限定公開のウェブアプリをデプロイする

Private Service Connect（PSC）URL を作成して、環境内の限定公開アプリを接続します。

PSC URL を設定するには、内部ロードバランサを作成し、内部 IP アドレスを使用するサービス アタッチメントを作成します。

内部ロードバランサを作成する

限定公開アプリは、グローバル アクセスが有効になっている内部ロードバランサの背後にある Google Workspace で公開する必要があります。詳細については、自動承認でサービスを公開するをご覧ください。

Compute または GKE リソースの内部パススルー ネットワーク ロードバランサを作成する

始める前に: 安全な HTTPS 通信を許可するには、ポート 443 でリクエストを処理するように構成されたインスタンス グループを設定します。[バックエンドの構成] タブでインスタンス グループを選択します。

1. Google Cloud コンソールで、[ロード バランシング] ページに移動します。
2. [ロードバランサを作成] をクリックします。
3. [ネットワーク ロードバランサ（TCP/SSL）の構成を開始] をクリックし、以下を選択します。
   1. [ロードバランサのタイプ] - [ネットワーク ロードバランサ（TCP/UDP/SSL）] を選択します。
   2. [プロキシまたはパススルー] - [パススルー]。
   3. [インターネット接続可能または内部専用] - [内部] を選択します。
   4. [次へ] をクリックします。
   5. [続行] をクリックします。
4. ロードバランサの名前を入力し、ロードバランサをデプロイするリージョンとネットワークを選択します。
   重要: ロードバランサ用に選択するネットワークは、インスタンス グループで使用されるネットワークと同じである必要があります。
5. [バックエンドの構成] タブをクリックします。
   1. [プロトコル] - [TCP] を選択します。
   2. [IP スタックタイプ] - [IPv4] を選択します。
   3. インスタンス グループを選択します。
      作成するには、インスタンス グループに移動します。
   4. リストからヘルスチェックを選択します。新しいヘルスチェックを作成するには:
      1. [ヘルスチェックを作成] を選択します。
      2. ヘルスチェックの名前（ping-port など）を入力します。
      3. リージョン スコープを選択します。
      4. [プロトコル] で [HTTPS] を選択します。
      5. ポートは 443 のままにします。
      6. [プロキシのプロトコル] で [なし] を選択します。
      7. [リクエストパス] は「/」のままにします。
      8. ログを有効にします。
      9. ヘルス条件はデフォルト値のままにします。
6. [フロントエンドの構成] タブをクリックします。
   1. （省略可）フロントエンドの名前を入力します。
   2. [IP バージョン] で [IPv4] を選択します。
   3. サブネットワークを選択します。
   4. [内部 IP の目的] で [非共有] を選択します。
   5. [ポート] で [単一] を選択します。
   6. ポート番号 443 を入力します。
   7. [グローバル アクセス] で [有効] を選択します。
7. [確認と完了] タブをクリックして、ロードバランサの構成設定を確認します。
8. [作成] をクリックします。

Cloud Run リソースの内部ロードバランサを作成する

1. Google Cloud コンソールで、[ロード バランシング] ページに移動します。
2. [ロードバランサを作成] をクリックします。
3. [アプリケーション ロードバランサ（HTTP/S）の構成を開始] をクリックし、以下を選択します。
   1. [ロードバランサのタイプ] - [アプリケーション ロードバランサ（HTTP/HTTPS）] を選択します。
   2. [インターネット接続または内部専用] - [内部] を選択します。
   3. [クロスリージョンまたはシングル リージョンのデプロイ] - [シングル リージョン] を選択します。
   4. [次へ] をクリックします。
   5. [設定] をクリックします。
4. ロードバランサの名前を入力し、ロードバランサをデプロイするリージョンとネットワークを選択します。
5. [バックエンドの構成] タブをクリックします。
   1. バックエンド サービスを作成または選択します。
   2. サービスを作成する場合は、[バックエンド タイプ] で [サーバーレス ネットワーク エンドポイント グループ] を選択し、ネットワーク エンドポイント グループを選択します。
   3. サーバーレス ネットワーク エンドポイントがない場合は、新しいエンドポイントを作成するオプションを選択します。
      サーバーレス ネットワーク エンドポイント グループを作成する前に、エンドポイント グループが参照する Cloud Run サービスを作成します。
6. [フロントエンドの構成] タブをクリックします。
   1. [プロトコル] - [HTTPS] を選択します。
   2. サブネットワークを選択します。
   3. サブネットをまだ予約していない場合は、画面上の手順に沿って操作します。
   4. グローバル アクセスを有効にします。
   5. 証明書については、新しい証明書を作成するか、既存の証明書を選択します。
7. [作成] をクリックします。

サービス アタッチメント URL を作成する

PSC URL を設定するには、内部 IP アドレスを使用するサービス アタッチメントを作成します。

1. Google Cloud コンソールで、[Private Service Connect] ページに移動します。
2. [サービスを公開] タブをクリックします。
3. [サービスを公開] をクリックします。
4. 公開するサービスのロードバランサの種類を選択します。
   • 内部パススルー ネットワーク ロードバランサ
   • リージョン内部プロキシ ネットワーク ロードバランサ
   • リージョン内部アプリケーション ロードバランサ
5. 公開するサービスをホストする内部ロードバランサを選択します。
   選択した内部ロードバランサの詳細情報が [ネットワーク] フィールドと [リージョン] フィールドに挿入されます。
6. [サービス名] に、サービス アタッチメントの名前を入力します。
7. サービスに 1 つ以上のサブネットを選択します。新しいサブネットを追加する場合は、次の方法で作成します。
   1. [新しいサブネットの予約] をクリックします。
   2. サブネットの名前と説明（省略可）を入力します。
   3. サブネットのリージョンを選択します。
   4. サブネットに使用する IP 範囲を入力し、[追加] をクリックします。
8. [接続の設定] で、[すべての接続を自動的に受け入れる] を選択します。
9. [サービスを追加] をクリックします。
10. 公開されたサービスをクリックします。[サービス アタッチメント] フィールドのサービス アタッチメント名を使用して、URL を作成します。
    https://www.googleapis.com/compute/v1/SERVICE_ATTACHMENT_NAME

