En tant qu'administrateur, vous pouvez autoriser les utilisateurs externes à accéder à votre contenu chiffré avec le chiffrement côté client (CSE) Google Workspace. Il existe deux méthodes pour fournir un accès externe :
- Configurez l'accès pour les organisations externes qui utilisent également le CSE. Cette méthode vous permet d'autoriser une organisation externe à accéder au contenu chiffré si elle répond aux exigences concernant les utilisateurs et le CSE.
- Configurez un fournisseur d'identité (IdP) pour les invités afin d'autoriser l'accès à tous les utilisateurs externes. Cette méthode permet à vos utilisateurs d'accorder l'accès à votre contenu chiffré côté client à des comptes Google et autres. Les organisations externes n'ont pas besoin de configurer le CSE, et leurs utilisateurs ne doivent pas disposer d'une licence Google Workspace ou Cloud Identity.
La configuration de l'IdP pour les invités n'est actuellement disponible que pour les applications Web Google Meet, Drive, Docs, Sheets et Slides. La configuration de l'IdP pour les invités sera disponible dans une prochaine version pour les applications mobiles de ces services.
À propos de l'accès aux e-mails chiffrés : vos utilisateurs peuvent échanger des e-mails chiffrés côté client avec des utilisateurs externes, si ces derniers utilisent S/MIME. Aucune autre configuration n'est requise, et les utilisateurs externes n'ont pas besoin d'une licence Google Workspace ou Cloud Identity. Pour savoir comment envoyer et recevoir des e-mails chiffrés côté client, consultez À propos du chiffrement côté client Gmail.
Configurer l'accès externe pour les organisations externes qui utilisent le CSE
Si une organisation externe et votre organisation répondent aux exigences suivantes, vous pouvez accorder un accès externe au contenu chiffré côté client de votre organisation pour Drive, Docs, Agenda et Meet.
Ouvrir la section | Tout réduire
Les utilisateurs externes doivent disposer d'une licence Google Workspace ou Cloud Identity pour accéder aux données chiffrées avec le CSE.
Remarque : Avec cette méthode d'accès externe, les utilisateurs disposant d'un compte Google personnel (non géré) ou d'un compte visiteur n'ont pas accès au contenu chiffré côté client de votre organisation.
- Ajoutez le service d'IdP de l'organisation externe à la liste d'autorisation de votre service de clés de chiffrement. Le service d'IdP se trouve généralement dans leur fichier .well-known public, s'il est configuré. Sinon, contactez l'administrateur Google Workspace de l'organisation externe.
- Assurez-vous que l'administrateur comprend que ses utilisateurs doivent fournir leurs jetons d'authentification à votre service de clés pour afficher ou modifier le contenu chiffré de votre organisation. Le processus d'authentification nécessite que l'utilisateur partage son adresse IP et d'autres informations d'identité. Pour en savoir plus, consultez Jetons d'authentification dans le guide de référence de l'API Client-side encryption.
- En fonction des règles de sécurité de votre organisation et de l'organisation externe, il se peut que vous deviez créer des ID client Web et mobile distincts pour accéder au contenu chiffré de votre organisation. Vous devez ajouter ces ID client à la liste d'autorisation du service de clés de chiffrement.
Configurer un IdP pour les invités pour tous les utilisateurs externes
Pour permettre aux organisations externes d'accéder à votre contenu chiffré côté client, vous pouvez configurer un IdP pour les invités afin d'authentifier les utilisateurs externes, à l'aide du même IdP que celui que vous utilisez ou d'un autre. L'IdP pour les invités permet à vos utilisateurs de partager du contenu chiffré avec d'autres membres d'organisations externes, que celles-ci utilisent ou non le CSE.
Remarque : Si vous avez déjà configuré un accès externe pour des organisations qui utilisent également le CSE (comme décrit précédemment sur cette page), cette configuration est ignorée une fois que vous avez configuré un IdP pour les invités.
Ouvrir la section | Tout réduire
Suivez les instructions de la page Se connecter au fournisseur d'identité pour le chiffrement côté client pour configurer un IdP. Lors de la configuration, vous allez effectuer les tâches suivantes :
- Choisir un IdP conforme à OIDC : pour Google Meet, vous pouvez utiliser un IdP tiers ou une identité Google. Toutefois, pour Google Drive et les éditeurs Docs, vous ne pouvez utiliser qu'un IdP tiers. Cette restriction permet d'assurer la compatibilité de l'accès invité pour les comptes visiteur. Votre IdP tiers peut être celui que vous utilisez pour vos utilisateurs ou un autre IdP.
- Créer un ID client supplémentaire pour Google Meet : au cours de l'étape de création de votre ID client pour les services Web, vous devrez créer un ID client supplémentaire pour Google Meet.
L'ID client principal des services Web est utilisé pour le service de clés de chiffrement. Il n'est pas partagé avec les systèmes Google. L'ID client supplémentaire pour Meet permet de vérifier que les invités qui ne sont pas connectés à Meet ont bien été invités à la réunion.
- Configurer l'IdP pour les invités à l'aide de la console d'administration : vous devez utiliser la console d'administration pour configurer la connexion à votre IdP pour les invités, et choisir l'option Configurer l'IdP pour les invités. Vous ne pouvez pas configurer l'IdP pour les invités via un fichier .well-known.
Une fois la configuration de l'IdP terminée dans la console d'administration, vous pouvez utiliser les outils de votre IdP pour définir la manière dont les utilisateurs externes seront authentifiés. Selon l'implémentation de votre IdP pour les invités, les options suivantes peuvent être disponibles :
- Créez des comptes distincts pour les invités et fournissez-leur les mots de passe associés.
- Envoyez des codes à usage unique aux invités pour valider leur adresse e-mail.
- Autorisez les invités à utiliser des IdP préconfigurés tels que Google, Apple ou Microsoft.
Remarque : Avec l'identité Google, les utilisateurs peuvent se connecter avec leur compte Google. S'ils n'ont pas de compte, ils peuvent en créer un.
Quelle que soit la méthode d'authentification, les invités verront un message pop-up leur demandant de se connecter avec un fournisseur d'identité pour pouvoir accéder au contenu chiffré côté client.