Triển khai ứng dụng web riêng tư

Người dùng nội bộ của tổ chức (chẳng hạn như nhân viên và nhân viên hợp đồng) sử dụng các ứng dụng web riêng tư được lưu trữ trên đám mây. Bạn có thể triển khai các ứng dụng này bằng Chrome Enterprise Premium trong Bảng điều khiển dành cho quản trị viên của Google.

Thêm ứng dụng web vào tài khoản Google Workspace

Các ứng dụng web riêng tư được lưu trữ trên Google Cloud, một nhà cung cấp dịch vụ đám mây khác hoặc một trung tâm dữ liệu tại chỗ.

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến biểu tượng Trình đơn  sau đó  Ứng dụngsau đóỨng dụng web và ứng dụng di động.

    Bạn phải có đặc quyền Quản lý thiết bị di động dành cho quản trị viên.

  2. Nhấp vào Thêm ứng dụngsau đóThêm ứng dụng web riêng tư.
  3. Trong phần Thông tin chi tiết về ứng dụng, hãy nhập tên và URL của ứng dụng mà người dùng truy cập.

  4. Chỉ định nơi lưu trữ ứng dụng của bạn:

  5. Nhấp vào Thêm ứng dụng.

Chế độ cài đặt cho các ứng dụng được lưu trữ trên Google Cloud

Tạo URL Kết nối dịch vụ riêng tư (PSC) để kết nối các ứng dụng riêng tư trong môi trường của bạn.

Để thiết lập URL PSC, hãy tạo một trình cân bằng tải nội bộ, rồi tạo một tệp đính kèm dịch vụ sử dụng địa chỉ IP nội bộ.

Tạo trình cân bằng tải nội bộ

Bạn nên xuất bản các ứng dụng riêng tư trong Google Workspace sau một bộ cân bằng tải nội bộ có bật quyền truy cập toàn cầu. Để biết thông tin chi tiết, hãy xem bài viết Phát hành dịch vụ có tính năng phê duyệt tự động.

Tạo một Network Load Balancer truyền tải nội bộ cho tài nguyên Compute hoặc GKE

Trước khi bắt đầu: Để cho phép giao tiếp HTTPS an toàn, hãy thiết lập một nhóm phiên bản được định cấu hình để phân phát các yêu cầu trên cổng 443. Chọn nhóm phiên bản trong thẻ Cấu hình phụ trợ.

  1. Trong bảng điều khiển Google Cloud, hãy chuyển đến trang Cân bằng tải.
  2. Nhấp vào Tạo bộ cân bằng tải.
  3. Nhấp vào Bắt đầu định cấu hình cho trình cân bằng tải mạng (TCP/SSL) rồi chọn những mục sau:
    1. Đối với Loại trình cân bằng tảiTrình cân bằng tải mạng (TCP/UDP/SSL).
    2. Đối với Proxy hoặc passthroughPassthrough.
    3. Đối với Chỉ dành cho nội bộ hoặc hướng đến InternetNội bộ.
    4. Nhấp vào Tiếp theo.
    5. Nhấp vào Tiếp tục.
  4. Nhập tên trình cân bằng tải, rồi chọn khu vực và mạng nơi bạn sẽ triển khai trình cân bằng tải.
    Lưu ý quan trọng: Mạng mà bạn chọn cho bộ cân bằng tải phải là mạng mà nhóm phiên bản của bạn sử dụng.
  5. Nhấp vào thẻ Cấu hình phụ trợ.
    1. Đối với Giao thức – Chọn TCP.
    2. Đối với Loại ngăn xếp IP – Chọn IPv4.
    3. Chọn một nhóm phiên bản.
      Để tạo một nhóm, hãy chuyển đến Nhóm phiên bản.
    4. Chọn một quy trình kiểm tra sức khoẻ trong danh sách. Cách tạo một quy trình kiểm tra sức khoẻ mới:
      1. Chọn Tạo quy trình kiểm tra tình trạng.
      2. Nhập tên cho quy trình kiểm tra tình trạng (ví dụ: ping-port).
      3. Chọn phạm vi theo khu vực.
      4. Đối với giao thức, hãy chọn HTTPS.
      5. Giữ cổng là 443.
      6. Đối với Giao thức proxy, hãy chọn NONE.
      7. Đối với Đường dẫn yêu cầu, hãy để "/".
      8. Bật nhật ký.
      9. Giữ nguyên giá trị mặc định cho tiêu chí về tình trạng.
  6. Nhấp vào thẻ Cấu hình giao diện người dùng.
    1. (Không bắt buộc) Nhập tên cho giao diện người dùng.
    2. Đối với phiên bản IP, hãy chọn IPv4.
    3. Chọn một mạng con.
    4. Đối với mục đích của IP nội bộ, hãy chọn Không dùng chung.
    5. Đối với cổng, hãy chọn Đơn.
    6. Nhập số cổng 443.
    7. Đối với Quyền truy cập toàn cầu, hãy chọn Bật.
  7. Nhấp vào thẻ Xem xét và hoàn tất để xem xét các chế độ cài đặt cấu hình của bộ cân bằng tải.
  8. Nhấp vào Tạo.

