Por ser administrador, você pode permitir que usuários externos acessem seu conteúdo criptografado com a criptografia do lado do cliente (CSE) do Google Workspace. Existem dois métodos para conceder acesso externo:
- Configurar o acesso para organizações externas que também usam a CSE. Com esse método, é possível permitir que uma organização externa acesse o conteúdo criptografado caso ela atenda aos requisitos do usuário e da CSE.
- Configurar um provedor de identidade para convidados (IdP) para permitir acesso a usuários externos. Com esse método, os usuários podem conceder acesso ao conteúdo criptografado do lado do cliente para contas do Google e de terceiros. As organizações externas não precisam configurar a CSE, e os usuários não precisam de uma licença do Google Workspace ou do Cloud Identity.
No momento, a configuração do IdP de convidado está disponível apenas nos aplicativos da Web Google Meet, Drive, Documentos, Planilhas e Apresentações. A configuração do IdP convidado para aplicativos para dispositivos móveis desses serviços vai estar disponível em uma versão futura.
Sobre o acesso ao e-mail criptografado: seus usuários podem trocar mensagens de e-mail criptografadas do lado do cliente com usuários externos que utilizem S/MIME. Nenhuma outra configuração é necessária, e os usuários externos não precisam de uma licença do Google Workspace ou do Cloud Identity. Confira mais detalhes sobre o envio e o recebimento de e-mails criptografados do lado do cliente em Saiba mais sobre a criptografia do lado do cliente no Gmail.
Configurar o acesso externo para organizações externas que usam a CSE
Se uma organização externa e sua organização atenderem aos requisitos a seguir, você poderá conceder acesso externo ao conteúdo criptografado do lado do cliente da organização nos apps Drive, Documentos, Agenda e Meet.
Os usuários externos precisam ter uma licença do Google Workspace ou do Cloud Identity para acessar os dados criptografados com a CSE.
Observação: com esse método de acesso externo, os usuários com uma Conta do Google (não gerenciada) pessoal ou uma conta de visitante não podem acessar o conteúdo criptografado do lado do cliente da sua organização.
- Inclua o serviço do IdP da organização externa na lista de permissões do serviço de chaves de criptografia. No geral, o serviço do IdP é encontrado no arquivo .well-known disponível publicamente (se estiver configurado). Caso contrário, fale com o administrador do Google Workspace da organização externa para saber os detalhes do IdP.
- Confirme se o administrador entende que os usuários precisam informar os tokens de autenticação ao seu serviço de chaves para acessar ou editar o conteúdo criptografado da sua organização. No processo de autenticação, um usuário precisa compartilhar o endereço IP e outras informações. Saiba mais em Tokens de autenticação no Guia de Referência da API de criptografia do lado do cliente.
- Dependendo da sua política e das políticas de segurança da organização externa, talvez eles também precisem criar IDs de cliente da Web e de dispositivos móveis separados para acessar o conteúdo criptografado da sua organização. Esses IDs de cliente precisam estar na lista de permissões com o serviço de chaves de criptografia.
Configurar um IdP convidado para usuários externos
Para conceder às organizações externas acesso ao conteúdo criptografado do lado do cliente, configure um IdP de convidado para autenticar usuários externos, usando o mesmo IdP que você usa ou outro. Com um IdP convidado, os usuários podem compartilhar conteúdo criptografado com outras pessoas em organizações externas, mesmo que elas não usem a CSE.
Observação: se você já tiver configurado o acesso externo para organizações que também usam a CSE (como descrito anteriormente nesta página), essa configuração vai ser ignorada depois que um IdP convidado for configurado.
Siga as instruções para configurar um IdP em Conectar-se ao provedor de identidade para usar a criptografia do lado do cliente. Durante a configuração, você vai:
- Escolher um IdP compatível com OIDC: no Google Meet, é possível usar um IdP de terceiros ou a identidade do Google. No entanto, só é possível usar um IdP de terceiros no Google Drive e nos Editores de arquivos Google. Essa restrição garante que o acesso de convidado seja compatível com contas de visitantes. O IdP de terceiros pode ser o mesmo que você usa para seus usuários ou um diferente.
- Criar outro ID do cliente para o Google Meet: na etapa de criação do ID do cliente para serviços da Web, você vai precisar criar outro ID do cliente para o Google Meet.
O ID do cliente principal para serviços da Web é usado para o serviço de criptografia de chaves e não é compartilhado com os sistemas do Google. O ID do cliente adicional do Meet é usado para verificar se os convidados que não fizeram login foram convidados para a reunião.
- Usar o Admin Console para configurar seu IdP convidado. Use o Admin Console para configurar a conexão do IdP convidado e escolha a opção Configurar IdP convidado. Não é possível configurar seu IdP convidado usando um arquivo .well-known.
Após concluir a configuração do IdP no Admin Console, use as ferramentas do IdP para definir como os usuários externos serão autenticados. Dependendo da implementação do IdP convidado, as seguintes opções podem estar disponíveis:
- Configurar contas separadas para convidados e fornecer as senhas das contas.
- Enviar códigos únicos aos convidados para verificação do endereço de e-mail.
- Permitir que os convidados usem IdPs pré-configurados, como Google, Apple ou Microsoft.
Observação: com a identidade do Google, os usuários podem fazer login com a Conta do Google. Se eles não tiverem uma conta, poderão criar uma.
Em qualquer método de autenticação, um pop-up vai aparecer pedindo que os convidados façam login com um provedor de identidade antes de acessar o conteúdo criptografado do lado do cliente.