Implantar apps da Web particulares

Os usuários internos da sua organização, como funcionários e prestadores de serviços, usam apps da Web particulares hospedados na nuvem. Você pode implantar esses apps usando o Chrome Enterprise Premium no Google Admin Console.

Adicionar o web app à sua conta do Google Workspace

Os apps privados da Web são hospedados no Google Cloud, em outro provedor de nuvem ou em um data center no local.

No Google Admin Console, acesse Menu AppsApps da Web e para dispositivos móveis.

Acessar apps da Web e para dispositivos móveis

É preciso ter o privilégio de administrador Gerenciamento de dispositivos móveis.
Clique em Adicionar appAdicionar app da Web particular.
Na seção Detalhes do aplicativo, insira o nome e o URL de um app que os usuários acessam.
Especifique onde seu aplicativo está hospedado:
- Apps hospedados no Google Cloud: digite o URL do Private Service Connect (PSC) em "Detalhes do host do aplicativo". Para mais detalhes, consulte Configurações para apps hospedados no Google Cloud.
- Apps HTTPS hospedados em outro provedor de nuvem: digite o URL interno e o número da porta. Os apps HTTP não são compatíveis. Para mais detalhes, consulte Configurações para apps hospedados em outros provedores de nuvem ou data centers no local.
  
  Para ter o melhor desempenho, selecione a região mais próxima de onde o aplicativo está hospedado e escolha os conectores necessários para conectá-lo.
Clique em Adicionar aplicativo.

Configurações para apps hospedados no Google Cloud

Crie um URL do Private Service Connect (PSC) para conectar os apps particulares no seu ambiente.

Para configurar o URL do PSC, crie um balanceador de carga interno e um anexo de serviço que use um endereço IP interno.

Criar um balanceador de carga interno

Os apps particulares no Google Workspace precisam ser publicados usando um balanceador de carga interno com acesso global ativado. Para mais detalhes, consulte Publicar um serviço com aprovação automática.

Criar um balanceador de carga de rede de passagem interna para o recurso do GKE ou do Compute

Antes de começar:para permitir a comunicação HTTPS segura, configure um grupo de instâncias configurado para atender a solicitações na porta 443. Selecione o grupo de instâncias na guia "Configuração de back-end".

No Console do Google Cloud, acesse a página Balanceamento de carga.
Selecione Criar balanceador de carga.
Clique em Iniciar configuração do balanceador de carga de rede (TCP/SSL) e selecione o seguinte:
1. Em Tipo de balanceador de carga, selecione Balanceador de carga de rede (TCP/UDP/SSL).
2. Em Proxy ou passagem, selecione Passagem.
3. Em Voltado para a Internet ou somente interno, selecione Interno.
4. Clique em Próxima.
5. Clique em Continuar.
Informe o nome do balanceador de carga e selecione a região e a rede em que ele será implantado.
Importante:a rede escolhida para o balanceador de carga precisa ser a mesma usada pelo grupo de instâncias.
Clique na guia Configuração de back-end.
1. Em Protocolo, selecione TCP.
2. Em Tipo de pilha de IP, selecione IPv4.
3. Selecione um grupo de instâncias.
  Para criar um, acesse Grupos de instâncias.
4. Selecione uma verificação de integridade na lista. Para criar uma verificação de integridade:
  1. Selecione Criar verificação de integridade.
  2. Insira um nome para sua verificação de integridade (por exemplo: ping-port).
  3. Selecione escopo regional.
  4. Para o protocolo, selecione HTTPS.
  5. Mantenha a porta como 443.
  6. Em Protocolo de proxy, selecione NENHUM.
  7. Em Caminho da solicitação, deixe "/".
  8. Ative os registros.
  9. Mantenha os valores padrão para os critérios de integridade.
Clique na guia Configuração de front-end.
1. (Opcional) Insira um nome para o front-end.
2. Em Versão IP, selecione IPv4.
3. Selecione uma sub-rede.
4. Em Finalidade do IP interno, selecione Não compartilhado.
5. Em Portas, selecione Única.
6. Insira o número da porta 443.
7. Em Acesso global, selecione Ativar.
Clique na guia Analisar e finalizar para revisar as configurações do balanceador de carga.
Clique em Criar.