Tạo một Trình cân bằng tải nội bộ cho tài nguyên Cloud Run

  1. Trong bảng điều khiển Google Cloud, hãy chuyển đến trang Cân bằng tải.
  2. Nhấp vào Tạo bộ cân bằng tải.
  3. Nhấp vào Start Configuration for application load balancer (HTTP/S) (Bắt đầu cấu hình cho trình cân bằng tải ứng dụng (HTTP/S)) rồi chọn những mục sau.
    1. Đối với Loại trình cân bằng tải, hãy chọn Trình cân bằng tải ứng dụng (HTTP/HTTPS).
    2. Đối với Chỉ dành cho nội bộ hoặc hướng đến Internet – Chọn nội bộ.
    3. Đối với Triển khai trên nhiều khu vực hoặc một khu vực – Chọn một khu vực.
    4. Nhấp vào Tiếp theo.
    5. Nhấp vào Định cấu hình.
  4. Nhập tên trình cân bằng tải, rồi chọn khu vực và mạng nơi trình cân bằng tải sẽ được triển khai.
  5. Nhấp vào thẻ Cấu hình phụ trợ.
    1. Tạo hoặc chọn dịch vụ phụ trợ.
    2. Nếu tạo một dịch vụ, đối với Loại phụ trợ, hãy chọn Nhóm điểm cuối mạng không máy chủ rồi chọn một nhóm điểm cuối mạng.
    3. Nếu bạn chưa có điểm cuối mạng không máy chủ, hãy chọn lựa chọn tạo một điểm cuối mới.
      Trước khi tạo nhóm điểm cuối mạng không máy chủ, hãy tạo một dịch vụ Cloud Run mà nhóm điểm cuối sẽ trỏ đến.
  6. Nhấp vào thẻ Cấu hình giao diện người dùng
    1. Đối với Giao thức – Chọn HTTPS.
    2. Chọn mạng con.
    3. Nếu bạn chưa đặt trước một mạng con, hãy hoàn tất các bước trên màn hình.
    4. Cho phép truy cập trên toàn cầu.
    5. Đối với chứng chỉ, hãy chọn tạo chứng chỉ mới hoặc chọn chứng chỉ hiện có.
  7. Nhấp vào Tạo.

Tạo URL đính kèm dịch vụ

Để thiết lập URL PSC, hãy tạo một tệp đính kèm dịch vụ sử dụng địa chỉ IP nội bộ.

