Edições compatíveis com este recurso: Enterprise Plus; Education Standard e Education Plus. Comparar sua edição
Depois de escolher o serviço de chaves externo para usar a criptografia do lado do cliente (CSE) do Google Workspace, conecte-se ao Google Workspace: um provedor de identidade (IdP), que pode ser um IdP de terceiros ou do Google. O serviço de chaves de criptografia que criptografa conteúdo vai usar seu IdP para autenticar os usuários antes de eles criptografarem ou acessarem o conteúdo criptografado.
Observação: depois de configurar seu IdP, configure um IdP convidado para permitir acesso externo ao conteúdo criptografado do lado do cliente da sua organização. Saiba mais em Configurar um IdP convidado.
Antes de começar
Confira se você escolheu os serviços de chaves de criptografia que quer usar com a CSE. Saiba mais em Escolher seu serviço de chaves externo.
Etapa 1: planejar a conexão do IdP
Com a conexão do IdP, você pode configurar a CSE para todos os apps da Web do Google Workspace com suporte:
- Google Drive
- Documentos Google
- Planilhas Google
- Apresentações Google
- Gmail
- Google Agenda
- Google Meet (áudio, vídeo e mensagens de chat)
Na conexão com o ldP, você também pode configurar a CSE para os seguintes apps para computador e dispositivos móveis:
Para usar um serviço de chaves de criptografia com a CSE, você precisa de um provedor de identidade (IdP) compatível com o padrão OpenID Connect (OIDC). Se você ainda não usa um IdP do OIDC com o Google Workspace, há duas maneiras de configurar o IdP para usá-lo com o serviço de chaves:
Opção 1: usar um IdP de terceiros (recomendado)
Use um IdP de terceiros do OIDC se o modelo de segurança exigir mais isolamento dos seus dados criptografados do Google.
Se você já usa um IdP de terceiros para o Logon único (SSO) baseado em SAML, recomendamos usar o mesmo IdP para acessar a CSE do Google Workspace, se o IdP for compatível com o OIDC. Saiba mais sobre como usar o SSO baseado em SAML no Google Workspace.
Opção 2: usar a identidade do Google
Se o modelo de segurança não exigir isolamento adicional dos seus dados criptografados do Google, você poderá usar a identidade padrão do Google como seu IdP.
Se você usa um IdP de terceiros para a CSE, é recomendável permitir cookies de terceiros do IdP nos navegadores dos usuários. Caso contrário, talvez os usuários precisem fazer login no IdP com mais frequência ao usar a CSE.
- Se a organização usa o Chrome Enterprise: você pode usar a política CookiesAllowedForUrls.
- Para outros navegadores: consulte o conteúdo de suporte do navegador para ver instruções sobre como permitir cookies de terceiros.
É possível configurar o IdP (um IdP de terceiros ou a identidade do Google) usando um arquivo .well-known hospedado no site da sua organização ou no Admin Console (que é o IdP substituto). Cada método tem várias considerações, conforme descrito na tabela abaixo.
Observação: se você estiver configurando um IdP de convidado, será necessário usar o Admin Console.
