Как установить подключение к поставщику идентификационной информации для шифрования на стороне клиента

Эта функция доступна в версиях Enterprise Plus, Education Standard и Education Plus.  Сравнение версий

Когда вы выберете внешний сервис управления ключами для шифрования на стороне клиента в Google Workspace, вам необходимо подключить Google Workspace к поставщику идентификационной информации (стороннему поставщику или Google). Выбранный сервис управления ключами шифрования будет с помощью поставщика идентификационной информации выполнять аутентификацию пользователей, прежде чем разрешать им шифровать контент или получать доступ к зашифрованному контенту.

Примечание. После того, как вы настроите поставщика идентификационной информации, вы можете настроить гостевого поставщика, чтобы разрешить внешний доступ к контенту организации, зашифрованному на стороне клиента. Подробнее о том, как настроить гостевого поставщика идентификационной информации

Подготовка

Убедитесь, что вы выбрали сервисы управления ключами для шифрования на стороне клиента. Подробнее о том, как выбрать внешний сервис управления ключами шифрования

Шаг 1. Спланируйте подключение к поставщику идентификационной информации

Развернуть раздел  |  Свернуть все

Ознакомьтесь со списком поддерживаемых компьютерных, мобильных и веб-приложений

Используя подключение к сервису поставщика идентификационной информации, вы можете настроить шифрование на стороне клиента для всех поддерживаемых веб-приложений Google Workspace:

  • Google Диск;
  • Google Документы;
  • Google Таблицы
  • Google Презентации;
  • Gmail;
  • Google Календарь;
  • Google Meet (аудио- и видеопотоки, а также сообщения чата).

Кроме того, после подключения к сервису поставщика идентификационной информации вы можете настроить шифрование на стороне клиента для следующих компьютерных и мобильных приложений:

Выберите поставщика идентификационной информации

Чтобы использовать сервис управления ключами с шифрованием на стороне клиента, нужен поставщик идентификационной информации, поддерживающий стандарт OpenID Connect (OIDC). Если вы ещё не используете такого поставщика с Google Workspace, вы можете настроить его для сервиса управления ключами любым из указанных ниже двух способов.

Вариант 1. Сторонний поставщик идентификационной информации (рекомендуется)

Выберите поставщика идентификационной информации, поддерживающего стандарт OIDC, если модель безопасности организации требует большей изоляции зашифрованных данных от Google.

Если вы уже используете сервис стороннего поставщика идентификационной информации для единого входа на основе SAML, выберите для шифрования на стороне клиента того же поставщика, что и для доступа к сервисам Google Workspace, если этот поставщик поддерживает стандарт OIDC. Подробнее об использовании единого входа на основе SAML с Google Workspace

Вариант 2. Идентификационная информация Google

Выберите этот вариант, если модель безопасности организации не требует дополнительной изоляции зашифрованных данных от Google.

Настройте браузеры пользователей (только при использовании сервиса стороннего поставщика идентификационной информации)

Если вы используете сервис стороннего поставщика идентификационной информации для шифрования на стороне клиента, рекомендуем разрешить сторонние файлы cookie от этого поставщика в браузерах пользователей. В противном случае пользователям может понадобиться чаще входить в сервис поставщика при использовании шифрования на стороне клиента.

  • Если в вашей организации используется Chrome Enterprise: вы можете использовать правило CookiesAllowedForUrls.
  • Для других браузеров: поищите в справочных материалах браузера инструкции о том, как разрешить принимать сторонние файлы cookie.
Как выбрать способ подключения к поставщику идентификационной информации

Вы можете настроить сервис поставщика идентификационной информации – сторонний или от Google – с помощью файла .well-known, размещенного на сайте вашей организации или в консоли администратора (которая является резервной конфигурацией поставщика). У этих способов есть ряд отличий, которые описаны в таблице ниже.

Примечание. Для настройки гостевого поставщика идентификационной информации нужно использовать консоль администратора.

