限定公開のウェブアプリをデプロイする

組織の内部ユーザー(従業員や請負業者など)は、クラウドでホストされている限定公開のウェブアプリを使用します。これらのアプリは、Google 管理コンソールで Chrome Enterprise Premium を使用してデプロイできます。

Google Workspace アカウントにウェブアプリを追加する

限定公開のウェブアプリは、Google Cloud、別のクラウド プロバイダ、またはオンプレミスのデータセンターでホストされます。

  1. Google 管理コンソールで、メニュー アイコン  次に  [**アプリ**]次に[**ウェブアプリとモバイルアプリ**] にアクセスします。

    アクセスするには、モバイル デバイス管理の管理者権限が必要です。

  2. [アプリを追加次に限定公開のウェブアプリを追加] をクリックします。
  3. [アプリケーションの詳細] セクションに、ユーザーがアプリにアクセスするアプリ名と URL を入力します。

  4. アプリケーションがホストされている場所を指定します。

  5. [アプリケーションを追加] をクリックします。

Google Cloud でホストされているアプリ向けの設定

Private Service Connect(PSC) URL を作成して、環境内の限定公開アプリを接続します。

PSC URL を設定するには、内部ロードバランサを作成し、内部 IP アドレスを使用するサービス アタッチメントを作成します。

内部ロードバランサを作成する

Google Workspace の限定公開アプリは、グローバル アクセスが有効になっている内部ロードバランサの背後に公開する必要があります。詳細については、自動承認でサービスを公開するをご覧ください。

Compute または GKE リソースの内部パススルー ネットワーク ロードバランサを作成する

始める前に: 安全な HTTPS 通信を許可するには、ポート 443 でリクエストを処理するように構成されたインスタンス グループを設定します。[バックエンドの構成] タブでインスタンス グループを選択します。

  1. Google Cloud コンソールで、[ロード バランシング] ページに移動します。
  2. [**ロードバランサを作成**] をクリックします。
  3. [ネットワーク ロードバランサ(TCP/SSL)の構成を開始] をクリックし、以下を選択します。
    1. [ロードバランサの種類] - [ネットワーク ロードバランサ(TCP/UDP/SSL)] を選択します。
    2. [**プロキシまたはパススルー**] - [**パススルー**] を選択します。
    3. [インターネット接続可能または内部専用] - [内部] を選択します。
    4. [**次へ**] をクリックします。
    5. [**続行**] をクリックします。
  4. ロードバランサの名前を入力し、ロードバランサをデプロイするリージョンとネットワークを選択します。
    重要: ロードバランサに選択するネットワークは、インスタンス グループで使用するネットワークと同じである必要があります。
  5. [**バックエンドの構成**] タブをクリックします。
    1. [プロトコル] - [TCP] を選択します。
    2. [IP スタックタイプ] - [IPv4] を選択します。
    3. インスタンス グループを選択します。
      作成するには、[インスタンス グループ] に移動します。
    4. リストからヘルスチェックを選択します。新しいヘルスチェックを作成するには:
      1. [**ヘルスチェックを作成**] を選択します。
      2. ヘルスチェックの名前を入力します(例: ping-port)。
      3. [**リージョン スコープ**] を選択します。
      4. [プロトコル] で [HTTPS] を選択します。
      5. ポートは 443 のままにします。
      6. [プロキシのプロトコル] で [なし] を選択します。
      7. [**リクエストパス**] は「/」のままにします。
      8. ログを有効にします。
      9. ヘルスチェックの条件はデフォルト値のままにします。
  6. [**フロントエンドの構成**] タブをクリックします。
    1. (省略可)フロントエンドの名前を入力します。
    2. [IP バージョン] で [IPv4] を選択します。
    3. サブネットワークを選択します。
    4. [**内部 IP の目的**] で [**共有しない**] を選択します。
    5. [**ポート**] で [**単一**] を選択します。
    6. ポート番号 443 を入力します。
    7. [**グローバル アクセス**] で [**有効**] を選択します。
  7. [確認と完了] タブをクリックして、ロードバランサの構成設定を確認します。
  8. [Create] をクリックします。

