サポート対象エディション: Enterprise Plus、Education Standard、Education Plus。 エディションの比較
Google Workspace のクライアントサイド暗号化(CSE)に使用する外部鍵サービスを選択したら、Google Workspace を ID プロバイダ(IdP)に接続する必要があります(サードパーティの IdP または Google の ID)。コンテンツの暗号化に使用する暗号鍵サービスは、ユーザーがコンテンツを暗号化したり、暗号化されたコンテンツにアクセスしたりする前に、IdP を使用してユーザーを認証します。
注: IdP を構成した後、ゲスト IdP を構成して、組織のクライアントサイド暗号化コンテンツへの外部アクセスを許可できます。詳しくは、ゲスト IdP を構成するをご覧ください。
始める前に
CSE で使用する暗号鍵サービスを選択していることを確認してください。詳しくは、外部鍵サービスを選択するをご覧ください。
手順 1: IdP 接続を計画する
IdP 接続を使用して、サポートされているすべての Google Workspace ウェブ アプリケーションに対して CSE を設定できます。
- Google ドライブ
- Google ドキュメント
- Google スプレッドシート
- Google スライド
- Gmail
- Google カレンダー
- Google Meet(音声、動画、チャット メッセージ)
ldP 接続を使用すると、次のデスクトップ アプリケーションとモバイル アプリケーション用に CSE を設定することもできます。
CSE で暗号鍵サービスを使用するには、OpenID Connect(OIDC)標準をサポートする ID プロバイダ(IdP)が必要です。Google Workspace で OIDC IdP をまだ使用していない場合は、鍵サービスで使用する IdP を次の 2 つの方法のいずれかで設定できます。
オプション 1: サードパーティの IdP を使用する(推奨)
ご利用のセキュリティ モデルで、暗号化されたデータと Google のさらなる分離が必要とされている場合は、OICD サードパーティの IdP を使用します。
SAML ベースのシングル サインオン(SSO)にすでにサードパーティの IdP を使用している場合: Google Workspace サービスへのアクセスに使用している IdP と同じ IdP を CSE でも使用することをおすすめします(その IdP が OIDC をサポートしている場合)。Google Workspace で SAML ベースの SSO を使用する方法について詳しくは、こちらの記事をご覧ください。
オプション 2: Google の ID を使用する
ご利用のセキュリティ モデルで、暗号化されたデータと Google のさらなる分離が必要とされていない場合は、デフォルトの Google の ID を IdP として使用できます。
CSE でサードパーティの IdP を使用する場合は、IdP からのサードパーティ Cookie をユーザーのブラウザで許可することをおすすめします。設定しない場合、CSE を使用するときに、ユーザーが IdP にログインしなければならないことが増える可能性があります。
- 組織が Chrome Enterprise を使用している場合: CookiesAllowedForUrls ポリシーを使用できます。
- その他のブラウザを使用している場合: サードパーティ Cookie を許可する手順については、ブラウザのサポート コンテンツをご確認ください。
IdP(サードパーティの IdP または Google の ID)を設定するには、組織のウェブサイトでホストされている .well-known ファイルを使用するか、管理コンソールを使用します(IdP の代替接続)。これらの方法には、それぞれ以下のような考慮事項があります。
注: ゲスト IdP を構成する場合は、管理コンソールを使用する必要があります。
| 考慮事項 | .well-known を使用して設定する場合 | 管理コンソールを使用して設定する場合(IdP の代替接続) |
|---|---|---|
| Google からの分離 | IdP の設定はユーザー独自のサーバーに保存されます。 | IdP の設定は Google サーバーに保存されます。 |
| 管理者の責任 | ウェブマスターは、Google Workspace の特権管理者の代わりに設定を管理できます。 | Google Workspace の特権管理者だけが IdP の設定を管理できます。 |
| CSE の可用性 | CSE の可用性(稼働時間)は、.well-known ファイルをホストするサーバーの可用性によって異なります。 | CSE の可用性は、Google Workspace サービスの一般的な可用性と一致します。 |
| 設定の難易度 | 管理コンソールとは別に、サーバーの DNS 設定を変更する必要があります。 | 管理コンソールで設定を行います。 |
| 組織外のユーザーとの共有 | 共同編集者の外部鍵サービスも簡単に IdP 設定にアクセスできます。このアクセスを自動化して、IdP 設定に加えた変更に共同編集者のサービスが直ちにアクセスできるようにすることが可能です。 |
共同編集者の外部鍵サービスは、管理コンソールの IdP 設定にはアクセスできません。暗号化されたファイルを共同編集者と初めて共有する前、および IdP 設定を変更するたびに、その共同編集者に IdP 設定を直接提供する必要があります。 |
