支援這項功能的版本:Enterprise Plus 和 Education Standard 和 Education Plus。 版本比較
為 Google Workspace 用戶端加密 (CSE) 選擇外部金鑰服務後,您必須將 Google Workspace 連線至識別資訊提供者 (IdP),無論是第三方 IdP 或 Google 身分皆可。您選擇用來加密內容的加密金鑰服務會先使用您的 IdP 驗證使用者,接著使用者才能為內容加密,或是存取已加密的內容。
注意:設定 IdP 後,您就可以設定訪客 IdP,允許外部人士存取貴機構的用戶端加密內容。詳情請參閱「設定訪客 IdP」。
事前準備
確認您已選擇要與 CSE 搭配使用的加密金鑰服務。詳情請參閱「選擇外部金鑰服務」。
步驟 1:規劃 IdP 連線
如要將加密金鑰服務與 CSE 搭配使用,您必須有支援 OpenID Connect (OIDC) 標準的識別資訊提供者 (IdP)。如果您尚未透過 Google Workspace 使用 OIDC IdP,可以透過以下任一方式設定 IdP,以便與金鑰服務搭配使用:
方法 1:使用第三方 IdP (建議做法)
如果安全性模型需要進一步將加密資料與 Google 隔離,請使用 OIDC 第三方 IdP。
已將第三方 IdP 用於 SAML 式單一登入 (SSO) 服務:為 CSE 使用 IdP 時,建議使用存取 Google Workspace 服務時所用的 IdP (前提是該 IdP 支援 OIDC)。進一步瞭解如何將 SAML 式單一登入 (SSO) 服務與 Google Workspace 搭配使用。
方法 2:使用 Google 身分
如果安全性模型不需要進一步將您的加密資料與 Google 隔離,您可以使用預設的 Google 身分做為 IdP。
如果使用第三方 IdP 執行 CSE,建議您允許從使用者瀏覽器中 IdP 取得的第三方 Cookie。否則,使用 CSE 時,使用者可能需要更頻繁登入 IdP。
- 如果貴機構使用 Chrome Enterprise:您可以採用 CookiesAllowedForUrls 政策。
- 其他瀏覽器:請參閱該瀏覽器的支援說明文件,瞭解如何允許第三方 Cookie。
您可以使用在貴機構網站上代管的 .well-known 檔案,或透過管理控制台 (您的備援 IdP) 設定 IdP,無論是第三方 IdP 或 Google 身分皆可。每種方法各有一些注意事項,詳見下表。
注意:如果您要設定訪客 IdP,需使用管理控制台。
注意事項 | .well-known 設定 | 管理控制台設定 (備援 IdP) |
---|---|---|
與 Google 隔離的情況 | IdP 設定會儲存在您自己的伺服器上。 | IdP 設定會儲存在 Google 伺服器上。 |
管理員責任 | 網站管理員可以管理設定,而非 Google Workspace 超級管理員。 | 只有 Google Workspace 超級管理員可以管理您的 IdP 設定。 |
CSE 適用性 | CSE 適用性 (運作時間) 取決於代管 .well-known 檔案的伺服器是否可用。 | CSE 適用性視 Google Workspace 服務正式發布後的情況而定。 |
設定輕鬆程度 | 必須在管理控制台外變更伺服器的 DNS 設定。 | 可在管理控制台中調整設定。 |
與機構外人士共用內容 | 協作者的外部金鑰服務可輕鬆存取您的 IdP 設定。您可以將此設為自動存取,確保每當您的 IdP 設定有任何異動時,協作者的服務就可以立即進行存取。 |
協作者的外部金鑰服務無法存取管理控制台中的 IdP 設定。在您首次共用加密檔案前,以及每次變更 IdP 設定前,都必須將 IdP 設定直接提供給協作者。 |
步驟 2:為 CSE 建立用戶端 ID
您必須建立用戶端 ID,然後為支援的 Google Workspace 網頁應用程式新增重新導向 URI。如需支援的應用程式清單,請參閱本頁上方的「查看支援的網頁、電腦版和行動應用程式」。
為網頁應用程式建立用戶端 ID 的方式,取決於您使用的是第三方 IdP 或 Google 身分。
注意:如果您要設定訪客 IdP,需建立存取 Google Meet 所用的額外用戶端 ID,此 ID 可用來確認未訪客是否已受邀加入會議。詳情請參閱「設定訪客 IdP」。
如果針對 CSE 使用第三方 IdP
請使用 IdP 的管理控制台建立用戶端 ID。您還需要在 IdP 的管理控制台中新增下列重新導向 URI:
網路服務:
https://client-side-encryption.google.com/callback
https://client-side-encryption.google.com/oidc/cse/callback
https://client-side-encryption.google.com/oidc/drive/callback
https://client-side-encryption.google.com/oidc/gmail/callback
https://client-side-encryption.google.com/oidc/meet/callback
https://client-side-encryption.google.com/oidc/calendar/callback
https://client-side-encryption.google.com/oidc/docs/callback
https://client-side-encryption.google.com/oidc/sheets/callback
https://client-side-encryption.google.com/oidc/slides/callback