Cloud Run リソースの内部ロードバランサを作成する

  1. Google Cloud コンソールで、[ロード バランシング] ページに移動します。
  2. [**ロードバランサを作成**] をクリックします。
  3. [アプリケーション ロードバランサ(HTTP/S)の構成を開始] をクリックし、以下を選択します。
    1. [**ロードバランサの種類**] - [**アプリケーション ロードバランサ(HTTP/HTTPS)**] を選択します。
    2. [**インターネット接続可能または内部専用**] - [**内部**] を選択します。
    3. [クロスリージョンまたはシングル リージョン デプロイ] - [シングル リージョン] を選択します。
    4. [**次へ**] をクリックします。
    5. [構成] をクリックします。
  4. ロードバランサの名前を入力し、ロードバランサをデプロイするリージョンとネットワークを選択します。
  5. [**バックエンドの構成**] タブをクリックします。
    1. バックエンド サービスを作成または選択します。
    2. サービスを作成する場合は、[**バックエンド タイプ**] で [**サーバーレス ネットワーク エンドポイント グループ**] を選択し、ネットワーク エンドポイント グループを選択します。
    3. サーバーレス ネットワーク エンドポイントがない場合は、新しいエンドポイントを作成するオプションを選択します。
      サーバーレス ネットワーク エンドポイント グループを作成する前に、エンドポイント グループが参照する Cloud Run サービスを作成します。
  6. [**フロントエンドの構成**] タブをクリックします。
    1. [プロトコル] - [HTTPS] を選択します。
    2. サブネットワークを選択します。
    3. サブネットをまだ予約していない場合は、画面の手順に沿って操作します。
    4. グローバル アクセスを有効にします。
    5. 証明書の場合は、新しい証明書を作成するか、既存の証明書を選択します。
  7. [Create] をクリックします。

サービス アタッチメント URL を作成する

PSC URL を設定するには、内部 IP アドレスを使用するサービス アタッチメントを作成します。

  1. Google Cloud コンソールで [Private Service Connect] ページに移動します。
  2. [サービスを公開] タブをクリックします。
  3. [**サービスを公開**] をクリックします。
  4. 公開するサービスのロードバランサの種類 を選択します:
    • 内部パススルー ネットワーク ロードバランサ
    • リージョン内部プロキシ ネットワーク ロードバランサ
    • リージョン内部アプリケーション ロードバランサ
  5. 公開するサービスをホストする内部ロードバランサ を選択します。
    [ネットワーク] フィールドと [リージョン] フィールドに、選択した内部ロードバランサの詳細情報が挿入されます。
  6. [**サービス名**] に、サービス アタッチメントの名前を入力します。
  7. サービスに 1 つ以上のサブネット を選択します。新しいサブネットを追加する場合は、次の方法で作成します。
    1. [**新しいサブネットの予約**] をクリックします。
    2. サブネットの名前説明(省略可)を入力します。
    3. サブネットのリージョンを選択します。
    4. サブネットに使用する [IP 範囲] を入力し、[追加] をクリックします。
  8. [**接続の設定**] で、[**すべての接続を自動的に受け入れる**] を選択します。
  9. [サービスを追加] をクリックします。
  10. 公開されたサービスをクリックします。[サービス アタッチメント] フィールドのサービス アタッチメント名を使用して、URL を作成します:
    https://www.googleapis.com/compute/v1/SERVICE_ATTACHMENT_NAME

Google Workspace に限定公開のウェブアプリを追加する場合は、この URL を使用します。Workspace アカウントにウェブアプリを追加するをご覧ください。

他のクラウド プロバイダまたはオンプレミスのデータセンターでホストされているウェブアプリ向けの設定

クラウドまたはオンプレミス ネットワークを Google Cloud に安全に接続するには、アプリコネクタを追加します。

アプリコネクタを使用すると、サイト間 Virtual Private Network(VPN)を使用せずに、他のクラウドから Google にアプリケーションを安全に接続できます。

Google 以外のネットワークに VM を作成する

各アプリコネクタのリモート エージェントは、専用の仮想マシン(VM)または Google 以外の環境のベアメタル サーバーにインストールする必要があります。

  • VM を作成するには、ネットワーク管理者にサポートを依頼するか、クラウド プロバイダの手順に沿って操作します。
  • リモート エージェントを実行するには、各 VM またはサーバーで Docker を使用します。
  • リモート エージェント VM のネットワーク ファイアウォールで、ポート 443 で開始し、IAP-TCP IP 範囲 35.235.240.0/20 に向かうすべての送信トラフィックが許可されていることを確認します。リモート エージェント VM のファイアウォールで送信トラフィックの宛先として許可している他のドメインについては、ファイアウォールの構成を確認するをご覧ください。