| Considerações | Configuração .well-known | Configuração do Admin Console (IdP substituto) |
|---|---|---|
| Isolamento do Google | As configurações do IdP são armazenadas no seu servidor. | As configurações do IdP são armazenadas nos servidores do Google. |
| Responsabilidades do administrador | Um webmaster pode gerenciar sua configuração em vez de um superadministrador do Google Workspace. | Apenas um superadministrador do Google Workspace pode gerenciar a configuração do IdP. |
| Disponibilidade da CSE | A disponibilidade da CSE (tempo de atividade) depende da disponibilidade do servidor que hospeda seu arquivo .well-known. | A disponibilidade da CSE depende da disponibilidade geral dos serviços do Google Workspace. |
| Nível de dificuldade da configuração | É preciso mudar as configurações de DNS do seu servidor fora do Admin Console. | Defina as configurações no Admin Console. |
| Compartilhamento fora da sua organização | O serviço de chaves externo do seu colaborador pode acessar facilmente as configurações do IdP. Esse acesso pode ser automatizado e garante que o serviço do colaborador tenha acesso imediato às mudanças nas configurações do IdP. |
O serviço de chaves externo do seu colaborador não pode acessar suas configurações do IdP no Admin Console. Informe as configurações do IdP diretamente ao colaborador antes de compartilhar arquivos criptografados pela primeira vez e sempre que você alterar as configurações do IdP. |
Etapa 2: criar IDs do cliente para a CSE
É necessário criar um ID do cliente e adicionar URIs de redirecionamento para aplicativos da Web do Google Workspace com suporte. Para ver uma lista dos apps compatíveis, consulte a seção Aplicativos da Web, para computador e para dispositivos móveis compatíveis anteriormente nesta página.
A forma como você cria um ID do cliente para aplicativos da Web depende do uso de um IdP de terceiros ou do Google.
Observação: se você estiver configurando um IdP de convidado, será necessário criar outro ID do cliente para acessar o Google Meet, que será usado para verificar que a pessoa foi convidada para a reunião. Para mais informações, acesse Configurar um IdP convidado.
Se você usa um IdP de terceiros para a CSE
Crie um ID do cliente usando o Admin Console do IdP. Também é necessário adicionar os seguintes URIs de redirecionamento ao Admin Console do IdP:
Serviços da Web:
https://client-side-encryption.google.com/callbackhttps://client-side-encryption.google.com/oidc/cse/callbackhttps://client-side-encryption.google.com/oidc/drive/callbackhttps://client-side-encryption.google.com/oidc/gmail/callbackhttps://client-side-encryption.google.com/oidc/meet/callbackhttps://client-side-encryption.google.com/oidc/calendar/callbackhttps://client-side-encryption.google.com/oidc/docs/callbackhttps://client-side-encryption.google.com/oidc/sheets/callbackhttps://client-side-encryption.google.com/oidc/slides/callback
Drive para computador:
http://localhost
Apps para dispositivos móveis Android e iOS:
https://client-side-encryption.google.com/oidc/gmail/native/callbackhttps://client-side-encryption.google.com/oidc/meet/native/callbackhttps://client-side-encryption.google.com/oidc/calendar/native/callbackhttps://client-side-encryption.google.com/oidc/drive/native/callbackhttps://client-side-encryption.google.com/oidc/gmail/meet/native/callback
Se você usa a identidade do Google para a CSE
Você precisa criar um ID do cliente no console do Google Cloud. Você também vai configurar as origens do JavaScript (também chamado de compartilhamento de recursos entre origens ou CORS) e adicionar URIs de redirecionamento.
- Acesse console.cloud.google.com.
- Crie um novo projeto do Google Cloud. Veja as instruções.
Configure o projeto como você quiser. Ele serve apenas para armazenar credenciais.
- No console, acesse Menu
APIs e serviços
- Crie um ID do cliente OAuth para um novo app da Web que você vai usar na CSE. Veja as instruções completas
- Atualize as origens do JavaScript com as seguintes informações:
https://admin.google.comhttps://client-side-encryption.google.com
- Atualize os URIs de redirecionamento autorizados com as seguintes informações.
Serviços da Web:
https://client-side-encryption.google.com/callbackhttps://client-side-encryption.google.com/oidc/cse/callbackhttps://client-side-encryption.google.com/oidc/drive/callbackhttps://client-side-encryption.google.com/oidc/gmail/callbackhttps://client-side-encryption.google.com/oidc/meet/callbackhttps://client-side-encryption.google.com/oidc/calendar/callbackhttps://client-side-encryption.google.com/oidc/docs/callbackhttps://client-side-encryption.google.com/oidc/sheets/callbackhttps://client-side-encryption.google.com/oidc/slides/callback
Drive para computador:
http://localhostApps para dispositivos móveis Android e iOS:
Nenhuma configuração adicional é necessária para apps Android e iOS.
