サポート対象エディション: Enterprise Plus、Education Standard、Education Plus。 エディションの比較
Google Workspace のクライアントサイド暗号化(CSE)に使用する外部鍵サービスを選択したら、Google Workspace を ID プロバイダ(IdP)に接続する必要があります(サードパーティの IdP または Google の ID)。ユーザーがコンテンツを暗号化したり、暗号化されたコンテンツにアクセスしたりする前に、コンテンツの暗号化に使用する暗号鍵サービスで IdP を使用してユーザーを認証します。
始める前に
CSE で使用する暗号鍵サービスを選択していることを確認してください。詳しくは、外部鍵サービスを選択するをご覧ください。
手順 1: IdP 接続を計画する
IdP 接続を使用して、サポートされているすべての Google Workspace ウェブ アプリケーションに対して CSE を設定できます。
- Google ドライブ
- Google ドキュメント
- Google スプレッドシート
- Google スライド
- Gmail
- Google カレンダー
- Google Meet(音声、動画、チャット メッセージ)
ldP 接続を使用すると、次のアプリケーション用に CSE を設定することもできます。
CSE で暗号鍵サービスを使用するには、OpenID Connect(OIDC)標準をサポートする ID プロバイダ(IdP)が必要です。Google Workspace で OIDC IdP をまだ使用していない場合は、鍵サービスで使用する IdP を次の 2 つの方法のいずれかで設定できます。
オプション 1: サードパーティの IdP を使用する(推奨)
ご利用のセキュリティ モデルで、暗号化されたデータと Google のさらなる分離が必要とされている場合は、OICD サードパーティの IdP を使用します。
SAML ベースのシングル サインオン(SSO)にすでにサードパーティの IdP を使用している場合: Google Workspace サービスへのアクセスに使用している IdP と同じ IdP を CSE でも使用することをおすすめします(その IdP が OIDC をサポートしている場合)。Google Workspace で SAML ベースの SSO を使用する方法について詳しくは、こちらの記事をご覧ください。
オプション 2: Google の ID を使用する
ご利用のセキュリティ モデルで、暗号化されたデータと Google のさらなる分離が必要とされていない場合は、デフォルトの Google の ID を IdP として使用できます。
CSE でサードパーティの IdP を使用する場合は、IdP からのサードパーティ Cookie をユーザーのブラウザで許可することをおすすめします。設定しない場合、CSE を使用するときに、ユーザーが IdP にログインしなければならないことが増える可能性があります。
- 組織で Chrome Enterprise を使用している場合: CookiesAllowedForUrls ポリシーを使用できます。
- その他のブラウザの場合: サードパーティ Cookie を許可する手順については、ブラウザのサポート コンテンツをご確認ください。
IdP(サードパーティの IdP または Google の ID)を設定するには、組織のウェブサイトでホストされている .well-known ファイルを使用するか、管理コンソールを使用します(IdP の代替接続)。これらの方法には、それぞれ以下のような考慮事項があります。
| 考慮事項 | .well-known を使用して設定する場合 | 管理コンソールを使用して設定する場合(IdP の代替接続) |
|---|---|---|
| Google からの分離 | IdP の設定はユーザー独自のサーバーに保存されます。 | IdP の設定は Google サーバーに保存されます。 |
| 管理者の責任 | ウェブマスターは、Google Workspace の特権管理者の代わりに設定を管理できます。 | Google Workspace の特権管理者だけが IdP の設定を管理できます。 |
| CSE の可用性 | CSE の可用性(稼働時間)は、.well-known ファイルをホストするサーバーの可用性によって異なります。 | CSE の可用性は、Google Workspace サービスの一般的な可用性と一致します。 |
| 設定の難易度 | 管理コンソールとは別に、サーバーの DNS 設定を変更する必要があります。 | 管理コンソールで設定を行います。 |
| 組織外のユーザーとの共有 | 共同編集者の外部鍵サービスも簡単に IdP 設定にアクセスできます。このアクセスを自動化して、IdP 設定に加えた変更に共同編集者のサービスが直ちにアクセスできるようにすることが可能です。 |
共同編集者の外部鍵サービスは、管理コンソールの IdP 設定にはアクセスできません。暗号化されたファイルを共同編集者と初めて共有する前、および IdP 設定を変更するたびに、その共同編集者に IdP 設定を直接提供する必要があります。 |
手順 2: CSE のクライアント ID を作成する
クライアント ID を作成し、サポートされている Google Workspace ウェブ アプリケーションのリダイレクト URI を追加する必要があります。サポートされているアプリの一覧については、このページのサポートされているウェブとその他のアプリケーションをご覧ください。
ウェブ アプリケーションのクライアント ID の作成方法は、サードパーティの IDP と Google の ID のどちらを使用するかによって異なります。
CSE でサードパーティの IdP を使用している場合
IdP の管理コンソールを使用してクライアント ID を作成します。また、IdP の管理コンソールに次のリダイレクト URI を追加する必要があります。
ウェブサービス
