Esegui il deployment di app web private

Gli utenti interni della tua organizzazione, come dipendenti e appaltatori, utilizzano app web private ospitate nel cloud. Puoi eseguire il deployment di queste app utilizzando Chrome Enterprise Premium nella Console di amministrazione Google.

Aggiungere l'app web al tuo account Google Workspace

Le app web private possono essere ospitate su Google Cloud, su un altro provider cloud o su un data center on-premise.

  1. Nella Console di amministrazione Google, vai a Menu e poi  App e poi App web e mobile.

    È necessario disporre del privilegio di amministratore Gestione dei dispositivi mobili.

  2. Fai clic su Aggiungi app e poi Aggiungi app web privata.
  3. Nella sezione Dettagli applicazione, inserisci un nome dell'app e un URL in cui gli utenti accedono all'app.

  4. Specifica dove è ospitata l'applicazione:

  5. Fai clic su Aggiungi applicazione.

Impostazioni per le app ospitate su Google Cloud

Crea un URL di Private Service Connect (PSC) per connettere le app private nel tuo ambiente.

Per configurare l'URL PSC, crea un bilanciatore del carico interno, quindi crea un collegamento a un servizio che utilizzi un indirizzo IP interno.

Creare un bilanciatore del carico interno

Devi pubblicare le app private in Google Workspace dietro un bilanciatore del carico interno con accesso globale abilitato. Per maggiori dettagli, vedi Pubblicare un servizio con approvazione automatica.

Creare un bilanciatore del carico di rete passthrough interno per la risorsa Compute o GKE

Prima di iniziare:per consentire le comunicazioni HTTPS sicure, imposta un gruppo di istanze configurato per gestire le richieste sulla porta 443. Seleziona il gruppo di istanze nella scheda Configurazione backend.

  1. Nella console Google Cloud, vai alla pagina Bilanciamento del carico.
  2. Fai clic su Crea bilanciatore del carico.
  3. Fai clic su Avvia configurazione per il bilanciatore del carico di rete (TCP/SSL) e seleziona quanto segue:
    1. Per Tipo di bilanciatore del carico, seleziona Bilanciatore del carico di rete (TCP/UDP/SSL).
    2. Per Proxy o passthrough, seleziona Passthrough.
    3. Per Per internet o solo interno , seleziona Interno.
    4. Fai clic su Avanti.
    5. Fai clic su Continua.
  4. Inserisci il nome del bilanciatore del carico e seleziona la regione e la rete in cui eseguirai il deployment del bilanciatore del carico.
    Importante:la rete scelta per il bilanciatore del carico deve essere la stessa utilizzata dal gruppo di istanze.
  5. Fai clic sulla scheda Configurazione backend.
    1. Per Protocollo , seleziona TCP.
    2. Per Tipo di stack IP, seleziona IPv4.
    3. Seleziona un gruppo di istanze.
      Per crearne uno, vai a Gruppi di istanze.
    4. Seleziona un controllo di integrità dall'elenco. Per creare un nuovo controllo di integrità:
      1. Seleziona Crea controllo di integrità.
      2. Inserisci un nome per il controllo di integrità (ad esempio: ping-port).
      3. Seleziona ambito regionale.
      4. Per il protocollo, seleziona HTTPS.
      5. Mantieni la porta 443.
      6. Per Protocollo proxy, seleziona NESSUNO.
      7. In Percorso richiesta, lascia "/".
      8. Attiva i log.
      9. Mantieni i valori predefiniti per i criteri di integrità.
  6. Fai clic sulla scheda Configurazione frontend.
    1. (Facoltativo) Inserisci un nome per il frontend.
    2. In Versione IP, seleziona IPv4.
    3. Seleziona una subnet.
    4. In Scopo IP interno, seleziona Non condiviso.
    5. In Porte, seleziona Singola.
    6. Inserisci il numero di porta 443.
    7. In Accesso globale, seleziona Attiva.
  7. Fai clic sulla scheda Esamina e finalizza per rivedere le impostazioni di configurazione del bilanciatore del carico.
  8. Fai clic su Crea.

