Notificación

Duet AI ahora es Gemini para Google Workspace. Más información

La pàgina que has sol·licitat actualment no està disponible en el teu idioma. Pots seleccionar un altre idioma a la part inferior de la pàgina o bé traduir de manera instantània qualsevol pàgina web a l'idioma que vulguis mitjançant la funció de traducció integrada de Google Chrome.

Implementar aplicaciones web privadas

Las aplicaciones web privadas se crean para los usuarios internos de una organización, como empleados y contratistas. Estas aplicaciones pueden implementarse mediante BeyondCorp Enterprise (BCE) en la consola de administración de Workspace.

Añadir una aplicación a una cuenta de Workspace

Las aplicaciones privadas pueden estar alojadas en Google Cloud, en otro proveedor de servicios en la nube o en un centro de datos on‐premise.

  1. Inicia sesión en la consola de administración de Google.

    Utiliza tu cuenta de administrador (no termina en @gmail.com).

  2. En la consola de administración, ve a Menú y luego Aplicacionesy luegoAplicaciones web y móviles.

  3. Haz clic en Añadir aplicación y luego Añadir aplicación web privada.
  4. En Detalles de la aplicación, indica el nombre de la aplicación y la URL desde la que los usuarios pueden acceder a ella.
  5. Selecciona dónde se aloja tu aplicación:
    1. Aplicaciones alojadas en Google Cloud: introduce la URL de Private Service Connect (PSC) en Detalles del alojamiento de aplicaciones. Para obtener más información, consulta la sección Configuración de aplicaciones alojadas en Google Cloud.
    2. Aplicaciones HTTPS alojadas en otro proveedor de servicios en la nube:
  6. Haz clic en Añadir aplicación.

Configuración de aplicaciones alojadas en Google Cloud

Crea una URL de Private Service Connect (PSC) para conectar las aplicaciones privadas de tu entorno.

Para configurar la URL de PSC, crea un balanceador de carga interno y, a continuación, una vinculación de servicio que utilice una dirección IP interna. 

Crear un balanceador de carga interno

Las aplicaciones privadas de Google Workspace deben publicarse mediante un balanceador de carga interno con el acceso global habilitado. Consulta más información en el artículo sobre cómo publicar un servicio con aprobación automática.

Crear un balanceador de carga interno para un recurso de Compute o de GKE

  1. En la consola de Google Cloud, ve a la página Balanceo de carga.
  2. Haz clic en Crear balanceador de carga.
  3. Haz clic en Iniciar configuración del balanceador de carga de red (TCP/SSL).
    • Si eliges la opción Orientado a Internet o solo de uso interno, selecciona Solo entre mis máquinas virtuales.
    • No cambies los valores predeterminados restantes.
    • Haz clic en Continuar.
  4. Introduce el nombre del balanceador de carga y selecciona la región y la red donde se implementará.
  5. Selecciona la pestaña Configuración de backend.
    • Selecciona el tipo de backend del recurso.
    • Proporcionar la comprobación del estado del servicio.
    • No cambies los valores predeterminados restantes.
  6. Selecciona la pestaña Configuración de frontend.
    • Selecciona Habilitar el acceso global.
    • Selecciona la subred.
    • Introduce el número de puerto.
    • No cambies los valores predeterminados restantes.
  7. Haz clic en Crear.

Crear un balanceador de carga interno para un recurso de Cloud Run

  1. En la consola de Google Cloud, ve a la página Balanceo de carga.
  2. Haz clic en Crear balanceador de carga.
  3. Haz clic en Iniciar configuración del balanceador de carga de aplicación (HTTP/S).
    1. Selecciona Solo entre mis máquinas virtuales o Servicios sin servidor.
    2. Haz clic en Continuar.
  4. Introduce el nombre del balanceador de carga y selecciona la región y la red donde se implementará.
  5. Selecciona la pestaña Configuración de frontend.
    1. Selecciona la subred.
    2. Completa los pasos que aparecen en pantalla para reservar una subred si aún no lo has hecho.
  6. Selecciona la pestaña Configuración de backend.
    1. Crea o selecciona el servicio de backend.
    2. Si vas a crear un servicio, selecciona el grupo de endpoints de red sin servidor que corresponda.
  7. Haz clic en Crear.