  1. Trong Google Cloud Console, hãy chuyển đến trang Private Service Connect.
  2. Nhấp vào thẻ Xuất bản dịch vụ.
  3. Nhấp vào Xuất bản dịch vụ.
  4. Chọn Loại trình cân bằng tải cho dịch vụ mà bạn muốn xuất bản:
    • Trình cân bằng tải mạng chuyển tiếp nội bộ
    • Trình cân bằng tải mạng proxy nội bộ theo khu vực
    • Regional internal Application Load Balancer (Trình cân bằng tải ứng dụng nội bộ theo khu vực)
  5. Chọn Bộ cân bằng tải nội bộ lưu trữ dịch vụ mà bạn muốn xuất bản.
    Các trường mạng và khu vực được điền sẵn thông tin chi tiết về bộ cân bằng tải nội bộ đã chọn.
  6. Đối với Tên dịch vụ, hãy nhập tên cho tệp đính kèm dịch vụ.
  7. Chọn một hoặc nhiều Mạng con cho dịch vụ. Nếu muốn thêm một mạng con mới, bạn có thể tạo một mạng con:
    1. Nhấp vào Reserve new subnet (Đặt trước mạng con mới).
    2. Nhập TênNội dung mô tả (không bắt buộc) cho mạng con.
    3. Chọn một Khu vực cho mạng con.
    4. Nhập dải IP để sử dụng cho mạng con rồi nhấp vào Thêm.
  8. Đối với Lựa chọn ưu tiên về kết nối, hãy chọn Tự động chấp nhận tất cả các kết nối.
  9. Nhấp vào Thêm dịch vụ.
  10. Nhấp vào dịch vụ đã xuất bản. Sử dụng tên tệp đính kèm dịch vụ trong trường Tệp đính kèm dịch vụ để tạo URL:
    https://www.googleapis.com/compute/v1/SERVICE_ATTACHMENT_NAME

Khi bạn thêm ứng dụng web riêng tư vào Google Workspace, hãy sử dụng URL này. Xem phần Thêm ứng dụng web vào tài khoản Workspace.

Chế độ cài đặt cho các ứng dụng web được lưu trữ trên các nhà cung cấp dịch vụ đám mây khác hoặc trung tâm dữ liệu tại chỗ

Để kết nối an toàn mạng đám mây hoặc mạng tại cơ sở của bạn với Google Cloud, hãy thêm một trình kết nối ứng dụng.

Trình kết nối ứng dụng cho phép bạn kết nối ứng dụng của mình từ các đám mây khác với Google một cách an toàn mà không cần Mạng riêng ảo (VPN) giữa các trang web.

Tạo một VM trên mạng không phải của Google

Bạn phải cài đặt từng tác nhân từ xa của trình kết nối ứng dụng trên một máy ảo (VM) chuyên dụng hoặc trên bất kỳ máy chủ nào không có hệ điều hành trong môi trường không phải của Google.

  • Để tạo máy ảo, hãy yêu cầu quản trị viên mạng trợ giúp hoặc làm theo hướng dẫn do nhà cung cấp dịch vụ đám mây của bạn cung cấp.
  • Để chạy tác nhân từ xa, hãy sử dụng Docker trên mỗi máy ảo hoặc máy chủ.
  • Đảm bảo rằng tường lửa mạng cho VM của tác nhân từ xa cho phép tất cả lưu lượng truy cập đi được bắt đầu ở cổng 443 cho dải IP IAP-TCP 35.235.240.0/20. Hãy xem phần Xác minh cấu hình tường lửa cho các miền khác mà tường lửa của VM tác nhân từ xa phải cho phép lưu lượng truy cập đi ra.

Thêm trình kết nối ứng dụng và cài đặt tác nhân từ xa

  1. Thêm trình kết nối ứng dụng:

    1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến biểu tượng Trình đơn  sau đó  Ứng dụngsau đóỨng dụng web và ứng dụng di động.

      Bạn phải có đặc quyền Quản lý thiết bị di động dành cho quản trị viên.

    2. Nhấp vào thẻ Trình kết nối BeyondCorp Enterprise (BCE).
    3. Nhấp vào Thêm giắc cắm.
    4. Nhập tên cho trình kết nối, ví dụ: connect-myapp.
    5. Chọn một khu vực gần với môi trường không phải của Google.
    6. Nhấp vào Thêm giắc cắm.
    7. Để xem trạng thái, ở trên cùng bên phải, hãy nhấp vào biểu tượng Đồng hồ cát sau đóViệc cần làm của bạn.
  2. Tạo một phiên bản máy ảo để lưu trữ tác nhân từ xa.
    Làm theo hướng dẫn của quản trị viên mạng hoặc nhà cung cấp dịch vụ đám mây. Hãy xem phần Tạo một VM trên mạng không phải của Google.
  3. Cài đặt một tác nhân từ xa.
    1. Nhấp vào tên trình kết nối ứng dụng.
    2. Nhấp vào Cài đặt tác nhân từ xa.
    3. Trên môi trường không phải của Google, hãy cài đặt tác nhân từ xa:
      • Tạo một phiên bản máy ảo (VM) để lưu trữ tác nhân từ xa. Làm theo hướng dẫn của quản trị viên mạng hoặc nhà cung cấp dịch vụ đám mây.
      • Cài đặt Docker (bắt buộc để chạy tác nhân từ xa). Để biết hướng dẫn, hãy xem tài liệu trực tuyến để cài đặt Docker Engine.
      • Cài đặt và đăng ký tác nhân từ xa bằng các lệnh giao diện dòng lệnh (CLI) xuất hiện trên trang trình kết nối ứng dụng Google Workspace.
      • Sao chép và dán khoá công khai xuất hiện sau khi bạn đăng ký thành công tác nhân từ xa.
    4. Nhấp vào Lưu.

