Notification

Duet AI s'appelle désormais Gemini pour Google Workspace. En savoir plus

Déployer des applications Web privées

Les applications Web privées sont créées pour les utilisateurs internes d'une organisation, tels que les employés et les sous-traitants. Ces applications peuvent être déployées à l'aide de BeyondCorp Enterprise (BCE) dans la console d'administration Workspace.

Ajouter l'application à votre compte Workspace

Les applications privées peuvent être hébergées sur Google Cloud, un autre fournisseur cloud ou un centre de données sur site.

  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Dans la console d'administration, accédez à Menu  puis  Applications puis Applications Web et mobiles.

  3. Cliquez sur Ajouter une applicationpuisAjouter une application Web privée.
  4. Sous "Détails de l'application", saisissez le nom de l'application et l'URL permettant aux utilisateurs d'y accéder.
  5. Sélectionnez l'emplacement où votre application est hébergée :
    1. Applications hébergées sur Google Cloud : saisissez l'URL Private Service Connect (PSC) sous "Détails de l'hôte de l'application". Pour en savoir plus, consultez Paramètres des applications hébergées sur Google Cloud.
    2. Applications HTTPS hébergées chez un autre fournisseur cloud :
  6. Cliquez sur Add application (Ajouter une application).

Paramètres des applications hébergées sur Google Cloud

Créez une URL Private Service Connect (PSC) pour connecter les applications privées de votre environnement.

Pour configurer l'URL PSC, créez un équilibreur de charge interne, puis créez un rattachement de service qui utilise une adresse IP interne. 

Créer un équilibreur de charge interne

Les applications privées dans Google Workspace doivent être publiées derrière un équilibreur de charge interne avec l'accès mondial activé. Pour en savoir plus, consultez Publier un service avec approbation automatique.

Créer un équilibreur de charge interne pour une ressource Compute ou GKE

  1. Dans la console Google Cloud, accédez à la page Équilibrage de charge.
  2. Cliquez sur Créer un équilibreur de charge.
  3. Cliquez sur Démarrer la configuration pour l'équilibreur de charge réseau (TCP/SSL).
    • Pour Web ou interne uniquement, sélectionnez Seulement entre les VM.
    • Ne modifiez pas les autres valeurs par défaut.
    • Cliquez sur Continuer.
  4. Saisissez le nom de l'équilibreur de charge, puis sélectionnez la région et le réseau dans lesquels il sera déployé.
  5. Sélectionnez l'onglet Configuration du backend.
    • Sélectionnez le type de backend de votre ressource.
    • Fournissez la vérification d'état du service.
    • Ne modifiez pas les autres valeurs par défaut.
  6. Sélectionnez l'onglet Configuration de l'interface.
    • Sélectionnez Activer pour l'accès mondial.
    • Sélectionnez le sous-réseau.
    • Saisissez le numéro de port.
    • Ne modifiez pas les autres valeurs par défaut.
  7. Cliquez sur Créer.

Créer un équilibreur de charge interne pour une ressource Cloud Run

  1. Dans la console Google Cloud, accédez à la page Équilibrage de charge.
  2. Cliquez sur Créer un équilibreur de charge.
  3. Cliquez sur Démarrer la configuration pour l'équilibreur de charge d'application (HTTP/S).
    1. Sélectionnez Seulement entre les VM ou Services sans serveur.
    2. Cliquez sur Continuer.
  4. Saisissez le nom de l'équilibreur de charge, puis sélectionnez la région et le réseau dans lesquels il sera déployé.
  5. Sélectionnez l'onglet Configuration de l'interface.
    1. Sélectionnez le sous-réseau.
    2. Suivez les instructions à l'écran pour réserver un sous-réseau si vous ne l'avez pas déjà fait.
  6. Sélectionnez l'onglet Configuration du backend.
    1. Créez ou sélectionnez le service de backend.
    2. Si vous créez un service, sélectionnez le groupe de points de terminaison du réseau sans serveur.
  7. Cliquez sur Créer.

Créer l'URL du rattachement de service

Pour configurer l'URL PSC, créez un rattachement de service qui utilise une adresse IP interne.

