Déployer des applications Web privées

Les utilisateurs internes de votre organisation, comme les employés et les sous-traitants, utilisent des applications Web privées hébergées dans le cloud. Vous pouvez déployer ces applications à l'aide de Chrome Enterprise Premium dans la console d'administration Google.

Ajouter l'application Web à votre compte Google Workspace

Les applications Web privées sont hébergées sur Google Cloud, par un autre fournisseur de services cloud ou dans un centre de données sur site.

Dans la console d'administration Google, accédez à Menu ApplicationsApplications Web et mobiles.

Accéder aux applications Web et mobiles

Vous devez disposer du droit d'administrateur Gestion des appareils mobiles.
Cliquez sur Ajouter une application Ajouter une application Web privée.
Dans la section Informations sur l'application, saisissez le nom de l'application et l'URL permettant aux utilisateurs d'y accéder.
Spécifiez l'emplacement où votre application est hébergée :
- Applications hébergées sur Google Cloud : saisissez l'URL Private Service Connect (PSC) sous "Application Host Details" (Détails de l'hôte de l'application). Pour en savoir plus, consultez Paramètres des applications hébergées sur Google Cloud.
- Applications HTTPS hébergées par un autre fournisseur de services cloud : saisissez l'URL interne et le numéro de port. Les applications HTTP ne sont pas compatibles. Pour en savoir plus, consultez Paramètres pour les applications hébergées par d'autres fournisseurs de services cloud ou dans des centres de données sur site.
  
  Pour optimiser les performances, sélectionnez la région la plus proche de l'emplacement où l'application est hébergée, puis choisissez les connecteurs d'application requis pour vous connecter à votre application.
Cliquez sur Ajouter une application.

Paramètres pour les applications hébergées sur Google Cloud

Créez une URL Private Service Connect (PSC) pour connecter les applications privées de votre environnement.

Pour configurer l'URL PSC, créez un équilibreur de charge interne, puis créez un rattachement de service qui utilise une adresse IP interne.

Créer un équilibreur de charge interne

Vous devez publier les applications privées dans Google Workspace derrière un équilibreur de charge interne avec l'accès mondial activé. Pour en savoir plus, consultez Publier un service avec approbation automatique.

Créer un équilibreur de charge réseau passthrough interne pour une ressource Compute ou GKE

Avant de commencer : Pour établir une communication HTTPS sécurisée, configurez un groupe d'instances pour qu'il diffuse les requêtes sur le port 443. Sélectionnez le groupe d'instances dans l'onglet "Configuration du backend".

Dans Google Cloud Console, accédez à la page Équilibrage de charge.
Cliquez sur Créer un équilibreur de charge.
Cliquez sur Start Configuration for Network Load Balancer (TCP/SSL) (Démarrer la configuration de l'équilibreur de charge réseau (TCP/SSL)), puis sélectionnez les options suivantes :
1. Pour Type d'équilibreur de charge, sélectionnez Équilibreur de charge réseau (TCP/UDP/SSL).
2. Pour Proxy ou passthrough, sélectionnez Passthrough.
3. Pour Web ou interne uniquement, sélectionnez Interne.
4. Cliquez sur Suivant.
5. Cliquez sur Continuer.
Saisissez le nom de l'équilibreur de charge, puis sélectionnez la région et le réseau dans lesquels vous allez le déployer.
Important : Le réseau que vous choisissez pour l'équilibreur de charge doit être le même que celui utilisé par votre groupe d'instances.
Cliquez sur l'onglet Configuration du backend.
1. Pour Protocole, sélectionnez TCP.
2. Pour Type de pile d'adresses IP, sélectionnez IPv4.
3. Sélectionnez un groupe d'instances.
  Pour en créer un, accédez à Groupes d'instances.
4. Sélectionnez une vérification de l'état dans la liste. Pour créer une vérification de l'état :
  1. Sélectionnez Créer une vérification d'état.
  2. Saisissez le nom de votre vérification d'état (par exemple, ping-port).
  3. Sélectionnez le champ d'application régional.
  4. Pour le protocole, sélectionnez HTTPS.
  5. Conservez le port 443.
  6. Pour Protocole de proxy, sélectionnez AUCUN.
  7. Pour le chemin d'accès de la requête, laissez "/".
  8. Activez les journaux.
  9. Conservez les valeurs par défaut pour les critères de vérification.
Cliquez sur l'onglet Configuration du frontend.
1. (Facultatif) Saisissez le nom de l'interface.
2. Pour Version IP, sélectionnez IPv4.
3. Sélectionnez un sous-réseau.
4. Dans le champ Objectif de l'adresse IP interne, sélectionnez Non partagée.
5. Pour ports, sélectionnez Unique.
6. Saisissez le numéro de port 443.
7. Pour Accès mondial, sélectionnez Activer.
Cliquez sur l'onglet Vérifier et finaliser pour vérifier les paramètres de configuration de votre équilibreur de charge.
Cliquez sur Créer.