雲端硬碟電腦版:
http://localhost
Android 和 iOS 行動應用程式:
https://client-side-encryption.google.com/oidc/gmail/native/callback
https://client-side-encryption.google.com/oidc/meet/native/callback
https://client-side-encryption.google.com/oidc/calendar/native/callback
https://client-side-encryption.google.com/oidc/drive/native/callback
https://client-side-encryption.google.com/oidc/gmail/meet/native/callback
如果針對 CSE 使用 Google 身分
您必須在 Google Cloud 控制台中建立用戶端 ID,同時設定 JavaScript 來源 (又稱為跨源資源共享或 CORS),並新增重新導向 URI。
- 前往 console.cloud.google.com。
- 建立新的 Google Cloud 專案。按這裡即可取得操作說明。
您可以視需求設定專案,這只是為了保留憑證而已。
- 在控制台中,依序點選「選單」圖示 「API 和服務」「憑證」。
- 針對要用於 CSE 的新網頁應用程式建立 OAuth 用戶端 ID。請按這裡查看完整操作說明。
- 使用以下內容更新「JavaScript 來源」:
https://admin.google.com
https://client-side-encryption.google.com
- 使用以下內容更新已授權的重新導向 URI:
網路服務:
https://client-side-encryption.google.com/callback
https://client-side-encryption.google.com/oidc/cse/callback
https://client-side-encryption.google.com/oidc/drive/callback
https://client-side-encryption.google.com/oidc/gmail/callback
https://client-side-encryption.google.com/oidc/meet/callback
https://client-side-encryption.google.com/oidc/calendar/callback
https://client-side-encryption.google.com/oidc/docs/callback
https://client-side-encryption.google.com/oidc/sheets/callback
https://client-side-encryption.google.com/oidc/slides/callback
雲端硬碟電腦版:
http://localhost
Android 和 iOS 行動應用程式:
您不需要為 Android 版和 iOS 版行動應用程式進行額外設定。
系統現在已建立 OAuth 用戶端 ID,請儲存這組 ID,以便用於 .well-known/cse-configuration 檔案或管理控制台。
如要讓使用者將 CSE 與電腦版和行動應用程式搭配使用,您必須先為這些應用程式建立用戶端 ID。每個 Android 和 iOS 平台的行動應用程式都需要有一個用戶端 ID。如需支援的應用程式清單,請參閱本頁上方的「查看支援的網頁、電腦版和行動應用程式」。
為電腦版和行動應用程式取得用戶端 ID 的方式,取決於您使用的是第三方 IdP 或 Google 身分。
注意:這些用戶端 ID 必須支援 PKCE 的 authorization_code
授權類型 (RFC 7636)。
如果針對 CSE 使用第三方 IdP
請使用您的 IdP 管理控制台,為每個應用程式產生獨立的用戶端 ID。
如要針對 CSE 使用 Google 身分
請使用下列用戶端 ID:
- 雲端硬碟電腦版:使用用戶端 ID
947318989803-k88lapdik9bledfml8rr69ic6d3rdv57.apps.googleusercontent.com
- 雲端硬碟 Android 版:使用用戶端 ID
313892590415-6lbccuf47cou4q45vanraqp3fv5jt9do.apps.googleusercontent.com
- 雲端硬碟 iOS 版:使用用戶端 ID
313892590415-d3h1l7kl4htab916r6jevqdtu8bfmh9m.apps.googleusercontent.com
- Android 版 Google 日曆:使用用戶端 ID
313892590415-q84luo8fon5pn5vl8a6rppo1qvcd3qvn.apps.googleusercontent.com
- iOS 版 Google 日曆:使用用戶端 ID
313892590415-283b3nilr8561tedgu1n4dcm9hd6g3hr.apps.googleusercontent.com
- Gmail Android 版:使用用戶端 ID
313892590415-samhd32i4piankgs42o9sit5e9dug452.apps.googleusercontent.com
- Gmail iOS 版:使用用戶端 ID