https://client-side-encryption.google.com/callbackhttps://client-side-encryption.google.com/oidc/cse/callbackhttps://client-side-encryption.google.com/oidc/drive/callbackhttps://client-side-encryption.google.com/oidc/gmail/callbackhttps://client-side-encryption.google.com/oidc/meet/callbackhttps://client-side-encryption.google.com/oidc/calendar/callbackhttps://client-side-encryption.google.com/oidc/docs/callbackhttps://client-side-encryption.google.com/oidc/sheets/callbackhttps://client-side-encryption.google.com/oidc/slides/callback
パソコン版ドライブ
http://localhost
モバイルアプリ(Android 版、iOS 版)
https://client-side-encryption.google.com/oidc/gmail/native/callbackhttps://client-side-encryption.google.com/oidc/meet/native/callbackhttps://client-side-encryption.google.com/oidc/calendar/native/callbackhttps://client-side-encryption.google.com/oidc/drive/native/callbackhttps://client-side-encryption.google.com/oidc/gmail/meet/native/callback
CSE で Google の ID を使用している場合
Google Cloud コンソールでクライアント ID を作成する必要があります。また、JavaScript 生成元(クロスオリジン リソース シェアリング(CORS)とも呼ばれます)を設定し、リダイレクト URI を追加します。
- console.cloud.google.com にアクセスします。
- 新しい Google Cloud プロジェクトを作成する手順
プロジェクトは認証情報を保管するためだけに作成するので、どのように設定してもかまいません。
- コンソールで、メニュー アイコン
[API とサービス]
- CSE で使用する新しいウェブアプリの OAuth クライアント ID を作成します。詳細な手順
- [JavaScript 生成元] を以下の URL で更新します。
https://admin.google.comhttps://client-side-encryption.google.com
- [承認済みのリダイレクト URI] を以下の URL で更新します。
ウェブサービス
https://client-side-encryption.google.com/callbackhttps://client-side-encryption.google.com/oidc/cse/callbackhttps://client-side-encryption.google.com/oidc/drive/callbackhttps://client-side-encryption.google.com/oidc/gmail/callbackhttps://client-side-encryption.google.com/oidc/meet/callbackhttps://client-side-encryption.google.com/oidc/calendar/callbackhttps://client-side-encryption.google.com/oidc/docs/callbackhttps://client-side-encryption.google.com/oidc/sheets/callbackhttps://client-side-encryption.google.com/oidc/slides/callback
パソコン版ドライブ
http://localhostモバイルアプリ(Android 版、iOS 版)
Android 版と iOS 版のモバイルアプリには、追加の設定は必要ありません。
OAuth クライアント ID が作成されます。.well-known/cse-configuration ファイルまたは管理コンソールで使用できるように、この ID を保存しておきます。
ユーザーがその他のアプリケーションで CSE を使用できるようにするには、それらのアプリのクライアント ID が必要です。モバイルアプリごとに、プラットフォーム(Android と iOS)ごとに 1 つのクライアント ID が必要です。サポートされているアプリの一覧については、このページのサポートされているウェブとその他のアプリケーションをご覧ください。
その他のアプリケーションのクライアント ID を取得する方法は、サードパーティの IDP と Google の ID のどちらを使用しているかによって異なります。
注: これらのクライアント ID は、PKCE(RFC 7636)の authorization_code 付与タイプをサポートする必要があります。
CSE でサードパーティの IdP を使用する場合
IdP の管理コンソールを使用して、アプリごとに個別のクライアント ID を生成します。
CSE で Google ID を使用する場合
次のクライアント ID を使用します。
- パソコン版ドライブ - クライアント ID
947318989803-k88lapdik9bledfml8rr69ic6d3rdv57.apps.googleusercontent.comを使用します - Android 版ドライブ - クライアント ID
313892590415-6lbccuf47cou4q45vanraqp3fv5jt9do.apps.googleusercontent.comを使用します - iOS 版ドライブ - クライアント ID
313892590415-d3h1l7kl4htab916r6jevqdtu8bfmh9m.apps.googleusercontent.comを使用します - Android 版カレンダー - クライアント ID
313892590415-q84luo8fon5pn5vl8a6rppo1qvcd3qvn.apps.googleusercontent.comを使用します - iOS 版カレンダー - クライアント ID
313892590415-283b3nilr8561tedgu1n4dcm9hd6g3hr.apps.googleusercontent.comを使用します。 - Android 版 Gmail - クライアント ID
