Private Web-Apps bereitstellen

Private Web-Apps werden für organisationsinterne Nutzer wie Mitarbeiter und Auftragnehmer erstellt. Sie können diese Apps mit Chrome Enterprise Premium in der Admin-Konsole bereitstellen.

App Ihrem Google Workspace-Konto hinzufügen

Private Anwendungen können in Google Cloud, einem anderen Cloud-Anbieter oder einem lokalen Rechenzentrum gehostet werden.

Melden Sie sich in der Google Admin-Konsole an.
Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.
Gehen Sie in der Admin-Konsole zu „Menü“ AppsWeb- und mobile Apps.
Klicken Sie auf App hinzufügen Private Web-App hinzufügen.
Geben Sie unter „Anwendungsdetails“ den Namen und die URL der App ein, über die Nutzer auf die App zugreifen.
Geben Sie an, wo Ihre Anwendung gehostet wird:
- In Google Cloud gehostete Apps: Geben Sie unter „Details zum Anwendungshost“ die Private Service Connect-URL (PSC) ein. Weitere Informationen finden Sie unter Einstellungen für in Google Cloud gehostete Anwendungen.
- Bei einem anderen Cloud-Anbieter gehostete HTTPS-Apps: Geben Sie die interne URL und die Portnummer ein. HTTP-Apps werden nicht unterstützt. Weitere Informationen finden Sie unter Einstellungen für Apps, die bei anderen Cloud-Anbietern oder in lokalen Rechenzentren gehostet werden.
  
  Wählen Sie für eine optimale Leistung eine Region aus, die dem Host der Anwendung am nächsten liegt. Wählen Sie dann die Anwendungs-Connectors aus, die zum Verbinden der Anwendung erforderlich sind.
Klicken Sie auf Add application (Anwendung hinzufügen).

Einstellungen für in Google Cloud gehostete Anwendungen

Erstellen Sie eine Private Service Connect-URL (PSC), um die privaten Apps in Ihrer Umgebung zu verbinden.

Erstellen Sie zum Einrichten der PSC-URL einen internen Load-Balancer und dann einen Dienstanhang, der eine interne IP-Adresse verwendet.

Internen Load-Balancer erstellen

Private Apps in Google Workspace sollten hinter einem internen Load-Balancer mit aktiviertem globalem Zugriff veröffentlicht werden. Weitere Informationen finden Sie unter Dienst mit automatischer Genehmigung veröffentlichen.

Internen Load-Balancer für Compute- oder GKE-Ressource erstellen

Hinweis: Wenn Sie eine sichere HTTPS-Kommunikation zulassen möchten, richten Sie eine Instanzgruppe ein, die so konfiguriert ist, dass Anfragen an Port 443 bearbeitet werden. Die Instanzgruppe wird im Konfigurations-Tab im Back-End ausgewählt.

Rufen Sie in der Google Cloud Console die Seite Load-Balancing auf.
Klicken Sie auf Load Balancer erstellen.
Klicken Sie auf Konfiguration für Network Load Balancer (TCP/SSL) starten und wählen Sie Folgendes aus:
1. Typ des Load-Balancers: Network Load Balancer (TCP/UDP/SSL)
2. Proxy oder Passthrough: Passthrough
3. Internet oder nur intern: intern
4. Klicken Sie auf Weiter.
5. Klicken Sie auf Weiter.
Geben Sie den Namen des Load-Balancers ein und wählen Sie die Region und das Netzwerk aus, in dem Sie den Load-Balancer bereitstellen möchten.
Wichtig: Das Netzwerk, das Sie für den Load-Balancer auswählen, muss dasselbe Netzwerk sein, das von Ihrer Instanzgruppe verwendet wird.
Wählen Sie den Tab Back-End-Konfiguration aus.
1. Protokoll: Wählen Sie TCP aus.
2. IP-Stacktyp: Wählen Sie IPv4 aus.
3. Wählen Sie eine Instanzgruppe aus.
  Informationen zum Erstellen einer solchen Gruppe finden Sie unter Instanzgruppen.
4. Wählen Sie eine Systemdiagnose aus der Liste aus. So erstellen Sie eine neue Systemdiagnose:
  1. Wählen Sie Systemdiagnose erstellen aus.
  2. Geben Sie einen Namen für die Systemdiagnose ein, z. B. „ping-port“.
  3. Wählen Sie den regionalen Geltungsbereich aus.
  4. Wählen Sie als Protokoll HTTPS aus.
  5. Behalten Sie Port 443 bei.
  6. Wählen Sie für das Proxy-Protokoll KEINE aus.
  7. Behalten Sie für den Anfragepfad „/“ bei.
  8. Aktivieren Sie Protokolle.
  9. Behalten Sie die Standardwerte für die Diagnosekriterien bei.
Wählen Sie den Tab Front-End-Konfiguration aus.
1. (Optional) Geben Sie einen Namen für das Front-End ein.
2. Setzen Sie die IP-Version auf IPv4.
3. Wählen Sie ein Subnetzwerk aus.
4. Wählen Sie für die interne IP-Adresse Nicht freigegeben aus.
5. Wählen Sie für Ports Einzelner aus.
6. Geben Sie die Portnummer 443 ein.
7. Wählen Sie für „Globaler Zugriff“ die Option Aktivieren aus.
Wählen Sie den Tab Prüfen und abschließen aus, um die Konfigurationseinstellungen des Load-Balancers zu überprüfen.
Klicken Sie auf Erstellen.

