Como administrador, puedes permitir que usuarios externos accedan a tu contenido cifrado con el cifrado del lado del cliente (CLC) de Google Workspace. Hay dos métodos para proporcionar acceso externo:
- Configura el acceso para organizaciones externas que también usan el CLC. Con este método, puedes dar acceso a contenido cifrado a una organización externa si cumple los requisitos del usuario y del CLC.
- Configura un proveedor de identidades para invitados (IdP) para permitir el acceso a usuarios externos. Con este método, tus usuarios pueden proporcionar acceso al contenido cifrado del lado del cliente tanto a cuentas de Google como a cuentas que no sean de Google. Las organizaciones externas no tienen que configurar el CLC, y sus usuarios no necesitan una licencia de Google Workspace ni de Cloud Identity.
Por el momento, la configuración del proveedor de identidades para invitados solo está disponible para las aplicaciones web Google Meet, Drive, Documentos, Hojas de cálculo y Presentaciones. La configuración del IdP invitado para las aplicaciones móviles de estos servicios estará disponible en una próxima versión.
Acerca del acceso al correo electrónico cifrado: tus usuarios pueden intercambiar mensajes de correo cifrados del lado del cliente con usuarios externos si estos utilizan S/MIME. No hace falta configurar nada más; los usuarios externos no necesitan una licencia de Google Workspace ni de Cloud Identity. Para obtener más información sobre cómo enviar y recibir correos cifrados del lado del cliente, consulta el artículo Acerca del cifrado del lado del cliente de Gmail.
Configurar el acceso externo para organizaciones externas que utilizan el CLC
Si una organización externa y tu organización cumplen los siguientes requisitos, puedes conceder acceso externo al contenido cifrado del lado del cliente de tu organización en Drive y Documentos, Calendar y Meet.
Los usuarios externos deben tener una licencia de Google Workspace o de Cloud Identity para acceder a los datos cifrados con CLC.
Nota: Con este método de acceso externo, los usuarios que tengan una cuenta de consumidor (no gestionado) de Google o una cuenta de visitante no podrán acceder al contenido cifrado del lado del cliente de tu organización.
- Incluye el servicio del proveedor de identidades de la organización externa en la lista de permitidos de tu servicio de claves de cifrado. Normalmente, el servicio del proveedor de identidades se puede encontrar públicamente en su archivo .well-known, si han creado uno. Si no es así, ponte en contacto con el administrador de Google Workspace de la organización externa para que te indique los detalles de su proveedor de identidades.
- Asegúrate de que su administrador entiende que sus usuarios deben proporcionar sus tokens de autenticación a tu servicio de claves para ver o editar el contenido cifrado de tu organización. El proceso de autenticación requiere que un usuario comparta su dirección IP y otros datos sobre su identidad. Consulta más información en la sección Tokens de autenticación de la guía de referencia de API del cifrado del lado del cliente.
- En función de tus políticas de seguridad y las de la organización externa, es posible que también deban crear IDs de cliente web y móvil independientes para acceder al contenido cifrado de tu organización. Estos IDs de cliente deben estar incluidos en la lista de permitidos del servicio de claves de cifrado.
Configurar un proveedor de identidades para los usuarios externos
Para que las organizaciones externas puedan acceder a tu contenido cifrado del lado del cliente, puedes configurar un proveedor de identidades para invitados que autentique a usuarios externos con el mismo proveedor de identidades que uses o con uno distinto. Con un proveedor de identidades para invitados, tus usuarios pueden compartir contenido cifrado con otros usuarios de organizaciones externas, independientemente de si estas también utilizan o no el CLC.
Nota: Si ya has configurado el acceso externo para organizaciones que también usan el CLC (como se ha descrito anteriormente en esta página), esa configuración se ignorará una vez que configures un proveedor de identidades para invitados.
Sigue las instrucciones para configurar un proveedor de identidades que se indican en el artículo Conectarse al proveedor de identidades para el cifrado del lado del cliente. Durante la configuración, deberás hacer lo siguiente:
- Elegir un proveedor de identidades que cumpla el estándar OIDC: en Google Meet, puedes usar un proveedor de identidades de terceros o una identidad de Google. Sin embargo, en el caso de los editores de Documentos de Google y Google Drive, solo puedes usar un proveedor de identidades de terceros. De esta forma, las cuentas de visitante podrán acceder a las funciones de invitado. Tu proveedor de identidades de terceros puede ser el mismo que utilizas para tus usuarios u otro diferente.
- Crear un ID de cliente adicional para Google Meet: durante el paso en el que crees el ID de cliente para los servicios web, tendrás que crear otro ID de cliente para Google Meet.
El ID de cliente principal de los servicios web se usa para el servicio de cifrado de claves y no se comparte con los sistemas de Google. El ID de cliente adicional de Meet se utiliza para verificar que se ha invitado a la reunión a los usuarios que no han iniciado sesión en Meet.
- Configurar tu IdP para invitados en la consola de administración: en ella, debes configurar la conexión de tu IdP para invitados y elegir la opción Configurar IdP para invitados. No puedes configurar tu proveedor de identidades para invitados con un archivo .well-known.
Una vez que hayas completado la configuración del IdP en la consola de administración, puedes usar sus herramientas para definir cómo se autenticarán los usuarios externos. En función de la implementación del proveedor de identidades para invitados, es posible que haya las siguientes opciones disponibles:
- Crea cuentas independientes para los invitados y proporciónales las contraseñas de las cuentas.
- Envía a los invitados códigos de un solo uso para verificar su dirección de correo.
- Permite que los invitados utilicen proveedores de identidades preconfigurados, como Google, Apple o Microsoft.
Nota: Con la identidad de Google, los usuarios pueden iniciar sesión con su cuenta de Google. Si no la tienen, pueden crear una.
Con cualquier método de autenticación, a los invitados se les mostrará un mensaje emergente en el que se les pide que inicien sesión con un proveedor de identidades para poder acceder al contenido cifrado del lado del cliente.