Аспекты Файл .well-known Консоль администратора (резервная конфигурация поставщика идентификационной информации)
Изоляция данных от Google Настройки поставщика идентификационной информации хранятся на вашем сервере. Настройки поставщика идентификационной информации хранятся на серверах Google.
Задачи администратора Вашими настройками вместо суперадминистратора Google Workspace может управлять веб-мастер. Настройками поставщика идентификационной информации может управлять только суперадминистратор Google Workspace.
Доступность шифрования на стороне клиента Доступность (время работы) шифрования на стороне клиента зависит от доступности сервера, на котором размещен файл .well-known. Доступность шифрования на стороне клиента соответствует общей доступности сервисов Google Workspace.
Удобство настройки Нужно менять настройки DNS для сервера за пределами консоли администратора. Настройка выполняется в консоли администратора.
Предоставление доступа к контенту внешним пользователям При совместной работе сервис управления ключами вашего соавтора может легко получать доступ к вашим настройкам поставщика идентификационной информации. Этот процесс можно автоматизировать, чтобы сервис вашего соавтора сразу имел доступ к изменениям в ваших настройках.

У внешнего сервиса управления ключами вашего соавтора нет доступа к вашим настройкам поставщика идентификационной информации в консоли администратора. Если вы делитесь зашифрованными файлами в первый раз или меняете настройки поставщика идентификационной информации, вам необходимо самостоятельно предоставлять информацию об этих настройках соавтору.

Шаг 2. Создайте идентификаторы клиентов для шифрования на стороне клиента

Развернуть раздел  |  Свернуть все

Создайте идентификатор клиента для веб-приложений

Вам нужно создать идентификатор клиента и добавить URI перенаправления для поддерживаемых веб-приложений Google Workspace. Вы можете ознакомиться со списком поддерживаемых компьютерных, мобильных и веб-приложений.

Способ создания идентификатора клиента для веб-приложений выбирается в зависимости от того, используете ли вы сервис стороннего поставщика идентификационной информации или идентификационную информацию Google.

Примечание. При настройке гостевого поставщика идентификационной информации нужно создать дополнительный идентификатор клиента для доступа к Google Meet, который используется для того, чтобы убедиться, что гостя пригласили на встречу. Подробнее о том, как настроить гостевого поставщика идентификационной информации

Если для шифрования на стороне клиента используется сервис стороннего поставщика идентификационной информации

Создайте идентификатор клиента в консоли администратора поставщика. Вам также нужно добавить в ней следующие URI перенаправления:

Веб-службы

  • https://client-side-encryption.google.com/callback
  • https://client-side-encryption.google.com/oidc/cse/callback
  • https://client-side-encryption.google.com/oidc/drive/callback
  • https://client-side-encryption.google.com/oidc/gmail/callback
  • https://client-side-encryption.google.com/oidc/meet/callback
  • https://client-side-encryption.google.com/oidc/calendar/callback
  • https://client-side-encryption.google.com/oidc/docs/callback
  • https://client-side-encryption.google.com/oidc/sheets/callback
  • https://client-side-encryption.google.com/oidc/slides/callback

Диск для компьютеров

http://localhost

Мобильные приложения для Android и iOS

  • https://client-side-encryption.google.com/oidc/gmail/native/callback
  • https://client-side-encryption.google.com/oidc/meet/native/callback
  • https://client-side-encryption.google.com/oidc/calendar/native/callback
  • https://client-side-encryption.google.com/oidc/drive/native/callback
  • https://client-side-encryption.google.com/oidc/gmail/meet/native/callback

Если для шифрования на стороне клиента используется идентификационная информация Google

Создайте идентификатор клиента в консоли Google Cloud. Вам также нужно будет настроить источники JavaScript для технологии совместного использования ресурсов между разными источниками (CORS) и добавить URI перенаправления.

  1. Откройте сайт console.cloud.google.com.
  2. Создайте новый проект Google Cloud. Подробнее о том, как это сделать

    Настройте проект любым удобным вам образом – он предназначен только для хранения учетных данных.