手順 2: CSE のクライアント ID を作成する
クライアント ID を作成し、サポートされている Google Workspace ウェブ アプリケーションのリダイレクト URI を追加する必要があります。サポートされているアプリの一覧については、このページで前述しているサポートされているウェブ、デスクトップ、モバイルアプリをご覧ください。
ウェブ アプリケーションのクライアント ID の作成方法は、サードパーティの IdP と Google の ID のどちらを使用するかによって異なります。
注: ゲスト IdP を構成する場合は、ゲストが会議に招待されたことを確認するために使用する Google Meet アクセス用の追加のクライアント ID を作成する必要があります。詳しくは、ゲスト IdP を構成するをご覧ください。
CSE でサードパーティの IdP を使用している場合
IdP の管理コンソールを使用してクライアント ID を作成します。また、IdP の管理コンソールに次のリダイレクト URI を追加する必要があります。
ウェブサービス
https://client-side-encryption.google.com/callbackhttps://client-side-encryption.google.com/oidc/cse/callbackhttps://client-side-encryption.google.com/oidc/drive/callbackhttps://client-side-encryption.google.com/oidc/gmail/callbackhttps://client-side-encryption.google.com/oidc/meet/callbackhttps://client-side-encryption.google.com/oidc/calendar/callbackhttps://client-side-encryption.google.com/oidc/docs/callbackhttps://client-side-encryption.google.com/oidc/sheets/callbackhttps://client-side-encryption.google.com/oidc/slides/callback
パソコン版ドライブ
http://localhost
モバイルアプリ(Android 版、iOS 版)
https://client-side-encryption.google.com/oidc/gmail/native/callbackhttps://client-side-encryption.google.com/oidc/meet/native/callbackhttps://client-side-encryption.google.com/oidc/calendar/native/callbackhttps://client-side-encryption.google.com/oidc/drive/native/callbackhttps://client-side-encryption.google.com/oidc/gmail/meet/native/callback
CSE で Google の ID を使用している場合
Google Cloud コンソールでクライアント ID を作成する必要があります。また、JavaScript 生成元(クロスオリジン リソース シェアリング(CORS)とも呼ばれます)を設定し、リダイレクト URI を追加します。
- console.cloud.google.com にアクセスします。
- 新しい Google Cloud プロジェクトを作成する手順
プロジェクトは認証情報を保管するためだけに作成するので、どのように設定してもかまいません。
- コンソールで、メニュー アイコン
[API とサービス]
- CSE で使用する新しいウェブアプリの OAuth クライアント ID を作成します。詳細な手順
- [JavaScript 生成元] を以下の URL で更新します。
https://admin.google.comhttps://client-side-encryption.google.com
- [承認済みのリダイレクト URI] を以下の URL で更新します。
ウェブサービス
https://client-side-encryption.google.com/callbackhttps://client-side-encryption.google.com/oidc/cse/callbackhttps://client-side-encryption.google.com/oidc/drive/callbackhttps://client-side-encryption.google.com/oidc/gmail/callbackhttps://client-side-encryption.google.com/oidc/meet/callbackhttps://client-side-encryption.google.com/oidc/calendar/callbackhttps://client-side-encryption.google.com/oidc/docs/callbackhttps://client-side-encryption.google.com/oidc/sheets/callbackhttps://client-side-encryption.google.com/oidc/slides/callback
