Implementa apps web privadas

Los usuarios internos de tu organización, como empleados y contratistas, usan apps web privadas alojadas en la nube. Puedes implementar estas apps con Chrome Enterprise Premium en la Consola del administrador de Google.

Agrega la app web a tu cuenta de Google Workspace

Las apps web privadas se alojan en Google Cloud, otro proveedor de servicios en la nube o un centro de datos local.

En la Consola del administrador de Google, ve a Menú AppsApps web y para dispositivos móviles.

Ir a Aplicaciones web y para dispositivos móviles

Es necesario tener el privilegio de administrador de la Administración de dispositivos móviles.
Haz clic en Agregar appAgregar app web privada.
En la sección Detalles de la aplicación, ingresa el nombre y la URL de la app a la que acceden los usuarios.
Especifica dónde se aloja tu aplicación:
- Aplicaciones alojadas en Google Cloud: Ingresa la URL de Private Service Connect (PSC) en Detalles del host de la aplicación. Para obtener más detalles, consulta Parámetros de configuración para apps alojadas en Google Cloud.
- Apps HTTPS alojadas en otro proveedor de servicios en la nube: Ingresa la URL interna y el número de puerto. No se admiten las apps HTTP. Para obtener más información, consulta Parámetros de configuración para apps alojadas en otros proveedores de servicios en la nube o centros de datos locales.
  
  Para obtener el mejor rendimiento, selecciona la región más cercana a la ubicación en la que se aloja la aplicación y, luego, elige los conectores de apps necesarios para conectar tu aplicación.
Haz clic en Add application.

Parámetros de configuración para apps alojadas en Google Cloud

Crea una URL de Private Service Connect (PSC) para conectar las apps privadas de tu entorno.

Para configurar la URL de PSC, crea un balanceador de cargas interno y, luego, crea una vinculación de servicio que use una dirección IP interna.

Crea un balanceador de cargas interno

Debes publicar apps privadas en Google Workspace detrás de un balanceador de cargas interno con el acceso global habilitado. Para obtener más detalles, consulta Publica un servicio con aprobación automática.

Crea un balanceador de cargas de red de transferencia interno para un recurso de Compute o GKE

Antes de comenzar: Para permitir la comunicación segura por HTTPS, configura un grupo de instancias para atender solicitudes en el puerto 443. Selecciona el grupo de instancias en la pestaña Configuración de backend.

En la consola de Google Cloud, ve a la página Balanceo de cargas.
Haz clic en Crear balanceador de cargas.
Haz clic en Iniciar configuración para el balanceador de cargas de red (TCP/SSL) y selecciona lo siguiente:
1. En Tipo de balanceador de cargas, selecciona Balanceador de cargas de red (TCP/UDP/SSL).
2. En Proxy o transferencia, selecciona Transferencia.
3. En Orientado a Internet o solo interno, selecciona Interno.
4. Haz clic en Siguiente.
5. Haz clic en Continuar.
Ingresa el nombre del balanceador de cargas y selecciona la región y la red en las que lo implementarás.
Importante: La red que elijas para el balanceador de cargas debe ser la misma que usa tu grupo de instancias.
Haz clic en la pestaña Configuración de backend.
1. En Protocolo, selecciona TCP.
2. En Tipo de pila de IP, selecciona IPv4.
3. Selecciona un grupo de instancias.
  Para crear uno, ve a Grupos de instancias.
4. Selecciona una verificación de estado de la lista. Para crear una verificación de estado nueva, sigue estos pasos:
  1. Selecciona Crear verificación de estado.
  2. Ingresa un nombre para la verificación de estado (por ejemplo, ping-port).
  3. Selecciona alcance regional.
  4. En el protocolo, selecciona HTTPS.
  5. Mantén el puerto como 443.
  6. En Proxy protocol, selecciona NONE.
  7. En Ruta de solicitud, deja "/".
  8. Habilita los registros.
  9. Mantén los valores predeterminados para los criterios de estado.
Haz clic en la pestaña Configuración de frontend.
1. Ingresa un nombre para el frontend (opcional).
2. En Versión de IP, selecciona IPv4.
3. Selecciona una subred.
4. En Propósito de IP interna, selecciona No compartida.
5. En Puertos, selecciona Individual.
6. Ingresa el número de puerto 443.
7. En Acceso global, selecciona Habilitar.
Haz clic en la pestaña Revisar y finalizar para revisar la configuración del balanceador de cargas.
Haz clic en Crear.

