Benachrichtigung

Duet AI heißt jetzt Gemini für Google Workspace. Weitere Informationen

Private Web-Apps bereitstellen

Private Webanwendungen werden für organisationsinterne Nutzer wie Mitarbeiter und Auftragnehmer erstellt. Diese Apps können mit BeyondCorp Enterprise (BCE) in der Workspace-Admin-Konsole bereitgestellt werden.

App Ihrem Workspace-Konto hinzufügen

Private Anwendungen können in Google Cloud, einem anderen Cloud-Anbieter oder einem lokalen Rechenzentrum gehostet werden.

  1. Melden Sie sich in der Google Admin-Konsole an.

    Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.

  2. Gehen Sie in der Admin-Konsole zu „Menü“ und dann Appsund dannWeb- und mobile Apps.

  3. Klicken Sie auf App hinzufügen und dann Private Web-App hinzufügen.
  4. Geben Sie unter „Anwendungsdetails“ den Namen und die URL der App ein, über die Nutzer auf die App zugreifen.
  5. Wählen Sie aus, wo Ihre Anwendung gehostet wird:
    1. In Google Cloud gehostete Apps: Geben Sie unter „Details zum Anwendungshost“ die Private Service Connect-URL (PSC) ein. Weitere Informationen finden Sie unter Einstellungen für in Google Cloud gehostete Anwendungen.
    2. Bei einem anderen Cloud-Anbieter gehostete HTTPS-Apps:
  6. Klicken Sie auf Add application (Anwendung hinzufügen).

Einstellungen für in Google Cloud gehostete Anwendungen

Erstellen Sie eine Private Service Connect-URL (PSC), um die privaten Apps in Ihrer Umgebung zu verbinden.

Erstellen Sie zum Einrichten der PSC-URL einen internen Load-Balancer und dann einen Dienstanhang, der eine interne IP-Adresse verwendet. 

Internen Load-Balancer erstellen

Private Apps in Google Workspace sollten hinter einem internen Load-Balancer mit aktiviertem globalem Zugriff veröffentlicht werden. Weitere Informationen finden Sie unter Dienst mit automatischer Genehmigung veröffentlichen.

Internen Load-Balancer für Compute- oder GKE-Ressource erstellen

  1. Rufen Sie in der Google Cloud Console die Seite Load-Balancing auf.
  2. Klicken Sie auf Load Balancer erstellen.
  3. Klicken Sie auf Konfiguration für Network Load Balancer (TCP/SSL) starten.
    • Wählen Sie unter „Internet oder nur intern“ die Option Nur zwischen meinen VMs aus.
    • Ändern Sie die verbleibenden Standardwerte nicht.
    • Klicken Sie auf Weiter.
  4. Geben Sie den Namen des Load-Balancers ein und wählen Sie die Region und das Netzwerk aus, in dem der Load-Balancer bereitgestellt werden soll.
  5. Wählen Sie den Tab Back-End-Konfiguration aus.
    • Wählen Sie den Back-End-Typ Ihrer Ressource aus.
    • Geben Sie die Systemdiagnose des Dienstes an.
    • Ändern Sie die verbleibenden Standardwerte nicht.
  6. Wählen Sie den Tab Front-End-Konfiguration aus.
    • Wählen Sie Für globalen Zugriff aktivieren aus.
    • Wählen Sie das Subnetz aus.
    • Geben Sie die Portnummer ein.
    • Ändern Sie die verbleibenden Standardwerte nicht.
  7. Klicken Sie auf Erstellen.

Internen Load-Balancer für Cloud Run-Ressource erstellen

  1. Rufen Sie in der Google Cloud Console die Seite Load-Balancing auf.
  2. Klicken Sie auf Load Balancer erstellen.
  3. Klicken Sie auf Konfiguration für Anwendungs-Load-Balancer starten (HTTP/S).
    1. Wählen Sie Nur zwischen meinen VMs oder Serverlose Dienste aus.
    2. Klicken Sie auf Weiter.
  4. Geben Sie den Namen des Load-Balancers ein und wählen Sie die Region und das Netzwerk aus, in dem der Load-Balancer bereitgestellt werden soll.
  5. Wählen Sie den Tab Front-End-Konfiguration aus.
    1. Wählen Sie das Subnetz aus.
    2. Führen Sie die Schritte auf dem Bildschirm aus, um ein Subnetz zu reservieren, falls nicht bereits geschehen.
  6. Wählen Sie den Tab Back-End-Konfiguration aus.
    1. Erstellen Sie den Back-End-Dienst oder wählen Sie ihn aus.
    2. Wählen Sie beim Erstellen eines Dienstes die serverlose Netzwerk-Endpunktgruppe aus.
  7. Klicken Sie auf Erstellen.