Criar um balanceador de carga interno para um recurso do Cloud Run

No Console do Google Cloud, acesse a página Balanceamento de carga.
Selecione Criar balanceador de carga.
Clique em Iniciar configuração do balanceador de carga de aplicativo (HTTP/S) e selecione o seguinte:
1. Em Tipo de balanceador de carga, selecione Balanceador de carga de aplicativo (HTTP/HTTPS).
2. Em Para a Internet ou somente interno, selecione interno.
3. Em Implantação entre regiões ou região única, selecione região única.
4. Clique em Próxima.
5. Clique em Configurar.
Informe o nome do balanceador de carga e selecione a região e a rede em que ele será implantado.
Clique na guia Configuração de back-end.
1. Crie ou selecione o serviço de back-end.
2. Se você estiver criando um serviço, em Tipo de back-end, selecione Grupo de endpoints de rede sem servidor e um grupo de endpoints de rede.
3. Se você não tiver um endpoint de rede sem servidor, selecione a opção para criar um novo.
  Antes de criar o grupo de endpoints de rede sem servidor, crie um serviço do Cloud Run para onde o grupo de endpoints vai apontar.
Clique na guia Configuração de front-end.
1. Em Protocolo, selecione HTTPS.
2. Selecione a sub-rede.
3. Se você ainda não reservou uma sub-rede, conclua as etapas na tela.
4. Ative o acesso global.
5. Para o certificado, selecione criar um novo ou escolher um certificado existente.
Clique em Criar.

Criar o URL do anexo de serviço

Para configurar o URL do PSC, crie um anexo de serviço que use um endereço IP interno.

No Console do Google Cloud, acesse a página do Private Service Connect.
Clique na guia Publicar serviço.
Clique em Publicar serviço.
Selecione o Tipo de balanceador de carga para o serviço que você quer publicar:
- Balanceador de carga de rede de passagem interna
- Balanceador de carga de rede de proxy interno regional
- Balanceador de carga de aplicativo interno regional
Selecione o Balanceador de carga interno que hospeda o serviço que você quer publicar.
Os campos de rede e região são preenchidos com os detalhes do balanceador de carga interno selecionado.
Em Nome do serviço, insira um nome para o anexo de serviço.
Selecione uma ou mais sub-redes para o serviço. Se quiser adicionar uma nova sub-rede, crie uma:
1. Clique em Reservar nova sub-rede.
2. Insira um Nome e uma Descrição opcional para a sub-rede.
3. Selecione uma Região para a sub-rede.
4. Digite o Intervalo de IP a ser usado para a sub-rede e clique em Adicionar.
Em Preferência de conexão, selecione Aceitar automaticamente todas as conexões.
Clique em Adicionar serviço.
Clique no serviço publicado. Use o nome do anexo de serviço no campo Anexo de serviço para criar o URL:
https://www.googleapis.com/compute/v1/SERVICE_ATTACHMENT_NAME

Ao adicionar seu app da Web particular no Google Workspace, use este URL. Consulte Adicionar o web app à sua conta do Workspace.

Configurações para apps da Web hospedados em outros provedores de nuvem ou data centers locais

Para conectar sua rede no local ou na nuvem com segurança ao Google Cloud, adicione um conector de app.

Com os conectores de apps, você conecta seu aplicativo ao Google de outras nuvens com segurança sem uma rede privada virtual (VPN) site a site.

Criar uma VM na rede que não é do Google

É necessário instalar cada agente remoto do conector de app em uma máquina virtual (VM) dedicada ou em qualquer servidor Bare Metal no ambiente que não seja do Google.

Para criar a VM, peça ajuda ao administrador da rede ou siga as instruções do provedor de nuvem.
Para executar o agente remoto, use o Docker em cada VM ou servidor.
Verifique se o firewall de rede da VM do agente remoto permite todo o tráfego de saída iniciado na porta 443 para o intervalo de IP do IAP-TCP 35.235.240.0/20. Consulte Verificar a configuração do firewall para outros domínios que devem receber o tráfego de saída permitido pelo firewall da VM do agente remoto.