パソコン版ドライブ
http://localhostモバイルアプリ(Android 版、iOS 版)
Android 版と iOS 版のモバイルアプリには、追加の設定は必要ありません。
OAuth クライアント ID が作成されます。.well-known/cse-configuration ファイルまたは管理コンソールで使用できるように、この ID を保存しておきます。
ユーザーがデスクトップ アプリケーションとモバイル アプリケーションで CSE を使用できるようにするには、それらのアプリ用のクライアント ID が必要です。各モバイルアプリに対して、プラットフォーム(Android と iOS)ごとに 1 つのクライアント ID が必要です。サポートされているアプリの一覧については、このページで前述しているサポートされているウェブ、デスクトップ、モバイルアプリをご覧ください。
デスクトップ アプリケーションとモバイルアプリのクライアント ID を取得する方法は、サードパーティの IDP と Google の ID のどちらを使用しているかによって異なります。
注: これらのクライアント ID は、PKCE(RFC 7636)の authorization_code 付与タイプをサポートする必要があります。
CSE でサードパーティの IdP を使用する場合
IdP の管理コンソールを使用して、アプリごとに個別のクライアント ID を生成します。
CSE で Google ID を使用する場合
次のクライアント ID を使用します。
- パソコン版ドライブ - クライアント ID
947318989803-k88lapdik9bledfml8rr69ic6d3rdv57.apps.googleusercontent.comを使用します - Android 版ドライブ - クライアント ID
313892590415-6lbccuf47cou4q45vanraqp3fv5jt9do.apps.googleusercontent.comを使用します - iOS 版ドライブ - クライアント ID
313892590415-d3h1l7kl4htab916r6jevqdtu8bfmh9m.apps.googleusercontent.comを使用します - Android 版カレンダー - クライアント ID
313892590415-q84luo8fon5pn5vl8a6rppo1qvcd3qvn.apps.googleusercontent.comを使用します - iOS 版カレンダー - クライアント ID
313892590415-283b3nilr8561tedgu1n4dcm9hd6g3hr.apps.googleusercontent.comを使用します。 - Android 版 Gmail - クライアント ID
313892590415-samhd32i4piankgs42o9sit5e9dug452.apps.googleusercontent.comを使用します - iOS 版 Gmail - クライアント ID
313892590415-ijvjpbnsh0gauuunjgsdn64ngg37k6rc.apps.googleusercontent.comを使用します - Android 版 Meet - クライアント ID
313892590415-i06v47su4k03ns7ot38akv7s9ari5oa5.apps.googleusercontent.comを使用します - iOS 版 Meet - クライアント ID
313892590415-32ha2bvs0tr1b12s089i33o58hjvqt55.apps.googleusercontent.comを使用します
手順 3: CSE で使用する IdP に接続する
Google Workspace と ID プロバイダ(IdP)を接続するには、.well-known ファイルと管理コンソールのどちらかを使用します。接続が確立したら、管理コンソールでその IdP を許可リストに登録する必要があります。
注: ゲスト IdP を構成する場合は、管理コンソールを使用する必要があります。
オプション 1: .well-known ファイルを使用して IdP に接続する
このオプションを使用してサードパーティまたは Google の IdP を設定するには、組織の公開ウェブサイトに .well-known ファイルを配置する必要があります。このファイルで、使用する IdP を指定し、外部の共同編集者が IdP の設定を検出できるようにします。
IdP の設定は、ドメインの次の URI に配置する必要があります。
https://cse.[サブドメイン名].[ドメイン名].tld/.well-known/cse-configuration
[サブドメイン名].[ドメイン名].tld の部分がメールアドレスのドメインと一致している必要があります。たとえば、メールアドレスのドメインが solarmora.com の場合、.well-known ファイルを次の場所に配置します。
https://cse.solarmora.com/.well-known/cse-configuration
注: .well-known URI は IETF(RFC 8615)に登録されていないため、このプレフィックス(https://cse.)が必要となります。