  1. Dans la console Google Cloud, accédez à la page Private Service Connect.
  2. Cliquez sur l'onglet Publier le service.
  3. Cliquez sur Publier le service.
  4. Sélectionnez le type d'équilibreur de charge pour le service que vous souhaitez publier :
    • Équilibreur de charge réseau passthrough interne
    • Équilibreur de charge réseau proxy interne régional
    • Équilibreur de charge d'application interne régional
  5. Sélectionnez l'équilibreur de charge interne qui héberge le service que vous souhaitez publier.
    Les champs de réseau et de région sont renseignés avec les détails de l'équilibreur de charge interne sélectionné.
  6. Dans le champ Nom du service, saisissez le nom du rattachement de service.
  7. Sélectionnez un ou plusieurs sous-réseaux pour le service. Si vous souhaitez ajouter un sous-réseau, vous pouvez en créer un :
    • Cliquez sur Réserver un nouveau sous-réseau.
    • Saisissez un nom et une description facultative pour le sous-réseau.
    • Sélectionnez une région pour le sous-réseau.
    • Saisissez la plage d'adresses IP à utiliser pour le sous-réseau, puis cliquez sur Ajouter.
  8. Sélectionnez Accepter automatiquement les connexions.
  9. Cliquez sur Ajouter un service.
  10. Cliquez sur le service publié. Le champ "Rattachement de service" contient le nom du rattachement de service. L'URL est la suivante:
    https://www.googleapis.com/compute/v1/NOM_RATTACHEMENT_SERVICE

Paramètres pour les applications hébergées par d'autres fournisseurs de services cloud ou dans des centres de données sur site

Pour connecter de manière sécurisée votre réseau cloud ou sur site au cloud Google, ajoutez un connecteur d'application.

Les connecteurs d'application vous permettent de connecter de manière sécurisée votre application à Google depuis d'autres clouds sans VPN de site à site. 

Créer une VM sur le réseau autre que Google

L'agent distant de chaque connecteur d'application doit être installé sur une machine virtuelle (VM) dédiée ou sur n'importe quel serveur Bare Metal dans un environnement autre que Google.

  • Pour créer la VM, demandez de l'aide à votre administrateur réseau ou suivez les instructions fournies par votre fournisseur de services cloud.
  • Docker est également requis sur chaque VM ou chaque serveur pour exécuter l'agent distant. 
  • Assurez-vous que le pare-feu du réseau de la VM de l'agent distant autorise tout le trafic sortant initié sur le port 443 pour la plage d'adresses IP IAP-TCP 35.235.240.0/20. Consultez Vérifier la configuration du pare-feu pour les autres domaines vers lesquels le pare-feu de la VM de l'agent distant doit autoriser le trafic sortant.

Ajouter un connecteur d'application et installer l'agent distant

Les connecteurs d'application nécessitent l'installation et l'exécution d'un agent distant sur chaque réseau autre que Google où vos applications sont hébergées. L'agent distant initie et gère la connexion réseau sécurisée, et achemine le trafic entre Google Workspace et l'application.