Trang trình kết nối ứng dụng cho biết bạn đã thêm khoá công khai thành công.

Hạn chế quyền truy cập và xác thực

Quản trị viên đã tạo ứng dụng web có thể quyết định những điều kiện mà người dùng phải đáp ứng để có thể truy cập vào ứng dụng. Ví dụ: bạn có thể giới hạn quyền truy cập đối với người dùng thuộc một miền cụ thể hoặc chỉ cho phép truy cập vào những thời điểm hoặc ngày nhất định. Nếu bị từ chối truy cập, người dùng sẽ được chuyển hướng đến một trang cụ thể.

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến biểu tượng Trình đơn  sau đó  Ứng dụngsau đóỨng dụng web và ứng dụng di động.

    Bạn phải có đặc quyền Quản lý thiết bị di động dành cho quản trị viên.

  2. Nhấp vào thẻ Ứng dụng sau đó nhấp vào một ứng dụng để mở trang chi tiết.
  3. Nhấp vào Cài đặt nâng cao.
  • Trang đích 403 – Nhập địa chỉ web mà người dùng sẽ được chuyển hướng đến nếu họ bị từ chối truy cập vào ứng dụng. Sử dụng định dạng https://<url>.
  • Miền xác thực – Nhập URL đăng nhập một lần (SSO) của tổ chức để cho phép người dùng đăng nhập bằng thông tin đăng nhập của tổ chức. Thao tác này cũng từ chối quyền truy cập đối với những người dùng không có thông tin đăng nhập hợp lệ cho miền Google Workspace của bạn. Sử dụng định dạng sso.your.org.com.
  • Miền được phép – Để hạn chế người dùng chỉ truy cập vào các miền được chỉ định, hãy đánh dấu vào hộp Bật miền được phép. Phân tách các mục nhập bằng dấu phẩy, ví dụ: test.your.org.com, prod.your.org.com.
  • Xác thực lại – Sử dụng các lựa chọn này để yêu cầu người dùng xác thực lại sau một khoảng thời gian. Ví dụ: người dùng có thể chạm vào khoá bảo mật hoặc sử dụng tính năng Xác thực 2 yếu tố (2FA).
    • Đăng nhập: Yêu cầu người dùng xác thực lại bằng tên người dùng và mật khẩu sau khi đăng nhập trong khoảng thời gian được chỉ định.
    • Khoá bảo mật: Yêu cầu người dùng xác thực lại bằng khoá bảo mật.
    • Yếu tố thứ hai đã đăng ký: Yêu cầu người dùng xác thực lại bằng tính năng 2FA.

Để biết thêm thông tin, hãy xem bài viết Xác thực lại giao dịch mua trong ứng dụng.

Chỉ định chế độ kiểm soát Quyền truy cập theo bối cảnh

Nhờ tính năng Quyền truy cập theo bối cảnh, bạn có thể kiểm soát những ứng dụng web riêng tư mà người dùng có thể truy cập dựa trên một số điều kiện, chẳng hạn như thiết bị của họ có tuân thủ chính sách CNTT của bạn hay không.

Ví dụ: bạn có thể tạo các chính sách chi tiết về việc kiểm soát quyền truy cập cho những ứng dụng có quyền truy cập vào dữ liệu của Google Workspace dựa trên những thuộc tính như danh tính người dùng, vị trí, trạng thái bảo mật của thiết bị và địa chỉ IP.

Để biết thông tin chi tiết, hãy xem bài viết Chỉ định cấp truy cập cho các ứng dụng web riêng tư.