Creare un bilanciatore del carico interno per una risorsa Cloud Run

  1. Nella console Google Cloud, vai alla pagina Bilanciamento del carico.
  2. Fai clic su Crea bilanciatore del carico.
  3. Fai clic su Avvia configurazione per il bilanciatore del carico delle applicazioni (HTTP/S) e seleziona quanto segue.
    1. Per Tipo di bilanciatore del carico, seleziona Bilanciatore del carico delle applicazioni (HTTP/HTTPS).
    2. Per Per internet o solo interno , seleziona Interno.
    3. Per Deployment tra regioni o in una regione singola, seleziona Regione singola.
    4. Fai clic su Avanti.
    5. Fai clic su Configura.
  4. Inserisci il nome del bilanciatore del carico e seleziona la regione e la rete in cui verrà eseguito il deployment del bilanciatore del carico.
  5. Fai clic sulla scheda Configurazione backend.
    1. Crea o seleziona il servizio di backend.
    2. Se crei un servizio, in Tipo di backend, seleziona Gruppo di endpoint di rete serverless e seleziona un gruppo di endpoint di rete.
    3. Se non hai un endpoint di rete serverless, seleziona l'opzione per crearne uno nuovo.
      Prima di creare il gruppo di endpoint di rete serverless, crea un servizio Cloud Run a cui punterà il gruppo di endpoint.
  6. Fai clic sulla scheda Configurazione frontend
    1. Per Protocollo , seleziona HTTPS.
    2. Seleziona la subnet.
    3. Se non hai ancora riservato una subnet, completa i passaggi visualizzati sullo schermo.
    4. Abilita accesso globale.
    5. Per il certificato, seleziona se crearne uno nuovo o sceglierne uno esistente.
  7. Fai clic su Crea.

Creare l'URL del collegamento al servizio

Per configurare l'URL PSC, crea un collegamento a un servizio che utilizzi un indirizzo IP interno.

  1. Nella console Google Cloud, vai alla pagina Private Service Connect.
  2. Fai clic sulla scheda Pubblica servizio.
  3. Fai clic su Pubblica servizio.
  4. Seleziona il Tipo di bilanciatore del carico per il servizio che vuoi pubblicare:
    • Bilanciatore del carico di rete passthrough interno
    • Bilanciatore del carico di rete proxy interno regionale
    • Bilanciatore del carico delle applicazioni interno regionale
  5. Seleziona il Bilanciatore del carico interno che ospita il servizio che vuoi pubblicare.
    I campi Rete e Regione vengono compilati con i dettagli del bilanciatore del carico interno selezionato.
  6. In Nome servizio, inserisci un nome per il collegamento al servizio.
  7. Seleziona una o più subnet per il servizio. Se vuoi aggiungere una nuova subnet, puoi crearne una:
    1. Fai clic su Riserva nuova subnet.
    2. Inserisci un Nome e una Descrizione (facoltativa) per la subnet.
    3. Seleziona una Regione per la subnet.
    4. Inserisci l'intervallo IP da utilizzare per la subnet e fai clic su Aggiungi.
  8. In Preferenza di connessione, seleziona Accetta automaticamente tutte le connessioni.
  9. Fai clic su Aggiungi servizio.
  10. Fai clic sul servizio pubblicato. Utilizza il nome del collegamento al servizio nel campo Collegamento al servizio per creare l'URL:
    https://www.googleapis.com/compute/v1/SERVICE_ATTACHMENT_NAME

Quando aggiungi l'app web privata in Google Workspace, utilizza questo URL. Vedi Aggiungere l'app web al tuo account Workspace.

Impostazioni per le app web ospitate su altri provider cloud o data center on-premise

Per connettere in modo sicuro la rete cloud o on-premise a Google Cloud, aggiungi un connettore di app.

I connettori di app ti consentono di connettere in modo sicuro la tua applicazione da altri cloud a Google senza una rete privata virtuale (VPN) da sito a sito.

Creare una VM sulla rete non Google

Devi installare ogni agente remoto del connettore di app su una macchina virtuale (VM) dedicata o su qualsiasi server bare metal nell'ambiente non Google.

  • Per creare la VM, chiedi assistenza all'amministratore di rete o segui le istruzioni fornite dal tuo provider cloud.
  • Per eseguire l'agente remoto, utilizza Docker su ogni VM o server.
  • Assicurati che il firewall di rete per la VM dell'agente remoto consenta tutto il traffico in uscita avviato sulla porta 443 per l'intervallo IP IAP-TCP 35.235.240.0/20. Vedi Verificare la configurazione del firewall per gli altri domini a cui il firewall della VM dell'agente remoto deve consentire il traffico in uscita.

Aggiungere un connettore di app e installare l'agente remoto

  1. Aggiungi un connettore di app:

    1. Nella Console di amministrazione Google, vai a Menu e poi  App e poi App web e mobile.

      È necessario disporre del privilegio di amministratore Gestione dei dispositivi mobili.