  3. В консоли нажмите на значок меню а затемAPIs & Services (API и сервисы)а затемCredentials (Учетные данные).
  4. Создайте идентификатор клиента OAuth для нового веб-приложения, которое вы будете использовать с шифрованием на стороне клиента.
  5. Укажите в разделе JavaScript origins (Источники JavaScript) следующую информацию:
    • https://admin.google.com
    • https://client-side-encryption.google.com
  6. Укажите в разделе Authorized Redirect URIs (Разрешенные URI перенаправления) следующую информацию:

    Веб-службы

    • https://client-side-encryption.google.com/callback
    • https://client-side-encryption.google.com/oidc/cse/callback
    • https://client-side-encryption.google.com/oidc/drive/callback
    • https://client-side-encryption.google.com/oidc/gmail/callback
    • https://client-side-encryption.google.com/oidc/meet/callback
    • https://client-side-encryption.google.com/oidc/calendar/callback
    • https://client-side-encryption.google.com/oidc/docs/callback
    • https://client-side-encryption.google.com/oidc/sheets/callback
    • https://client-side-encryption.google.com/oidc/slides/callback

    Диск для компьютеров

    http://localhost

    Мобильные приложения для Android и iOS

    Для мобильных приложений для Android и iOS дополнительная настройка не требуется.

Идентификатор клиента OAuth создан. Сохраните его, чтобы использовать для файла .well-known/cse-configuration или консоли администратора.

Создайте идентификаторы клиентов для компьютерных и мобильных приложений

Чтобы разрешить сотрудникам использовать шифрование на стороне клиента в компьютерных и мобильных приложениях, понадобятся идентификаторы клиентов. Для каждого мобильного приложения нужны отдельные идентификаторы для Android и iOS. Вы можете ознакомиться со списком поддерживаемых компьютерных, мобильных и веб-приложений.

Способ получения идентификаторов клиентов для компьютерных и мобильных приложений зависит от того, использует ли ваша организация сервис стороннего поставщика идентификационной информации или Google.

Примечание. Эти идентификаторы должны поддерживать тип предоставления разрешения authorization_code для PKCE (RFC 7636).

Если для шифрования на стороне клиента будет использоваться сервис стороннего поставщика идентификационной информации

В консоли администратора поставщика создайте отдельный идентификатор клиента для каждого приложения.

Если для шифрования на стороне клиента будет использоваться идентификационная информация Google

Укажите следующие идентификаторы клиентов:

  • Диск для компьютеров947318989803-k88lapdik9bledfml8rr69ic6d3rdv57.apps.googleusercontent.com
  • Диск для устройств Android – 313892590415-6lbccuf47cou4q45vanraqp3fv5jt9do.apps.googleusercontent.com
  • Диск для устройств iOS – 313892590415-d3h1l7kl4htab916r6jevqdtu8bfmh9m.apps.googleusercontent.com
  • Календарь для устройств Android – 313892590415-q84luo8fon5pn5vl8a6rppo1qvcd3qvn.apps.googleusercontent.com
  • Календарь для устройств iOS – 313892590415-283b3nilr8561tedgu1n4dcm9hd6g3hr.apps.googleusercontent.com
  • Gmail для устройств Android313892590415-samhd32i4piankgs42o9sit5e9dug452.apps.googleusercontent.com
  • Gmail для устройств iOS313892590415-ijvjpbnsh0gauuunjgsdn64ngg37k6rc.apps.googleusercontent.com
  • Meet для устройств Android – 313892590415-i06v47su4k03ns7ot38akv7s9ari5oa5.apps.googleusercontent.com
  • Meet для устройств iOS – 313892590415-32ha2bvs0tr1b12s089i33o58hjvqt55.apps.googleusercontent.com

Шаг 3. Подключите поставщика идентификационной информации для шифрования на стороне клиента

Для подключения Google Workspace к поставщику идентификационной информации можно использовать файл .well-known или консоль администратора. После подключения вам нужно добавить поставщика в белый список в консоли администратора.

