Як ввести в дію приватний вебдодаток

Приватними вебдодатками користуються внутрішні користувачі вашої організації, як-от працівники й підрядники. Ви можете розгорнути ці додатки за допомогою Chrome Enterprise Premium у Консолі адміністратора Google.

Як включити вебдодаток в обліковий запис Google Workspace

Приватні вебдодатки можна розмістити в Google Cloud, хмарному сервісі іншого постачальника або локальному центрі обробки даних.

Увійдіть в Консоль адміністратора Google з даними облікового запису адміністратора.
Без облікового запису з такими правами ви не зможете отримати доступ до Консолі адміністратора.
Натисніть значок Додатки > Мобільні й вебдодатки.
Потрібно мати права адміністратора на керування мобільними пристроями.
Натисніть Включити додаток Включити приватний вебдодаток.
У розділі Інформація про додаток введіть назву додатка і його URL-адресу, за якою користувачі зможуть отримати до нього доступ.
Укажіть, де розміщено ваш додаток.
- Для додатків, розміщених у Google Cloud, введіть URL-адресу Private Service Connect (PSC) у розділі відомостей про хост додатків. Докладніше про налаштування для додатків, розміщених у Google Cloud.
- Для додатків HTTPS, розміщених у хмарному сервісі іншого постачальника, введіть внутрішню URL-адресу й номер порту. Додатки HTTP не підтримуються. Докладніше про налаштування для додатків, розміщених у хмарних сервісах інших постачальників або локальних центрах обробки даних.
  
  Щоб забезпечити максимальну продуктивність, виберіть регіон, найближчий до місця розміщення додатка, а потім укажіть конектори, потрібні для підключення додатка.
Натисніть Додати додаток.

Налаштування для додатків, розміщених у Google Cloud

Створіть URL-адресу Private Service Connect (PSC), щоб підключити приватні додатки у своєму середовищі.

Щоб налаштувати URL-адресу PSC, створіть внутрішній розподілювач навантаження, а потім – підключення до сервісу, для якого використовується внутрішня IP-адреса.

Як створити внутрішній розподілювач навантаження

Приватні додатки в Google Workspace потрібно публікувати на основі внутрішнього розподілювача навантаження з увімкненим глобальним доступом. Докладніше про те, як опублікувати сервіс з автоматичним схваленням.

Як створити мережевий розподілювач навантаження внутрішнього проходження для ресурсу Compute або GKE

Перш ніж почати. Щоб захистити обмін інформацією за протоколом HTTPS, налаштуйте групу екземплярів, призначену для обробки запитів, що надходять на порт 443. Виберіть групу екземплярів на вкладці "Конфігурація серверної частини".

У Google Cloud Console перейдіть на сторінку Розподіл навантаження.
Натисніть Створити розподілювач навантаження.
Натисніть Почати налаштування мережевого розподілювача навантаження (TCP/SSL) і виберіть наведені нижче значення параметрів.
1. Для параметра Тип розподілювача навантаження виберіть Мережевий розподілювач навантаження (TCP/UDP/SSL).
2. Для параметра Проксі або проходження виберіть Проходження.
3. Для параметра З виходом в Інтернет або лише для внутрішнього трафіку виберіть Для внутрішнього трафіку.
4. Натисніть Далі.
5. Натисніть Продовжити.
Введіть назву розподілювача навантаження й виберіть регіон і мережу, де його потрібно розгорнути.
Важливо. Для розподілювача навантаження потрібно вибрати ту саму мережу, яку використовує група екземплярів.
Перейдіть на вкладку Конфігурація серверної частини.
1. Для параметра Протокол виберіть TCP.
2. Для параметра Тип стека IP-адрес виберіть IPv4.
3. Виберіть групу екземплярів.
  Щоб створити нову групу, перейдіть у розділ Групи екземплярів.
4. Виберіть перевірку стану зі списку. Щоб створити нову перевірку стану, виконайте наведені нижче дії.
  1. Виберіть Створити перевірку стану.
  2. Введіть назву перевірки стану (наприклад, ping-port).
  3. Виберіть регіональну область дії.
  4. Для параметра Протокол виберіть HTTPS.
  5. Не змінюйте порт 443.
  6. Для параметра Протокол проксі виберіть НЕМАЄ.
  7. Для параметра Шлях запиту залиште значення "/".
  8. Увімкніть журнали.
  9. Для критеріїв перевірки стану залиште значення за умовчанням.
Перейдіть на вкладку Конфігурація інтерфейсної частини.
1. (Необов’язково) Введіть назву інтерфейсної частини.
2. Для параметра Версія IP виберіть IPv4.
3. Виберіть підмережу.
4. Для параметра Призначення внутрішньої IP-адреси виберіть Без спільного доступу.
5. Для параметра Порти виберіть Один.
6. Введіть номер порту 443.
7. Для параметра Глобальний доступ виберіть Увімкнути.
Перейдіть на вкладку Перевірити й завершити, щоб переглянути налаштування розподілювача навантаження.
Натисніть Створити.