Internen Load-Balancer für Cloud Run-Ressource erstellen

Rufen Sie in der Google Cloud Console die Seite Load-Balancing auf.
Klicken Sie auf Load Balancer erstellen.
Klicken Sie auf Konfiguration für Application Load Balancer (HTTP/S) starten und wählen Sie Folgendes aus.
1. Typ des Load-Balancers: Application Load Balancer (HTTP/HTTPS)
2. Internet oder nur intern: intern
3. Regionsübergreifende oder regionsspezifische Bereitstellung: einzelne Region
4. Klicken Sie auf Weiter.
5. Klicken Sie auf Konfigurieren.
Geben Sie den Namen des Load-Balancers ein und wählen Sie die Region und das Netzwerk aus, in dem der Load-Balancer bereitgestellt werden soll.
Wählen Sie den Tab Back-End-Konfiguration aus.
1. Erstellen Sie den Back-End-Dienst oder wählen Sie ihn aus.
2. Wählen Sie beim Erstellen eines Dienstes den Back-End-Typ Serverlose Netzwerk-Endpunktgruppe und eine Netzwerk-Endpunktgruppe aus.
3. Wenn Sie keinen serverlosen Netzwerkendpunkt haben, wählen Sie die Option zum Erstellen eines neuen Endpunkts aus.
  Erstellen Sie vor dem Erstellen der serverlosen Netzwerk-Endpunktgruppe einen Cloud Run-Dienst, auf den die Endpunktgruppe verweist.
Wählen Sie den Tab Front-End-Konfiguration aus.
1. Protokoll: Wählen Sie HTTPS aus.
2. Wählen Sie das Subnetz aus.
3. Führen Sie die Schritte auf dem Bildschirm aus, um ein Subnetz zu reservieren, falls nicht bereits geschehen.
4. Aktivieren Sie globalen Zugriff.
5. Für das Zertifikat können Sie ein neues erstellen oder ein vorhandenes auswählen.
Klicken Sie auf Erstellen.

URL des Dienstanhangs erstellen

Erstellen Sie zum Einrichten der PSC-URL einen Dienstanhang, der eine interne IP-Adresse verwendet.

Rufen Sie in der Google Cloud Console die Seite Private Service Connect auf.
Klicken Sie auf den Tab Dienst veröffentlichen.
Klicken Sie auf Dienst veröffentlichen.
Wählen Sie den Load-Balancer-Typ für den Dienst aus, den Sie veröffentlichen möchten:
- Interner Passthrough-Network Load Balancer
- Regionaler interner Proxy-Network Load Balancer
- Regionaler interner Application Load Balancer
Wählen Sie den internen Load-Balancer aus, der den Dienst hostet, den Sie veröffentlichen möchten.
Die Felder für Netzwerk und Region werden mit den Details für den ausgewählten internen Load-Balancer ausgefüllt.
Geben Sie unter Dienstname einen Namen für den Dienstanhang ein.
Wählen Sie ein oder mehrere Subnetze für den Dienst aus. Wenn Sie ein neues Subnetz hinzufügen möchten, können Sie eines erstellen:
- Klicken Sie auf Neues Subnetz reservieren.
- Geben Sie einen Namen und optional eine Beschreibung für das Subnetz ein.
- Wählen Sie eine Region für das Subnetz aus.
- Geben Sie den IP-Bereich ein, der für das Subnetz verwendet werden soll, und klicken Sie auf Hinzufügen.
Wählen Sie unter „Verbindungseinstellung“ die Option Alle Verbindungen automatisch akzeptieren aus.
Klicken Sie auf Dienst hinzufügen.
Klicken Sie auf den veröffentlichten Dienst. Verwenden Sie den Namen des Dienstanhangs im Feld Dienstanhang, um die URL zu erstellen:
https://www.googleapis.com/compute/v1/SERVICE_ATTACHMENT_NAME
Geben Sie die URL ein, wenn Sie Ihre interne App in Google Workspace hinzufügen. Weitere Informationen finden Sie unter App Ihrem Workspace-Konto hinzufügen.

