Notifica

Duet AI ha cambiato nome in Gemini per Google Workspace. Scopri di più

Esegui il deployment di app web private

Le applicazioni web private vengono create per gli utenti interni di un'organizzazione, ad esempio dipendenti e collaboratori. Puoi eseguire il deployment di queste app utilizzando Chrome Enterprise Premium nella Console di amministrazione Google.

Aggiungere l'app all'account Google Workspace

Le app private possono essere ospitate su Google Cloud, su un altro provider cloud o su un data center on-premise.

  1. Accedi alla Console di amministrazione Google.

    Accedi utilizzando l'account amministratore (che non termina con @gmail.com).

  2. Nella Console di amministrazione, vai a Menu e poi Applicazionie poiApp web e mobile.

  3. Fai clic su Aggiungi appe poiAggiungi app web privata.
  4. In Dettagli applicazione, inserisci il nome dell'app e l'URL da cui gli utenti accedono all'app.
  5. Specifica dove è ospitata la tua applicazione:
  6. Fai clic su Add application (Aggiungi applicazione).

Impostazioni per le app ospitate su Google Cloud

Crea un URL di Private Service Connect (PSC) per connettere le app private nel tuo ambiente.

Per configurare l'URL PSC, crea un bilanciatore del carico interno, quindi crea un collegamento a un servizio che utilizzi un indirizzo IP interno. 

Creare un bilanciatore del carico interno

Le app private in Google Workspace devono essere pubblicate dietro un bilanciatore del carico interno con l'accesso globale abilitato. Per maggiori dettagli, vedi Pubblicare un servizio con approvazione automatica.

Crea un bilanciatore del carico interno per Compute o una risorsa GKE

Prima di iniziare: per consentire le comunicazioni HTTPS sicure, imposta un gruppo di istanze configurato per gestire le richieste sulla porta 443. Il gruppo di istanze verrà selezionato nella scheda di configurazione Backend.

  1. Nella console Google Cloud, vai alla pagina Bilanciamento del carico.
  2. Fai clic su Crea bilanciatore del carico.
  3. Fai clic su Avvia configurazione per il bilanciatore del carico di rete (TCP/SSL) e seleziona quanto segue:
    1. Tipo di bilanciatore del carico: bilanciatore del carico di rete (TCP/UDP/SSL).
    2. Proxy o passthrough: passthrough.
    3. In corrispondenza di internet o solo interno: Interno.
    4. Tocca Avanti.
    5. Fai clic su Continua.
  4. Inserisci il nome del bilanciatore del carico e seleziona la regione e la rete in cui eseguirai il deployment del bilanciatore del carico.
    Importante: la rete scelta per il bilanciatore del carico deve essere la stessa utilizzata dal gruppo di istanze.
  5. Seleziona la scheda Configurazione backend.
    1. Protocollo: seleziona TCP
    2. Tipo di stack IP: seleziona IPv4
    3. Seleziona un gruppo di istanze.
      Per crearne uno, vai a Gruppi di istanze.
    4. Seleziona un controllo di integrità dall'elenco.  Per creare un nuovo controllo di integrità:
      1. Seleziona Crea controllo di integrità.
      2. Inserisci un nome per il controllo di integrità (ad esempio: ping-port).
      3. Seleziona Ambito a livello di regione.
      4. Come protocollo, scegli HTTPS.
      5. Mantieni la porta 443.
      6. Per Protocollo proxy, seleziona NESSUNO.
      7. Per il percorso di richiesta, lascia "/".
      8. Attiva i log.
      9. Mantieni i valori predefiniti per i criteri di integrità.
  6. Seleziona la scheda Configurazione frontend
    1. (Facoltativo) Inserisci un nome per il frontend.
    2. Per la versione IP, seleziona IPv4.
    3. Seleziona una subnet.
    4. Per IP interno, seleziona Non condiviso.
    5. Per le porte, seleziona Singola.
    6. Inserisci il numero di porta 443.
    7. Per l'accesso globale, seleziona Attiva.
  7. Seleziona la scheda Esamina e finalizza per rivedere le impostazioni di configurazione del bilanciatore del carico.
  8. Fai clic su Create (Crea).