    2. Fai clic sulla scheda Connettori BeyondCorp Enterprise (BCE).
    3. Fai clic su Aggiungi connettore.
    4. Inserisci un nome per il connettore, ad esempio: connect-myapp.
    5. Seleziona una regione vicina all'ambiente non Google.
    6. Fai clic su Aggiungi connettore.
    7. Per visualizzare lo stato, fai clic su Clessidra e poi Le tue attività in alto a destra.
  2. Crea un'istanza VM per ospitare l'agente remoto.
    Segui le istruzioni fornite dall'amministratore di rete o dal provider cloud. Vedi Creare una VM sulla rete non Google.
  3. Installa un agente remoto.
    1. Fai clic sul nome del connettore di app.
    2. Fai clic su Installa agente remoto.
    3. Nell'ambiente non Google, installa l'agente remoto:
      • Crea un'istanza di macchina virtuale (VM) per ospitare l'agente remoto. Segui le istruzioni fornite dall'amministratore di rete o dal provider cloud.
      • Installa Docker, necessario per eseguire l'agente remoto. Per istruzioni, consulta la documentazione online per installare Docker Engine.
      • Installa e registra l'agente remoto utilizzando i comandi dell'interfaccia a riga di comando (CLI) visualizzati nella pagina del connettore di app di Google Workspace.
      • Copia e incolla la chiave pubblica visualizzata dopo la registrazione dell'agente remoto.
    4. Fai clic su Salva.

La pagina del connettore di app mostra che hai aggiunto correttamente una chiave pubblica.

Limitare l'accesso e l'autenticazione

L'amministratore che ha creato l'app web può decidere in quali condizioni un utente deve essere in grado di accedere all'app. Ad esempio, puoi limitare l'accesso agli utenti di un dominio specifico o consentire l'accesso solo in determinati orari o giorni. Se l'accesso viene negato, l'utente viene reindirizzato a una pagina specifica.

  1. Nella Console di amministrazione Google, vai a Menu e poi  App e poi App web e mobile.

    È necessario disporre del privilegio di amministratore Gestione dei dispositivi mobili.

  2. Fai clic sulla scheda App e poi fai clic su un'app per aprire la pagina dei dettagli.
  3. Fai clic su Impostazioni avanzate.
  • Pagina di destinazione 403: inserisci l'indirizzo web a cui gli utenti verranno reindirizzati se viene negato l'accesso all'app. Utilizza il formato https://<url>.
  • Dominio di autenticazione: inserisci l'URL Single Sign-On (SSO) per la tua organizzazione per consentire agli utenti di accedere utilizzando le credenziali della loro organizzazione. In questo modo viene negato l'accesso anche agli utenti che non dispongono di credenziali valide per il tuo dominio Google Workspace. Utilizza il formato sso.your.org.com.
  • Domini consentiti: per limitare l'accesso degli utenti solo ai domini specificati, seleziona la casella Attiva domini consentiti. Separa le voci con una virgola, ad esempio: test.your.org.com, prod.your.org.com.
  • Ri autenticazione: utilizza queste opzioni per richiedere agli utenti di eseguire di nuovo l'autenticazione dopo un periodo di tempo. Ad esempio, gli utenti possono toccare un token di sicurezza o utilizzare l'autenticazione a due fattori (2FA).
    • Accesso: richiedi agli utenti di eseguire di nuovo l'autenticazione con un nome utente e una password dopo aver eseguito l'accesso per il periodo di tempo specificato.
    • Chiave di sicurezza: richiedi agli utenti di eseguire di nuovo l'autenticazione utilizzando il token di sicurezza.
    • A due fattori registrato: richiedi agli utenti di eseguire di nuovo l'autenticazione utilizzando la 2FA.

Per maggiori informazioni, vedi Ri autenticazione IAP.

Assegnare il controllo dell'accesso sensibile al contesto

Con l'accesso sensibile al contesto, puoi controllare le app web private a cui un utente può accedere in base a determinate condizioni, ad esempio se il dispositivo è conforme o meno ai criteri IT.

Ad esempio, puoi creare criteri di controllo dell'accesso granulare alle app che accedono ai dati di Google Workspace in base ad attributi come l'identità dell'utente, la località, lo stato della sicurezza del dispositivo e l'indirizzo IP.

Per maggiori dettagli, vedi Assegnare livelli di accesso alle app web private.