ตืดตั้งใช้งานเว็บแอปส่วนตัว

เว็บแอปพลิเคชันส่วนตัวสร้างขึ้นสำหรับผู้ใช้ภายในองค์กร เช่น พนักงานประจำและพนักงานสัญญาจ้าง คุณสามารถทำให้แอปเหล่านี้ใช้งานได้โดยใช้ Chrome Enterprise Premium ในคอนโซลผู้ดูแลระบบของ Google

เพิ่มแอปลงในบัญชี Google Workspace

คุณจะโฮสต์แอปส่วนตัวไว้ใน Google Cloud, ผู้ให้บริการคลาวด์รายอื่น หรือศูนย์ข้อมูลภายในองค์กรได้

ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google ด้วยบัญชีผู้ดูแลระบบ
หากไม่ได้ใช้บัญชีผู้ดูแลระบบ คุณจะเข้าถึงคอนโซลผู้ดูแลระบบไม่ได้
ไปที่เมนู แอป > แอปในเว็บและอุปกรณ์เคลื่อนที่
ต้องมีสิทธิ์ของผู้ดูแลระบบสำหรับการจัดการอุปกรณ์เคลื่อนที่
คลิกเพิ่มแอปเพิ่มเว็บแอปส่วนตัว
ป้อนชื่อแอปและ URL ที่ผู้ใช้เข้าถึงแอปในส่วนรายละเอียดแอปพลิเคชัน
ระบุตำแหน่งที่โฮสต์แอปพลิเคชันของคุณ ดังนี้
- แอปที่โฮสต์ใน Google Cloud - ป้อน URL ของ Private Service Connect (PSC) ในส่วนรายละเอียดโฮสต์ของแอปพลิเคชัน โปรดดูรายละเอียดที่หัวข้อการตั้งค่าสำหรับแอปที่โฮสต์บน Google Cloud
- แอป HTTPS ที่โฮสต์กับผู้ให้บริการคลาวด์รายอื่น - ป้อน URL ภายในและหมายเลขพอร์ต โดยจะไม่รองรับแอป HTTP โปรดดูรายละเอียดที่หัวข้อการตั้งค่าสำหรับแอปที่โฮสต์กับผู้ให้บริการคลาวด์รายอื่นหรือศูนย์ข้อมูลภายในองค์กร
  
  เพื่อประสิทธิภาพที่ดีที่สุด ให้เลือกภูมิภาคที่อยู่ใกล้กับตำแหน่งที่โฮสต์แอปพลิเคชันมากที่สุด จากนั้นเลือกเครื่องมือเชื่อมต่อแอปที่จำเป็นในการเชื่อมต่อแอปพลิเคชันของคุณ
คลิกเพิ่มแอปพลิเคชัน

การตั้งค่าสำหรับแอปที่โฮสต์กับ Google Cloud

สร้าง URL ของ Private Service Connect (PSC) เพื่อเชื่อมต่อแอปส่วนตัวในสภาพแวดล้อมของคุณ

หากต้องการตั้งค่า URL ของ PSC ให้สร้างตัวจัดสรรภาระงานภายใน แล้วสร้างไฟล์แนบบริการที่ใช้ที่อยู่ IP ภายใน

สร้างตัวจัดสรรภาระงานภายใน

แอปส่วนตัวใน Google Workspace ควรเผยแพร่โดยใช้ตัวจัดสรรภาระงานภายในที่มีการเปิดใช้การเข้าถึงทั่วโลก โปรดดูรายละเอียดที่หัวข้อเผยแพร่บริการพร้อมด้วยการอนุมัติโดยอัตโนมัติ

สร้างตัวจัดสรรภาระงานภายในสำหรับทรัพยากร Compute หรือ GKE

ข้อควรทราบก่อนที่จะเริ่มต้น: หากต้องการอนุญาตให้มีการสื่อสารผ่าน HTTPS ที่ปลอดภัย ให้ตั้งค่ากลุ่มอินสแตนซ์ที่กำหนดค่าให้แสดงคำขอในพอร์ต 443 โดยจะเลือกกลุ่มอินสแตนซ์ได้ในแท็บการกำหนดค่าแบ็กเอนด์