Crea un bilanciatore del carico interno per la risorsa Cloud Run

  1. Nella console Google Cloud, vai alla pagina Bilanciamento del carico.
  2. Fai clic su Crea bilanciatore del carico.
  3. Fai clic su Avvia configurazione per il bilanciatore del carico delle applicazioni (HTTP/S) e seleziona quanto segue.
    1. Tipo di bilanciatore del carico: Bilanciatore del carico delle applicazioni (HTTP/HTTPS).
    2. In corrispondenza di internet o solo interno: Interno.
    3. Deployment in più regioni o in una singola regione: una singola regione.
    4. Tocca Avanti.
    5. Fai clic su Configura.
  4. Inserisci il nome del bilanciatore del carico e seleziona la regione e la rete in cui verrà eseguito il deployment del bilanciatore del carico.
  5. Seleziona la scheda Configurazione backend.
    1. Crea o seleziona il servizio di backend.
    2. Se crei un servizio, seleziona il tipo di backend Gruppo di endpoint di rete serverless e seleziona un gruppo di endpoint di rete.
    3. Se non hai un endpoint di rete serverless, seleziona l'opzione per crearne uno nuovo.
      Prima di creare il gruppo di endpoint di rete serverless, crea un servizio Cloud Run a cui punterà il gruppo di endpoint.
  6. Seleziona la scheda Configurazione frontend
    1. Protocollo: seleziona HTTPS.
    2. Seleziona la subnet.
    3. Se non l'hai ancora fatto, completa i passaggi visualizzati sullo schermo per prenotare una subnet.
    4. Abilita accesso globale.
    5. Per il certificato, puoi scegliere di crearne uno nuovo o sceglierne uno esistente.
  7. Fai clic su Create (Crea).

Creare l'URL del collegamento al servizio

Per configurare l'URL PSC, crea un collegamento a un servizio che utilizzi un indirizzo IP interno.

  1. Nella console Google Cloud, vai alla pagina Private Service Connect.
  2. Fai clic sulla scheda Pubblica servizio .
  3. Fai clic su Pubblica servizio.
  4. Seleziona il tipo di bilanciatore del carico per il servizio che vuoi pubblicare:
    • Bilanciatore del carico di rete passthrough interno
    • Bilanciatore del carico di rete proxy interno regionale
    • Bilanciatore del carico delle applicazioni interno regionale
  5. Seleziona il Bilanciatore del carico interno che ospita il servizio da pubblicare.
    I campi relativi a rete e regione vengono compilati con i dettagli del bilanciatore del carico interno selezionato.
  6. In Nome servizio, inserisci un nome per il collegamento al servizio.
  7. Seleziona una o più subnet per il servizio. Se vuoi aggiungere una nuova subnet, puoi crearne una:
    • Fai clic su Prenota nuova subnet.
    • Inserisci un nome e una descrizione facoltativa per la subnet.
    • Seleziona una regione per la subnet.
    • Inserisci l'intervallo IP da utilizzare per la subnet e fai clic su Aggiungi.
  8. Per Preferenza di connessione, seleziona Accetta automaticamente tutte le connessioni.
  9. Fai clic su Aggiungi servizio.
  10. Fai clic sul servizio pubblicato. Utilizza il nome del collegamento al servizio nel campo Collegamento servizio per creare l'URL:
    https://www.googleapis.com/compute/v1/SERVICE_ATTACHMENT_NAME
  11. Inserisci l'URL quando aggiungi la tua app privata in Google Workspace. Vedi Aggiungere l'app all'account Workspace.

Impostazioni per le app ospitate su altri provider cloud o data center on-prem

Per connettere in modo sicuro la tua rete cloud o on-prem al cloud Google, aggiungi un connettore di app.

I connettori di app ti consentono di connettere in modo sicuro la tua applicazione da altri cloud a Google senza una VPN site-to-site. 

Creare una VM sulla rete non Google 

Devi installare ogni agente remoto del connettore di app su una macchina virtuale (VM) dedicata o su qualsiasi server Bare Metal nell'ambiente non Google. 

  • Per creare la VM, chiedi assistenza all'amministratore di rete o segui le istruzioni fornite dal tuo provider cloud.
  • Per eseguire l'agente remoto, utilizza Docker su ogni VM o server. 
  • Assicurati che il firewall di rete per la VM dell'agente remoto consenta tutto il traffico in uscita avviato sulla porta 443 per l'intervallo IP IAP-TCP 35.235.240.0/20. Vedi Verificare la configurazione del firewall per gli altri domini a cui il firewall della VM dell'agente remoto deve consentire il traffico in uscita.

Aggiungi un connettore di app e installa l'agente remoto

  1. Aggiungi un connettore di app:
    1. Accedi alla Console di amministrazione Google.

      Accedi utilizzando l'account amministratore (che non termina con @gmail.com).