well-known/cse-configuration にある .well-known ファイルのコンテンツは、JSON エンコードされ(RFC 8259)、以下のフィールドが含まれている必要があります。
| フィールド | 説明 |
|---|---|
|
|
IdP の名前。任意の名前を使用できます。この名前は、Google ドライブやドキュメント エディタなどの Google サービスのユーザーに表示される IdP エラー メッセージ内で使用されます。 |
|
|
CSE クライアント ウェブ アプリケーションが JSON Web Token(JWT)を取得する際に使用する OpenID Connect(OIDC)クライアント ID。 クライアント ID を作成するときに、Google Cloud コンソールでリダイレクト URI も追加します。 クライアント ID の作成について詳しくは、このページのウェブ アプリケーション用のクライアント ID を作成するをご覧ください。 |
discovery_uri |
こちらの OpenID の仕様で定義されている OIDC 検出 URL。 |
|
サードパーティの IdP を使用している場合 IdP から URL が提供されます。通常、この URL の末尾は |
|
|
Google の ID を使用している場合
|
|
grant_type |
CSE クライアント ウェブ アプリケーションで OIDC に使用される OAuth フロー。 |
|
サードパーティの IdP を使用している場合 CSE ウェブ アプリケーションでは、 |
|
|
Google の ID を使用している場合 ウェブ アプリケーションでは、 |
|
|
|
CSE を使用するその他のクライアント アプリケーション。.well-known ファイルに各アプリのクライアント ID を追加する必要があります。 注: これらのクライアント ID は、PKCE(RFC 7636)の クライアント ID の作成について詳しくは、このページで前述しているデスクトップ アプリケーションとモバイルアプリ用のクライアント ID を作成するをご覧ください。 |
サードパーティの IdP を使用している場合、.well-known ファイルは次のようになります。
{
"name" : "IdP 名",
"client_id" : "IdP から取得した ID",
"discovery_uri" : "https://[idp 名].com/.well-known/openid-configuration",
"applications":{
"drivefs":{
"client_id": "IdP から取得した ID"
},
"drive-android": {
"client_id": "IdP から取得した ID"
},
"drive-ios": {
"client_id": "IdP から取得した ID"
},
"calendar-android": {
"client_id": "IdP から取得した ID"
},
"calendar-ios": {
"client_id": "IdP から取得した ID"
},
"gmail-android": {
"client_id": "IdP から取得した ID"
},
"gmail-ios": {
"client_id": "IdP から取得した ID"
},
"meet-android": {
"client_id": "IdP から取得した ID"
},
"meet-ios": {
"client_id": "IdP から取得した ID"
}
}
}
Google の ID を使用している場合、.well-known ファイルは次のようになります。
{
"name" : "Google Identity",
"client_id" : "Google Cloud から取得した ID(上記で作成)",
"discovery_uri" : "https://accounts.google.com/.well-known/openid-configuration",
"applications":{
"drivefs":{
"client_id": "947318989803-k88lapdik9bledfml8rr69ic6d3rdv57.apps.googleusercontent.com"
},
"drive-android":{
"client_id": "313892590415-6lbccuf47cou4q45vanraqp3fv5jt9do.apps.googleusercontent.com"
},
"drive-ios":{
"client_id": "313892590415-d3h1l7kl4htab916r6jevqdtu8bfmh9m.apps.googleusercontent.com"
},
"calendar-android":{
"client_id": "313892590415-q84luo8fon5pn5vl8a6rppo1qvcd3qvn.apps.googleusercontent.com"
},
"calendar-ios":{
"client_id": "313892590415-283b3nilr8561tedgu1n4dcm9hd6g3hr.apps.googleusercontent.com"
},
"gmail-android":{
"client_id": "313892590415-samhd32i4piankgs42o9sit5e9dug452.apps.googleusercontent.com"