ในคอนโซล Google Cloud ให้ไปที่หน้าการจัดสรรภาระงาน
คลิกสร้างตัวจัดสรรภาระงาน
คลิกเริ่มการกำหนดค่าสำหรับตัวจัดสรรภาระงานเครือข่าย (TCP/SSL) แล้วเลือกตัวเลือกต่อไปนี้
1. ประเภทของตัวจัดสรรภาระงาน - ตัวจัดสรรภาระงานของเครือข่าย (TCP/UDP/SSL)
2. พร็อกซีหรือการปล่อยผ่านสัญญาณ- การปล่อยผ่านสัญญาณ
3. เชื่อมต่อกับอินเทอร์เน็ตหรือภายในเท่านั้น - ภายใน
4. คลิกถัดไป
5. คลิกต่อไป
ป้อนชื่อตัวจัดสรรภาระงาน แล้วเลือกภูมิภาคและเครือข่ายที่จะติดตั้งใช้งานตัวจัดสรรภาระงาน
สำคัญ: เครือข่ายที่คุณเลือกสำหรับตัวจัดสรรภาระงานต้องเป็นเครือข่ายเดียวกับที่กลุ่มอินสแตนซ์ใช้
เลือกแท็บการกำหนดค่าแบ็กเอนด์
1. โปรโตคอล - เลือก TCP
2. ประเภทสแต็ก IP - เลือก IPv4
3. เลือกกลุ่มอินสแตนซ์
  หากต้องการสร้างกลุ่มดังกล่าว ให้ไปที่กลุ่มอินสแตนซ์
4. เลือกการตรวจสอบประสิทธิภาพการทำงานจากรายการ โดยสามารถสร้างการตรวจสอบประสิทธิภาพการทำงานใหม่ได้ดังนี้
  1. เลือกสร้างการตรวจสอบประสิทธิภาพการทำงาน
  2. ป้อนชื่อการตรวจสอบประสิทธิภาพการทำงาน (เช่น ping-port)
  3. เลือกขอบเขตภูมิภาค
  4. สำหรับโปรโตคอล ให้เลือก HTTPS
  5. คงพอร์ตไว้เป็น 443
  6. สำหรับโปรโตคอลพร็อกซี ให้เลือกไม่มี
  7. สำหรับเส้นทางคำขอ ให้คงไว้เป็น "/"
  8. เปิดใช้บันทึก
  9. เก็บค่าเริ่มต้นสำหรับเกณฑ์ประสิทธิภาพการทำงานไว้
เลือกแท็บการกำหนดค่าฟรอนท์เอนด์
1. (ไม่บังคับ) ป้อนชื่อสำหรับฟรอนท์เอนด์
2. สำหรับเวอร์ชัน IP ให้เลือก IPv4
3. เลือกเครือข่ายย่อย
4. สำหรับจุดประสงค์ด้าน IP ภายใน ให้เลือกไม่แชร์
5. สำหรับพอร์ต ให้เลือกเดี่ยว
6. ป้อนหมายเลขพอร์ต 443
7. สำหรับการเข้าถึงทั่วโลก ให้เลือกเปิดใช้
เลือกแท็บตรวจสอบและดำเนินการให้เสร็จสิ้น เพื่อตรวจสอบการตั้งค่าตัวจัดสรรภาระงาน
คลิกสร้าง

สร้างตัวจัดสรรภาระงานภายในสำหรับทรัพยากร Cloud Run

ในคอนโซล Google Cloud ให้ไปที่หน้าการจัดสรรภาระงาน
คลิกสร้างตัวจัดสรรภาระงาน
คลิกเริ่มการกำหนดค่าสำหรับตัวจัดสรรภาระงานแอปพลิเคชัน (HTTP/S) แล้วเลือกรายการต่อไปนี้
1. ประเภทของตัวจัดสรรภาระงาน — ตัวจัดสรรภาระงานของแอปพลิเคชัน (HTTP/HTTPS)
2. เชื่อมต่อกับอินเทอร์เน็ตหรือภายในเท่านั้น - ภายใน
3. การติดตั้งใช้งานข้ามภูมิภาคหรือภูมิภาคเดียว - ภูมิภาคเดียว
4. คลิกถัดไป
5. คลิกกำหนดค่า
ป้อนชื่อตัวจัดสรรภาระงาน แล้วเลือกภูมิภาคและเครือข่ายที่จะติดตั้งใช้งานตัวจัดสรรภาระงาน
เลือกแท็บการกำหนดค่าแบ็กเอนด์
1. สร้างหรือเลือกบริการแบ็กเอนด์
2. หากสร้างบริการ ให้เลือกประเภทแบ็กเอนด์เป็นกลุ่มปลายทางของเครือข่ายแบบ Serverless แล้วเลือกกลุ่มปลายทางของเครือข่าย
3. หากยังไม่มีปลายทางของเครือข่ายแบบ Serverless ให้เลือกตัวเลือกเพื่อสร้างปลายทางใหม่
  ก่อนสร้างกลุ่มปลายทางของเครือข่ายแบบ Serverless ให้สร้างบริการ Cloud Run ที่กลุ่มปลายทางจะชี้ไป
เลือกแท็บการกำหนดค่าฟรอนท์เอนด์
1. โปรโตคอล - เลือก HTTPS
2. เลือกเครือข่ายย่อย
3. ทำตามขั้นตอนบนหน้าจอเพื่อจองซับเน็ต หากยังไม่ได้ดำเนินการ
4. เปิดใช้การเข้าถึงทั่วโลก
5. สำหรับใบรับรองนี้ คุณสามารถเลือกสร้างใบรับรองใหม่หรือเลือกใบรับรองที่มีอยู่ก็ได้
คลิกสร้าง

