedere alle impostazioni dell'IdP nella Console di amministrazione. Devi fornire le impostazioni dell'IdP direttamente al tuo collaboratore prima di condividere per la prima volta i file criptati, nonché ogni volta che modifichi le impostazioni dell'IdP. |
Passaggio 2: crea gli ID client per la crittografia lato client
Devi creare un ID client e aggiungere gli URI di reindirizzamento per le applicazioni web Google Workspace supportate. Per un elenco delle app supportate, vedi Applicazioni web, desktop e mobile supportate in precedenza in questa pagina.
Il modo in cui crei un ID client per le applicazioni web dipende dall'utilizzo o meno di un IdP di terze parti o dell'identità Google.
Nota: se stai configurando un IdP ospite, devi creare un ID client aggiuntivo per l'accesso a Google Meet, che viene utilizzato per verificare che l'invitato è stato invitato alla riunione. Per ulteriori informazioni, vedi Configurare un IdP ospite.
Se utilizzi un IdP di terze parti per la crittografia lato client
Crea un ID client utilizzando la Console di amministrazione dell'IdP. Dovrai anche aggiungere i seguenti URI di reindirizzamento alla Console di amministrazione dell'IdP:
Servizi web:
https://client-side-encryption.google.com/callback
https://client-side-encryption.google.com/oidc/cse/callback
https://client-side-encryption.google.com/oidc/drive/callback
https://client-side-encryption.google.com/oidc/gmail/callback
https://client-side-encryption.google.com/oidc/meet/callback
https://client-side-encryption.google.com/oidc/calendar/callback
https://client-side-encryption.google.com/oidc/docs/callback
https://client-side-encryption.google.com/oidc/sheets/callback
https://client-side-encryption.google.com/oidc/slides/callback
Drive per computer:
http://localhost
App mobile per Android e iOS:
https://client-side-encryption.google.com/oidc/gmail/native/callback
https://client-side-encryption.google.com/oidc/meet/native/callback
https://client-side-encryption.google.com/oidc/calendar/native/callback
https://client-side-encryption.google.com/oidc/drive/native/callback
https://client-side-encryption.google.com/oidc/gmail/meet/native/callback
Se utilizzi l'identità Google per la crittografia lato client
Devi creare un ID client nella console Google Cloud. Inoltre, configurerai le origini JavaScript (chiamate anche condivisione delle risorse tra origini o CORS) e aggiungerai gli URI di reindirizzamento.
- Vai all'indirizzo console.cloud.google.com.
- Crea un nuovo progetto Google Cloud. Leggi le istruzioni.
Configura il progetto come preferisci: serve soltanto a conservare le credenziali.
- Nella console, vai a Menu API e serviziCredenziali.
- Crea un ID client OAuth per una nuova app web da utilizzare con la crittografia lato client. Leggi le istruzioni complete.
- Aggiorna le Origini JavaScript con i seguenti valori:
https://admin.google.com
https://client-side-encryption.google.com
- Aggiorna gli URI di reindirizzamento autorizzati con i valori riportati di seguito.
Servizi web:
https://client-side-encryption.google.com/callback
https://client-side-encryption.google.com/oidc/cse/callback
https://client-side-encryption.google.com/oidc/drive/callback
https://client-side-encryption.google.com/oidc/gmail/callback
https://client-side-encryption.google.com/oidc/meet/callback
https://client-side-encryption.google.com/oidc/calendar/callback
https://client-side-encryption.google.com/oidc/docs/callback
https://client-side-encryption.google.com/oidc/sheets/callback
https://client-side-encryption.google.com/oidc/slides/callback
Drive per computer:
http://localhost
App mobile per Android e iOS:
Non è necessaria alcuna configurazione aggiuntiva per le app mobile Android e iOS.
Viene creato un ID client OAuth. Salva questo ID per poterlo utilizzare nel file .well-known/cse-configuration o nella Console di amministrazione.