313892590415-samhd32i4piankgs42o9sit5e9dug452.apps.googleusercontent.comを使用します - iOS 版 Gmail - クライアント ID
313892590415-ijvjpbnsh0gauuunjgsdn64ngg37k6rc.apps.googleusercontent.comを使用します - Android 版 Meet - クライアント ID
313892590415-i06v47su4k03ns7ot38akv7s9ari5oa5.apps.googleusercontent.comを使用します - iOS 版 Meet - クライアント ID
313892590415-32ha2bvs0tr1b12s089i33o58hjvqt55.apps.googleusercontent.comを使用します
手順 3: CSE で使用する IdP に接続する
Google Workspace と ID プロバイダ(IdP)を接続するには、.well-known ファイルと管理コンソールのどちらかを使用します。接続が確立したら、管理コンソールでその IdP を許可リストに登録する必要があります。
オプション 1: .well-known ファイルを使用して IdP に接続する
このオプションを使用してサードパーティまたは Google の IdP を設定するには、組織の公開ウェブサイトに .well-known ファイルを配置する必要があります。このファイルで、使用する IdP を指定し、外部の共同編集者が IdP の設定を検出できるようにします。
IdP の設定は、ドメインの次の URI に配置する必要があります。
https://cse.[サブドメイン名].[ドメイン名].tld/.well-known/cse-configuration
[サブドメイン名].[ドメイン名].tld の部分がメールアドレスのドメインと一致している必要があります。たとえば、メールアドレスのドメインが solarmora.com の場合、.well-known ファイルを次の場所に配置します。
https://cse.solarmora.com/.well-known/cse-configuration
注: .well-known URI は IETF(RFC 8615)に登録されていないため、このプレフィックス(https://cse.)が必要となります。
well-known/cse-configuration にある .well-known ファイルのコンテンツは、JSON エンコードされ(RFC 8259)、以下のフィールドが含まれている必要があります。
| フィールド | 説明 |
|---|---|
|
|
IdP の名前。任意の名前を使用できます。この名前は、ドライブやドキュメント エディタなどの Google サービスのユーザーの IdP エラー メッセージに表示されます。 |
|
|
CSE クライアント ウェブ アプリケーションが JSON Web Token(JWT)を取得する際に使用する OpenID Connect(OIDC)クライアント ID。 クライアント ID を作成するときに、Google Cloud コンソールでリダイレクト URI も追加します。 クライアント ID の作成について詳しくは、このページのウェブ アプリケーション用のクライアント ID を作成するをご覧ください。 |
discovery_uri |
こちらの OpenID の仕様で定義されている OIDC 検出 URL。 |
|
サードパーティの IdP を使用している場合 IdP からこの URL が提供されます。通常、この URL の末尾は |
|
|
Google の ID を使用している場合
|
|
grant_type |
CSE クライアント ウェブ アプリケーションで OIDC に使用される OAuth フロー。 |
|
サードパーティの IdP を使用している場合 CSE ウェブ アプリケーションでは、 |
|
|
Google の ID を使用している場合 ウェブ アプリケーションでは、 |
|
|
|
CSE を使用するその他のクライアント アプリケーション。.well-known ファイルに各アプリのクライアント ID を追加する必要があります。 注: これらのクライアント ID は、PKCE(RFC 7636)の クライアント ID の作成について詳しくは、このページのその他のアプリケーション用のクライアント ID を作成するをご覧ください。 |
サードパーティの IdP を使用している場合、.well-known ファイルは次のようになります。
{
"name" : "IdP 名",
"client_id" : "IdP から取得した ID",
"discovery_uri" : "https://[idp 名].com/.well-known/openid-configuration",
"applications":{
"drivefs":{
"client_id": "IdP から取得した ID"
},
"drive-android": {
"client_id": "IdP から取得した ID"
},
"drive-ios": {
"client_id": "IdP から取得した ID"
},
"calendar-android": {
"client_id": "IdP から取得した ID"
},
"calendar-ios": {
"client_id": "IdP から取得した ID"
},
"gmail-android": {
"client_id": "IdP から取得した ID"
},
"gmail-ios": {
"client_id": "IdP から取得した ID"
},
"meet-android": {
"client_id": "IdP から取得した ID"
},
"meet-ios": {
"client_id": "IdP から取得した ID"
}
}
}
Google の ID を使用している場合、.well-known ファイルは次のようになります。
{
"name" : "Google Identity",
"client_id" : "Google Cloud から取得した ID(上記で作成)",
"discovery_uri" : "https://accounts.google.com/.well-known/openid-configuration",