Як створити внутрішній розподілювач навантаження для ресурсу Cloud Run

У Google Cloud Console перейдіть на сторінку Розподіл навантаження.
Натисніть Створити розподілювач навантаження.
Натисніть Почати налаштування розподілювача навантаження додатків (HTTP/S) і виберіть наведені нижче значення параметрів.
1. Для параметра Тип розподілювача навантаження виберіть Розподілювач навантаження додатків (HTTP/HTTPS).
2. Для параметра З виходом в Інтернет або лише для внутрішнього трафіку виберіть Для внутрішнього трафіку.
3. Для параметра Розгортання в одному чи кількох регіонах виберіть В одному регіоні.
4. Натисніть Далі.
5. Натисніть Налаштувати.
Введіть назву розподілювача навантаження й виберіть регіон і мережу, де його буде розгорнуто.
Перейдіть на вкладку Конфігурація серверної частини.
1. Створіть або виберіть серверний сервіс.
2. Якщо ви створюватимете сервіс, для параметра Тип серверної частини виберіть Група кінцевих точок безсерверної мережі й визначте групу кінцевих точок мережі.
3. Якщо у вас немає кінцевої точки безсерверної мережі, виберіть опцію її створення.
  Перш ніж створювати групу кінцевих точок безсерверної мережі, створіть сервіс Cloud Run, на який указуватиме група кінцевих точок.
Перейдіть на вкладку Конфігурація інтерфейсної частини.
1. Для параметра Протокол виберіть HTTPS.
2. Виберіть підмережу.
3. Якщо ви ще не зарезервували підмережу, виконайте вказівки на екрані.
4. Увімкніть глобальний доступ.
5. Виберіть наявний сертифікат або створіть новий.
Натисніть Створити.

Як створити URL-адресу підключення до сервісу

Щоб налаштувати URL-адресу PSC, створіть підключення до сервісу, для якого використовується внутрішня IP-адреса.

У Google Cloud Console перейдіть на сторінку Private Service Connect.
Перейдіть на вкладку Опублікувати сервіс.
Натисніть Опублікувати сервіс.
Виберіть тип розподілювача навантаження для сервісу, який потрібно опублікувати.
- Мережевий розподілювач навантаження внутрішнього проходження.
- Мережевий розподілювач навантаження регіонального внутрішнього проксі-сервера.
- Регіональний внутрішній розподілювач навантаження додатків.
Виберіть Внутрішній розподілювач навантаження, де розміщено сервіс, який потрібно опублікувати.
У поля мережі й регіону підставляються дані вибраного внутрішнього розподілювача навантаження.
У полі Назва сервісу введіть назву підключення до сервісу.
Виберіть для сервісу одну або кілька підмереж. Щоб додати нову підмережу, її можна створити.
1. Натисніть Зарезервувати нову підмережу.
2. Укажіть назву й за потреби опис підмережі.
3. Виберіть регіон.
4. Введіть діапазон IP-адрес для підмережі й натисніть Додати.
У розділі Параметри підключень виберіть Автоматично приймати всі підключення.
Натисніть Додати сервіс.
Натисніть опублікований сервіс. У полі Підключення сервісу вкажіть назву, щоб створити URL-адресу:
https://googleapis.com/compute/v1/SERVICE_Attach_NAME

Використовуйте цю URL-адресу, коли додаватимете приватний вебдодаток у Google Workspace. Докладніше про те, як включити додаток в обліковий запис Workspace.

Налаштування для вебдодатків, розміщених у хмарних сервісах інших постачальників або локальних центрах обробки даних

Щоб безпечно підключити хмарну або локальну мережу до Google Cloud, додайте конектор додатків.

За допомогою конекторів додатків можна підключати додатки з інших хмар до Google без віртуальної приватної мережі (VPN).

Як створити віртуальну машину в сторонній мережі (не Google)

Віддалений агент для кожного конектора додатків потрібно встановлювати на окремій віртуальній машині або фізичному сервері в середовищі, що не належить Google.

Щоб створити віртуальну машину, зверніться по допомогу до адміністратора мережі або дотримуйтеся вказівок постачальника хмарних сервісів.
Щоб запустити віддалений агент, використовуйте Docker на кожній віртуальній машині або сервері.
Переконайтеся, що мережевий брандмауер для віртуальної машини віддаленого агента дозволяє весь вихідний трафік із порту 443 для діапазону IP-адрес IAP-TCP 35.235.240.0/20. Інші домени, для яких брандмауер повинен дозволяти вихідний трафік, наведено в розділі Перевірка конфігурації брандмауера.

