Als beheerder kunt u externe gebruikers toegang geven tot uw content die is versleuteld met versleuteling aan de clientzijde (VCZ) van Google Workspace. Er zijn 2 methoden om externe toegang te geven:
- Stel toegang in voor externe organisaties die ook VCZ gebruiken. Met deze methode kunt u een externe organisatie toegang geven tot versleutelde content als deze voldoet aan de vereisten voor gebruikers en VCZ.
- Een identiteitsprovider (IdP) voor gasten instellen om toegang voor externe gebruikers toe te staan Met deze methode kunnen uw gebruikers zowel Google- als niet-Google-accounts toegang geven tot uw aan de clientzijde versleutelde content. Externe organisaties hoeven VCZ niet in te stellen en hun gebruikers hebben geen Google Workspace- of Cloud Identity-licentie nodig.
De IdP-configuratie voor gasten is momenteel alleen beschikbaar voor de web-apps van Google Meet, Drive, Documenten, Spreadsheets en Presentaties. De IdP-configuratie voor gasten voor de mobiele apps van deze services wordt in een toekomstige release beschikbaar gemaakt.
Over toegang tot versleutelde e-mails: Uw gebruikers kunnen e-mailberichten die zijn versleuteld aan de clientzijde uitwisselen met externe gebruikers als deze S/MIME gebruiken. U hoeft verder niets in te stellen en externe gebruikers hebben geen Google Workspace- of Cloud Identity-licentie nodig. Ga naar Meer informatie over versleuteling aan de clientzijde voor Gmail voor meer informatie over hoe u e-mails stuurt en krijgt die zijn versleuteld aan de clientzijde.
Externe toegang instellen voor externe organisaties die VCZ gebruiken
Als een externe organisatie en uw organisatie voldoen aan de volgende vereisten, kunt u de externe organisatie toegang geven tot de aan de clientzijde versleutelde content van uw organisatie voor Drive, Documenten, Agenda en Meet.
Gedeelte openen | Alles samenvouwen
Externe gebruikers moeten een Google Workspace- of Cloud Identity-licentie hebben om toegang te krijgen tot gegevens die zijn versleuteld met VCZ.
Opmerking: Met deze externe toegangsmethode hebben gebruikers met een (onbeheerd) Google-account voor consumenten of een bezoekersaccount geen toegang tot de content van uw organisatie die is versleuteld aan de clientzijde.
- Zorg dat de IdP-service van de externe organisatie op de toelatingslijst staat met uw service voor versleutelingssleutels. U vindt de IdP-service meestal in hun openbare .well-known-bestand, als ze dit hebben ingesteld. Vraag anders de Google Workspace-beheerder van de externe organisatie om de IdP-gegevens.
- Zorg dat de beheerder begrijpt dat gebruikers hun verificatietokens moeten doorgeven aan uw sleutelservice om de versleutelde content van uw organisatie te kunnen bekijken of bewerken. Tijdens het verificatieproces moeten gebruikers hun IP-adres en andere identiteitsinformatie delen. Ga voor meer informatie naar Verificatietokens in de API-referentiehandleiding voor versleuteling aan de clientzijde.
- Afhankelijk van het beveiligingsbeleid van u en de externe organisatie moeten ze misschien ook afzonderlijke web- en mobiele client-ID's maken voor toegang tot de versleutelde content van uw organisatie. U moet deze client-ID's op de toelatingslijst voor de versleutelingssleutelservice zetten.
Een gast-IdP instellen voor externe gebruikers
Als u externe organisaties toegang wilt geven tot uw content die is versleuteld aan de clientzijde, kunt u een IdP voor gasten instellen om externe gebruikers te verifiëren met dezelfde IdP die u gebruikt of met een andere. Met een gast-IdP kunnen uw gebruikers versleutelde content delen met anderen in externe organisaties, ongeacht of deze organisaties ook VCZ gebruiken.
Opmerking: Als u al externe toegang heeft ingesteld voor organisaties die ook VCZ gebruiken (zoals eerder beschreven op deze pagina), wordt deze installatie genegeerd als u een gast-IdP instelt.
Gedeelte openen | Alles samenvouwen
Volg de instructies om een IdP in te stellen in Koppelen met identiteitsprovider voor versleuteling aan de clientzijde. Tijdens het instellen doet u het volgende:
- Kies een IdP die voldoet aan OIDC: Voor Google Meet kunt u een IdP van derden of een Google-identiteit gebruiken. Voor Google Drive en Editors van Documenten kunt u alleen een IdP van derden gebruiken. Deze beperking maakt gasttoegang mogelijk voor bezoekersaccounts. De IdP van derden kan dezelfde IdP zijn die u gebruikt voor uw gebruikers of een andere IdP.
- Maak een aanvullende client-ID voor Google Meet: Tijdens de stap waarin u een client-ID voor webservices maakt, maakt u een aanvullende client-ID voor Google Meet.
De primaire client-ID voor webservices wordt gebruikt voor de service voor sleutelversleuteling en wordt niet gedeeld met de systemen van Google. De aanvullende client-ID voor Meet wordt gebruikt om te controleren of gasten die niet zijn ingelogd bij de Meet, zijn uitgenodigd voor de vergadering.
- Gebruik de Beheerdersconsole om uw gast-IdP in te stellen: U moet in de Beheerdersconsole uw IdP-verbinding voor gasten instellen en de optie IdP voor gastsessie instellen kiezen. U kunt de gast-IdP niet instellen met een .well-known-bestand.
Nadat u de IdP-configuratie heeft afgerond in de Beheerdersconsole, kunt u de tools van uw IdP gebruiken om in te stellen hoe externe gebruikers worden geverifieerd. Afhankelijk van de implementatie van uw IdP voor gasten zijn de volgende opties mogelijk beschikbaar:
- Stel aparte accounts in voor gasten en geef ze het accountwachtwoord.
- Stuur gasten eenmalige codes om hun e-mailadres te verifiëren.
- Sta gasten toe vooraf ingestelde IdP's te gebruiken, zoals Google, Apple of Microsoft.
Opmerking: Met Google-identiteit kunnen gebruikers inloggen met hun Google-account. Als een gebruiker geen account heeft, dan kan deze een account maken.
Bij elke verificatiemethode krijgen gasten een pop-upbericht waarin ze wordt gevraagd in te loggen bij een identiteitsprovider voordat ze toegang krijgen tot content die is versleuteld aan de clientzijde.