Примечание. Для настройки гостевого поставщика идентификационной информации нужно использовать консоль администратора.

Вариант 1. Подключение поставщика идентификационной информации с помощью файла .well-known

Чтобы настроить сервис стороннего поставщика идентификационной информации или поставщика Google, разместите файл .well-known на общедоступном сайте своей организации. Этот файл указывает, какой поставщик идентификационной информации вы используете, и позволяет внешним соавторам узнать его настройки.

Развернуть раздел  |  Свернуть все

Шаг 1. Разместите файл .well-known на сервере

Разместите конфигурацию поставщика идентификационной информации в вашем домене по следующему URI:

https://cse.subdomen.domen.tld/.well-known/cse-configuration

Фрагмент subdomen.domen.tld должен соответствовать сведениям в вашем адресе электронной почты. Например, если в вашем адресе электронной почты указан домен solarmora.com, разместите файл .well-known здесь:

https://cse.solarmora.com/.well-known/cse-configuration

Примечание. Префикс https://cse. является обязательным, потому что URI файла .well-known не зарегистрирован в IETF (RFC 8615).

Шаг 2. Настройте файл .well-known

Содержимое файла .well-known по адресу well-known/cse-configuration должно иметь кодировку JSON (RFC 8259) и включать указанные ниже поля.

Поле Описание

name

Название поставщика идентификационной информации. Вы можете задать любое значение. Оно будет показываться в сообщениях об ошибках поставщика пользователям сервисов Google, например Диска и редакторов Документов.

client_id

Идентификатор клиента OpenID Connect (OIDC), который клиентское веб-приложение шифрования на стороне клиента использует для получения JSON Web Token (JWT).

При создании идентификатора клиента также нужно добавить URI перенаправления в консоли Google Cloud.

Инструкции по созданию идентификатора клиента приведены в разделе Создайте идентификатор клиента для веб-приложений.

discovery_uri

URL обнаружения OIDC согласно определению в этой спецификации OpenID.

Если вы используете сервис стороннего поставщика идентификационной информации

Сторонний поставщик идентификационной информации предоставит вам этот URL, который обычно заканчивается на /.well-known/openid-configuration.

Если вы используете идентификационную информацию Google

Укажите https://accounts.google.com/.well-known/openid-configuration.

grant_type

Процесс OAuth, используемый для OIDC с клиентскими веб-приложениями шифрования на стороне клиента.

Если вы используете сервис стороннего поставщика идентификационной информации

Для веб-приложений для шифрования на стороне клиента вам доступен тип предоставления implicit или authorization_code.

Если вы используете идентификационную информацию Google

Для веб-приложений для шифрования на стороне клиента вам доступен только тип предоставления разрешения implicit.

applications

Дополнительные клиентские приложения, для которых нужно шифрование на стороне клиента. Вам потребуется добавить идентификатор клиента для каждого приложения в файл .well-known.

Примечание. Эти идентификаторы должны поддерживать тип предоставления разрешения authorization_code для PKCE (RFC 7636).

Инструкции по созданию идентификаторов клиентов приведены в разделе Создайте идентификатор клиента для компьютерных и мобильных приложений.

Если у вас сторонний поставщик идентификационной информации, файл .well-known должен выглядеть следующим образом:

{

  "name": "название поставщика идентификационной информации",

  "client_id": "идентификатор от поставщика",

  "discovery_uri": "https://your_idp.com/.well-known/openid-configuration",

  "applications":{

    "drivefs":{

      "client_id": "идентификатор от поставщика"

    },

    "drive-android": {

      "client_id": "идентификатор от поставщика"
    },

    "drive-ios": {

      "client_id": "идентификатор от поставщика"

    },

    "calendar-android": {

      "client_id": "идентификатор от поставщика"