    2. Nella Console di amministrazione, vai a Menu e poi Applicazionie poiApp web e mobile.

    3. Fai clic sulla scheda Connettori BeyondCorp Enterprise (BCE).
    4. Fai clic su Aggiungi connettore.
    5. Inserisci un nome per il connettore. Ad esempio, connect-myapp.
    6. Seleziona una regione vicina all'ambiente non Google.
    7. Fai clic su Aggiungi connettore.
    8. Per visualizzare lo stato, in alto a destra, fai clic su e poiLe tue attività.
  2. Crea un'istanza VM per ospitare l'agente remoto.
    Segui le istruzioni fornite dall'amministratore di rete o dal provider cloud. Vedi Creare una VM sulla rete non Google.
  3. Installa un agente remoto.
    1. Fai clic sul nome del connettore di app.
    2. Fai clic su Installa agente remoto.
    3. Nell'ambiente non Google, installa l'agente remoto:
      • Crea un'istanza di macchina virtuale (VM) per ospitare l'agente remoto. Segui le istruzioni fornite dall'amministratore di rete o dal provider cloud.
      • Installa Docker, necessario per eseguire l'agente remoto. Per istruzioni, consulta la documentazione online per installare Docker Engine.
      • Installa e registra l'agente remoto utilizzando i comandi dell'interfaccia a riga di comando visualizzati nella pagina del connettore di app di Google Workspace.
      • Copia e incolla la chiave pubblica visualizzata dopo la corretta registrazione dell'agente remoto. 
    4. Fai clic su Salva.

La pagina del connettore di app dovrebbe mostrare che una chiave pubblica è stata aggiunta correttamente.

Limitare accesso e autenticazione

L'amministratore che ha creato l'app può decidere in quali condizioni un utente deve essere in grado di accedervi. Ad esempio, puoi limitare l'accesso agli utenti di un dominio specifico o consentire l'accesso solo in determinati orari o giorni. Se l'accesso viene negato, l'utente viene reindirizzato a una pagina specifica.
  1. Accedi alla Console di amministrazione Google.

    Accedi utilizzando l'account amministratore (che non termina con @gmail.com).

  2. Nella Console di amministrazione, vai a Menu e poi Applicazionie poiApp web e mobile.

  3. Fai clic sulla scheda App, quindi su un'app per aprire la pagina dei dettagli.
  4. Fai clic su Impostazioni avanzate.
  • Pagina di destinazione 403: inserisci l'indirizzo web a cui gli utenti verranno reindirizzati in caso di rifiuto dell'accesso all'app. Utilizza il formato https://<url>.
  • Dominio di autenticazione: inserisci l'URL Single Sign-On (SSO) per la tua organizzazione per consentire agli utenti di accedere utilizzando le credenziali della loro organizzazione. Inoltre, nega l'accesso agli utenti che non dispongono di credenziali valide per il tuo dominio Google Workspace. Utilizza questo formato sso.your.org.com
  • Domini consentiti: seleziona la casella Abilita domini consentiti per limitare l'accesso degli utenti solo ai domini specificati. Separa le voci con una virgola.  Ad esempio: test.your.org.com, prod.your.org.com.
  • Riautenticazione: utilizza queste opzioni per richiedere agli utenti di eseguire nuovamente l'autenticazione dopo un determinato periodo di tempo.  Ad esempio, puoi usare un token di sicurezza touch o la verifica in due passaggi.
    • Accesso: richiedi agli utenti di eseguire nuovamente l'autenticazione con nome utente o password dopo aver eseguito l'accesso per il periodo di tempo specificato.
    • Token di sicurezza: richiedi agli utenti di eseguire nuovamente l'autenticazione utilizzando il proprio token di sicurezza.
    • Registrazione a due fattori: richiedi agli utenti di eseguire nuovamente l'autenticazione utilizzando un metodo di autenticazione a due fattori (2FA).

Per saperne di più, consulta Riautenticazione IAP.

Assegnare il controllo dell'accesso sensibile al contesto

Con l'accesso sensibile al contesto, puoi controllare le app private a cui un utente può accedere in base al contesto, ad esempio al fatto che il dispositivo sia conforme o meno ai criteri IT. 

Ad esempio, puoi creare criteri di controllo granulare degli accessi per le app che accedono ai dati di Google Workspace in base ad attributi come l'identità dell'utente, la località, lo stato della sicurezza del dispositivo e l'indirizzo IP.

Per maggiori dettagli, vedi Assegnare i livelli di accesso alle app private.

È stato utile?

Come possiamo migliorare l'articolo?

Hai bisogno di ulteriore assistenza?

Prova i passaggi successivi indicati di seguito:

Pubblica una domanda nella community di assistenza Ricevi risposte dai membri della community
Contattaci Dacci ulteriori informazioni e potremo aiutarti
true
Inizia oggi la tua prova gratuita di 14 giorni oggi

Email professionale, spazio di archiviazione online, calendari condivisi, riunioni video e altro ancora. Inizia oggi la prova gratuita di G Suite.

Ricerca
Cancella ricerca
Chiudi ricerca
Menu principale
12718188598622015104
true
Cerca nel Centro assistenza
true
true
true
true
true
73010
false
false