313892590415-ijvjpbnsh0gauuunjgsdn64ngg37k6rc.apps.googleusercontent.com
- Android 版 Meet:使用用戶端 ID
313892590415-i06v47su4k03ns7ot38akv7s9ari5oa5.apps.googleusercontent.com
- iOS 版 Meet:使用用戶端 ID
313892590415-32ha2bvs0tr1b12s089i33o58hjvqt55.apps.googleusercontent.com
步驟 3:連線至 IdP 以進行 CSE
如要將 Google Workspace 連線至識別資訊提供者 (IdP),請使用 .well-known 檔案或透過管理控制台操作。建立連線後,您必須在管理控制台中將 IdP 加入許可清單。
注意:如果您要設定訪客 IdP,需使用管理控制台。
方法 1:使用 .well-known 檔案連線至 IdP
如要使用這個方法設定第三方或 Google IdP,您必須將 .well-known 檔案置於貴機構的公開網站中。這個檔案會建立您使用的 IdP,並允許外部協作者探索您的 IdP 設定。
IdP 設定必須置於貴機構網域的這個 URI 中:
https://cse.<子網域>.<網域>.tld/.well-known/cse-configuration
其中,<子網域>.<網域>.tld 應與電子郵件地址中的網域相符。舉例來說,如果電子郵件地址中的網域是 solarmora.com,則可將 .well-known 檔案置於以下位置:
https://cse.solarmora.com/.well-known/cse-configuration
注意:前置字元 https://cse. 不可省略,因為 .well-known URI 並未向網際網路工程任務組 (IETF) 註冊 (RFC 8615)。
位於 well-known/cse-configuration 的 .well-known 檔案內容,必須採用 JSON 編碼格式 (RFC 8259) 並包含下列欄位:
欄位 | 說明 |
---|---|
|
IdP 的名稱,您可以使用自己偏好的名稱。使用者如果在 Google 服務 (例如雲端硬碟和文件編輯器) 中看到 IdP 錯誤訊息,系統就會顯示這個名稱。 |
|
CSE 用戶端網頁應用程式用來取得 JSON Web Token (JWT) 的 OpenID Connect (OIDC) 用戶端 ID 建立用戶端 ID 時,您也必須在 Google Cloud 控制台中新增重新導向 URI。 如想進一步瞭解如何建立用戶端 ID,請參閱本頁前述的「為網頁應用程式建立用戶端 ID」一節。 |
discovery_uri |
OIDC 導覽網址,定義請參見 OpenID 規格說明。 |
如果使用第三方 IdP 您的 IdP 會為您提供這個網址,網址結尾通常為 |
|
如果使用 Google 身分 請使用 |
|
grant_type |
OIDC 與 CSE 用戶端網頁應用程式搭配所使用的 OAuth 流程 |
如果使用第三方 IdP 您可以針對 CSE 網頁應用程式使用 |
|
如果使用 Google 身分 您只能針對網頁應用程式使用 |
|
|
您要搭配 CSE 使用的其他用戶端應用程式。您必須在 .well-known 檔案中為每個應用程式新增用戶端 ID。 注意:這些用戶端 ID 必須支援 PKCE 的 如要進一步瞭解如何建立用戶端 ID,請參閱本頁上方的「為電腦版和行動應用程式建立用戶端 ID」一節。 |
如果您使用第三方 IdP,您的 .well-known 檔案應如下所示:
{
"name" : "<IdP 名稱>",
"client_id" : "<來自 IdP 的 ID>",
"discovery_uri" : "https://<您的 IdP>.com/.well-known/openid-configuration",
"applications":{
"drivefs":{
"client_id": "<來自 IdP 的 ID>"
},
"drive-android": {
"client_id": <來自 IdP 的 ID>""
},
"drive-ios": {
"client_id": "<來自 IdP 的 ID>"
},
"calendar-android": {
"client_id": "<來自 IdP 的 ID>"
},
"calendar-ios": {
"client_id": "<來自 IdP 的 ID>"
},
"gmail-android": {
"client_id": "<來自 IdP 的 ID>"
},
"gmail-ios": {
"client_id": "<來自 IdP 的 ID>"
},
"meet-android": {
"client_id": "<來自 IdP 的 ID>"
},
"meet-ios": {
"client_id": "<來自 IdP 的 ID>"
}
}
}
如果您使用 Google 身分,您的 .well-known 檔案看起來應該會像這樣:
{
"name" : "Google Identity",
"client_id" : "<來自 Google Cloud 的 ID> (已在上方建立)",
"discovery_uri" : "https://accounts.google.com/.well-known/openid-configuration",
"applications":{
"drivefs":{
"client_id": "947318989803-k88lapdik9bledfml8rr69ic6d3rdv57.apps.googleusercontent.com"
