Esegui il deployment di app web private

Gli utenti interni della tua organizzazione, come dipendenti e collaboratori, utilizzano app web private ospitate nel cloud. Puoi implementare queste app utilizzando Chrome Enterprise Premium nella Console di amministrazione Google.

Aggiungere l'app web al tuo account Google Workspace

Le app web private sono ospitate su Google Cloud, su un altro provider cloud o su un data center on-premise.

Nella Console di amministrazione Google, vai a Menu ApplicazioniApp web e mobile.

Vai ad App web e mobile

È necessario disporre del privilegio di amministratore Gestione dei dispositivi mobili.
Fai clic su Aggiungi appAggiungi app web privata.
Nella sezione Dettagli applicazione, inserisci un nome e un URL per l'app a cui gli utenti accedono.
Specifica dove è ospitata la tua applicazione:
- App ospitate su Google Cloud: inserisci l'URL Private Service Connect (PSC) in Dettagli host applicazione. Per maggiori dettagli, vedi Impostazioni per le app ospitate su Google Cloud.
- App HTTPS ospitate su un altro provider cloud: inserisci l'URL interno e il numero di porta. Le app HTTP non sono supportate. Per maggiori dettagli, vedi Impostazioni per le app ospitate su altri provider cloud o data center on-premise.
  
  Per ottenere prestazioni ottimali, seleziona la regione più vicina a dove è ospitata l'applicazione, quindi scegli i connettori di app necessari per connettere l'applicazione.
Fai clic su Aggiungi applicazione.

Impostazioni per le app ospitate su Google Cloud

Crea un URL Private Service Connect (PSC) per connettere le app private nel tuo ambiente.

Per configurare l'URL PSC, crea un bilanciatore del carico interno, quindi crea un collegamento a un servizio che utilizzi un indirizzo IP interno.

Crea un bilanciatore del carico interno

Devi pubblicare le app private in Google Workspace dietro un bilanciatore del carico interno con l'accesso globale attivato. Per maggiori dettagli, vedi Pubblicare un servizio con approvazione automatica.

Crea un bilanciatore del carico di rete passthrough interno per la risorsa Compute o GKE

Prima di iniziare:per consentire le comunicazioni HTTPS sicure, configura un gruppo di istanze configurato per gestire le richieste sulla porta 443. Seleziona il gruppo di istanze nella scheda Configurazione backend.

Nella console Google Cloud, vai alla pagina Bilanciamento del carico.
Fai clic su Crea bilanciatore del carico.
Fai clic su Avvia configurazione per il bilanciatore del carico di rete (TCP/SSL) e seleziona quanto segue:
1. Per Tipo di bilanciatore del carico, seleziona Bilanciatore del carico di rete (TCP/UDP/SSL).
2. Per Proxy o passthrough, seleziona Passthrough.
3. In corrispondenza di Per internet o solo interno: Interno.
4. Fai clic su Avanti.
5. Fai clic su Continua.
Inserisci il nome del bilanciatore del carico e seleziona la regione e la rete in cui lo implementerai.
Importante:la rete scelta per il bilanciatore del carico deve essere la stessa utilizzata dal gruppo di istanze.
Fai clic sulla scheda Configurazione backend.
1. In Protocollo, seleziona TCP.
2. Per Tipo di stack IP, seleziona IPv4.
3. Seleziona un gruppo di istanze.
  Per crearne uno, vai a Gruppi di istanze.
4. Seleziona un controllo di integrità dall'elenco. Per creare un nuovo controllo di integrità:
  1. Seleziona Crea controllo di integrità.
  2. Inserisci un nome per il controllo di integrità (ad esempio: ping-port).
  3. Seleziona l'ambito regionale.
  4. Per il protocollo, seleziona HTTPS.
  5. Mantieni la porta 443.
  6. Per Protocollo proxy, seleziona NESSUNO.
  7. In Percorso richiesta, lascia "/".
  8. Attiva i log.
  9. Mantieni i valori predefiniti per i criteri di integrità.
Fai clic sulla scheda Configurazione frontend.
1. (Facoltativo) Inserisci un nome per il frontend.
2. In Versione IP, seleziona IPv4.
3. Seleziona una subnet.
4. Per Scopo IP interno, seleziona Non condiviso.
5. Per porte, seleziona Singola.
6. Inserisci il numero di porta 443.
7. Per Accesso globale, seleziona Attiva.
Fai clic sulla scheda Rivedi e finalizza per rivedere le impostazioni di configurazione del bilanciatore del carico.
Fai clic su Crea.