Créer un équilibreur de charge interne pour une ressource Cloud Run

Dans Google Cloud Console, accédez à la page Équilibrage de charge.
Cliquez sur Créer un équilibreur de charge.
Cliquez sur Démarrer la configuration de l'équilibreur de charge d'application (HTTP/S) et sélectionnez les options suivantes.
1. Pour Type d'équilibreur de charge, sélectionnez Équilibreur de charge d'application (HTTP/HTTPS).
2. Pour Web ou interne uniquement, sélectionnez interne.
3. Pour Déploiement interrégional ou dans une seule région, sélectionnez Région unique.
4. Cliquez sur Suivant.
5. Cliquez sur Configurer.
Saisissez le nom de l'équilibreur de charge, puis sélectionnez la région et le réseau dans lesquels il sera déployé.
Cliquez sur l'onglet Configuration du backend.
1. Créez ou sélectionnez le service de backend.
2. Si vous créez un service, pour Type de backend, sélectionnez Groupe de points de terminaison du réseau sans serveur, puis un groupe de points de terminaison du réseau.
3. Si vous ne possédez pas de point de terminaison du réseau sans serveur, sélectionnez l'option pour en créer un.
  Avant de créer le groupe de points de terminaison du réseau sans serveur, créez un service Cloud Run vers lequel le groupe de points de terminaison pointera.
Cliquez sur l'onglet Configuration de l'interface.
1. Pour Protocole, sélectionnez HTTPS.
2. Sélectionnez le sous-réseau.
3. Si vous n'avez pas encore réservé de sous-réseau, suivez les instructions à l'écran.
4. Activez l'accès mondial.
5. Pour le certificat, choisissez d'en créer un ou de sélectionner un certificat existant.
Cliquez sur Créer.

Créer l'URL du rattachement de service

Pour configurer l'URL PSC, créez un rattachement de service qui utilise une adresse IP interne.

Dans la console Google Cloud, accédez à la page Private Service Connect.
Cliquez sur l'onglet Publier le service.
Cliquez sur Publier le service.
Sélectionnez le type d'équilibreur de charge pour le service que vous souhaitez publier :
- Équilibreur de charge réseau passthrough interne
- Équilibreur de charge réseau proxy interne régional
- Équilibreur de charge d'application interne régional
Sélectionnez l'équilibreur de charge interne qui héberge le service que vous souhaitez publier.
Les champs de réseau et de région sont renseignés avec les détails de l'équilibreur de charge interne sélectionné.
Dans le champ Nom du service, saisissez le nom du rattachement de service.
Sélectionnez un ou plusieurs sous-réseaux pour le service. Si vous souhaitez ajouter un sous-réseau, vous pouvez en créer un :
1. Cliquez sur Réserver un nouveau sous-réseau.
2. Saisissez un nom et une description facultative pour le sous-réseau.
3. Sélectionnez une région pour le sous-réseau.
4. Saisissez la plage d'adresses IP à utiliser pour le sous-réseau, puis cliquez sur Ajouter.
Pour Préférences de connexion, sélectionnez Accepter automatiquement toutes les connexions.
Cliquez sur Ajouter un service.
Cliquez sur le service publié. Renseignez le nom du rattachement de service dans le champ Rattachement de service pour créer l'URL :
https://www.googleapis.com/compute/v1/SERVICE_ATTACHMENT_NAME

Lorsque vous ajoutez votre application Web privée dans Google Workspace, utilisez cette URL. Consultez Ajouter l'application Web à votre compte Workspace.

Paramètres pour les applications Web hébergées par d'autres fournisseurs de services cloud ou dans des centres de données sur site

Pour connecter de manière sécurisée votre réseau cloud ou sur site à Google Cloud, ajoutez un connecteur d'application.

Les connecteurs d'application vous permettent de connecter de manière sécurisée votre application à Google depuis d'autres clouds sans réseau privé virtuel (VPN) de site à site.

Créer une VM sur le réseau autre que Google

Vous devez installer l'agent distant de chaque connecteur d'application sur une machine virtuelle (VM) dédiée ou sur n'importe quel serveur Bare Metal dans l'environnement autre que Google.

Pour créer la VM, demandez de l'aide à votre administrateur réseau ou suivez les instructions fournies par votre fournisseur de services cloud.
Pour exécuter l'agent distant, utilisez Docker sur chaque VM ou serveur.
Assurez-vous que le pare-feu de réseau de la VM de l'agent distant autorise tout le trafic sortant initié sur le port 443 pour la plage d'adresses IP IAP-TCP 35.235.240.0/20. Consultez Vérifier la configuration du pare-feu pour les autres domaines dans lesquels le pare-feu de la VM de l'agent distant doit autoriser le trafic sortant.