Crear la URL de una vinculación de servicio

Para configurar la URL de PSC, crea una vinculación de servicio que utilice una dirección IP interna.

  1. En la consola de Google Cloud, ve a la página Private Service Connect.
  2. Haz clic en la pestaña Publicar servicio.
  3. Haz clic en Publicar servicio.
  4. Selecciona el tipo de balanceador de carga del servicio que quieras publicar:
    • Balanceador de carga de red de paso a través interno
    • Balanceador de carga de red de proxy interno regional
    • Balanceador de carga de aplicación interno regional
  5. Selecciona el balanceador de carga interno en el que se aloja el servicio que quieres publicar.
    Los campos de red y de región se rellenan con los detalles del balanceador de carga interno seleccionado.
  6. En Nombre del servicio, escribe el nombre de la vinculación de servicio.
  7. Selecciona una o varias subredes del servicio. Si quieres añadir una nueva subred, puedes crearla siguiendo estos pasos:
    • Haz clic en Reservar nueva subred.
    • Escribe un nombre para la subred y, si quieres, una descripción.
    • Selecciona la región de la subred.
    • Introduce el intervalo de IP que quieras usar para la subred y haz clic en Añadir.
  8. Selecciona Aceptar conexiones automáticamente.
  9. Haz clic en Añadir servicio.
  10. Haz clic en el servicio publicado. El campo Vinculación de servicio contiene el nombre de la vinculación correspondiente. La URL es:
    https://www.googleapis.com/compute/v1/SERVICE_ATTACHMENT_NAME.

Configuración de aplicaciones alojadas en otros proveedores de servicios en la nube o en centros de datos on‐premise

Para conectar de forma segura tu red en la nube u on-premise con Google Cloud, añade un conector de aplicaciones.

Los conectores de aplicaciones te permiten conectar de forma segura tu aplicación con Google desde otras nubes sin una VPN de sitio a sitio. 

Crear una máquina virtual en una red que no es de Google 

Cada agente remoto del conector de aplicaciones debe instalarse en una máquina virtual dedicada o en cualquier servidor Bare Metal del entorno que no es de Google.

  • Para crear la máquina virtual, pide ayuda a tu administrador de red o sigue las instrucciones que te haya proporcionado tu proveedor de servicios en la nube.
  • También se requiere Docker en cada máquina virtual o servidor para ejecutar el agente remoto. 
  • Asegúrate de que el cortafuegos de red de la máquina virtual del agente remoto permita todo el tráfico saliente que se inicie en el puerto 443 para el intervalo de IPs IAP-TCP 35.235.240.0/20. Consulta la sección sobre cómo verificar la configuración del cortafuegos para otros dominios en los que el cortafuegos de la máquina virtual de agente remoto debería permitir que llegue tráfico saliente.

Añadir un conector de aplicaciones e instalar un agente remoto

Para utilizar conectores de aplicaciones, es necesario instalar y ejecutar un agente remoto en cada red que no sea de Google donde se alojen tus aplicaciones. El agente remoto inicia y mantiene una conexión de red segura, y enruta el tráfico entre Google Workspace y la aplicación.

  1. Para añadir un conector de aplicaciones, sigue estos pasos:
    1. Inicia sesión en la consola de administración de Google.

      Utiliza tu cuenta de administrador (no termina en @gmail.com).

