Privé-web-apps implementeren

Privé-web-apps worden gemaakt voor de interne gebruikers van een organisatie, zoals werknemers en contractanten. U kunt deze apps implementeren met Chrome Enterprise Premium in de Google Beheerdersconsole.

De app toevoegen aan uw Google Workspace-account

Privé-apps kunnen worden gehost op Google Cloud, bij een andere cloudprovider of in een datacenter op locatie.

Log in met een beheerdersaccount op de Google Beheerdersconsole.
Als u geen beheerdersaccount gebruikt, heeft u geen toegang tot de Beheerdersconsole.
Ga naar Menu Apps > Web- en mobiele apps.
Hiervoor is het beheerdersrecht Mobiel apparaatbeheer vereist.
Klik op App toevoegenPrivé-web-app toevoegen.
Voer onder App-gegevens een app-naam en URL in waarmee gebruikers toegang krijgen tot de app.
Geef op waar de app wordt gehost:
- Apps die worden gehost in Google Cloud: voer de Private Service Connect-URL (PSC) in onder 'Details van de app-host'. Ga naar Instellingen voor apps die worden gehost op Google Cloud voor meer informatie.
- HTTPS-apps die worden gehost bij een andere cloudprovider: voer de interne URL en het poortnummer in. HTTP-apps worden niet ondersteund. Ga naar Instellingen voor apps die worden gehost bij andere cloudproviders of in datacenters op locatie voor meer informatie.
  
  Voor de beste prestaties selecteert u een regio die het dichtst ligt bij de locatie waar de app wordt gehost en kiest u de app-connectors die nodig zijn om uw app te koppelen.
Klik op App toevoegen.

Instellingen voor apps die worden gehost op Google Cloud

Maak een Private Service Connect-URL (PSC) om de privé-apps in uw omgeving te koppelen.

Als u de PSC-URL wilt instellen, maakt u een interne load balancer en maakt u vervolgens een servicekoppeling die een intern IP-adres gebruikt.

Een interne load balancer maken

Privé-apps in Google Workspace moeten worden gepubliceerd achter een interne load balancer waarvoor wereldwijde toegang aanstaat. Ga naar Een service publiceren met automatische goedkeuring voor meer informatie.

Een interne load balancer voor een Compute of GKE-resource maken

Voordat u begint: Als u beveiligde HTTPS-communicatie wilt toestaan, stelt u een instantiegroep in die is geconfigureerd voor de levering van verzoeken op poort 443. De instantiegroep wordt geselecteerd op het configuratietabblad Backend.

Ga in de Google Cloud Console naar de pagina Load balancing.
Klik op Load balancer maken.
Klik op Configuratie starten voor load balancer via het netwerk (TCP/SSL) en selecteer het volgende:
1. Type load balancer: load balancer via het netwerk (TCP/UDP/SSL).
2. Proxy of passthrough: passthrough.
3. Voor internet of alleen intern: intern.
4. Klik op Volgende.
5. Klik op Doorgaan.
Voer de naam van de load balancer in en selecteer de regio en het netwerk waar u de load balancer wilt implementeren.
Belangrijk: Het netwerk dat u voor de load balancer kiest, moet hetzelfde netwerk zijn als het netwerk dat uw instantiegroep gebruikt.
Selecteer het tabblad Backend-configuratie.
1. Protocol: selecteer TCP.
2. Type IP-stack: selecteer IPv4.
3. Selecteer een instantiegroep.
  Ga naar Instantiegroepen om er een te maken.
4. Selecteer een statuscheck in de lijst. Zo maakt u een nieuwe statuscheck:
  1. Selecteer Statuscheck maken.
  2. Geef een naam op voor de statuscheck (bijvoorbeeld ping-poort).
  3. Selecteer Regionaal bereik.
  4. Kies HTTPS als protocol.
  5. Behoud 443 voor de poort.
  6. Selecteer GEEN bij Proxyprotocol.
  7. Laat '/' staan bij het verzoekpad.
  8. Zet logboeken aan.
  9. Behoud de standaardwaarden voor de statuscriteria.
Selecteer het tabblad Frontend-configuratie
1. (Optioneel) Voer een naam in voor de frontend.
2. Selecteer IPv4 als IP-versie.
3. Selecteer een subnetwerk.
4. Selecteer Niet-gedeeld voor interne IP-doeleinden.
5. Selecteer Enkel voor poorten.
6. Voer het poortnummer 443 in
7. Selecteer Aanzetten bij Wereldwijde toegang.
Selecteer het tabblad Controleren en afronden om de configuratie-instellingen van uw load balancer te controleren.
Klik op Maken.