Um ID do cliente OAuth é criado. Salve esse ID para usar essa informação no seu arquivo de configuração .well-known/cse-configuration no Admin Console.
Se você quiser que os usuários utilizem a CSE em apps para dispositivos móveis e computadores, vai precisar de IDs do cliente para esses apps. Você precisará de um ID do cliente para cada plataforma (Android e iOS) em cada app para dispositivos móveis. Para ver uma lista dos apps compatíveis, consulte a seção Aplicativos da Web, para computador e para dispositivos móveis compatíveis anteriormente nesta página.
A forma de criar IDs do cliente de aplicativos para dispositivos móveis e computadores depende do uso de um IdP de terceiros ou do Google.
Observação : esses IDs do cliente precisam ser compatíveis com o tipo de concessão authorization_code para PKCE (RFC 7636).
Se você vai usar um IdP de terceiros para a CSE
Use o Admin Console do IdP para gerar um ID do cliente separado para cada app.
Se você vai usar a identidade do Google para a CSE
Use os seguintes IDs do cliente:
- Drive para computador: use o ID do cliente
947318989803-k88lapdik9bledfml8rr69ic6d3rdv57.apps.googleusercontent.com - Drive para Android: use o ID do cliente
313892590415-6lbccuf47cou4q45vanraqp3fv5jt9do.apps.googleusercontent.com - Drive para iOS: use o ID do cliente
313892590415-d3h1l7kl4htab916r6jevqdtu8bfmh9m.apps.googleusercontent.com - Agenda no Android: use o ID do cliente
313892590415-q84luo8fon5pn5vl8a6rppo1qvcd3qvn.apps.googleusercontent.com - Agenda no iOS: use o ID do cliente
313892590415-283b3nilr8561tedgu1n4dcm9hd6g3hr.apps.googleusercontent.com - Gmail no Android: use o ID do cliente
313892590415-samhd32i4piankgs42o9sit5e9dug452.apps.googleusercontent.com - Gmail no iOS: use o ID do cliente
313892590415-ijvjpbnsh0gauuunjgsdn64ngg37k6rc.apps.googleusercontent.com - Meet no Android: use o ID do cliente
313892590415-i06v47su4k03ns7ot38akv7s9ari5oa5.apps.googleusercontent.com. - Meet no iOS: use o ID do cliente
313892590415-32ha2bvs0tr1b12s089i33o58hjvqt55.apps.googleusercontent.com.
Etapa 3: conectar-se ao IdP para usar a CSE
Para conectar o Google Workspace ao seu IdP, é possível usar um arquivo .well-known ou o Admin Console. Após estabelecer a conexão, você precisa colocar seu IdP na lista de permissões no Admin Console.
Observação: se você estiver configurando um IdP de convidado, será necessário usar o Admin Console.
Opção 1: fazer a conexão com o IdP usando um arquivo .well-known
Para configurar o IdP do Google ou de terceiros com essa opção, coloque um arquivo .well-known no site público da organização. Esse arquivo estabelece qual IdP você usa e permite que colaboradores externos acessem as configurações do IdP.
A configuração do IdP precisa ser colocada neste URI no seu domínio:
https://cse.subdominio.dominio.tld/.well-known/cse-configuration
em que subdominio.dominio.tld deve corresponder ao domínio no seu endereço de e-mail. Por exemplo, se o domínio no seu endereço de e-mail fosse solarmora.com, você colocaria o arquivo .well-known em:
https://cse.solarmora.com/.well-known/cse-configuration
Observação: o prefixo https://cse. é obrigatório, porque o URI .well-known não está registrado no IETF (RFC 8615).