สร้าง URL ของไฟล์แนบบริการ

หากต้องการตั้งค่า URL ของ PSC ให้สร้างไฟล์แนบบริการที่ใช้ที่อยู่ IP ภายใน

ในคอนโซล Google Cloud ให้ไปที่หน้า Private Service Connect
คลิกแท็บเผยแพร่บริการ
คลิกเผยแพร่บริการ
เลือกประเภทตัวจัดสรรภาระงานสำหรับบริการที่คุณต้องการเผยแพร่
- ตัวจัดสรรภาระงานเครือข่ายการปล่อยผ่านสัญญาณภายใน
- ตัวจัดสรรภาระงานเครือข่ายพร็อกซีภายในระดับภูมิภาค
- ตัวจัดสรรภาระงานแอปพลิเคชันภายในระดับภูมิภาค
เลือกตัวจัดสรรภาระงานภายในที่โฮสต์บริการที่คุณต้องการเผยแพร่
ระบบจะป้อนรายละเอียดสำหรับตัวจัดสรรภาระงานภายในที่เลือกในฟิลด์เครือข่ายและภูมิภาค
ในส่วนชื่อบริการ ให้ป้อนชื่อไฟล์แนบของบริการ
เลือกซับเน็ตอย่างน้อย 1 รายการสำหรับบริการ หากต้องการเพิ่มซับเน็ตใหม่ ให้สร้างซับเน็ตโดยดำเนินการดังนี้
- คลิกจองซับเน็ตใหม่
- ป้อนชื่อและคำอธิบาย (ไม่บังคับ) สำหรับซับเน็ต
- เลือกภูมิภาคสำหรับซับเน็ต
- ป้อนช่วง IP เพื่อใช้กับซับเน็ต แล้วคลิกเพิ่ม
สำหรับค่ากำหนดการเชื่อมต่อ ให้เลือกยอมรับการเชื่อมต่อทั้งหมดโดยอัตโนมัติ
คลิกเพิ่มบริการ
คลิกบริการที่เผยแพร่แล้ว ใช้ชื่อไฟล์แนบของบริการในช่องไฟล์แนบของบริการเพื่อสร้าง URL ดังนี้
https://googleapis.com/compute/v1/SERVICE_ATTACHMENT_NAME
ป้อน URL เมื่อเพิ่มแอปส่วนตัวใน Google Workspace โปรดดูหัวข้อเพิ่มแอปลงในบัญชี Workspace

การตั้งค่าสำหรับแอปที่โฮสต์กับผู้ให้บริการคลาวด์รายอื่นหรือศูนย์ข้อมูลภายในองค์กร

หากต้องการเชื่อมต่อระบบคลาวด์หรือเครือข่ายภายในองค์กรกับ Google Cloud อย่างปลอดภัย ให้เพิ่มเครื่องมือเชื่อมต่อแอป

เครื่องมือเชื่อมต่อแอปช่วยให้คุณเชื่อมต่อแอปพลิเคชันของคุณจากระบบคลาวด์อื่นไปยัง Google ได้อย่างปลอดภัยโดยไม่ต้องใช้ VPN แบบเว็บไซต์สู่เว็บไซต์

สร้าง VM ในเครือข่ายที่ไม่ใช่ของ Google

คุณต้องติดตั้ง Agent ระยะไกลสำหรับเครื่องมือเชื่อมต่อแอปแต่ละรายการในเครื่องเสมือน (VM) โดยเฉพาะ หรือในเซิร์ฟเวอร์ Bare Metal ในสภาพแวดล้อมที่ไม่ใช่ของ Google