Se vuoi che gli utenti utilizzino la crittografia lato client con applicazioni desktop e mobile, dovrai utilizzare gli ID client per queste app. Per ogni app per dispositivi mobili è necessario un ID client per ciascuna piattaforma (Android e iOS). Per un elenco delle app supportate, vedi Applicazioni web, desktop e mobile supportate in precedenza in questa pagina.
Il modo in cui ottieni gli ID client per le applicazioni desktop e per dispositivi mobili dipende dal fatto che tu stia utilizzando un IdP di terze parti o l'identità Google.
Nota: questi ID client devono supportare il tipo di autorizzazione authorization_code
per PKCE (RFC 7636).
Se utilizzerai un IdP di terze parti per la crittografia lato client
Utilizza la Console di amministrazione dell'IdP per generare un ID client separato per ogni app.
Se utilizzerai l'identità Google per la crittografia lato client
Utilizza i seguenti ID cliente:
- Drive per computer: utilizza l'ID client
947318989803-k88lapdik9bledfml8rr69ic6d3rdv57.apps.googleusercontent.com
- Drive su Android: utilizza l'ID client
313892590415-6lbccuf47cou4q45vanraqp3fv5jt9do.apps.googleusercontent.com
- Drive su iOS: utilizza l'ID client
313892590415-d3h1l7kl4htab916r6jevqdtu8bfmh9m.apps.googleusercontent.com
- Calendar su Android: utilizza l'ID client
313892590415-q84luo8fon5pn5vl8a6rppo1qvcd3qvn.apps.googleusercontent.com
- Calendar su iOS: utilizza l'ID client
313892590415-283b3nilr8561tedgu1n4dcm9hd6g3hr.apps.googleusercontent.com
- Gmail su Android: utilizza l'ID client
313892590415-samhd32i4piankgs42o9sit5e9dug452.apps.googleusercontent.com
- Gmail su iOS: utilizza l'ID client
313892590415-ijvjpbnsh0gauuunjgsdn64ngg37k6rc.apps.googleusercontent.com
- Meet su Android: utilizza l'ID client
313892590415-i06v47su4k03ns7ot38akv7s9ari5oa5.apps.googleusercontent.com
- Meet su iOS: utilizza l'ID client
313892590415-32ha2bvs0tr1b12s089i33o58hjvqt55.apps.googleusercontent.com
Passaggio 3: connettiti all'IdP per la crittografia lato client
Per connettere Google Workspace al provider di identità (IdP), puoi utilizzare un file .well-known o la Console di amministrazione. Dopo aver stabilito la connessione, devi inserire l'IdP nella lista consentita nella Console di amministrazione.
Nota: se stai configurando un IdP ospite, devi utilizzare la Console di amministrazione.
Opzione 1: connettiti al tuo IdP utilizzando un file .well-known
Per configurare un IdP Google o di terze parti con questa opzione, devi collocare un file .well-known sul sito web pubblico della tua organizzazione. Questo file stabilisce quale IdP utilizzi e consente ai tuoi collaboratori esterni di rilevarne le impostazioni.
La configurazione dell'IdP deve trovarsi a questo URI del tuo dominio:
https://cse.sottodominio.dominio.tld/.well-known/cse-configuration
dove sottodominio.dominio.tld deve corrispondere al dominio del tuo indirizzo email. Ad esempio, se il dominio del tuo indirizzo email è solarmora.com, il file .well-known deve trovarsi all'indirizzo:
https://cse.solarmora.com/.well-known/cse-configuration
Nota: il prefisso https://cse. è necessario perché l'URI .well-known non è registrato presso l'IETF (RFC 8615).