Adicionar um conector de app e instalar o agente remoto

Adicione um conector de app:
1. No Google Admin Console, acesse Menu AppsApps da Web e para dispositivos móveis.
  
  Acessar apps da Web e para dispositivos móveis
  
  É preciso ter o privilégio de administrador Gerenciamento de dispositivos móveis.
2. Clique na guia Conectores do BeyondCorp Enterprise (BCE).
3. Clique em Adicionar conector.
4. Digite um nome para o conector, por exemplo: connect-myapp.
5. Selecione uma região próxima ao ambiente que não é do Google.
6. Clique em Adicionar conector.
7. Para ver o status, no canto superior direito, clique na ampulheta Suas tarefas.
Crie uma instância de VM para hospedar o agente remoto.
Siga as instruções fornecidas pelo administrador da rede ou provedor de nuvem. Consulte Criar uma VM na rede que não é do Google.
Instale um agente remoto.
1. Clique no nome do conector de app.
2. Clique em Instalar agente remoto.
3. No ambiente que não é do Google, instale o agente remoto:
  - Crie uma instância de máquina virtual (VM) para hospedar o agente remoto. Siga as instruções fornecidas pelo administrador da rede ou provedor de nuvem.
  - Instale o Docker, que é necessário para executar o agente remoto. Para instruções, consulte a documentação on-line para instalar o Docker Engine.
  - Instale e registre o agente remoto usando os comandos da interface de linha de comando (CLI) exibidos na página do conector de app do Google Workspace.
  - Copie e cole a chave pública exibida após o registro do agente remoto.
4. Clique em Salvar.

A página do conector de app mostra que você adicionou uma chave pública.

Restringir o acesso e a autenticação

O administrador que criou o web app pode decidir em quais condições o usuário terá acesso a ele. Por exemplo, é possível limitar o acesso aos usuários de um domínio específico ou permitir o acesso apenas durante determinados horários ou dias. Se o acesso for negado, o usuário será redirecionado para uma página específica.

No Google Admin Console, acesse Menu AppsApps da Web e para dispositivos móveis.

Acessar apps da Web e para dispositivos móveis

É preciso ter o privilégio de administrador Gerenciamento de dispositivos móveis.
Clique na guia Apps clique em um app para abrir a página de detalhes.
Clique em Configurações avançadas.

Página de destino 403: digite o endereço da Web para onde os usuários serão redirecionados se o acesso ao app for negado. Use o formato https://<url>.
Domínio de autenticação: digite o URL de Logon único (SSO) da sua organização para permitir que os usuários façam login com as credenciais. Isso também impede o acesso de usuários que não têm credenciais válidas para o domínio do Google Workspace. Use o formato sso.your.org.com.
Domínios permitidos: para restringir o acesso dos usuários apenas aos domínios especificados, marque a caixa Ativar domínios permitidos. Separe as entradas com uma vírgula, por exemplo: teste.sua.org.com, prod.sua.org.com.
Reautenticação: use essas opções para exigir que os usuários façam uma nova autenticação após um período. Por exemplo, os usuários podem tocar em uma chave de segurança ou usar a autenticação de dois fatores (2FA).
- Login: exija que os usuários se autentiquem novamente com um nome de usuário e uma senha após o período de login especificado.
- Chave segura: exija que os usuários se autentiquem novamente com a chave de segurança.
- Segundos fatores registrados: exija que os usuários se autentiquem novamente usando a 2FA.

Para mais informações, consulte Reautenticação do IAP.

Atribuir controle de acesso baseado no contexto

Com o acesso baseado no contexto, você controla quais apps da Web particulares um usuário pode acessar com base em determinadas condições, por exemplo, se o dispositivo obedece à sua política de TI.

Por exemplo, é possível criar políticas detalhadas de controle de acesso para apps que acessam dados do Google Workspace com base em atributos como identidade do usuário, local, status de segurança do dispositivo e endereço IP.

Para detalhes, consulte Atribuir níveis de acesso para apps da Web particulares.

Implantar apps da Web particulares Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.