    },

    "calendar-ios": {

      "client_id": "идентификатор от поставщика"

    },

    "gmail-android": {

      "client_id": "идентификатор от поставщика"

    },

    "gmail-ios": {

      "client_id": "идентификатор от поставщика"

    },

    "meet-android": {

      "client_id": "идентификатор от поставщика"

    },

    "meet-ios": {

      "client_id": "идентификатор от поставщика"

    }

  }

}

Если вы используете идентификационную информацию Google, файл .well-known должен выглядеть следующим образом:

{

  "name" : "идентификационная информация Google",

  "client_id" : "идентификатор от Google Cloud (созданный ранее)",

  "discovery_uri" : "https://accounts.google.com/.well-known/openid-configuration",

  "applications":{

    "drivefs":{

      "client_id": "947318989803-k88lapdik9bledfml8rr69ic6d3rdv57.apps.googleusercontent.com"

    },

    "drive-android":{
      "client_id": "313892590415-6lbccuf47cou4q45vanraqp3fv5jt9do.apps.googleusercontent.com"
    },
    "drive-ios":{
      "client_id": "313892590415-d3h1l7kl4htab916r6jevqdtu8bfmh9m.apps.googleusercontent.com"

    },
    "calendar-android":{
      "client_id": "313892590415-q84luo8fon5pn5vl8a6rppo1qvcd3qvn.apps.googleusercontent.com"

    },
    "calendar-ios":{
      "client_id": "313892590415-283b3nilr8561tedgu1n4dcm9hd6g3hr.apps.googleusercontent.com"

    },
    "gmail-android":{
      "client_id": "313892590415-samhd32i4piankgs42o9sit5e9dug452.apps.googleusercontent.com"

    },
    "gmail-ios":{
      "client_id": "313892590415-ijvjpbnsh0gauuunjgsdn64ngg37k6rc.apps.googleusercontent.com"

    },
    "meet-android":{
      "client_id": "313892590415-i06v47su4k03ns7ot38akv7s9ari5oa5.apps.googleusercontent.com"

    },
    "meet-ios":{
      "client_id": "313892590415-32ha2bvs0tr1b12s089i33o58hjvqt55.apps.googleusercontent.com"

    }

  }

}

Шаг 3. Настройте CORS

Если вы используете идентификационную информацию Google, настройте технологию CORS в консоли Google Cloud при создании идентификатора клиента. С подробными сведениями можно ознакомиться в разделе Создайте идентификатор клиента для веб-приложений.

Если у вас сторонний поставщик идентификационной информации, конфигурации .well-known/openid-configuration и .well-known/cse-configuration должны разрешать URL источников для вызовов технологии совместного использования ресурсов между разными источниками (CORS). В консоли администратора поставщика идентификационной информации настройте конфигурации описанным ниже образом.

.well-known/openid-configuration (URI обнаружения)

  • Методы: GET
  • Разрешенные источники:
    • https://admin.google.com
    • https://client-side-encryption.google.com

.well-known/cse-configuration

  • Методы: GET
  • Разрешенные источники:
    • https://admin.google.com
    • https://client-side-encryption.google.com

Вариант 2. Подключение к поставщику идентификационной информации с помощью консоли администратора

Вместо использования файла .well-known вы можете подключить Google Workspace к поставщику идентификационной информации с помощью консоли администратора.
Примечание. Для настройки гостевого поставщика идентификационной информации нужно использовать консоль администратора.

Развернуть раздел  |  Свернуть все

Шаг 1. Соберите информацию о поставщике

Чтобы настроить подключение к поставщику идентификационной информации с помощью консоли администратора, вам понадобится информация, указанная в таблице ниже.

Название поставщика идентификационной информации Подробная информация приведена в разделе Настройте файл .well-known.
Идентификатор клиента для веб-приложений С подробными сведениями можно ознакомиться в разделе Создайте идентификатор клиента для веб-приложений.
URI обнаружения Подробная информация приведена в разделе Настройте файл .well-known.
Идентификаторы клиентов для компьютерных и мобильных приложений (необязательно) Подробные сведения можно найти в разделе Создайте идентификаторы клиентов для компьютерных и мобильных приложений.