},
"gmail-ios":{
"client_id": "313892590415-ijvjpbnsh0gauuunjgsdn64ngg37k6rc.apps.googleusercontent.com"
},
"meet-android":{
"client_id": "313892590415-i06v47su4k03ns7ot38akv7s9ari5oa5.apps.googleusercontent.com"
},
"meet-ios":{
"client_id": "313892590415-32ha2bvs0tr1b12s089i33o58hjvqt55.apps.googleusercontent.com"
}
}
}
IdP に Google の ID を使用している場合: クライアント ID の作成時に Google Cloud コンソールで CORS を設定します。詳しくは、このページで前述しているウェブ アプリケーションのクライアント ID を作成するをご覧ください。
サードパーティの IdP を使用している場合: .well-known/openid-configuration と .well-known/cse-configuration で、クロスオリジン リソース シェアリング(CORS)呼び出しのオリジン URL を許可する必要があります。IdP の管理コンソールで、設定を以下のように指定します。
.well-known/openid-configuration(検出 URI)
- メソッド: GET
- 許可される生成元 URL:
https://admin.google.comhttps://client-side-encryption.google.com
.well-known/cse-configuration
- メソッド: GET
- 許可される生成元 URL:
https://admin.google.comhttps://client-side-encryption.google.com
オプション 2: 管理コンソールを使用して IdP に接続する
管理コンソールを使用して IdP に接続するには、IdP に関する次の情報が必要です。
| IdP の名前 | 詳しくは、このページの .well-known ファイルを構成するをご覧ください。 |
| ウェブ アプリケーションのクライアント ID | 詳しくは、このページで前述しているウェブ アプリケーションのクライアント ID を作成するをご覧ください。 |
| 検出 URI | 詳しくは、このページの .well-known ファイルを構成するをご覧ください。 |
| デスクトップ アプリとモバイルアプリのクライアント ID(省略可) | 詳しくは、このページで前述しているデスクトップ アプリケーションとモバイルアプリのクライアント ID を作成するをご覧ください。 |
Google の ID を使用している場合: クライアント ID を作成する際に、Google Cloud コンソールでクロスオリジン リソース シェアリング(CORS)を設定します。詳しくは、このページで前述しているウェブ アプリケーションのクライアント ID を作成するをご覧ください。
サードパーティの IdP を使用している場合: IdP の管理コンソールで、次のように検出 URI を設定してクロスオリジン リソース シェアリング(CORS)呼び出しのオリジン URL を許可します。
- メソッド: GET
- 許可される生成元 URL:
https://admin.google.comhttps://client-side-encryption.google.com
この操作を行うには、特権管理者としてログインする必要があります。
-
- 管理コンソールで、メニュー アイコン
[セキュリティ]
注: [ID プロバイダの設定] の下に、Google Workspace が .well-known ファイルにアクセスできないことを伝えるメッセージが表示されますが、管理コンソールを使用して IdP に接続するため、このメッセージは無視してください。
- [ID プロバイダの設定] で [代替 IdP を設定] をクリックします。
ゲスト IdP を設定する場合は、[ゲスト IdP を設定する] をクリックします。
- IdP に関する次の情報を入力します。
- 名前
- クライアント ID(ウェブ アプリケーション用)
- 検出 URI
-
[Test connection] をクリックします。
Google Workspace が IdP に接続できる場合は、「接続しました」というメッセージが表示されます。
- ゲスト IdP を設定する場合: [続行] をクリックし、ゲストアクセスを許可するウェブアプリを選択します。[保存] をクリックしてカードを閉じます。
注: 現在のところ、ご利用いただけるのは Google Meet のみです。
- (省略可)特定のアプリケーションで CSE を使用するには:
- [Google のデスクトップ アプリとモバイルアプリの認証(省略可)] で、CSE を使用するアプリケーションを選択します。
- [クライアント ID] に、アプリケーションのクライアント ID を入力します。
- [プロバイダを追加] をクリックしてカードを閉じます。
手順 4(サードパーティの IdP のみ): 管理コンソールで IdP を許可リストに追加する
次のステップ
IdP を設定したら、鍵暗号化サービスを設定できます。