Ajouter un connecteur d'application et installer l'agent distant

Ajoutez un connecteur d'application :
1. Dans la console d'administration Google, accédez à Menu ApplicationsApplications Web et mobiles.
  
  Accéder aux applications Web et mobiles
  
  Vous devez disposer du droit d'administrateur Gestion des appareils mobiles.
2. Cliquez sur l'onglet Connecteurs BeyondCorp Enterprise (BCE).
3. Cliquez sur Ajouter un connecteur.
4. Saisissez un nom pour le connecteur, par exemple "connect-myapp".
5. Sélectionnez une région proche de l'environnement autre que Google.
6. Cliquez sur Ajouter un connecteur.
7. Pour afficher l'état, cliquez sur l'icône Sablier Vos tâches en haut à droite.
Créez une instance de VM pour héberger l'agent distant.
Suivez les instructions fournies par votre administrateur réseau ou votre fournisseur de services cloud. Consultez Créer une VM sur le réseau autre que Google.
Installez un agent distant.
1. Cliquez sur le nom du connecteur d'application.
2. Cliquez sur Installer l'agent distant.
3. Dans l'environnement autre que Google, installez l'agent distant :
  - Créez une instance de machine virtuelle (VM) pour héberger l'agent distant. Suivez les instructions fournies par votre administrateur réseau ou votre fournisseur de services cloud.
  - Installez Docker, qui est nécessaire pour exécuter l'agent distant. Pour obtenir des instructions, consultez la documentation en ligne sur l'installation de Docker Engine.
  - Installez et enregistrez l'agent distant à l'aide des commandes de l'interface de ligne de commande (CLI) affichées sur la page du connecteur d'application Google Workspace.
  - Copiez et collez la clé publique qui s'affiche une fois l'agent distant enregistré.
4. Cliquez sur Enregistrer.

La page du connecteur d'application indique que vous avez bien ajouté une clé publique.

Restreindre l'accès et l'authentification

L'administrateur qui a créé l'application Web peut décider dans quelles conditions un utilisateur doit pouvoir y accéder. Par exemple, vous pouvez limiter l'accès aux utilisateurs d'un domaine spécifique, ou n'autoriser l'accès que pendant certaines heures ou certains jours. Si l'accès est refusé, l'utilisateur est redirigé vers une page spécifique.

Dans la console d'administration Google, accédez à Menu ApplicationsApplications Web et mobiles.

Accéder aux applications Web et mobiles

Vous devez disposer du droit d'administrateur Gestion des appareils mobiles.
Cliquez sur l'onglet Applications cliquez sur une application pour ouvrir sa page d'informations.
Cliquez sur Paramètres avancés.

Page de destination 403 : saisissez l'adresse Web vers laquelle les utilisateurs seront redirigés s'ils se voient refuser l'accès à l'application. Utilisez le format https://<url>.
Domaine d'authentification : saisissez l'URL d'authentification unique (SSO) de votre organisation pour permettre aux utilisateurs de se connecter à l'aide de leurs identifiants professionnels. Cela permet aussi de refuser l'accès aux utilisateurs qui ne disposent pas d'identifiants valides pour votre domaine Google Workspace. Utilisez le format sso.votre.org.com.
Domaines autorisés : cochez la case Activer les domaines autorisés pour limiter l'accès des utilisateurs aux domaines spécifiés. Séparez les entrées par une virgule, par exemple : test.votre.org.com, prod.votre.org.com.
Réauthentification : utilisez ces options pour exiger que les utilisateurs s'authentifient à nouveau après un certain temps. Par exemple, les utilisateurs peuvent appuyer sur une clé de sécurité ou utiliser l'authentification à deux facteurs (A2F).
- Connexion : demandez aux utilisateurs de s'authentifier à nouveau à l'aide d'un nom d'utilisateur et d'un mot de passe après avoir été connectés pendant la durée spécifiée.
- Clé sécurisée : demandez aux utilisateurs de s'authentifier à nouveau à l'aide de leur clé de sécurité.
- Seconds facteurs enregistrés : exigez que les utilisateurs s'authentifient de nouveau à l'aide de l'A2F.

Pour en savoir plus, consultez Réauthentification IAP.

Attribuer un contrôle des accès contextuels

Grâce à l'accès contextuel, vous pouvez contrôler les applications Web privées auxquelles un utilisateur peut accéder en fonction de certaines conditions, par exemple la conformité de son appareil avec vos règles informatiques.

Par exemple, vous pouvez créer des règles précises de contrôle des accès pour les applications qui accèdent aux données Google Workspace, sur la base d'attributs tels que l'identité de l'utilisateur, son emplacement, le niveau de sécurité de l'appareil et son adresse IP.

Pour en savoir plus, consultez Attribuer des niveaux d'accès aux applications Web privées.

Déployer des applications Web privées Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.