Как предоставить внешний доступ к зашифрованному на стороне клиента контенту

Как администратор, вы можете предоставить внешним пользователям доступ к зашифрованному на стороне клиента контенту Google Workspace двумя способами:

  • Настроить доступ для внешних организаций, которые также используют шифрование на стороне клиента. Вы можете предоставить внешней организации доступ к зашифрованному контенту, если она соответствует требованиям к пользователям и шифрованию на стороне клиента.
  • Настроить гостевого поставщика идентификационной информации, чтобы разрешить доступ для любых внешних пользователей. Тогда сотрудники организации смогут предоставлять доступ к зашифрованному на стороне клиента контенту пользователям с аккаунтом Google и без него. При этом внешним организациям не нужно настраивать шифрование на стороне клиента, а их пользователям не понадобится лицензия Google Workspace или Cloud Identity.
    Возможность настроить гостевого поставщика идентификационной информации сейчас доступна только для веб-приложений Google Meet, Диска, Документов, Таблиц и Презентаций. Для мобильных приложений такая возможность будет добавлена в одном из следующих выпусков.

Доступ к зашифрованным письмам. Сотрудники организации смогут обмениваться электронными письмами, зашифрованными на стороне клиента, с теми внешними пользователями, кто использует S/MIME. При этом другие действия по настройке не требуются, а внешним пользователям не нужна лицензия Google Workspace или Cloud Identity. С информацией об отправке и получении зашифрованных на стороне клиента писем можно ознакомиться в статье Шифрование на стороне клиента в Gmail.

Как настроить внешний доступ для организаций, использующих шифрование на стороне клиента

Если ваша и внешняя организации соответствуют указанным ниже требованиям, вы можете предоставить внешний доступ к зашифрованному на стороне клиента контенту Диска, Документов, Календаря и Meet в своей организации.

Развернуть раздел  |  Свернуть все

Требования к лицензированию для внешних пользователей

Для доступа к зашифрованному на стороне клиента контенту внешним пользователям необходима лицензия Google Workspace или Cloud Identity.

Примечание. При использовании этого способа внешнего доступа пользователи с обычным аккаунтом Google (без управления) или гостевым аккаунтом не смогут получить доступ к зашифрованному на стороне клиента контенту.

Требования к настройке для внешних организаций
Чтобы получить доступ к зашифрованному на стороне клиента контенту вашей организации, внешним организациям также нужно настроить шифрование на стороне клиента.
Требования к настройке для вашей организации
  • Добавьте сервис поставщика идентификационной информации внешней организации в белый список сервиса управления ключами шифрования. Как правило, сервис поставщика идентификационной информации указан в общедоступном файле .well-known внешней организации (если он настроен). Если вы не можете его найти, обратитесь к администратору Google Workspace этой организации.
  • Сообщите администратору внешней организации, что ее пользователи должны предоставить свои токены аутентификации сервису управления ключами вашей организации. Только после этого у них будет возможность просматривать и изменять зашифрованный контент, который принадлежит вашей организации. В процессе аутентификации пользователь должен передать свой IP-адрес и другую информацию. Подробные сведения приведены в статье Токены аутентификации в справочнике по функциям API шифрования на стороне клиента.
  • В зависимости от правил безопасности вашей и внешней организаций администратору также может понадобиться создать отдельные идентификаторы для мобильного и веб-клиента, чтобы получить доступ к зашифрованному контенту вашей организации. Вам нужно будет добавить эти идентификаторы в белый список сервиса управления ключами шифрования.

Как настроить гостевого поставщика идентификационной информации для внешних пользователей

Чтобы предоставить внешним организациям доступ к зашифрованному на стороне клиента контенту вашей организации, вы можете настроить гостевого поставщика идентификационной информации таким образом, чтобы он выполнял аутентификацию внешних пользователей, используя вашего или другого поставщика идентификационной информации. С помощью гостевого поставщика идентификационной информации сотрудники вашей организации смогут делиться зашифрованным контентом с внешними пользователями независимо от того, используется ли во внешней организации шифрование на стороне клиента.

Примечание. Если вы уже настроили внешний доступ для организаций, которые используют шифрование на стороне клиента (как описано ранее на этой странице), после настройки гостевого поставщика идентификационной информации он будет игнорироваться.

Развернуть раздел  |  Свернуть все

Как настроить гостевого поставщика идентификационной информации в консоли администратора

Установите подключение к поставщику идентификационной информации для шифрования на стороне клиента. В процессе настройки нужно будет выполнить следующие действия:

  • Выберите поставщика идентификационной информации, совместимого с OIDC. Для Google Meet вы можете использовать стороннего поставщика или сервис идентификации Google. Однако для Google Диска и редакторов Документов можно использовать только первый вариант. Такое ограничение обеспечивает поддержку гостевого доступа для пользователей без аккаунтов Google. В качестве стороннего поставщика можно выбрать того же поставщика, что и для сотрудников, или другого поставщика.
  • Настройте дополнительный идентификатор клиента для Google Meet на этапе создания идентификатора клиента для веб-сервисов.

    Основной идентификатор клиента для веб-сервисов используется для сервиса управления ключами шифрования и не передается системам Google. Дополнительный идентификатор клиента для Meet используется для того, чтобы убедиться, что пользователи, которые не вошли в Meet, были приглашены на встречу.

  • Настройте гостевого поставщика идентификационной информации в консоли администратора. Для этого выберите в ней раздел Настройка гостевого поставщика идентификационной информации. С помощью файла .well-known гостевого поставщика настроить нельзя.
Как настроить варианты аутентификации для гостевого поставщика идентификационной информации

После настройки гостевого поставщика идентификационной информации в консоли администратора вы можете с помощью его инструментов выбрать способы аутентификации пользователей. В зависимости от реализации гостевого поставщика идентификационной информации могут быть доступны следующие варианты:

  • Настроить отдельные аккаунты для гостей и предоставить пользователям пароли от этих аккаунтов.
  • Отправить гостям одноразовые коды для подтверждения адресов электронной почты.
  • Разрешить гостям использовать предварительно настроенных поставщиков идентификационной информации, например Google, Apple или Microsoft.

    Примечание. Сервис идентификации Google позволяет использовать для входа аккаунт Google. Если у пользователя нет аккаунта, его можно создать.

Независимо от способа аутентификации гость увидит всплывающее окно для входа в сервис поставщика идентификационной информации. Доступ к зашифрованному на стороне клиента контенту будет предоставлен только после входа.

Эта информация оказалась полезной?

Как можно улучшить эту статью?
true
Начните пользоваться 14-дневной бесплатной пробной версией уже сегодня

Корпоративная почта, хранение файлов онлайн, общие календари, видеоконференции и многое другое. Начните пользоваться бесплатной пробной версией G Suite уже сегодня.

Поиск
Очистить поле поиска
Закрыть поиск
Приложения Google
Главное меню