"applications":{
"drivefs":{
"client_id": "947318989803-k88lapdik9bledfml8rr69ic6d3rdv57.apps.googleusercontent.com"
},
"drive-android":{
"client_id": "313892590415-6lbccuf47cou4q45vanraqp3fv5jt9do.apps.googleusercontent.com"
},
"drive-ios":{
"client_id": "313892590415-d3h1l7kl4htab916r6jevqdtu8bfmh9m.apps.googleusercontent.com"
},
"calendar-android":{
"client_id": "313892590415-q84luo8fon5pn5vl8a6rppo1qvcd3qvn.apps.googleusercontent.com"
},
"calendar-ios":{
"client_id": "313892590415-283b3nilr8561tedgu1n4dcm9hd6g3hr.apps.googleusercontent.com"
},
"gmail-android":{
"client_id": "313892590415-samhd32i4piankgs42o9sit5e9dug452.apps.googleusercontent.com"
},
"gmail-ios":{
"client_id": "313892590415-ijvjpbnsh0gauuunjgsdn64ngg37k6rc.apps.googleusercontent.com"
},
"meet-android":{
"client_id": "313892590415-i06v47su4k03ns7ot38akv7s9ari5oa5.apps.googleusercontent.com"
},
"meet-ios":{
"client_id": "313892590415-32ha2bvs0tr1b12s089i33o58hjvqt55.apps.googleusercontent.com"
}
}
}
IdP に Google の ID を使用している場合: クライアント ID の作成時に Google Cloud コンソールで CORS を設定します。詳しくは、このページのウェブ アプリケーションのクライアント ID を作成するをご覧ください。
サードパーティの IdP を使用している場合: .well-known/openid-configuration と .well-known/cse-configuration で、クロスオリジン リソース シェアリング(CORS)呼び出しのオリジン URL を許可する必要があります。IdP の管理コンソールで、設定を以下のように指定します。
.well-known/openid-configuration(検出 URI)
- メソッド: GET
- 許可される生成元 URL:
https://admin.google.comhttps://client-side-encryption.google.com
.well-known/cse-configuration
- メソッド: GET
- 許可される生成元 URL:
https://admin.google.comhttps://client-side-encryption.google.com
オプション 2: 管理コンソールを使用して IdP に接続する
管理コンソールを使用して IdP に接続するには、IdP に関する次の情報が必要です。
| IdP の名前 | 詳しくは、このページの .well-known ファイルを構成するをご覧ください。 |
| ウェブ アプリケーションのクライアント ID | 詳しくは、このページのウェブ アプリケーションのクライアント ID を作成するをご覧ください。 |
| 検出 URI | 詳しくは、このページの .well-known ファイルを構成するをご覧ください。 |
| デスクトップ アプリとモバイルアプリのクライアント ID(省略可) | 詳しくは、このページのその他のアプリケーション用のクライアント ID を作成するをご覧ください。 |
Google の ID を使用している場合: クライアント ID を作成する際に、Google Cloud コンソールでクロスオリジン リソース シェアリング(CORS)を設定します。詳しくは、このページのウェブ アプリケーションのクライアント ID を作成するをご覧ください。
サードパーティの IdP を使用している場合: IdP の管理コンソールで、次のように検出 URI を設定してクロスオリジン リソース シェアリング(CORS)呼び出しのオリジン URL を許可します。
- メソッド: GET
- 許可される生成元 URL:
https://admin.google.comhttps://client-side-encryption.google.com
この操作を行うには、特権管理者としてログインする必要があります。
-
- 管理コンソールで、メニュー アイコン
[セキュリティ]
注: [ID プロバイダの設定] の下に、Google Workspace が .well-known ファイルにアクセスできないことを伝えるメッセージが表示されますが、管理コンソールを使用して IdP に接続するため、このメッセージは無視してください。
- [ID プロバイダの設定] で [代替 IdP を設定] をクリックします。
- IdP に関する次の情報を入力します。
- 名前
- クライアント ID(ウェブ アプリケーションのクライアント ID)
- 検出 URI
-
[Test connection] をクリックします。
Google Workspace が IdP に接続できる場合は、「接続しました」というメッセージが表示されます。
- (省略可)特定のアプリケーションで CSE を使用するには:
- [Google のデスクトップ アプリとモバイルアプリの認証(省略可)] で、CSE を使用するアプリケーションを選択します。
- [クライアント ID] に、アプリケーションのクライアント ID を入力します。
- [プロバイダを追加] をクリックしてカードを閉じます。
手順 4(サードパーティの IdP のみ): 管理コンソールで IdP を許可リストに追加する
次のステップ
IdP を設定したら、鍵暗号化サービスを設定できます。