URL des Dienstanhangs erstellen

Erstellen Sie zum Einrichten der PSC-URL einen Dienstanhang, der eine interne IP-Adresse verwendet.

  1. Rufen Sie in der Google Cloud Console die Seite Private Service Connect auf.
  2. Klicken Sie auf den Tab Dienst veröffentlichen .
  3. Klicken Sie auf Dienst veröffentlichen.
  4. Wählen Sie den Load-Balancer-Typ für den Dienst aus, den Sie veröffentlichen möchten:
    • Interner Passthrough-Network Load Balancer
    • Regionaler interner Proxy-Network Load Balancer
    • Regionaler interner Application Load Balancer
  5. Wählen Sie den internen Load-Balancer aus, der den Dienst hostet, den Sie veröffentlichen möchten.
    Die Felder für Netzwerk und Region werden mit den Details für den ausgewählten internen Load-Balancer ausgefüllt.
  6. Geben Sie unter Dienstname einen Namen für den Dienstanhang ein.
  7. Wählen Sie ein oder mehrere Subnetze für den Dienst aus. Wenn Sie ein neues Subnetz hinzufügen möchten, können Sie eines erstellen:
    • Klicken Sie auf Neues Subnetz reservieren.
    • Geben Sie einen Namen und optional eine Beschreibung für das Subnetz ein.
    • Wählen Sie eine Region für das Subnetz aus.
    • Geben Sie den IP-Bereich ein, der für das Subnetz verwendet werden soll, und klicken Sie auf Hinzufügen.
  8. Wählen Sie Verbindungen automatisch akzeptieren aus.
  9. Klicken Sie auf Dienst hinzufügen.
  10. Klicken Sie auf den veröffentlichten Dienst. Das Feld „Dienstanhang“ enthält den Namen des Dienstanhangs. Die URL lautet:
    https://www.googleapis.com/compute/v1/SERVICE_ATTACHMENT_NAME

Einstellungen für Apps, die bei anderen Cloud-Anbietern oder lokalen Rechenzentren gehostet werden

Fügen Sie einen App-Connector hinzu, um Ihr Cloud- oder lokales Netzwerk sicher mit Google Cloud zu verbinden.

Mit App-Connectors können Sie Ihre Anwendung aus anderen Clouds ohne ein Site-to-Site-VPN sicher mit Google verbinden. 

VM im Nicht-Google-Netzwerk erstellen

Jeder Remote-Agent des App-Connectors muss auf einer dedizierten virtuellen Maschine (VM) oder einem Bare-Metal-Server in der Nicht-Google-Umgebung installiert werden.

  • Bitten Sie Ihren Netzwerkadministrator um Unterstützung oder folgen Sie der Anleitung Ihres Cloud-Anbieters, um die VM zu erstellen.
  • Docker ist außerdem auf jeder VM oder jedem Server erforderlich, um den Remote-Agent auszuführen. 
  • Achten Sie darauf, dass die Netzwerkfirewall der Remote-Agent-VM den gesamten ausgehenden Traffic zulässt, der an Port 443 für den IAP-TCP-IP-Bereich 35.235.240.0/20 initiiert wird. Informationen zu anderen Domains, zu denen die Firewall der Remote-Agent-VM ausgehenden Traffic zulassen soll, finden Sie unter Firewallkonfiguration prüfen.

App-Connector hinzufügen und Remote-Agent installieren

App-Connectors erfordern, dass in jedem Nicht-Google-Netzwerk, in dem Ihre Apps gehostet werden, ein Remote-Agent installiert und ausgeführt wird. Der Remote-Agent initiiert und hält die sichere Netzwerkverbindung und leitet den Traffic zwischen Google Workspace und der Anwendung weiter.

  1. Fügen Sie einen Anwendungs-Connector hinzu:
    1. Melden Sie sich in der Google Admin-Konsole an.

      Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.