Crea un bilanciatore del carico interno per una risorsa Cloud Run

Nella console Google Cloud, vai alla pagina Bilanciamento del carico.
Fai clic su Crea bilanciatore del carico.
Fai clic su Avvia configurazione per il bilanciatore del carico delle applicazioni (HTTP/S) e seleziona quanto segue.
1. In Tipo di bilanciatore del carico, seleziona Bilanciatore del carico delle applicazioni (HTTP/HTTPS).
2. In corrispondenza di Per internet o solo interno, seleziona Interno.
3. Per Deployment tra regioni o in una regione singola, seleziona Regione singola.
4. Fai clic su Avanti.
5. Fai clic su Configura.
Inserisci il nome del bilanciatore del carico e seleziona la regione e la rete in cui verrà eseguito il deployment.
Fai clic sulla scheda Configurazione backend.
1. Crea o seleziona il servizio di backend.
2. Se crei un servizio, in Tipo di backend, seleziona Gruppo di endpoint di rete serverless e seleziona un gruppo di endpoint di rete.
3. Se non hai un endpoint di rete serverless, seleziona l'opzione per crearne uno nuovo.
  Prima di creare il gruppo di endpoint di rete serverless, crea un servizio Cloud Run a cui farà riferimento il gruppo di endpoint.
Fai clic sulla scheda Configurazione frontend
1. In Protocollo, seleziona HTTPS.
2. Seleziona la subnet.
3. Se non hai ancora prenotato una subnet, completa i passaggi sullo schermo.
4. Abilita l'accesso globale.
5. Per il certificato, scegli di crearne uno nuovo o selezionane uno esistente.
Fai clic su Crea.

Crea l'URL del collegamento al servizio

Per configurare l'URL PSC, crea un collegamento a un servizio che utilizzi un indirizzo IP interno.

Nella console Google Cloud, vai alla pagina Private Service Connect.
Fai clic sulla scheda Pubblica servizio.
Fai clic su Pubblica servizio.
Seleziona il Tipo di bilanciatore del carico per il servizio che vuoi pubblicare:
- Bilanciatore del carico di rete passthrough interno
- Bilanciatore del carico di rete proxy interno regionale
- Bilanciatore del carico delle applicazioni interno regionale
Seleziona il bilanciatore del carico interno che ospita il servizio che vuoi pubblicare.
I campi Rete e Regione vengono compilati con i dettagli del bilanciatore del carico interno selezionato.
In Nome servizio, inserisci un nome per il collegamento del servizio.
Seleziona una o più subnet per il servizio. Se vuoi aggiungere una nuova subnet, puoi crearne una:
1. Fai clic su Riserva nuova subnet.
2. Inserisci un nome e una descrizione facoltativa per la subnet.
3. Seleziona una regione per la subnet.
4. Inserisci l'intervallo IP da utilizzare per la subnet e fai clic su Aggiungi.
In Preferenza di connessione, seleziona Accetta automaticamente tutte le connessioni.
Fai clic su Aggiungi servizio.
Fai clic sul servizio pubblicato. Utilizza il nome del collegamento del servizio nel campo Collegamento del servizio per creare l'URL:
https://www.googleapis.com/compute/v1/SERVICE_ATTACHMENT_NAME

Quando aggiungi la tua app web privata in Google Workspace, utilizza questo URL. Consulta la sezione Aggiungere l'app web all'account Workspace.

Impostazioni per le app web ospitate su altri provider cloud o data center on-premise

Per connettere in sicurezza la rete cloud o on-premise a Google Cloud, aggiungi un connettore app.

I connettori delle app ti consentono di connettere in modo sicuro la tua applicazione da altri cloud a Google senza una rete privata virtuale (VPN) da sito a sito.

Creare una VM sulla rete non Google

Devi installare ogni agente remoto del connettore di app su una macchina virtuale (VM) dedicata o su qualsiasi server bare metal nell'ambiente non Google.

Per creare la VM, chiedi assistenza all'amministratore di rete o segui le istruzioni fornite dal tuo provider cloud.
Per eseguire l'agente remoto, utilizza Docker su ogni VM o server.
Assicurati che il firewall di rete per la VM dell'agente remoto consenta tutto il traffico in uscita avviato sulla porta 443 per l'intervallo IP IAP-TCP 35.235.240.0/20. Vedi Verificare la configurazione del firewall per gli altri domini a cui il firewall della VM dell'agente remoto deve consentire il traffico in uscita.

Aggiungere un connettore di app e installare l'agente remoto

Aggiungi un connettore di app:
1. Nella Console di amministrazione Google, vai a Menu ApplicazioniApp web e mobile.
  