Il contenuto del file .well-known, all'indirizzo .well-known/cse-configuration, deve essere codificato in formato JSON (RFC 8259) e contenere i campi seguenti:
Campo | Descrizione |
---|---|
|
Il nome dell'IdP. Puoi utilizzare il nome che preferisci. Questo nome comparirà nei messaggi di errore relativi all'IdP visualizzati nei servizi Google per gli utenti, ad esempio Drive e gli editor di documenti. |
|
L'ID client OpenID Connect (OIDC) utilizzato dall'applicazione web del client della crittografia lato client per acquisire un token web JSON (JWT, JSON Web Token). Quando crei un ID client, aggiungi anche gli URI di reindirizzamento nella console Google Cloud. Per maggiori dettagli sulla creazione di un ID client, vedi Creare un ID client per le applicazioni web prima in questa pagina. |
discovery_uri |
L'URL di rilevamento OIDC, come definito in questa specifica OpenID. |
Se utilizzi un IdP di terze parti Questo URL ti viene fornito dall'IdP, che in genere termina con |
|
Se utilizzi l'identità Google Utilizza |
|
grant_type |
Il flusso OAuth utilizzato per OIDC con le applicazioni web client con crittografia lato client |
Se utilizzi un IdP di terze parti Puoi utilizzare il tipo di autorizzazione |
|
Se utilizzi l'identità Google Puoi utilizzare solo il tipo di autorizzazione |
|
|
Le applicazioni client aggiuntive con cui vuoi utilizzare la crittografia lato client. Per ogni app devi aggiungere un ID client al file .well-known. Nota: questi ID client devono supportare il tipo di autorizzazione Per maggiori dettagli sulla creazione degli ID client, vedi Creare un ID client per applicazioni desktop e per dispositivi mobili in precedenza in questa pagina. |
Se utilizzi un IdP di terze parti, il file .well-known dovrebbe essere simile al seguente:
{
"name" : "nome del tuo IdP",
"client_id" : "ID generato dall'IdP"
"discovery_uri" : "https://tuo_idp.com/.well-known/openid-configuration",
"applications":{
"drivefs":{
"client_id": "ID generato dall'IdP"
},
"drive-android": {
"client_id": "ID generato dall'IdP"
},
"drive-ios": {
"client_id" : "ID generato dall'IdP"
},
"calendar-android": {
"client_id" : "ID generato dall'IdP"
},
"calendar-ios": {
"client_id" : "ID generato dall'IdP"
},
"gmail-android": {
"client_id" : "ID generato dall'IdP"
},
"gmail-ios": {
"client_id" : "ID generato dall'IdP"
},
"meet-android": {
"client_id" : "ID generato dall'IdP"
},
"meet-ios": {
"client_id" : "ID generato dall'IdP"
}
}
}
Se utilizzi l'identità Google, il file .well-known dovrebbe essere simile al seguente:
{
"name" : "Identità Google",
"client_id" : "ID generato da Google Cloud (creato sopra)",
"discovery_uri" : "https://accounts.google.com/.well-known/openid-configuration",
"applications":{
"drivefs":{
"client_id": "947318989803-k88lapdik9bledfml8rr69ic6d3rdv57.apps.googleusercontent.com"
},
"drive-android":{
"client_id": "313892590415-6lbccuf47cou4q45vanraqp3fv5jt9do.apps.googleusercontent.com"
},
"drive-ios":{
"client_id": "313892590415-d3h1l7kl4htab916r6jevqdtu8bfmh9m.apps.googleusercontent.com"
},
"calendar-android":{
"client_id": "313892590415-q84luo8fon5pn5vl8a6rppo1qvcd3qvn.apps.googleusercontent.com"
},
"calendar-ios":{
"client_id": "313892590415-283b3nilr8561tedgu1n4dcm9hd6g3hr.apps.googleusercontent.com"
},
"gmail-android":{
"client_id": "313892590415-samhd32i4piankgs42o9sit5e9dug452.apps.googleusercontent.com"
},
"gmail-ios":{
"client_id": "313892590415-ijvjpbnsh0gauuunjgsdn64ngg37k6rc.apps.googleusercontent.com"
},
"meet-android":{
"client_id": "313892590415-i06v47su4k03ns7ot38akv7s9ari5oa5.apps.googleusercontent.com"
},
"meet-ios":{
"client_id": "313892590415-32ha2bvs0tr1b12s089i33o58hjvqt55.apps.googleusercontent.com"
}
}
}
Se utilizzi l'identità Google per il tuo IdP: configura CORS nella console Google Cloud durante la creazione dell'ID client. Per maggiori dettagli, vedi Creare un ID client per le applicazioni web in precedenza in questa pagina.