    2. Gehen Sie in der Admin-Konsole zu „Menü“ und dann Appsund dannWeb- und mobile Apps.

    3. Klicken Sie auf den Tab BeyondCorp Enterprise-Connectors (BCE) .
    4. Klicken Sie auf Connector hinzufügen.
    5. Geben Sie einen Namen für den Connector ein. Beispiel: connect-myapp.
    6. Wählen Sie eine Region in der Nähe der Nicht-Google-Umgebung aus.
    7. Klicken Sie auf Connector hinzufügen.
    8. Wenn Sie sich den Status ansehen möchten, klicken Sie rechts oben auf und dannMeine Aufgaben.
  2. Erstellen Sie eine VM-Instanz zum Hosten des Remote-Agents.
    Folgen Sie der Anleitung Ihres Netzwerkadministrators oder Cloud-Anbieters. Siehe VM im Nicht-Google-Netzwerk erstellen.
  3. Installieren Sie einen Remote-Agent.
    1. Klicken Sie auf den Namen des App-Connectors.
    2. Klicken Sie auf Remote-Agent installieren.
    3. Installieren Sie den Remote-Agent in der Nicht-Google-Umgebung:
      • Erstellen Sie eine VM-Instanz zum Hosten des Remote-Agents. Folgen Sie der Anleitung Ihres Netzwerkadministrators oder Cloud-Anbieters.
      • Installieren Sie Docker. Dies ist zum Ausführen des Remote-Agents erforderlich. Anleitungen zur Installation von Docker Engine finden Sie in der Onlinedokumentation.
      • Installieren und registrieren Sie den Remote-Agent mithilfe der CLI-Befehle, die auf der Connector-Seite der Google Workspace-App angezeigt werden.
      • Kopieren Sie den öffentlichen Schlüssel und fügen Sie ihn ein, der nach der erfolgreichen Registrierung des Remote-Agents angezeigt wird. 
    4. Klicken Sie auf Speichern.

Auf der Seite des App-Connectors sollte angezeigt werden, dass ein öffentlicher Schlüssel hinzugefügt wurde.

Zugriff und Authentifizierung einschränken

  1. Melden Sie sich in der Google Admin-Konsole an.

    Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.

  2. Gehen Sie in der Admin-Konsole zu „Menü“ und dann Appsund dannWeb- und mobile Apps.

  3. Klicken Sie auf den Tab Apps und dann auf eine App, um die Detailseite zu öffnen.
  4. Klicken Sie auf Erweiterte Einstellungen.
    • 403-Landingpage: Geben Sie die Webadresse ein, zu der Nutzer weitergeleitet werden, wenn ihnen der Zugriff auf die App verweigert wird. Verwenden Sie das Format https://<url>.
    • Authentifizierungsdomain: Geben Sie die URL für die Einmalanmeldung (SSO) für Ihre Organisation ein, damit sich Nutzer mit ihren Organisationsanmeldedaten anmelden können. Dadurch wird auch der Zugriff für Nutzer verweigert, die keine gültigen Anmeldedaten für Ihre Workspace-Domain haben. Verwenden Sie das Format sso.Ihr.Unternehmen.de
    • Zulässige Domains: Klicken Sie das Kästchen Zulässige Domains aktivieren an, um den Nutzerzugriff auf die angegebenen Domains zu beschränken. Trennen Sie Einträge durch Kommas.Beispiel: test.your.org.com, prod.your.org.com.
    • Erneute Authentifizierung: Mit diesen Optionen können Sie festlegen, dass sich Nutzer nach einer bestimmten Zeit neu authentifizieren müssen.Sie können beispielsweise einen Touch-Sicherheitsschlüssel oder die Bestätigung in zwei Schritten verwenden.
  • Anmeldung: Sie können festlegen, dass Nutzer sich nach einer gewissen Zeit, nachdem sie sich angemeldet hatten, noch einmal mit einem Nutzernamen und einem Passwort authentifizieren müssen.
  • Sicherer Schlüssel: Sie können festlegen, dass Nutzer sich mit ihrem Sicherheitsschlüssel neu authentifizieren müssen.
  • Registrierte zweite Faktoren: Sie können festlegen, dass Nutzer sich mit einer 2FA-Methode (Zwei-Faktor-Authentifizierung) noch einmal authentifizieren müssen.

Weitere Informationen finden Sie unter Erneute IAP-Authentifizierung.

Kontextsensitive Zugriffssteuerung zuweisen

Mit dem kontextsensitiven Zugriff können Sie steuern, auf welche privaten Apps ein Nutzer kontextabhängig zugreifen kann, z. B. ob sein Gerät Ihren IT-Richtlinien entspricht.

Sie können beispielsweise detaillierte Richtlinien für die Zugriffssteuerung für Apps erstellen, die anhand von Attributen wie Nutzer-ID, Standort, Sicherheitsstatus des Geräts oder IP-Adresse auf Workspace-Daten zugreifen.

Weitere Informationen finden Sie im Hilfeartikel Zugriffsebenen für private Apps zuweisen.

War das hilfreich?

Wie können wir die Seite verbessern?

Benötigen Sie weitere Hilfe?

Mögliche weitere Schritte:

Im Hilfeforum posten Antworten von Forenmitgliedern erhalten
Kontakt Weitere Informationen angeben und Hilfe erhalten
true
Starten Sie noch heute mit Ihrer kostenlosen Testversion für 14 Tage.

Berufliche E-Mail-Konten, Online-Speicherplatz, Kalender mit Freigabefunktion, Videobesprechungen und vieles mehr. Starten Sie noch heute mit Ihrer kostenlosen Testversion von G Suite.

Suche
Suche löschen
Suche schließen
Hauptmenü
6169724613193306562
true
Suchen in der Hilfe
true
true
true
true
true
73010
false
false