},
"drive-android":{
"client_id": "313892590415-6lbccuf47cou4q45vanraqp3fv5jt9do.apps.googleusercontent.com"
},
"drive-ios":{
"client_id": "313892590415-d3h1l7kl4htab916r6jevqdtu8bfmh9m.apps.googleusercontent.com"
},
"calendar-android":{
"client_id": "313892590415-q84luo8fon5pn5vl8a6rppo1qvcd3qvn.apps.googleusercontent.com"
},
"calendar-ios":{
"client_id": "313892590415-283b3nilr8561tedgu1n4dcm9hd6g3hr.apps.googleusercontent.com"
},
"gmail-android":{
"client_id": "313892590415-samhd32i4piankgs42o9sit5e9dug452.apps.googleusercontent.com"
},
"gmail-ios":{
"client_id": "313892590415-ijvjpbnsh0gauuunjgsdn64ngg37k6rc.apps.googleusercontent.com"
},
"meet-android":{
"client_id": "313892590415-i06v47su4k03ns7ot38akv7s9ari5oa5.apps.googleusercontent.com"
},
"meet-ios":{
"client_id": "313892590415-32ha2bvs0tr1b12s089i33o58hjvqt55.apps.googleusercontent.com"
}
}
}
如果您使用 Google 身分登入 IdP:請在建立用戶端 ID 時,在 Google Cloud 控制台中設定 CORS。詳情請參閱本頁的「建立網頁應用程式的用戶端 ID」一節。
如果您使用第三方 IdP:.well-known/openid-configuration 和 .well-known/cse-configuration 必須允許跨源資源共享 (CORS) 呼叫的來源網址。在您的 IdP 管理控制台中,按照下列方式設定:
.well-known/openid-configuration (探索服務 URI)
- 方法:GET
- 允許的來源:
https://admin.google.com
https://client-side-encryption.google.com
.well-known/cse-configuration
- 方法:GET
- 允許的來源:
https://admin.google.com
https://client-side-encryption.google.com
方法 2:使用管理控制台連線至 IdP
如要使用管理控制台連線至 IdP,必須取得下列 IdP 資訊:
IdP 名稱 | 詳情請參閱本頁上方的「設定 .well-known 檔案」一節。 |
網頁應用程式的用戶端 ID | 詳情請參閱本頁的「建立網頁應用程式的用戶端 ID」一節。 |
探索服務 URI | 詳情請參閱本頁上方的「設定 .well-known 檔案」一節。 |
電腦版和行動應用程式的用戶端 ID (選用) | 詳情請參閱本頁上方的「為電腦版和行動應用程式建立用戶端 ID」一節。 |
如果使用 Google 身分:建立用戶端 ID 時,您要在 Google Cloud 控制台中設定跨來源資源共享 (CORS)。詳情請參閱本頁上方的「建立網頁應用程式的用戶端 ID」一節。
如果使用第三方 IdP:在 IdP 的管理控制台中,將探索服務 URI 設為允許跨源資源共享 (CORS) 呼叫的來源網址,如下所示:
- 方法:GET
- 允許的來源:
https://admin.google.com
https://client-side-encryption.google.com
您必須以超級管理員的身分登入才能執行這項工作。
-
- 在管理控制台中,依序點選「選單」圖示 「安全性」「存取權與資料控管」「用戶端加密」。
注意:系統會在「識別資訊提供者設定」下方顯示訊息,說明 Google Workspace 無法存取 .well-known 檔案。由於您是透過管理控制台連線至 IdP,因此可以忽略這則訊息。
- 在「識別資訊提供者設定」下方,按一下「設定備援 IdP」。
如果您要設定 訪客 IdP,則請按一下「設定訪客 IdP」。
- 輸入下列 IdP 資訊:
- 名稱
- 用戶端 ID (適用於網頁應用程式)
- 探索服務 URI
-
按一下「測試連線」。
如果 Google Workspace 可以連線至您的 IdP,您就會看到「連線成功」訊息。
- 如果您要設定訪客 IdP:按一下「繼續」,然後選擇要為哪些網頁應用程式提供訪客存取權。接著,請點選「儲存」關閉資訊卡。
注意:目前僅支援 Google Meet。
- (選用) 如要將 CSE 與特定應用程式搭配使用:
- 在「Google 電腦和行動應用程式驗證 (選用)」下方,選取要使用 CSE 的應用程式。
- 在「用戶端 ID」部分,提供應用程式的用戶端 ID。
- 按一下「新增供應商」即可關閉資訊卡。
步驟 4 (僅限第三方 IdP):在管理控制台中將 IdP 加入許可清單
下一步
設定 IdP 後,即可開始設定金鑰加密服務。