หากต้องการสร้าง VM โปรดขอความช่วยเหลือจากผู้ดูแลเครือข่าย หรือทำตามวิธีการจากผู้ให้บริการคลาวด์
หากต้องการเรียกใช้ Agent ระยะไกล ให้ใช้ Docker บน VM หรือเซิร์ฟเวอร์แต่ละรายการ
ตรวจสอบว่าไฟร์วอลล์เครือข่ายสำหรับ VM ของ Agent ระยะไกลอนุญาตการรับส่งข้อมูลขาออกทั้งหมดซึ่งเริ่มต้นที่พอร์ต 443 สำหรับช่วง IP ของ IAP-TCP 35.235.240.0/20 โปรดดูหัวข้อยืนยันการกำหนดค่าไฟร์วอลล์สำหรับโดเมนอื่นๆ ที่ไฟร์วอลล์ VM ของ Agent ระยะไกลควรอนุญาตให้มีการรับส่งข้อมูลขาออกได้

เพิ่มเครื่องมือเชื่อมต่อแอปและติดตั้ง Agent ระยะไกล

วิธีเพิ่มเครื่องมือเชื่อมต่อแอป
1. ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google ด้วยบัญชีผู้ดูแลระบบ
  หากไม่ได้ใช้บัญชีผู้ดูแลระบบ คุณจะเข้าถึงคอนโซลผู้ดูแลระบบไม่ได้
2. ไปที่เมนู แอป > แอปในเว็บและอุปกรณ์เคลื่อนที่
  ต้องมีสิทธิ์ของผู้ดูแลระบบสำหรับการจัดการอุปกรณ์เคลื่อนที่
3. คลิกแท็บเครื่องมือเชื่อมต่อ BeyondCorp Enterprise (BCE)
4. คลิกเพิ่มเครื่องมือเชื่อมต่อ
5. ป้อนชื่อเครื่องมือเชื่อมต่อ เช่น Connect-myapp
6. เลือกภูมิภาคที่อยู่ใกล้กับสภาพแวดล้อมที่ไม่ใช่ของ Google
7. คลิกเพิ่มเครื่องมือเชื่อมต่อ
8. หากต้องการดูสถานะ ให้คลิก งานของคุณ ที่ด้านขวาบน
สร้างอินสแตนซ์ VM เพื่อโฮสต์ Agent ระยะไกล
ทำตามวิธีการที่ผู้ดูแลเครือข่ายหรือผู้ให้บริการคลาวด์ระบุ โปรดดูหัวข้อสร้าง VM ในเครือข่ายที่ไม่ใช่ของ Google
ติดตั้ง Agent ระยะไกล
1. คลิกชื่อเครื่องมือเชื่อมต่อแอป
2. คลิกติดตั้ง Agent ระยะไกล
3. ในสภาพแวดล้อมที่ไม่ใช่ของ Google ให้ติดตั้ง Agent ระยะไกล ดังนี้
  - สร้างอินสแตนซ์เครื่องเสมือน (VM) เพื่อโฮสต์ Agent ระยะไกล จากนั้นทำตามวิธีการที่ผู้ดูแลเครือข่ายหรือผู้ให้บริการคลาวด์ระบุ
  - ติดตั้ง Docker ซึ่งจำเป็นสำหรับการเรียกใช้ Agent ระยะไกล โปรดดูวิธีการในเอกสารประกอบออนไลน์เพื่อติดตั้ง Docker Engine
  - ติดตั้งและลงทะเบียน Agent ระยะไกลโดยใช้คำสั่ง CLI ที่แสดงในหน้าเครื่องมือเชื่อมต่อแอป Google Workspace
  - คัดลอกและวางคีย์สาธารณะที่แสดงขึ้นหลังจากลงทะเบียน Agent ระยะไกลเรียบร้อยแล้ว
4. คลิกบันทึก

หน้าเครื่องมือเชื่อมต่อแอปควรจะแสดงว่าเพิ่มคีย์สาธารณะเรียบร้อยแล้ว

จำกัดสิทธิ์เข้าถึงและการตรวจสอบสิทธิ์

ผู้ดูแลระบบที่สร้างแอปสามารถกำหนดเงื่อนไขที่ผู้ใช้จะเข้าถึงแอปได้ เช่น จำกัดสิทธิ์เข้าถึงให้ผู้ใช้จากโดเมนบางรายการ หรืออนุญาตสิทธิ์เข้าถึงเฉพาะในบางช่วงเวลาหรือบางวัน หากการเข้าถึงถูกปฏิเสธ ระบบจะเปลี่ยนเส้นทางผู้ใช้ไปยังหน้าที่เฉพาะเจาะจง

ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google ด้วยบัญชีผู้ดูแลระบบ
หากไม่ได้ใช้บัญชีผู้ดูแลระบบ คุณจะเข้าถึงคอนโซลผู้ดูแลระบบไม่ได้
ไปที่เมนู แอป > แอปในเว็บและอุปกรณ์เคลื่อนที่
ต้องมีสิทธิ์ของผู้ดูแลระบบสำหรับการจัดการอุปกรณ์เคลื่อนที่
คลิกแท็บแอปจากนั้นคลิกแอปเพื่อเปิดหน้ารายละเอียด
คลิกการตั้งค่าขั้นสูง

หน้า Landing Page 403 - ป้อนที่อยู่เว็บที่ระบบจะเปลี่ยนเส้นทางผู้ใช้ไปในกรณีที่ถูกปฏิเสธไม่ให้เข้าถึงแอป โดยใช้รูปแบบ https://<url>
โดเมนการตรวจสอบสิทธิ์ - ป้อน URL การลงชื่อเพียงครั้งเดียว (SSO) ขององค์กรเพื่ออนุญาตให้ผู้ใช้เข้าสู่ระบบโดยใช้ข้อมูลเข้าสู่ระบบขององค์กรได้ ซึ่งการดำเนินการนี้ยังจะปฏิเสธสิทธิ์การเข้าถึงของผู้ใช้ที่ไม่มีข้อมูลเข้าสู่ระบบที่ถูกต้องสำหรับโดเมน Google Workspace ของคุณด้วย ใช้รูปแบบ sso.your.org.com
โดเมนที่อนุญาต - เลือกช่องเปิดใช้โดเมนที่อนุญาตเพื่อจำกัดการเข้าถึงของผู้ใช้ไว้เฉพาะโดเมนที่ระบุเท่านั้น โดยให้คั่นรายการด้วยคอมมา เช่น test.your.org.com, prod.your.org.com
การตรวจสอบสิทธิ์ซ้ำ - ใช้ตัวเลือกต่อไปนี้เพื่อกำหนดให้ผู้ใช้ต้องตรวจสอบสิทธิ์อีกครั้งหลังจากผ่านไประยะหนึ่ง เช่น ใช้คีย์ความปลอดภัยแบบแตะ หรือการยืนยันแบบ 2 ขั้นตอน
- การเข้าสู่ระบบ: กำหนดให้ผู้ใช้ตรวจสอบสิทธิ์ซ้ำด้วยชื่อผู้ใช้/รหัสผ่านหลังจากเข้าสู่ระบบเป็นระยะเวลาหนึ่ง
- คีย์ความปลอดภัย: กำหนดให้ผู้ใช้ตรวจสอบสิทธิ์ซ้ำโดยใช้คีย์ความปลอดภัย
- ปัจจัยที่สองที่ลงทะเบียนแล้ว: กำหนดให้ผู้ใช้ตรวจสอบสิทธิ์ซ้ำโดยใช้วิธีการตรวจสอบสิทธิ์จากปัจจัยที่สอง (2FA)

ดูข้อมูลเพิ่มเติมได้ที่การตรวจสอบสิทธิ์ IAP ซ้ำ

กำหนดการควบคุมการเข้าถึงแบบ Context-Aware

เมื่อใช้การเข้าถึงแบบ Context-Aware คุณสามารถควบคุมแอปส่วนตัวที่ผู้ใช้จะเข้าถึงได้โดยพิจารณาจากบริบทของผู้ใช้ เช่น อุปกรณ์ของผู้ใช้นั้นเป็นไปตามนโยบายด้าน IT หรือไม่

ตัวอย่างเช่น คุณสามารถสร้างนโยบายควบคุมการเข้าถึงแบบละเอียดสำหรับแอปที่เข้าถึงข้อมูล Google Workspace โดยอิงตามแอตทริบิวต์ต่างๆ เช่น ข้อมูลประจำตัวของผู้ใช้ สถานที่ตั้ง สถานะความปลอดภัยของอุปกรณ์ และที่อยู่ IP

โปรดดูรายละเอียดที่หัวข้อกำหนดระดับการเข้าถึงให้แอปส่วนตัว

ข้อมูลนี้มีประโยชน์ไหม

เราจะปรับปรุงได้อย่างไร