Een interne load balancer voor een Cloud Run-resource maken

Ga in de Google Cloud Console naar de pagina Load balancing.
Klik op Load balancer maken.
Klik op Configuratie starten voor load balancer voor apps (HTTP/S) en selecteer het volgende.
1. Type load balancer: load balancer voor apps (HTTP/HTTPS).
2. Voor internet of alleen intern: intern.
3. Implementatie in meerdere regio's of één regio: één regio.
4. Klik op Volgende.
5. Klik op Configureren.
Voer de naam van de load balancer in en selecteer de regio en het netwerk waar de load balancer wordt geïmplementeerd.
Selecteer het tabblad Backend-configuratie.
1. Maak of selecteer de backend-service.
2. Als u een service maakt, selecteert u het backendtype Serverloze netwerkeindpuntgroep en selecteert u een netwerkeindpuntgroep.
3. Als u geen serverloos netwerkeindpunt heeft, selecteert u de optie om een nieuw netwerkeindpunt te maken.
  Voordat u de serverloze netwerkeindpuntgroep maakt, moet u een Cloud Run-service maken waarnaar de eindpuntgroep verwijst.
Selecteer het tabblad Frontend-configuratie
1. Protocol: selecteer HTTPS.
2. Selecteer het subnetwerk.
3. Voer de stappen op het scherm uit om een subnetwerk te reserveren als u dit nog niet heeft gedaan.
4. Zet wereldwijde toegang aan.
5. Voor het certificaat kunt u een nieuw certificaat maken of een bestaand certificaat kiezen.
Klik op Maken.

De servicebijlage-URL maken

Als u de PSC-URL wilt instellen, maakt u een servicebijlage die een intern IP-adres gebruikt.

Ga in de Google Cloud-console naar de pagina Private Service Connect.
Klik op het tabblad Service publiceren.
Klik op Service publiceren.
Selecteer het type load balancer voor de service die u wilt publiceren:
- Load balancer via het netwerk voor interne passthrough
- Load balancer via het netwerk voor regionale interne proxy's
- Regionale interne load balancer voor apps
Selecteer de interne load balancer waarop de service wordt gehost die u wilt publiceren.
In de velden Netwerk en Regio worden de gegevens van de geselecteerde interne load balancer ingevuld.
Voer bij Servicenaam een naam in voor de servicebijlage.
Selecteer een of meer subnetwerken voor de service. Als u een nieuw subnetwerk wilt toevoegen, kunt u er een maken:
- Klik op Nieuw subnetwerk reserveren.
- Voer een naam en optionele beschrijving in voor het subnetwerk.
- Selecteer een regio voor het subnetwerk.
- Voer het IP-bereik in dat voor het subnetwerk moet worden gebruikt en klik op Toevoegen.
Selecteer bij Verbindingsvoorkeur de optie Alle connecties automatisch accepteren.
Klik op Service toevoegen.
Klik op de gepubliceerde service. Gebruik de naam van de servicebijlage in het veld Servicebijlage om de URL te maken:
https://googleapis.com/compute/v1/SERVICE_ATTACHMENT_NAME
Voer de URL in als u uw privé-app toevoegt in Google Workspace. Ga naar De app toevoegen aan uw Workspace-account.

Instellingen voor apps die worden gehost bij andere cloudproviders of in datacenters op locatie

Voeg een app-connector toe om uw cloudnetwerk of netwerk op locatie beveiligd te verbinden met de Google-cloud.

Met app-connectors kunt u uw app vanuit andere clouds beveiligd verbinden met Google zonder een site-to-site VPN.

Een VM maken in het niet-Google-netwerk

U moet elke externe agent voor app-connectors installeren op een speciale virtuele machine (VM) of op een Bare Metal-server in een niet-Google-omgeving.

Vraag uw netwerkbeheerder om hulp of volg de instructies van uw cloudprovider om de VM te maken.
Gebruik Docker op elke VM of server om de externe agent uit te voeren.
Zorg ervoor dat de netwerkfirewall voor de VM van de externe agent al het uitgaande verkeer toestaat dat wordt gestart op poort 443 voor het IAP-TCP IP-bereik 35.235.240.0/20. Ga naar De firewallconfiguratie controleren voor andere domeinen waar de firewall voor de VM van de externe agent uitgaand verkeer moet toestaan.