Як додати конектор додатків і встановити віддалений агент

Щоб включити конектор додатків, виконайте наведені нижче дії.
1. Увійдіть в Консоль адміністратора Google з даними облікового запису адміністратора.
  Без облікового запису з такими правами ви не зможете отримати доступ до Консолі адміністратора.
2. Натисніть значок Додатки > Мобільні й вебдодатки.
  Потрібно мати права адміністратора на керування мобільними пристроями.
3. Перейдіть на вкладку Конектори BeyondCorp Enterprise (BCE).
4. Натисніть Додати конектор.
5. Введіть назву конектора, наприклад connect-myapp.
6. Виберіть регіон, який знаходиться близько до стороннього середовища.
7. Натисніть Додати конектор.
8. Щоб переглянути статус, угорі праворуч натисніть значок Ваші завдання.
Створіть екземпляр віртуальної машини для розміщення віддаленого агента.
Для цього дотримуйтеся вказівок адміністратора мережі або постачальника хмарних сервісів. Докладніше про те, як створити віртуальну машину в сторонній мережі.
Установіть віддалений агент.
1. Натисніть назву конектора додатків.
2. Виберіть Установити віддалений агент.
3. Установіть віддалений агент у сторонньому середовищі.
  - Створіть екземпляр віртуальної машини для розміщення віддаленого агента. Для цього дотримуйтеся вказівок адміністратора мережі або постачальника хмарних сервісів.
  - Установіть контейнер Docker, потрібний для запуску віддаленого агента. Вказівки щодо встановлення Docker Engine наведено в онлайн-документації.
  - Установіть і зареєструйте віддалений агент за допомогою команд інтерфейсу командного рядка (CLI), які відображаються на сторінці конектора додатків Google Workspace.
  - Скопіюйте й вставте відкритий ключ, який з’явиться після реєстрації віддаленого агента.
4. Натисніть Зберегти.

Тепер на сторінці конектора додатків має бути вказано доданий відкритий ключ.

Як обмежити доступ і автентифікацію

Адміністратор, який створив вебдодаток, може вирішити, за яких умов користувач матиме до нього доступ. Наприклад, можна обмежити доступ користувачів із певного домену або дозволити доступ лише в певні години чи дні. Якщо доступ заборонено, користувача буде переспрямовано на певну сторінку.

Увійдіть в Консоль адміністратора Google з даними облікового запису адміністратора.
Без облікового запису з такими правами ви не зможете отримати доступ до Консолі адміністратора.
Натисніть значок Додатки > Мобільні й вебдодатки.
Потрібно мати права адміністратора на керування мобільними пристроями.
Перейдіть на вкладку Додатки натисніть додаток, щоб відкрити його сторінку.
Натисніть Розширені налаштування.

Цільова сторінка 403: введіть вебадресу, на яку переспрямовуватимуться користувачі, якщо їм буде відмовлено в доступі до додатка. Використовуйте формат https://<url>.
Домен автентифікації: укажіть URL-адресу Системи єдиного входу (SSO), щоб користувачі могли входити за допомогою облікових даних організації. При цьому також буде заблоковано доступ користувачів, у яких немає дійсних облікових даних для домену Google Workspace. Використовуйте формат sso.your.org.com.
Дозволені домени: поставте прапорець поруч з опцією Увімкнути дозволені домени, щоб дозволити користувачам доступ лише до вказаних доменів. Їх потрібно перерахувати через кому (наприклад, test.your.org.com, prod.your.org.com).
Повторна автентифікація: використовуйте ці параметри, щоб користувачам потрібно було пройти повторну автентифікацію через заданий інтервал часу. Наприклад, можна вимагати використовувати ключ безпеки або двохетапну перевірку.
- Вхід: користувачам потрібно буде пройти повторну автентифікацію за допомогою імені користувача й пароля через певний час після входу.
- Ключ безпеки: користувачам потрібно буде пройти повторну автентифікацію за допомогою ключа безпеки.
- Двохетапна перевірка: користувачам потрібно буде пройти повторну автентифікацію за допомогою двохетапної перевірки.

Докладніше про повторну автентифікацію IAP.

Як налаштувати контроль доступу з урахуванням контексту

Використовуючи доступ з урахуванням контексту, ви можете визначати, до яких приватних вебдодатків матимете доступ користувач за певних умов. Одним із критеріїв може бути відповідність пристрою користувача корпоративним правилам.

Наприклад, можна створити докладні правила контролю доступу до даних Google Workspace для додатків на основі таких атрибутів, як особа користувача, місцезнаходження, статус безпеки пристрою і ІР-адреса.

Докладніше про те, як призначати рівні доступу для приватних вебдодатків.

Чи корисна ця інформація?

Як можна її покращити?