Crea un balanceador de cargas interno para un recurso de Cloud Run

En la consola de Google Cloud, ve a la página Balanceo de cargas.
Haz clic en Crear balanceador de cargas.
Haz clic en Iniciar configuración para el balanceador de cargas de aplicaciones (HTTP/S) y selecciona lo siguiente.
1. En Tipo de balanceador de cargas, selecciona Balanceador de cargas de aplicaciones (HTTP/HTTPS).
2. En Orientado a Internet o solo interno, selecciona interno.
3. En Implementación entre regiones o de una sola región, selecciona Solo en una región.
4. Haz clic en Siguiente.
5. Haz clic en Configurar.
Ingresa el nombre del balanceador de cargas y selecciona la región y la red en las que se implementará.
Haz clic en la pestaña Configuración de backend.
1. Crea o selecciona el servicio de backend.
2. Si creas un servicio, en Tipo de backend, selecciona Grupo de extremos de red sin servidores y, luego, selecciona un grupo de extremos de red.
3. Si no tienes un extremo de red sin servidores, selecciona la opción para crear uno nuevo.
  Antes de crear el grupo de extremos de red sin servidores, crea un servicio de Cloud Run al que apuntará el grupo de extremos.
Haz clic en la pestaña Configuración de frontend.
1. En Protocolo, selecciona HTTPS.
2. Selecciona la subred.
3. Si aún no reservaste una subred, completa los pasos que aparecen en pantalla.
4. Habilita el acceso global.
5. Para el certificado, selecciona crear uno nuevo o elegir uno existente.
Haz clic en Crear.

Crea la URL del adjunto del servicio

Para configurar la URL de PSC, crea una vinculación de servicio que use una dirección IP interna.

En la consola de Google Cloud, ve a la página Private Service Connect.
Haz clic en la pestaña Publicar servicio.
Haz clic en Publicar servicio.
Selecciona el Tipo de balanceador de cargas para el servicio que deseas publicar:
- Balanceador de cargas de red de transferencia interno
- Balanceador de cargas de red del proxy interno regional
- Balanceador de cargas de aplicaciones interno regional
Selecciona el Balanceador de cargas interno que aloja el servicio que deseas publicar.
Los campos de red y región se propagan con los detalles del balanceador de cargas interno seleccionado.
En Nombre del servicio, ingresa un nombre para el adjunto del servicio.
Selecciona una o más Subredes para el servicio. Si deseas agregar una subred nueva, puedes crear una:
1. Haz clic en Reservar subred nueva.
2. Ingresa un Nombre y una Descripción opcional para la subred.
3. Selecciona una Región para la subred.
4. Ingresa el Rango de IP que se usará en la subred y haz clic en Agregar.
En Preferencia de conexión, selecciona Aceptar automáticamente todas las conexiones.
Haz clic en Agregar servicio.
Haz clic en el servicio publicado. Usa el nombre de la vinculación de servicio en el campo Vinculación de servicio para crear la URL:
https://www.googleapis.com/compute/v1/SERVICE_ATTACHMENT_NAME

Cuando agregues tu app web privada en Google Workspace, usa esta URL. Consulta Cómo agregar la app web a tu cuenta de Workspace.

Parámetros de configuración para apps web alojadas en otros proveedores de servicios en la nube o centros de datos locales

Para conectar de forma segura tu red local o en la nube a Google Cloud, agrega un conector de aplicación.

Los conectores de aplicaciones te permiten conectar de forma segura tu aplicación desde otras nubes a Google sin una red privada virtual (VPN) de sitio a sitio.

Crea una VM en la red que no es de Google

Debes instalar cada agente remoto del conector de aplicaciones en una máquina virtual (VM) dedicada o en cualquier servidor de metal desnudo en el entorno que no es de Google.

Para crear la VM, pídele ayuda a tu administrador de red o sigue las instrucciones que proporciona tu proveedor de servicios en la nube.
Para ejecutar el agente remoto, usa Docker en cada VM o servidor.
Asegúrate de que el firewall de red de la VM del agente remoto permita todo el tráfico saliente que se inicie en el puerto 443 para el rango de IP de IAP-TCP 35.235.240.0/20. Consulta Verifica la configuración del firewall para conocer otros dominios a los que el firewall de la VM del agente remoto debe permitir el tráfico saliente.