Een app-connector toevoegen en de externe agent installeren

Voeg een app-connector toe:
1. Log in met een beheerdersaccount op de Google Beheerdersconsole.
  Als u geen beheerdersaccount gebruikt, heeft u geen toegang tot de Beheerdersconsole.
2. Ga naar Menu Apps > Web- en mobiele apps.
  Hiervoor is het beheerdersrecht Mobiel apparaatbeheer vereist.
3. Klik op het tabblad BeyondCorp Enterprise-connectors (BCE).
4. Klik op Connector toevoegen.
5. Voer een naam in voor de connector. Bijvoorbeeld: connect-myapp.
6. Selecteer een regio in de buurt van de niet-Google-omgeving.
7. Klik op Connector toevoegen.
8. Als u de status wilt weergeven, klikt u rechtsboven op Uw taken.
Maak een VM-instantie om de externe agent te hosten.
Volg de instructies van uw netwerkbeheerder of cloudprovider. Ga naar Een VM maken in het niet-Google-netwerk.
Installeer een externe agent.
1. Klik op de naam van de app-connector.
2. Klik op Externe agent installeren.
3. Installeer de externe agent in een niet-Google-omgeving:
  - Maak een VM-instantie (virtuele machine) om de externe agent te hosten. Volg de instructies van uw netwerkbeheerder of cloudprovider.
  - Installeer Docker. Dit is vereist om de externe agent uit te voeren. Bekijk de online documentatie voor instructies om de Docker Engine te installeren.
  - Installeer de externe agent en schrijf deze in met de CLI-opdrachten die worden weergegeven op de pagina met de app-connector voor Google Workspace.
  - Kopieer en plak de openbare sleutel die wordt weergegeven nadat de externe agent is ingeschreven.
4. Klik op Opslaan.

De pagina met de app-connector moet nu aangeven dat er een openbare sleutel is toegevoegd.

Toegang beperken en verificatie

De beheerder die de app heeft gemaakt, kan bepalen onder welke voorwaarden een gebruiker toegang mag hebben tot de app. U kunt bijvoorbeeld de toegang beperken tot gebruikers uit een specifiek domein of alleen op bepaalde tijden of dagen toegang bieden. Als de toegang wordt geweigerd, wordt de gebruiker omgeleid naar een specifieke pagina.

Log in met een beheerdersaccount op de Google Beheerdersconsole.
Als u geen beheerdersaccount gebruikt, heeft u geen toegang tot de Beheerdersconsole.
Ga naar Menu Apps > Web- en mobiele apps.
Hiervoor is het beheerdersrecht Mobiel apparaatbeheer vereist.
Klik op het tabblad Apps en klik vervolgens op een app om de detailpagina te openen.
Klik op Geavanceerde instellingen.

403-landingspagina: voer het webadres in waarnaar gebruikers worden omgeleid als ze geen toegang krijgen tot de app. Gebruik de indeling https://<url>.
Verificatiedomein: Voer de SSO-URL (single sign-on) van uw organisatie in, zodat gebruikers kunnen inloggen met hun organisatiegegevens. Gebruikers die geen geldige inloggegevens hebben voor uw Google Workspace-domein, krijgen dan ook geen toegang. Gebruik deze indeling: sso.your.org.com.
Toegestane domeinen: vink het vakje aan voor Toegestane domeinen aanzetten om gebruikerstoegang te beperken tot alleen de opgegeven domeinen. Scheid de domeinen met een komma. Bijvoorbeeld: test.your.org.com, prod.your.org.com.
Opnieuw verifiëren: gebruik deze opties om te vereisen dat gebruikers zich na een bepaalde periode opnieuw laten verifiëren. U kunt bijvoorbeeld een beveiligingssleutel of tweefactorauthenticatie gebruiken.
- Inloggen: vereisen dat gebruikers zich opnieuw verifiëren met een gebruikersnaam en wachtwoord nadat ze gedurende de opgegeven tijd zijn ingelogd.
- Beveiligingssleutel: vereisen dat gebruikers opnieuw verifiëren met hun beveiligingssleutel.
- Tweestapsverificatie: vereisen dat gebruikers opnieuw verifiëren met een methode voor tweefactorauthenticatie (2FA).

Ga naar Opnieuw verifiëren in IAP voor meer informatie.

Beheer van contextbewuste toegang toewijzen

Met contextbewuste toegang kunt u bepalen tot welke privé-apps een gebruiker toegang heeft op basis van de context, zoals of het apparaat van de gebruiker voldoet aan uw IT-beleid.

U kunt bijvoorbeeld gedetailleerd beleid voor toegangsbeheer maken voor apps die toegang hebben tot Google Workspace-gegevens op basis van kenmerken als gebruikersidentiteit, locatie, apparaatbeveiligingsstatus en IP-adres.

Zie Toegangsniveaus toewijzen aan privé-apps voor meer informatie.

Was dit nuttig?

Hoe kunnen we dit verbeteren?