Som administratör kan du låta externa användare få åtkomst till ditt innehåll som har krypterats med Google Workspace-kryptering på klientsidan (CSE). Det finns två sätt att ge extern åtkomst:
- Konfigurera åtkomst för externa organisationer som också använder CSE. Med den här metoden kan du ge en extern organisation åtkomst till krypterat innehåll om de uppfyller användar- och CSE-kraven.
- Konfigurera en leverantör av gästidentitet (IdP) för att tillåta åtkomst för externa användare Med den här metoden kan användarna ge åtkomst till ditt krypterade innehåll på klientsidan till både Google-konton och konton utanför Google. Externa organisationer behöver inte konfigurera CSE och deras användare behöver inte en Google Workspace- eller Cloud Identity-licens.
IdP-konfigurationen för gäster är för närvarande endast tillgänglig för webbapparna Google Meet, Drive, Dokument, Kalkylark och Presentationer. IdP-konfigurationen för mobilappar för dessa tjänster är tillgänglig i en kommande version.
Om åtkomst till krypterad e-post: Användarna kan utbyta krypterade e-postmeddelanden på klientsidan med externa användare om de externa användarna använder S/MIME. Ingen annan konfigurering krävs och externa användare behöver ingen Google Workspace- eller Cloud Identity-licens. Mer information om hur du skickar och tar emot e-postmeddelanden som är krypterade på klientsidan finns i Läs mer om kryptering på klientsidan i Gmail.
Konfigurera extern åtkomst för externa organisationer som använder CSE
Om en extern organisation och din organisation uppfyller följande krav kan du ge den externa åtkomsten till organisationens innehåll som är krypterat på klientsidan för Drive och Dokument, Kalender och Meet.
Öppna avsnitt | Komprimera alla
Externa användare måste ha en Google Workspace- eller Cloud Identity-licens för att få åtkomst till data som har krypterats med CSE.
Obs! Med den här externa åtkomstmetoden kan användare med ett konsumentkonto (ohanterat) Google-konto eller ett besökarkonto inte få åtkomst till organisationens innehåll som är krypterat på klientsidan.
- Låt den externa organisationens IdP-tjänst läggas till på godkännandelistan med krypteringsnyckeltjänsten. Du hittar vanligtvis IdP-tjänsten i den offentliga .well-known-filen, om den har konfigurerats. Kontakta annars den externa organisationens Google Workspace-administratör för mer information om IdP.
- Se till att administratören förstår att användarna måste tillhandahålla sina autentiseringstoken till nyckeltjänsten för att visa eller redigera organisationens krypterade innehåll. Autentiseringsprocessen kräver att en användare delar sin IP-adress och annan identitetsinformation. Mer information finns i Autentiseringstoken i referensguiden för kryptering på klientsidan.
- Beroende på dina och den externa organisationens säkerhetspolicyer kan de även behöva skapa separata webb- och mobilklient-id:n för åtkomst till organisationens krypterade innehåll. Dessa klient-id:n måste finnas med på godkännandelistan med krypteringsnyckeltjänsten.
Konfigurera en gäst-IdP för externa användare
Om du vill ge externa organisationer åtkomst till ditt krypterade innehåll på klientsidan kan du konfigurera en gäst-IdP för att autentisera externa användare med samma IdP som du använder eller en annan. Med en gäst-IdP kan användarna dela krypterat innehåll med andra i externa organisationer, oavsett om dessa organisationer också använder CSE eller inte.
Obs! Om du redan har konfigurerat extern åtkomst för organisationer som också använder CSE (enligt beskrivningen tidigare på den här sidan) ignoreras denna konfiguration när du konfigurerar en gäst-IdP.
Öppna avsnitt | Komprimera alla
Följ anvisningarna för att konfigurera en IdP i Anslut till identitetsleverantör för kryptering på klientsidan. Under konfigureringen gör du följande:
- Välj en OIDC-kompatibel IdP – för Google Meet kan du använda en IdP från tredje part eller en Google-identitet. För Google Drive och dokumentredigerare kan du dock bara använda en extern IdP. Denna begränsning säkerställer att gäståtkomsten stöds för besökarkonton. Din externa IdP kan vara samma IdP som du använder för användarna eller en annan.
- Skapa ytterligare ett klient-id för Google Meet – under steget där du skapar ditt klient-id för webbtjänster måste du skapa ytterligare ett klient-id för Google Meet.
Det primära klient-id:t för webbtjänster används för nyckelkrypteringstjänsten och delas inte med Googles system. Det ytterligare klient-id:t för Meet används för att verifiera att gäster som inte är inloggade på Meet har bjudits in till mötet.
- Använd administratörskonsolen för att konfigurera din gäst-IdP – du måste använda administratörskonsolen för att konfigurera din IdP-gästanslutning och välja alternativet Konfigurera gäst-IdP. Du kan inte konfigurera din gäst-IdP med en .well-known-fil.
När du har slutfört IdP-konfigurationen på administratörskonsolen kan du använda IdP-verktygen för att konfigurera hur externa användare autentiseras. Beroende på din gäst-IdP-implementering kan följande alternativ vara tillgängliga:
- Skapa separata konton för gäster och ge dem kontolösenorden.
- Skicka engångskoder till gäster för att verifiera e-postadressen.
- Tillåt att gäster använder förkonfigurerade IdP:er, till exempel Google, Apple eller Microsoft.
Obs! Med Google-identitet kan användarna logga in med sitt Google-konto. Användare som inte har ett konto kan skapa ett.
Med valfri autentiseringsmetod visas ett popup-meddelande för gästerna där de uppmanas att logga in med en identitetsleverantör innan de kan få åtkomst till krypterat innehåll på klientsidan.