Als Administrator können Sie externen Nutzern Zugriff auf Ihre Inhalte gewähren, die mit der clientseitigen Verschlüsselung (Client-side Encryption, CSE) von Google Workspace verschlüsselt wurden. Es gibt zwei Methoden, um externen Zugriff zu ermöglichen:
- Zugriff für externe Organisationen einrichten, die ebenfalls CSE verwenden Mit dieser Methode können Sie externen Organisationen Zugriff auf verschlüsselte Inhalte gewähren, wenn sie die Anforderungen für Nutzer und CSE erfüllen.
- Gast-Identitätsanbieter (Identity Provider, IdP) konfigurieren, um den Zugriff für externe Nutzer zu erlauben: Mit dieser Methode können Ihre Nutzer sowohl Google-Konten als auch Nicht-Google-Konten Zugriff auf clientseitig verschlüsselte Inhalte gewähren. Externe Organisationen müssen die clientseitige Verschlüsselung nicht einrichten und ihre Nutzer benötigen keine Google Workspace- oder Cloud Identity-Lizenz.
Die Gast-IdP-Konfiguration ist derzeit nur für Google Meet-, Drive-, Docs-, Tabellen- und Präsentationen-Webanwendungen verfügbar. Die Gast-IdP-Konfiguration für mobile Apps dieser Dienste wird in einer zukünftigen Version verfügbar sein.
Zugriff auf verschlüsselte E-Mails: Ihre Nutzer können clientseitig verschlüsselte E-Mails mit externen Nutzern austauschen, wenn diese S/MIME verwenden. Es ist keine weitere Einrichtung erforderlich und externe Nutzer benötigen keine Google Workspace- oder Cloud Identity-Lizenz. Weitere Informationen zum Senden und Empfangen clientseitig verschlüsselter E-Mails finden Sie im Hilfeartikel Weitere Informationen zur clientseitigen Verschlüsselung in Gmail.
Externen Zugriff für externe Organisationen einrichten, die die clientseitige Verschlüsselung verwenden
Wenn eine externe Organisation und Ihre Organisation die folgenden Anforderungen erfüllen, können Sie den externen Zugriff auf clientseitig verschlüsselte Inhalte Ihrer Organisation für Drive und Docs, Kalender und Meet gewähren.
Abschnitt öffnen | Alle minimieren
Externe Nutzer benötigen eine Google Workspace- oder Cloud Identity-Lizenz, um auf clientseitig verschlüsselte Daten zugreifen zu können.
Hinweis: Mit dieser externen Zugriffsmethode können Nutzer mit einem privaten (nicht verwalteten) Google-Konto oder einem Besucherkonto nicht auf clientseitig verschlüsselte Inhalte Ihrer Organisation zugreifen.
- Lassen Sie den IdP-Dienst der externen Organisation bei Ihrem Verschlüsselungsschlüsseldienst auf die Zulassungsliste setzen. Normalerweise finden Sie den IdP in der öffentlichen .well-known-Datei, sofern eine solche erstellt wurde. Andernfalls können Sie den Google Workspace-Administrator der externen Organisation um die Informationen zum IdP bitten.
- Informieren Sie den Administrator darüber, dass seine Nutzer ihre Authentifizierungstokens für Ihren Schlüsseldienst bereitstellen müssen, um verschlüsselte Inhalte Ihrer Organisation aufrufen oder bearbeiten zu können. Bei der Authentifizierung müssen die Nutzer ihre IP-Adresse und weitere Identitätsinformationen angeben. Weitere Informationen finden Sie im Abschnitt zu Authentifizierungstokens im API-Referenzhandbuch zur clientseitigen Verschlüsselung.
- Abhängig von den Sicherheitsrichtlinien Ihrer und der externen Organisation müssen sie möglicherweise auch separate Web- und mobile Client-IDs erstellen, um auf verschlüsselte Inhalte Ihrer Organisation zugreifen zu können. Diese Client-IDs müssen beim Verschlüsselungsschlüsseldienst auf die Zulassungsliste gesetzt werden.
Gast-IdP für alle externen Nutzer konfigurieren
Wenn Sie externen Organisationen Zugriff auf clientseitig verschlüsselte Inhalte gewähren möchten, können Sie einen Gast-IdP konfigurieren, um externe Nutzer mit demselben oder einem anderen Identitätsanbieter zu authentifizieren. Mit einem Gast-IdP können Ihre Nutzer verschlüsselte Inhalte für andere externe Organisationen freigeben, unabhängig davon, ob diese Organisationen ebenfalls die clientseitige Verschlüsselung verwenden.
Hinweis : Wenn Sie den externen Zugriff für Organisationen, die ebenfalls CSE verwenden, bereits eingerichtet haben (wie weiter oben auf dieser Seite beschrieben), wird diese Einrichtung nach der Konfiguration eines Gast-IdPs ignoriert.
Abschnitt öffnen | Alle minimieren
Folgen Sie der Anleitung zum Einrichten eines Identitätsanbieters unter Für die clientseitige Verschlüsselung eine Verbindung zum Identitätsanbieter herstellen. Während der Einrichtung gehen Sie so vor:
- OIDC-konformen IdP auswählen: Für Google Meet können Sie entweder einen externen Identitätsanbieter oder eine Google-Identität verwenden. Für Google Drive- und Docs-Editoren können Sie jedoch nur einen externen Identitätsanbieter verwenden. Durch diese Einschränkung ist sichergestellt, dass Besucherkonten von Gästen unterstützt werden. Der externe Identitätsanbieter kann derselbe sein, den Sie für Ihre Nutzer verwenden, oder ein anderer.
- Eine zusätzliche Client-ID für Google Meet erstellen: In dem Schritt, in dem Sie Ihre Client-ID für Webdienste erstellen, müssen Sie eine zusätzliche Client-ID für Google Meet erstellen.
Die primäre Client-ID für Webdienste wird für den Schlüsselverschlüsselungsdienst verwendet und nicht an Google-Systeme weitergegeben. Mit der zusätzlichen Client-ID für Meet wird geprüft, ob Gäste, die nicht in der Meet-Videokonferenz angemeldet sind, zur Videokonferenz eingeladen wurden.
- Gast-IdP über die Admin-Konsole konfigurieren: Sie müssen die Gast-IdP-Verbindung in der Admin-Konsole konfigurieren und die Option Gast-IdP konfigurieren auswählen. Sie können Ihren Gast-IdP nicht mit einer .well-known-Datei konfigurieren.
Nachdem Sie die Konfiguration des IdP in der Admin-Konsole abgeschlossen haben, können Sie mit den Tools des Identitätsanbieters festlegen, wie externe Nutzer authentifiziert werden. Abhängig von Ihrer Gast-IdP-Implementierung sind möglicherweise die folgenden Optionen verfügbar:
- Separate Konten für Gäste einrichten und ihnen Kontopasswörter zuordnen.
- Gästen einmalige Codes zusenden, mit denen sie ihre E-Mail-Adresse bestätigen können.
- Gästen erlauben, vorkonfigurierte IdPs wie Google, Apple oder Microsoft zu verwenden.
Hinweis: Mit der Google-Identität können sich Nutzer mit ihrem Google-Konto anmelden. Wenn sie kein Konto haben, können sie eines erstellen.
Bei jeder Authentifizierungsmethode werden Gäste in einer Pop-up-Nachricht aufgefordert, sich bei einem Identitätsanbieter anzumelden, bevor sie auf clientseitig verschlüsselte Inhalte zugreifen können.