  1. Ajoutez un connecteur d'application :
    1. Connectez-vous à la Console d'administration Google.

      Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

    2. Dans la console d'administration, accédez à Menu  puis  Applications puis Applications Web et mobiles.

    3. Cliquez sur l'onglet Connecteurs BeyondCorp Enterprise (BCE).
    4. Cliquez sur Ajouter un connecteur.
    5. Entrez un nom de connecteur. Exemple: connecter-monappli.
    6. Sélectionnez une région proche de l'environnement autre que Google.
    7. Cliquez sur Ajouter un connecteur.
    8. Pour afficher l'état, cliquez sur puisVos tâches en haut à droite.
  2. Créer une instance de machine virtuelle (VM) pour héberger l'agent distant
    Suivez les instructions fournies par votre administrateur réseau ou votre fournisseur de services cloud. Consultez la section Créer une VM sur le réseau autre que Google.
  3. Installez un agent distant.
    1. Cliquez sur le nom du connecteur d'application.
    2. Cliquez sur Installer un agent distant.
    3. Dans l'environnement autre que Google, installez l'agent distant :
      • Créer une instance de machine virtuelle (VM) pour héberger l'agent distant Suivez les instructions fournies par votre administrateur réseau ou votre fournisseur de services cloud.
      • Installez Docker, qui est nécessaire pour exécuter l'agent distant. Pour obtenir des instructions, consultez la documentation en ligne sur l'installation de Docker Engine.
      • Installez et enregistrez l'agent distant à l'aide des commandes CLI affichées sur la page du connecteur d'application Google Workspace.
      • Copiez et collez la clé publique qui s'affiche une fois l'agent distant enregistré. 
    4. Cliquez Enregistrer.

La page du connecteur d'application devrait indiquer qu'une clé publique a bien été ajoutée.

Restreindre l'accès et l'authentification

  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Dans la console d'administration, accédez à Menu  puis  Applications puis Applications Web et mobiles.

  3. Cliquez sur l'onglet Applications, puis sur une application pour ouvrir sa page d'informations.
  4. Cliquez sur Paramètres avancés.
    • Page de destination 403 : saisissez l'adresse Web vers laquelle les utilisateurs seront redirigés s'ils se voient refuser l'accès à l'application. Utilisez le format https://<url>.
    • Domaine d'authentification : saisissez l'URL d'authentification unique (SSO) de votre organisation pour permettre aux utilisateurs de se connecter à l'aide de leurs identifiants professionnels. Cela permet aussi de refuser l'accès aux utilisateurs qui ne disposent pas d'identifiants valides pour votre domaine Workspace. Utilisez le format sso.votre.org.com
    • Domaines autorisés : cochez l'option Activer les domaines autorisés pour limiter l'accès des utilisateurs aux domaines spécifiés. Séparez les entrées par une virgule. Par exemple: test.votre.org.com, prod.votre.org.com.
    • Réauthentification : utilisez ces options pour exiger que les utilisateurs s'authentifient de nouveau après un certain temps. Par exemple, vous pouvez utiliser une clé de sécurité tactile ou la validation en deux étapes.
  • Connexion: demandez aux utilisateurs de s'authentifier de nouveau à l'aide d'un nom d'utilisateur/mot de passe après avoir été connectés pendant la durée spécifiée.
  • Clé sécurisée: demandez aux utilisateurs de s'authentifier de nouveau à l'aide de leur clé de sécurité.
  • Seconds facteurs enregistrés: exigez que les utilisateurs s'authentifient de nouveau à l'aide d'une méthode d'authentification à deux facteurs (A2F).

Pour en savoir plus, consultez Réauthentification IAP.

Attribuer un contrôle de l'accès contextuel

Grâce à l'accès contextuel, vous pouvez contrôler les applications privées auxquelles un utilisateur peut accéder en fonction de son contexte, par exemple la conformité de son appareil avec vos règles informatiques. 

Par exemple, vous pouvez créer des règles précises de contrôle des accès pour les applications qui accèdent aux données Workspace, sur la base d'attributs tels que l'identité de l'utilisateur, son emplacement, le niveau de sécurité de l'appareil et son adresse IP.

Pour en savoir plus, consultez Attribuer des niveaux d'accès aux applications privées.

Ces informations vous-ont elles été utiles ?

Comment pouvons-nous l'améliorer ?

Vous avez encore besoin d'aide ?

Essayez les solutions ci-dessous :

Publier dans la communauté d'aide Obtenez des réponses de membres de la communauté
Contactez-nous Donnez-nous plus de détails pour que nous puissions vous aider
true
Démarrez dès aujourd'hui votre essai gratuit de 14 jours.

Messagerie professionnelle, stockage en ligne, agendas partagés, visioconférences et bien plus. Démarrez dès aujourd'hui votre essai gratuit de G Suite.

Recherche
Effacer la recherche
Fermer le champ de recherche
Menu principal
18067296411220236944
true
Rechercher dans le centre d'aide
true
true
true
true
true
73010
false
false