O conteúdo do arquivo .well-known em well-known/cse-configuration precisa ser codificado em JSON (RFC 8259) e ter estes campos:
| Campo | Descrição |
|---|---|
|
|
O nome do IdP. É possível usar qualquer nome. Esse nome aparece nas mensagens de erro do IdP para os usuários nos Serviços do Google, como o Drive e os Editores de arquivos Google. |
|
|
O ID do cliente OpenID Connect (OIDC) que o aplicativo da Web cliente da CSE usa para adquirir um JSON Web Token (JWT). Ao criar um ID do cliente, você também vai adicionar URIs de redirecionamento no console do Google Cloud. Para detalhes sobre a criação de um ID do cliente, consulte o artigo Criar um ID do cliente para aplicativos da Web anteriormente nesta página. |
discovery_uri |
O URL de descoberta do OIDC, conforme definido nesta especificação do OpenID. |
|
Se você usa um IdP de terceiros Seu IdP fornece esse URL, que geralmente termina com |
|
|
Se você usa a identidade do Google Use |
|
grant_type |
O fluxo de OAuth usado para o OIDC com aplicativos da Web cliente da CSE |
|
Se você usa um IdP de terceiros Você pode usar o tipo de concessão |
|
|
Se você usa a identidade do Google Só é possível usar o tipo de concessão |
|
|
|
Os outros apps clientes com que você quer usar a CSE. Você precisa adicionar um ID do cliente para cada aplicativo ao seu arquivo .well-known. Observação : esses IDs do cliente precisam ser compatíveis com o tipo de concessão Para detalhes sobre a criação de IDs de cliente, consulte o artigo Criar um ID do cliente para aplicativos para computador e dispositivos móveis anteriormente nesta página. |
Se você usa um IdP de terceiros, seu arquivo .well-known precisa ter esta aparência:
{
"name" : "nome do seu IdP",
"client_id" : "ID do IdP",
"discovery_uri" : "https://your_idp.com/.well-known/openid-configuration",
"applications":{
"drivefs":{
"client_id": "ID do IdP"
},
"drive-android": {
"client_id": "ID do IdP"
},
"drive-ios": {
"client_id": "ID do IdP"
},
"calendar-android": {
"client_id": "ID do IdP"
},
"calendar-ios": {
"client_id": "ID do IdP"
},
"gmail-android": {
"client_id": "ID do IdP"
},
"gmail-ios": {
"client_id": "ID do IdP"
},
"meet-android": {
"client_id": "ID do IdP"
},
"meet-ios": {
"client_id": "ID do IdP"
}
}
}
Se você usa a identidade do Google, seu arquivo .well-known deve ter a seguinte aparência:
{
"name" : "Google Identity",
"client_id" : "ID do Google Cloud (criado acima)",
"discovery_uri" : "https://accounts.google.com/.well-known/openid-configuration",
"applications":{
"drivefs":{
"client_id": "947318989803-k88lapdik9bledfml8rr69ic6d3rdv57.apps.googleusercontent.com"
},
"drive-android":{
"client_id": "313892590415-6lbccuf47cou4q45vanraqp3fv5jt9do.apps.googleusercontent.com"
},
"drive-ios":{
"client_id": "313892590415-d3h1l7kl4htab916r6jevqdtu8bfmh9m.apps.googleusercontent.com"
},
"calendar-android":{
"client_id": "313892590415-q84luo8fon5pn5vl8a6rppo1qvcd3qvn.apps.googleusercontent.com"
},
"calendar-ios":{
"client_id": "313892590415-283b3nilr8561tedgu1n4dcm9hd6g3hr.apps.googleusercontent.com"
},
"gmail-android":{
"client_id": "313892590415-samhd32i4piankgs42o9sit5e9dug452.apps.googleusercontent.com"
},
"gmail-ios":{
"client_id": "313892590415-ijvjpbnsh0gauuunjgsdn64ngg37k6rc.apps.googleusercontent.com"
},
"meet-android":{
"client_id": "313892590415-i06v47su4k03ns7ot38akv7s9ari5oa5.apps.googleusercontent.com"
},
"meet-ios":{
"client_id": "313892590415-32ha2bvs0tr1b12s089i33o58hjvqt55.apps.googleusercontent.com"
}
}
}
Se você estiver usando a identidade do Google para seu IdP: configure o CORS no console do Google Cloud ao criar seu ID do cliente. Para detalhes, consulte Criar um ID do cliente para aplicativos da Web anteriormente nesta página.