Agrega un conector de apps y, luego, instala el agente remoto

Agrega un conector de app:
1. En la Consola del administrador de Google, ve a Menú AppsApps web y para dispositivos móviles.
  
  Ir a Aplicaciones web y para dispositivos móviles
  
  Es necesario tener el privilegio de administrador de la Administración de dispositivos móviles.
2. Haz clic en la pestaña Conectores de BeyondCorp Enterprise (BCE).
3. Haz clic en Agregar conector.
4. Ingresa un nombre para el conector, por ejemplo, connect-myapp.
5. Selecciona una región cercana al entorno que no es de Google.
6. Haz clic en Agregar conector.
7. Para ver el estado, haz clic en Reloj de arena Tus tareas en la esquina superior derecha.
Crea una instancia de VM para alojar el agente remoto.
Sigue las instrucciones que te proporcionó el administrador de red o el proveedor de servicios en la nube. Consulta Crea una VM en la red que no es de Google.
Instalar un agente remoto
1. Haz clic en el nombre del conector de la app.
2. Haz clic en Instalar agente remoto.
3. En el entorno que no es de Google, instala el agente remoto:
  - Crea una instancia de máquina virtual (VM) para alojar el agente remoto. Sigue las instrucciones que te proporcionó tu administrador de red o proveedor de servicios en la nube.
  - Instala Docker, que es necesario para ejecutar el agente remoto. Para obtener instrucciones, consulta la documentación en línea para instalar Docker Engine.
  - Instala y registra el agente remoto con los comandos de la interfaz de línea de comandos (CLI) que se muestran en la página del conector de la app de Google Workspace.
  - Copia y pega la clave pública que se muestra después de que se inscribe correctamente el agente remoto.
4. Haz clic en Guardar.

La página del conector de apps muestra que agregaste correctamente una clave pública.

Restringe el acceso y la autenticación

El administrador que creó la app web puede decidir en qué condiciones un usuario debería poder acceder a ella. Por ejemplo, puedes limitar el acceso a los usuarios de un dominio específico o permitir el acceso solo durante ciertos horarios o días. Si se deniega el acceso, se redirecciona al usuario a una página específica.

En la Consola del administrador de Google, ve a Menú AppsApps web y para dispositivos móviles.

Ir a Aplicaciones web y para dispositivos móviles

Es necesario tener el privilegio de administrador de la Administración de dispositivos móviles.
Haz clic en la pestaña Apps haz clic en una app para abrir la página de detalles.
Haz clic en Configuración avanzada.

Página de destino 403: Ingresa la dirección web a la que se redireccionará a los usuarios si se les niega el acceso a la app. Usa el formato https://<url>.
Dominio de autenticación: Ingresa la URL del inicio de sesión único (SSO) de tu organización para permitir que los usuarios accedan con sus credenciales de la organización. Esto también deniega el acceso a los usuarios que no tienen credenciales válidas para tu dominio de Google Workspace. Usa el formato sso.tu.org.com.
Dominios permitidos: Para restringir el acceso de los usuarios solo a los dominios especificados, marca la casilla Habilitar dominios permitidos. Separa las entradas con una coma, por ejemplo: test.your.org.com, prod.your.org.com.
Reautenticación: Usa estas opciones para solicitar a los usuarios que se reautentiquen después de un período. Por ejemplo, los usuarios pueden tocar una llave de seguridad o usar la autenticación de 2 factores (2FA).
- Acceso: Requiere que los usuarios se vuelvan a autenticar con un nombre de usuario y una contraseña después de haber accedido durante el período especificado.
- Llave segura: Exige a los usuarios que se vuelvan a autenticar con su llave de seguridad.
- Métodos de dos factores inscritos: Solicita a los usuarios que se vuelvan a autenticar con la 2FA.

Para obtener más información, consulta Reautenticación de IAP.

Asigna el control de acceso adaptado al contexto

Con el Acceso adaptado al contexto, puedes controlar a qué apps web privadas puede acceder un usuario en función de ciertas condiciones, como si su dispositivo cumple con tu política de TI.

Por ejemplo, puedes crear políticas de control de acceso detalladas para las apps que acceden a los datos de Google Workspace en función de atributos como la identidad del usuario, la ubicación, el estado de seguridad del dispositivo y la dirección IP.

Para obtener más información, consulta Asigna niveles de acceso a apps web privadas.

Implementa apps web privadas Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.