    2. En la consola de administración, ve a Menú y luego Aplicacionesy luegoAplicaciones web y móviles.

    3. Haz clic en la pestaña Conectores de BeyondCorp Enterprise (BCE).
    4. Haz clic en Añadir conector.
    5. Introduce un nombre para el conector. Por ejemplo: conectar-miapp.
    6. Selecciona una región cercana al entorno que no es de Google.
    7. Haz clic en Añadir conector.
    8. Para consultar el estado, en la parte superior derecha, haz clic en y luego Tus tareas.
  2. Crea una instancia de máquina virtual para alojar el agente remoto.
    Sigue las instrucciones proporcionadas por tu administrador de red o tu proveedor de servicios en la nube. Consulta el artículo sobre cómo crear una máquina virtual en una red que no es de Google.
  3. Instala un agente remoto.
    1. Haz clic en el nombre del conector de aplicaciones.
    2. Haz clic en Instalar agente remoto.
    3. En el entorno que no es de Google, instala el agente remoto:
      • Crea una instancia de máquina virtual para alojar el agente remoto. Sigue las instrucciones proporcionadas por tu administrador de red o tu proveedor de servicios en la nube.
      • Instala Docker, que es una herramienta necesaria para ejecutar el agente remoto. Para obtener instrucciones, consulta la documentación online para instalar Docker Engine.
      • Instala y registra el agente remoto mediante los comandos de la CLI que se muestran en la página del conector de aplicaciones de Google Workspace.
      • Copia y pega la clave pública que se muestra una vez que el agente remoto se ha registrado correctamente. 
    4. Haz clic en Guardar.

La página del conector de aplicaciones debe mostrar que se ha añadido correctamente una clave pública.

Restringir el acceso y la autenticación

  1. Inicia sesión en la consola de administración de Google.

    Utiliza tu cuenta de administrador (no termina en @gmail.com).

  2. En la consola de administración, ve a Menú y luego Aplicacionesy luegoAplicaciones web y móviles.

  3. Haz clic en la pestaña Aplicaciones y, a continuación, en una aplicación para abrir la página de detalles.
  4. Haz clic en Configuración avanzada.
    • Página de destino 403: introduce la dirección web a la que se redirigirá a los usuarios si se les deniega el acceso a la aplicación. Usa el formato https://<url>.
    • Dominio de autenticación: introduce la URL de inicio de sesión único (SSO) de tu organización para que los usuarios puedan iniciar sesión con las credenciales de la organización. Esta opción también denegará el acceso a los usuarios que no tengan credenciales válidas para tu dominio de Workspace. Usa este formato: sso.tu.org.com
    • Dominios permitidos: marca la casilla Habilitar dominios permitidos para restringir el acceso de los usuarios únicamente a los dominios especificados. Separa las entradas con una coma.  Por ejemplo: prueba.tu.org.com o prod.tu.org.com.
    • Reautenticación: utiliza estas opciones para pedir a los usuarios que se vuelvan a autenticar después de un tiempo.  Por ejemplo, puedes usar una llave de seguridad táctil o la verificación en dos pasos.
  • Inicio de sesión: solicita a los usuarios que se vuelvan a autenticar con un nombre de usuario o una contraseña después de iniciar sesión durante el periodo especificado.
  • Clave segura: solicita a los usuarios que vuelvan a autenticarse con su llave de seguridad.
  • Segundos factores registrados: requiere que los usuarios se vuelvan a autenticar con un método de autenticación de dos factores (2FA).

Para obtener más información, consulta el artículo sobre cómo reautenticar IAP.

Asignar un control de acceso contextual

Con el acceso contextual, puedes controlar a qué aplicaciones privadas puede acceder un usuario en función de su contexto, como si su dispositivo cumple tu política de TI. 

Por ejemplo, puedes crear políticas de control de acceso granulares para las aplicaciones que acceden a datos de Workspace en función de atributos como la identidad, la ubicación, el estado de seguridad del dispositivo y la dirección IP del usuario.

Para obtener más información, consulta el artículo Asignar niveles de acceso a aplicaciones web privadas.

¿Te ha resultado útil esta información?

¿Cómo podemos mejorar esta página?

¿Necesitas más ayuda?

Prueba estos pasos:

Publicar en la comunidad de ayuda Obtener respuestas de los miembros de la comunidad
Ponte en contacto con nosotros Danos más información para que podamos ayudarte
true
Empieza hoy mismo con la prueba gratuita de 14 días

Correo electrónico profesional, almacenamiento online, calendarios compartidos, videoconferencias, etc. Empieza a probar gratis G Suite hoy

Búsqueda
Borrar búsqueda
Cerrar búsqueda
Menú principal
5110604650766049602
true
Buscar en el Centro de ayuda
true
true
true
true
true
73010
false
false