Se você usa um IdP de terceiros: seus domínios .well-known/openid-configuration e .well-known/cse-configuration precisam permitir URLs de origem para as chamadas de Compartilhamento de recursos entre origens (CORS). No Admin Console do IdP, defina as configurações da seguinte maneira:
.well-known/openid-configuration (URI de descoberta)
- Métodos: GET
- Origens permitidas:
https://admin.google.comhttps://client-side-encryption.google.com
.well-known/cse-configuration
- Métodos: GET
- Origens permitidas:
https://admin.google.comhttps://client-side-encryption.google.com
Opção 2: conectar ao IdP no Admin Console
Para se conectar ao seu IdP usando o Admin Console, você precisa das seguintes informações:
| Nome do seu IdP | Saiba mais em Configurar seu arquivo .well-known anteriormente nesta página. |
| ID do cliente para aplicativos da Web | Para detalhes, consulte Criar um ID do cliente para aplicativos da Web anteriormente nesta página. |
| URI de descoberta | Saiba mais em Configurar seu arquivo .well-known anteriormente nesta página. |
| IDs do cliente de apps para dispositivos móveis e computadores (opcional) | Para detalhes, consulte Criar IDs de cliente para aplicativos para computador e dispositivos móveis anteriormente nesta página. |
Se você usa a identidade do Google: configure o Compartilhamento de recursos entre origens (CORS) no console do Google Cloud ao criar seu ID do cliente. Para detalhes, consulte Criar um ID do cliente para aplicativos da Web anteriormente nesta página.
Se você estiver usando um IdP de terceiros: no Admin Console do IdP, configure o URI de descoberta para permitir URLs de origem em chamadas de Compartilhamento de recursos entre origens (CORS) da seguinte maneira:
- Método: GET
- Origens permitidas:
https://admin.google.comhttps://client-side-encryption.google.com
Para realizar essa tarefa, você precisa fazer login como um superadministrador.
-
Faça login no Google Admin Console.
Faça login usando uma conta com privilégios de superadministrador (não a que termina em @gmail.com).
- No Admin Console, acesse Menu
Segurança
Observação: em Configuração do provedor de identidade, você vê uma mensagem indicando que o Google Workspace não encontrou o arquivo .well-known. Como você está se conectando ao IdP pelo Admin Console, ignore essa mensagem.
- Em Configuração do provedor de identidade, clique em Configurar IdP substituto.
Se você estiver configurando um IdP convidado, clique em Configurar IdP convidado.
- Digite as seguintes informações sobre seu IdP:
- Nome
- ID do cliente (para aplicativos da Web)
- URI de descoberta
-
Clique em Testar conexão.
Quando o Google Workspace se conecta ao IdP, a mensagem "Conexão bem-sucedida" aparece.
- Se você estiver configurando um IdP convidado, clique em Continuar e escolha os apps da Web para conceder acesso de convidado. Em seguida, clique em Salvar para fechar o card.
Observação: no momento, apenas o Google Meet está disponível.
- (Opcional) Para usar a CSE em apps específicos, faça o seguinte:
- Em Autenticação de apps para dispositivos móveis e computadores do Google (opcional), selecione os aplicativos com que você quer usar a CSE.
- Em ID do cliente, insira o ID do cliente do aplicativo.
- Clique em Adicionar provedor para fechar o card.
Etapa 4 (apenas IdP de terceiros): adicionar seu IdP à lista de permissões no Admin Console
Próxima etapa
Depois que você configurar o IdP, vai estar tudo pronto para configurar o serviço de criptografia de chaves.