 

Шаг 2. Настройте CORS

Если вы используете идентификационную информацию Google, настройте технологию совместного использования ресурсов между разными источниками (CORS) в консоли Google Cloud при создании идентификатора клиента. С подробными сведениями можно ознакомиться в разделе Создайте идентификатор клиента для веб-приложений.

Если вы пользуетесь сервисом стороннего поставщика идентификационной информации, в его консоли администратора настройте URI обнаружения, чтобы разрешить URL источников для вызовов технологии совместного использования ресурсов между разными источниками (CORS):

  • Метод: GET
  • Разрешенные источники:
    • https://admin.google.com
    • https://client-side-encryption.google.com
Шаг 3. Добавьте информацию в консоли администратора

Чтобы выполнить эту задачу, войдите в аккаунт суперадминистратора.

  1. Войдите в консоль администратора Google.

    Для входа используйте аккаунт суперадминистратора (он не заканчивается на @gmail.com).

  2. В консоли администратора нажмите на значок меню а затем Безопасностьа затемУправление доступом и даннымиа затемШифрование на стороне клиента.

    Примечание. В разделе Конфигурация поставщика идентификационной информации появится сообщение о том, что Google Workspace не может найти файл .well-known. Поскольку вы настраиваете подключение к поставщику идентификационной информации с помощью консоли администратора, это сообщение можно игнорировать.

  3. В разделе Конфигурация поставщика идентификационной информации нажмите Настроить резервную конфигурацию поставщика идентификационной информации.

    Если вы настраиваете гостевого поставщика идентификационной информации, нажмите Настройка гостевого поставщика идентификационной информации.

  4. Введите следующие сведения о поставщике идентификационной информации:
    • имя;
    • идентификатор клиента (для веб-приложений);
    • URI обнаружения.
  5. Нажмите Test connection (Проверить подключение).

    Если Google Workspace сможет подключиться к поставщику идентификационной информации, появится сообщение "Подключение установлено".

  6. Если вы настраиваете гостевого поставщика идентификационной информации, нажмите Продолжить, а затем выберите веб-приложения, к которым хотите предоставить гостевой доступ. Затем выберите Сохранить, чтобы закрыть карточку.

    Примечание. Сейчас поддерживается только Google Meet.

  7. Если нужно использовать шифрование на стороне клиента с определенными приложениями:
    1. В разделе Аутентификация приложений Google на ПК и мобильных устройствах (необязательно) выберите приложения, с которыми нужно использовать шифрование на стороне клиента.
    2. В поле Идентификатор клиента укажите идентификатор клиента для приложения.
  8. Нажмите Добавить поставщика, чтобы закрыть карточку.

Шаг 4 добавьте стороннего поставщика идентификационной информации в белый список в консоли администратора

Если вы используете сервис стороннего поставщика идентификационной информации, добавьте его в белый список в консоли администратора, чтобы пользователям не нужно было повторно входить в этот сервис. Следуйте инструкциям из статьи Как управлять доступом сторонних и внутренних приложений к даннымGoogle Workspace, раздел "Как управлять доступом приложений с помощью категорий "Надежные", "Ограниченный набор сервисов" и "Заблокированные".

Следующий шаг

Настроив поставщика идентификационной информации, вы можете приступать к настройке сервиса управления ключами шифрования.

Эта информация оказалась полезной?

Как можно улучшить эту статью?
true
Начните пользоваться 14-дневной бесплатной пробной версией уже сегодня

Корпоративная почта, хранение файлов онлайн, общие календари, видеоконференции и многое другое. Начните пользоваться бесплатной пробной версией G Suite уже сегодня.

Поиск
Очистить поле поиска
Закрыть поиск
Приложения Google
Главное меню