مسدود کردن دسترسی به حساب‌های کاربری مصرف‌کنندگان

برای اینکه فقط به کاربران شبکه خود اجازه دهید با استفاده از حساب‌های گوگل خاص از دامنه شما به سرویس‌های گوگل دسترسی داشته باشند، به یک سرور پروکسی وب نیاز دارید که بتواند:

• اضافه کردن یک هدر به تمام ترافیک‌های هدایت‌شده به *.google.com — این هدر، دامنه‌هایی را که کاربران می‌توانند از طریق آنها به سرویس‌های گوگل دسترسی داشته باشند، مشخص می‌کند.
• پشتیبانی از رهگیری SSL — از آنجایی که بیشتر ترافیک از طریق سرویس گوگل شما رمزگذاری شده است، سرور پروکسی شما نیز باید از رهگیری SSL پشتیبانی کند.

دستورالعمل‌های خاص در مورد نحوه مسدود کردن سرویس‌های گوگل از ارائه‌دهندگان خدمات پروکسی زیر را مطالعه کنید و سروری را انتخاب کنید که نیازهای شما را برآورده کند.

• شبکه‌های باراکودا
• برادکام
• فورس پوینت

برای جلوگیری از ورود کاربران به سرویس‌های گوگل با استفاده از حساب‌های گوگلی غیر از حساب‌هایی که شما صریحاً مشخص کرده‌اید:

1. تمام ترافیک خروجی به *.google.com را از طریق سرورهای پروکسی وب خود هدایت کنید.
2. فعال کردن رهگیری SSL روی سرور پروکسی.
3. هر دستگاه کلاینت را طوری پیکربندی کنید که به پروکسی SSL شما اعتماد کند:
   1. مجوز گواهی ریشه داخلی مورد استفاده پروکسی را مستقر کنید.
   2. آن را به عنوان مورد اعتماد علامت گذاری کنید.
4. برای هر درخواست *.google.com:
   1. درخواست را رهگیری کنید.
   2. هدر HTTP با عنوان X-GoogApps-Allowed-Domains: را اضافه کنید و به دنبال آن لیستی از نام‌های دامنه مجاز که با کاما از هم جدا شده‌اند را قرار دهید.
      مطمئن شوید که این لیست شامل دامنه‌ای که در Google Workspace ثبت کرده‌اید و هر دامنه ثانویه‌ای که اضافه کرده‌اید، می‌شود.
      مثال: X-GoogApps-Allowed-Domains: mydomain1.com, mydomain2.com
5. برای اینکه کاربران بتوانند به حساب‌های کاربری خاصی وارد شوند، مقادیر زیر را به هدر اضافه کنید:
   • نام دامنه برای حساب‌های کاربری روی دامنه‌های خاص، مانند altostrat.com و tenorstrat.com برای حساب‌هایی که به ‎@altostrat.com و tenorstrat.com ختم می‌شوند.
   • حساب‌های_مصرف‌کننده برای حساب‌های گوگل مصرف‌کننده، مانند @gmail.com و @googlemail.com
   • visitor_accounts برای حساب‌های گوگل بازدیدکننده
     برای اینکه کاربران بتوانند در حین مسدود کردن حساب‌های کاربری مصرف‌کننده، وارد حساب‌های کاربری بازدیدکننده شوند، عبارت visitor_accounts را به هدر اضافه کنید و consumer_accounts را حذف کنید.
   • gserviceaccounts.com برای حساب‌های سرویس احراز هویت شده
6. (اختیاری) یک سیاست پروکسی ایجاد کنید تا از وارد کردن هدرهای شخصی توسط کاربران جلوگیری شود.

نکته :

• این رویکرد دسترسی به سرویس‌های مصرفی گوگل به غیر از جستجوی گوگل را از طریق ورود به سیستم مسدود می‌کند، اما لزوماً دسترسی ناشناس را ممنوع نمی‌کند.
• وقتی هدر HTTP مربوط به X-GoogApps-Allowed-Domains را اضافه می‌کنید، کاربران هنگام دسترسی به صندوق‌های پستی واگذار شده از دامنه‌ای که در هدر نیست، خطاهایی را مشاهده خواهند کرد.

اگر کاربری سعی کند از یک حساب کاربری غیرمجاز به سرویس‌های گوگل دسترسی پیدا کند، صفحه وبی را مشاهده می‌کند که:

• سرویس غیرقابل دسترس را توصیف می‌کند
• حساب کاربری غیرمجازی که استفاده می‌کنند را نشان می‌دهد
• دامنه‌هایی که سرویس در آنها در دسترس است را فهرست می‌کند
• پیشنهاد می‌کند که برای اطلاعات بیشتر با مدیر شبکه تماس بگیرند و از حساب غیرمجاز خود خارج شده و با یک حساب مجاز وارد شوند.

گوگل فهرستی از سرویس‌های مسدود شده را نگهداری نمی‌کند. اگر یک سرویس خاص نیاز به ورود به سیستم داشته باشد، دسترسی مسدود می‌شود. سرویس‌هایی که نیازی به احراز هویت ندارند، مانند جستجوی گوگل و یوتیوب، مسدود نخواهند شد.

یک روش رایج برای مسدود کردن دسترسی به سرویس‌های وب، استفاده از یک سرور پروکسی وب برای فیلتر کردن ترافیک هدایت‌شده به URLهای خاص است. این رویکرد در این مورد کار نخواهد کرد زیرا ترافیک مشروع از حساب گوگل مدیریت‌شده کاربر به همان URL‌ای می‌رود که ترافیکی که می‌خواهید مسدود کنید، به آن می‌رود.