管理者は、Google Workspace クライアントサイド暗号化(CSE)で暗号化されたコンテンツへのアクセスを外部ユーザーに許可できます。外部アクセスを提供する方法は 2 つあります。
- CSE も使用する外部組織に対してアクセスを設定します。この方法を使用すると、外部組織がユーザーと CSE の要件を満たしている場合に、暗号化されたコンテンツへのアクセスを許可できます。
- すべての外部ユーザーにアクセスを許可するゲスト ID プロバイダ(IdP)を設定する この方法を使用すると、ユーザーは Google アカウントと Google 以外のアカウントの両方にクライアントサイド暗号化コンテンツへのアクセスを許可できます。外部組織は CSE を設定する必要はなく、その組織のユーザーに Google Workspace や Cloud Identity のライセンスは必要ありません。
ゲスト IdP の構成は現在、Google Meet、ドライブ、ドキュメント、スプレッドシート、スライドのウェブ アプリケーションでのみご利用いただけます。これらのサービスのモバイルアプリ用のゲスト IdP 構成は、今後のリリースで利用可能になる予定です。
暗号化されたメールへのアクセスについて: 外部ユーザーが S/MIME を使用している場合、ユーザーはクライアントサイド暗号化が適用されたメールを使用して外部ユーザーとやり取りできます。その他の設定は必要なく、外部ユーザーには Google Workspace や Cloud Identity のライセンスは必要ありません。クライアントサイド暗号化が適用されたメールの送受信について詳しくは、Gmail クライアントサイド暗号化についてをご覧ください。
CSE を使用する外部組織に対して外部アクセスを設定する
外部組織と組織が次の要件を満たしている場合は、組織のドライブ、ドキュメント、カレンダー、Meet のクライアントサイド暗号化コンテンツへの外部アクセスを許可できます。
外部ユーザーが CSE で暗号化されたデータにアクセスするには、Google Workspace または Cloud Identity のライセンスが必要です。
注: この外部アクセス方法を使用すると、一般ユーザー向け(管理対象外の)Google アカウントまたはビジター アカウントを使用しているユーザーは、組織のクライアントサイド暗号化コンテンツにアクセスできません。
- 外部組織の IdP サービスが暗号鍵サービスの許可リストに登録済みである。通常、IdP サービスは一般公開されている .well-known ファイルに記載されています(設定されている場合)。.well-known ファイルに記載されていない場合は、外部組織の Google Workspace 管理者に連絡して、IdP の詳細を確認してください。
- 組織の暗号化されたコンテンツを表示または編集するためにユーザーが鍵サービスに認証トークンを提供する必要があることを、管理者が理解していることを把握している。認証手続きでユーザーは IP アドレスなどの ID 情報を共有する必要があります。詳しくは、クライアントサイド暗号化 API リファレンス ガイドの認証トークンをご覧ください。
- ご自身と外部組織のセキュリティ ポリシーによっては、組織の暗号化されたコンテンツにアクセスするためのウェブ クライアント ID とモバイル クライアント ID を別々に作成する必要があります。暗号鍵サービスで、これらのクライアント ID が許可リストに登録されている必要があります。
すべての外部ユーザーにゲスト IdP を設定する
外部組織がクライアントサイド暗号化コンテンツにアクセスできるようにするには、外部ユーザーを認証するためのゲスト IdP を設定します。この IdP は使用しているものでも別のものでもかまいません。ゲスト IdP を使用すると、組織が CSE も使用しているかどうかに関係なく、ユーザーは暗号化されたコンテンツを外部組織の他のユーザーと共有できます。
注: CSE も使用している組織に対してすでに外部アクセスを設定している場合(このページで前述)、ゲスト IdP を設定すると、その設定は無視されます。
クライアントサイド暗号化で使用する ID プロバイダに接続するの手順に沿って、IdP を設定します。セットアップ中に、次のことを行います。
- OIDC 準拠の IdP を選択する - Google Meet では、サードパーティの IdP または Google の ID を使用できます。ただし、Google ドライブとドキュメント エディタでは、サードパーティの IdP のみを使用できます。この制限により、ビジター アカウントでのゲストアクセスがサポートされるようになります。サードパーティの IdP は、ユーザーに使用しているものと同じ IdP でも別の IdP でも構いません。
- Google Meet 用の追加のクライアント ID を作成する - ウェブサービス用のクライアント ID を作成する手順で、Google Meet 用の追加のクライアント ID を作成する必要があります。
ウェブサービスのメイン クライアント ID は鍵暗号化サービスに使用され、Google のシステムとは共有されません。Meet の追加のクライアント ID は、Meet にログインしていないゲストが会議に招待されていることを確認するために使用されます。
- 管理コンソールを使用してゲスト IdP を設定する - 管理コンソールを使用してゲスト IdP 接続を設定し、[ゲスト IdP を設定する] オプションを選択する必要があります。.well-known ファイルを使用してゲスト IdP を設定することはできません。
管理コンソールで IdP の設定が完了したら、IdP のツールを使用して外部ユーザーの認証方法を設定できます。ゲスト IdP の実装によっては、次のオプションを使用できます。
- ゲスト用に個別のアカウントを設定して、アカウントのパスワードを提供する。
- ゲストにワンタイム コードを送信してメールアドレスを確認する。
- ゲストが事前構成済みの IdP(Google、Apple、Microsoft など)を使用できるようにする。
注: Google ID を使用すると、ユーザーは自分の Google アカウントでログインできます。アカウントを持っていない場合は、アカウントを作成できます。
いずれの認証方法でも、クライアントサイド暗号化コンテンツにアクセスするには、ゲストに ID プロバイダにログインするよう求めるポップアップ メッセージが表示されます。