アプリコネクタを追加してリモート エージェントをインストールする

  1. アプリコネクタを追加します。

    1. Google 管理コンソールで、メニュー アイコン  次に  [**アプリ**]次に[**ウェブアプリとモバイルアプリ**] にアクセスします。

      アクセスするには、モバイル デバイス管理の管理者権限が必要です。

    2. [BeyondCorp Enterprise(BCE)コネクタ] タブをクリックします。
    3. [**コネクタを追加**] をクリックします。
    4. コネクタの名前を入力します(例: connect-myapp)。
    5. Google 以外の環境に近いリージョンを選択します。
    6. [**コネクタを追加**] をクリックします。
    7. ステータスを表示するには、右上の砂時計アイコン 次に[**タスク**] をクリックします。
  2. リモート エージェントをホストする VM インスタンスを作成します。
    ネットワーク管理者またはクラウド プロバイダの手順に沿って操作します。Google 以外のネットワークに VM を作成するをご覧ください。
  3. リモート エージェントをインストールします。
    1. アプリコネクタ名をクリックします。
    2. [**リモート エージェントをインストールする**] をクリックします。
    3. Google 以外の環境にリモート エージェントをインストールします:
      • リモート エージェントをホストする仮想マシン(VM)インスタンスを作成します。ネットワーク管理者またはクラウド プロバイダの手順に沿って操作します。
      • リモート エージェントの実行に必要な Docker をインストールします。手順については、Docker Engine をインストールするためのオンライン ドキュメントをご覧ください。
      • Google Workspace アプリコネクタ ページに表示されるコマンドライン インターフェース(CLI)コマンドを使用して、リモート エージェントをインストールして登録します。
      • リモート エージェントが正常に登録された後に表示される公開鍵をコピーして貼り付けます。
    4. [**保存**] をクリックします。

アプリコネクタ ページに、公開鍵が正常に追加されたことが表示されます。

アクセスと認証を制限する

ウェブアプリを作成した管理者は、ユーザーがアプリにアクセスできる条件を決定できます。たとえば、特定のドメインのユーザーにアクセスを制限したり、特定の時間帯や曜日のみアクセスを許可したりできます。アクセスが拒否された場合、ユーザーは特定のページにリダイレクトされます。

  1. Google 管理コンソールで、メニュー アイコン  次に  [**アプリ**]次に[**ウェブアプリとモバイルアプリ**] にアクセスします。

    アクセスするには、モバイル デバイス管理の管理者権限が必要です。

  2. [**アプリ**] タブをクリック 次に アプリをクリックして詳細ページを開きます。
  3. [詳細設定] をクリックします。
  • 403 ランディング ページ - ユーザーがアプリへのアクセスを拒否された場合のリダイレクト先となるウェブアドレスを入力します。https://<url> の形式を使用します。
  • 認証ドメイン - 組織のシングル サインオン(SSO)URL を入力して、ユーザーが組織の認証情報を使用してログインできるようにします。これにより、Google Workspace ドメインの有効な認証情報を持っていないユーザーのアクセスも拒否されます。sso.your.org.com の形式を使用します。
  • 許可されたドメイン - ユーザーのアクセスを指定したドメインのみに制限するには、[許可されたドメインを有効にする] チェックボックスをオンにします。複数のエントリを指定する場合は、カンマで区切ります(例: test.your.org.com, prod.your.org.com)。
  • 再認証 - これらのオプションを使用して、一定期間後にユーザーに再認証を要求します。たとえば、ユーザーはセキュリティ キーにタッチしたり、2 段階認証プロセス(2FA)を使用したりできます。
    • ログイン: ログインしてから指定された時間が経過すると、ユーザーにユーザー名とパスワードによる再認証を要求します。
    • セキュリティ キー: セキュリティ キーを使用してユーザーに再認証を要求します。
    • 登録済みの 2 要素: 2FA を使用してユーザーに再認証を要求します。

詳細については、IAP の再認証をご覧ください。

コンテキストアウェア アクセス制御を割り当てる

コンテキストアウェア アクセスを使用すると、ユーザーのデバイスが組織の IT ポリシーを遵守しているかどうかなどの特定の条件に基づいて、ユーザーがアクセスできる限定公開のウェブアプリを制御できます。

たとえば、ユーザーの ID、場所、デバイスのセキュリティ状態、IP アドレスなどの属性に基づいて、Google Workspace データにアクセスするアプリに対する詳細なアクセス制御ポリシーを作成できます。

詳細については、限定公開のウェブアプリへのアクセスレベルの割り当てをご覧ください。