Google Workspace で非公開ウェブアプリを追加する際に、この URL を使用します。ウェブアプリを Workspace アカウントに追加するをご覧ください。

クラウド ネットワークまたはオンプレミス ネットワークを Google Cloud に安全に接続するには、アプリコネクタを追加します。

アプリコネクタを使用すると、サイト間の Virtual Private Network（VPN）を使用せずに、他のクラウドから Google にアプリケーションを安全に接続できます。

Google 以外のネットワークに VM を作成する

各アプリコネクタ リモート エージェントは、専用の仮想マシン（VM）または Google 以外の環境のベアメタル サーバーにインストールする必要があります。

• VM を作成するには、ネットワーク管理者にサポートを依頼するか、クラウド プロバイダの手順に沿って操作します。
• リモート エージェントを実行するには、各 VM またはサーバーで Docker を使用します。
• リモート エージェントの VM のネットワーク ファイアウォールで、ポート 443 で開始し、IAP-TCP IP 範囲 35.235.240.0/20 に向かうすべての送信トラフィックが許可されていることを確認します。リモート エージェント VM のファイアウォールで送信トラフィックの宛先として許可している他のドメインについては、ファイアウォールの構成を確認するをご覧ください。

アプリコネクタを追加してリモート エージェントをインストールする

1. アプリコネクタを追加します。

   1. Google 管理コンソールで、メニュー アイコン [アプリ] [ウェブアプリとモバイルアプリ] に移動します。

      ウェブアプリとモバイルアプリに移動

      アクセスするには、モバイル デバイス管理の管理者権限が必要です。

   2. [BeyondCorp Enterprise（BCE）コネクタ] タブをクリックします。
   3. [コネクタを追加] をクリックします。
   4. コネクタの名前（connect-myapp など）を入力します。
   5. Google 以外の環境に近いリージョンを選択します。
   6. [コネクタを追加] をクリックします。
   7. ステータスを表示するには、右上の砂時計アイコン [タスク] をクリックします。
2. リモート エージェントをホストする VM インスタンスを作成します。
   ネットワーク管理者またはクラウド プロバイダから提供された手順に沿って操作します。Google 以外のネットワークに VM を作成するをご覧ください。
3. リモート エージェントをインストールします。
   1. アプリコネクタの名前をクリックします。
   2. [リモート エージェントをインストール] をクリックします。
   3. Google 以外の環境にリモート エージェントをインストールします。
      • リモート エージェントをホストする仮想マシン（VM）インスタンスを作成します。ネットワーク管理者またはクラウド プロバイダから提供された手順に沿って操作します。
      • リモート エージェントの実行に必要な Docker をインストールします。手順については、オンライン ドキュメントで Docker Engine のインストールをご覧ください。
      • Google Workspace アプリコネクタ ページに表示されるコマンドライン インターフェース（CLI）コマンドを使用して、リモート エージェントをインストールして登録します。
      • リモート エージェントが正常に登録された後に表示される公開鍵をコピーして貼り付けます。
   4. [保存] をクリックします。

アプリコネクタのページに、公開鍵が正常に追加されたことが表示されます。

ウェブアプリを作成した管理者は、ユーザーがアプリにアクセスできる条件を決定できます。たとえば、特定のドメインのユーザーにアクセスを制限したり、特定の時間帯や曜日のみアクセスを許可したりできます。アクセスが拒否された場合、ユーザーは特定のページにリダイレクトされます。

1. Google 管理コンソールで、メニュー アイコン [アプリ] [ウェブアプリとモバイルアプリ] に移動します。

   ウェブアプリとモバイルアプリに移動

   アクセスするには、モバイル デバイス管理の管理者権限が必要です。

2. [アプリ] タブをクリック アプリをクリックして詳細ページを開きます。
3. [詳細設定] をクリックします。

• 403 ランディング ページ - ユーザーがアプリへのアクセスを拒否された場合のリダイレクト先となるウェブアドレスを入力します。https://<url> の形式を使用します。
• 認証ドメイン - 組織のシングル サインオン（SSO）URL を入力して、ユーザーが組織の認証情報を使用してログインできるようにします。また、Google Workspace ドメインの有効な認証情報を持っていないユーザーのアクセスも拒否されます。sso.your.org.com の形式を使用します。
• 許可されるドメイン - ユーザーのアクセスを特定のドメインのみに制限するには、[許可されるドメインを有効にする] チェックボックスをオンにします。複数のエントリを指定する場合は、カンマで区切ります（例: test.your.org.com, prod.your.org.com）。
• 再認証 - これらのオプションを使用して、一定期間後にユーザーに再認証を要求します。たとえば、ユーザーはセキュリティ キーを使用したり、2 要素認証（2FA）を使用したりできます。
  • ログイン: ログインしてから指定された時間が経過すると、ユーザーにユーザー名とパスワードによる再認証を要求します。
  • セキュリティ キー: ユーザーにセキュリティ キーを使用した再認証を要求します。
  • 登録済みの 2 要素: 2FA を使用してユーザーに再認証を要求します。

詳細については、IAP の再認証をご覧ください。