Se utilizzi un IdP di terze parti: i tuoi domini .well-known/openid-configuration-e .well-known/cse-configuration devono consentire gli URL di origine per le chiamate di condivisione delle risorse tra origini (CORS). Nella Console di amministrazione dell'IdP, imposta le configurazioni nel seguente modo:
.well-known/openid-configuration (URI di rilevamento)
- Metodi: GET
- Origini consentite:
https://admin.google.com
https://client-side-encryption.google.com
.well-known/cse-configuration
- Metodi: GET
- Origini consentite:
https://admin.google.com
https://client-side-encryption.google.com
Opzione 2: connettiti all'IdP utilizzando la Console di amministrazione
Per connetterti all'IdP utilizzando la Console di amministrazione, sono necessarie le seguenti informazioni sull'IdP:
Nome dell'IdP | Per maggiori dettagli, vedi Configurare il file .well-known in precedenza in questa pagina. |
ID client per le applicazioni web | Per maggiori dettagli, vedi Creare un ID client per le applicazioni web in precedenza in questa pagina. |
URI di rilevamento | Per maggiori dettagli, vedi Configurare il file .well-known in precedenza in questa pagina. |
(Facoltativo) ID client per app mobile e desktop | Per maggiori dettagli, vedi Creare ID client per applicazioni desktop e mobile qui sopra. |
Se utilizzi l'identità Google: configura la condivisione delle risorse tra origini (CORS) nella console Google Cloud durante la creazione dell'ID client. Per maggiori dettagli, vedi Creare un ID client per le applicazioni web in precedenza in questa pagina.
Se utilizzi un IdP di terze parti: nella console di amministrazione dell'IdP, configura l'URI di rilevamento in modo da consentire gli URL di origine per le chiamate di condivisione delle risorse tra origini (CORS), nel modo seguente:
- Metodo: GET
- Allowed origins:
https://admin.google.com
https://client-side-encryption.google.com
Per questa attività, devi aver eseguito l'accesso come super amministratore.
-
Accedi alla Console di amministrazione Google.
Accedi utilizzando un account con privilegi di super amministratore (non termina con @gmail.com).
- Nella Console di amministrazione, vai al Menu SicurezzaControllo dell'accesso e dei datiCrittografia lato client.
Nota: in Configurazione del provider di identità viene visualizzato un messaggio che indica che Google Workspace non è in grado di accedere al file .well-known. Poiché stai utilizzando la Console di amministrazione per stabilire la connessione all'IdP, puoi ignorare questo messaggio.
- In Configurazione del provider di identità, fai clic su Configura IdP di riserva.
In alternativa, se stai configurando un IdP ospite, fai clic su Configura IdP ospite.
- Inserisci le seguenti informazioni sul tuo IdP:
- Nome
- Client ID (per le applicazioni web)
- URI di rilevamento
-
Fai clic su Test connection (Prova connessione).
Se Google Workspace riesce a connettersi all'IdP, viene visualizzato il messaggio "Connessione riuscita".
- Se stai configurando un IdP ospite: fai clic su Continua, quindi scegli le app web per le quali vuoi fornire l'accesso come ospite. Poi, fai clic su Salva per chiudere la scheda.
Nota: al momento è disponibile solo Google Meet.
- (Facoltativo) Per utilizzare la crittografia lato client con applicazioni specifiche:
- In Autenticazione per app desktop e per dispositivi mobili di Google (facoltativa), seleziona le applicazioni con cui vuoi utilizzare la crittografia lato client.
- In Client ID indica l'ID client dell'applicazione.
- Fai clic su Aggiungi provider per chiudere la scheda.
Passaggio 4 (solo IdP di terze parti): aggiungi l'IdP alla lista consentita della Console di amministrazione
Passaggio successivo
Dopo aver configurato l'IdP, puoi configurare il servizio di crittografia delle chiavi.