作为管理员,您可以允许外部用户访问您使用 Google Workspace 客户端加密功能 (CSE) 加密的内容。您可以通过以下 2 种方法提供外部访问权限:
- 为同样使用 CSE 的外部组织设置访问权限。使用此方法时,如果外部组织符合用户和 CSE 要求,您就可以授权外部组织访问加密内容。
- 配置访客身份提供方 (IdP) 以允许任何外部用户访问。使用此方法,您的用户可以授权 Google 账号和非 Google 账号访问您的客户端加密内容。外部组织无需设置 CSE,其用户也无需 Google Workspace 或 Cloud Identity 许可。
访客 IdP 配置目前仅适用于 Google Meet、云端硬盘、文档、表格和幻灯片 Web 应用。我们将在即将发布的版本中提供适用于这些服务的移动应用的访客 IdP 配置。
关于访问加密电子邮件:如果外部用户使用 S/MIME,您的用户可以与外部用户交换客户端加密的电子邮件。无需进行其他设置,而且外部用户也无需 Google Workspace 或 Cloud Identity 许可。如需详细了解如何发送和接收客户端加密电子邮件,请参阅了解 Gmail 客户端加密功能。
为使用 CSE 的外部组织设置外部访问权限
如果外部组织和贵组织满足以下要求,则您可以授权从外部访问贵组织的 Google 云端硬盘和文档、日历和 Meet 中经过客户端加密的内容。
外部用户必须有 Google Workspace 或 Cloud Identity 许可才能访问通过 CSE 加密的数据。
注意:采用这种外部访问方法后,使用消费者(非受管)Google 账号或访问者账号的用户无法访问您组织的客户端加密内容。
- 将外部组织的 IdP 服务列入您的加密密钥服务的许可名单。通常情况下,您可以在其公开提供的 .well-known 文件中找到其 IdP 服务(如果已设置此文件)。否则,您需要联系外部组织的 Google Workspace 管理员,请其提供 IdP 的详细信息。
- 请确保他们的管理员了解,他们的用户需要向您的密钥服务提供身份验证令牌,才能查看或修改贵组织的加密内容。身份验证过程要求用户分享其 IP 地址和其他身份信息。有关详情,请参阅客户端加密功能 API 参考指南中的身份验证令牌。
- 根据您和外部组织的安全政策,他们可能还需要创建单独的 Web 客户端 ID 和移动客户端 ID 才能访问贵组织的加密内容。您需要将这些客户端 ID 列入加密密钥服务的许可名单。
为任何外部用户配置访客 IdP
如要允许外部组织访问客户端加密内容,您可以配置访客 IdP,以使用您所使用的同一 IdP 或其他 IdP 对外部用户进行身份验证。借助访客 IdP,用户可以与外部组织中的其他人共享加密内容,无论这些组织是否也使用 CSE。
注意:如果您已为同样使用 CSE 的组织设置外部访问权限(如本页前面所述),则在您配置访客 IdP 后,系统会忽略此设置。
按照连接到身份提供方以使用客户端加密功能中的说明设置 IdP。在设置过程中,您需要执行以下操作:
- 选择符合 OIDC 的 IdP - 对于 Google Meet,您可以使用第三方 IdP 或 Google 身份。不过,对于 Google 云端硬盘和 Google 文档编辑器,您只能使用第三方 IdP。此限制可确保为访问者账号提供访客访问权限。您的第三方 IdP 可以是您为用户使用的 IdP,也可以是其他 IdP。
- 为 Google Meet 创建其他客户端 ID - 在为 Web 服务创建客户端 ID 这一步骤中,您需要为 Google Meet 另外创建一个客户端 ID。
Web 服务的主客户端 ID 用于密钥加密服务,并且不会与 Google 系统共享。Meet 的另一个客户端 ID 用于验证未登录 Meet 的访客是否受邀加入会议。
- 使用管理控制台配置访客 IdP - 您必须使用管理控制台配置访客 IdP 连接,然后选择配置访客 IdP 选项。您无法使用 .well-known 文件配置访客 IdP。
在管理控制台中完成 IdP 配置后,您可以使用 IdP 的工具来设置外部用户的身份验证方式。根据您的访客 IdP 实现方式,可能会提供以下选项:
- 为访客设置单独的账号,并向他们提供账号密码。
- 向访问发送一次性验证码以验证其电子邮件地址。
- 允许访客使用预配置的 IdP,例如 Google、Apple 或 Microsoft。
注意:借助 Google 身份,用户可以使用自己的 Google 账号登录。如果他们没有账号,可以创建一个。
无论采用哪种身份验证方法,系统都会向访客显示弹出式消息,要求他们通过身份提供方登录,然后才能访问客户端加密内容。