  Vai ad App web e mobile
  
  È necessario disporre del privilegio di amministratore Gestione dei dispositivi mobili.
2. Fai clic sulla scheda Connettori BeyondCorp Enterprise (BCE).
3. Fai clic su Aggiungi connettore.
4. Inserisci un nome per il connettore, ad esempio connect-myapp.
5. Seleziona una regione vicina all'ambiente non Google.
6. Fai clic su Aggiungi connettore.
7. Per visualizzare lo stato, fai clic sulla clessidra in alto a destra Le tue attività.
Crea un'istanza VM per ospitare l'agente remoto.
Segui le istruzioni fornite dall'amministratore di rete o dal provider cloud. Vedi Creare una VM sulla rete non Google.
Installa un agente remoto.
1. Fai clic sul nome del connettore di app.
2. Fai clic su Installa agente remoto.
3. Nell'ambiente non Google, installa l'agente remoto:
  - Crea un'istanza di macchina virtuale (VM) per ospitare l'agente remoto. Segui le istruzioni fornite dall'amministratore di rete o dal provider cloud.
  - Installa Docker, necessario per eseguire l'agente remoto. Per istruzioni, consulta la documentazione online per installare Docker Engine.
  - Installa e registra l'agente remoto utilizzando i comandi dell'interfaccia a riga di comando (CLI) visualizzati nella pagina del connettore di app di Google Workspace.
  - Copia e incolla la chiave pubblica visualizzata dopo la registrazione corretta dell'agente remoto.
4. Fai clic su Salva.

La pagina del connettore di app mostra che hai aggiunto correttamente una chiave pubblica.

Limitare l'accesso e l'autenticazione

L'amministratore che ha creato l'app web può decidere a quali condizioni un utente deve poter accedere all'app. Ad esempio, puoi limitare l'accesso agli utenti di un dominio specifico o consentire l'accesso solo in determinati orari o giorni. Se l'accesso viene negato, l'utente viene reindirizzato a una pagina specifica.

Nella Console di amministrazione Google, vai a Menu ApplicazioniApp web e mobile.

Vai ad App web e mobile

È necessario disporre del privilegio di amministratore Gestione dei dispositivi mobili.
Fai clic sulla scheda App fai clic su un'app per aprire la pagina dei dettagli.
Fai clic su Impostazioni avanzate.

Pagina di destinazione 403: inserisci l'indirizzo web a cui gli utenti verranno reindirizzati se viene negato loro l'accesso all'app. Utilizza il formato https://<url>.
Dominio di autenticazione: inserisci l'URL Single Sign-On (SSO) per la tua organizzazione per consentire agli utenti di accedere utilizzando le credenziali della loro organizzazione. In questo modo, viene negato l'accesso anche agli utenti che non dispongono di credenziali valide per il tuo dominio Google Workspace. Utilizza il formato sso.your.org.com.
Domini consentiti: per limitare l'accesso degli utenti solo ai domini specificati, seleziona la casella Attiva domini consentiti. Separa le voci con una virgola, ad esempio: test.your.org.com, prod.your.org.com.
Riautenticazione: utilizza queste opzioni per richiedere agli utenti di eseguire di nuovo l'autenticazione dopo un determinato periodo di tempo. Ad esempio, gli utenti possono toccare un token di sicurezza o utilizzare l'autenticazione a 2 fattori (2FA).
- Accesso: richiedi agli utenti di eseguire nuovamente l'autenticazione con un nome utente e una password dopo aver eseguito l'accesso per il periodo di tempo specificato.
- Token di sicurezza: richiedi agli utenti di eseguire nuovamente l'autenticazione utilizzando il token di sicurezza.
- A due fattori registrato: richiedi agli utenti di eseguire nuovamente l'autenticazione utilizzando l'autenticazione a due fattori.

Per saperne di più, consulta Riautenticazione degli acquisti in-app.

Assegnare il controllo dell'accesso sensibile al contesto

Con l'accesso sensibile al contesto, puoi controllare le app web private a cui un utente può accedere in base a determinate condizioni, ad esempio al fatto che il dispositivo sia conforme o meno ai criteri IT.

Ad esempio, puoi creare criteri di controllo granulare degli accessi per le app che accedono ai dati di Google Workspace in base ad attributi come l'identità dell'utente, la località, lo stato della sicurezza del dispositivo e l'indirizzo IP.

Per maggiori dettagli, vedi Assegna livelli di accesso alle app web private.

Esegui il deployment di app web private Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.