Einstellungen für Apps, die bei anderen Cloud-Anbietern oder lokalen Rechenzentren gehostet werden

Fügen Sie einen App-Connector hinzu, um Ihr Cloud- oder lokales Netzwerk sicher mit Google Cloud zu verbinden.

Mit App-Connectors können Sie Ihre Anwendung aus anderen Clouds ohne ein Site-to-Site-VPN sicher mit Google verbinden.

VM im Nicht-Google-Netzwerk erstellen

Sie müssen jeden Remote-Agent des Anwendungs-Connectors auf einer dedizierten virtuellen Maschine (VM) oder auf einem beliebigen Bare-Metal-Server in der Nicht-Google-Umgebung installieren.

Bitten Sie Ihren Netzwerkadministrator um Unterstützung oder folgen Sie der Anleitung Ihres Cloud-Anbieters, um die VM zu erstellen.
Verwenden Sie Docker auf jeder VM oder jedem Server, um den Remote-Agent auszuführen.
Achten Sie darauf, dass die Netzwerkfirewall für die Remote-Agent-VM den gesamten ausgehenden Traffic zulässt, der an Port 443 für den IAP-TCP-IP-Bereich 35.235.240.0/20 initiiert wird. Informationen zu anderen Domains, zu denen die Firewall für die Remote-Agent-VM ausgehenden Traffic zulassen soll, finden Sie unter Firewallkonfiguration prüfen.

App-Connector hinzufügen und Remote-Agent installieren

So fügen Sie einen App-Connector hinzu:
1. Melden Sie sich in der Google Admin-Konsole an.
  Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.
2. Gehen Sie in der Admin-Konsole zu „Menü“ AppsWeb- und mobile Apps.
3. Klicken Sie auf den Tab BeyondCorp Enterprise-Connectors (BCE).
4. Klicken Sie auf Connector hinzufügen.
5. Geben Sie einen Namen für den Connector ein. Beispiel: connect-myapp.
6. Wählen Sie eine Region in der Nähe der Nicht-Google-Umgebung aus.
7. Klicken Sie auf Connector hinzufügen.
8. Wenn Sie sich den Status ansehen möchten, klicken Sie rechts oben auf Meine Aufgaben.
Erstellen Sie eine VM-Instanz zum Hosten des Remote-Agents.
Folgen Sie der Anleitung Ihres Netzwerkadministrators oder Cloud-Anbieters. Siehe VM im Nicht-Google-Netzwerk erstellen.
Installieren Sie einen Remote-Agent.
1. Klicken Sie auf den Namen des App-Connectors.
2. Klicken Sie auf Remote-Agent installieren.
3. Installieren Sie den Remote-Agent in der Nicht-Google-Umgebung:
  - Erstellen Sie eine VM-Instanz zum Hosten des Remote-Agents. Folgen Sie der Anleitung Ihres Netzwerkadministrators oder Cloud-Anbieters.
  - Installieren Sie Docker. Dies ist zum Ausführen des Remote-Agents erforderlich. Anleitungen zur Installation von Docker Engine finden Sie in der Onlinedokumentation.
  - Installieren und registrieren Sie den Remote-Agent mithilfe der CLI-Befehle, die auf der Connector-Seite der Google Workspace-App angezeigt werden.
  - Kopieren Sie den öffentlichen Schlüssel, der nach der erfolgreichen Registrierung des Remote-Agents angezeigt wird, und fügen Sie ihn ein.
4. Klicken Sie auf Speichern.

Auf der Seite des App-Connectors sollte angezeigt werden, dass ein öffentlicher Schlüssel hinzugefügt wurde.

Zugriff und Authentifizierung einschränken

Der Administrator, der die App erstellt hat, kann entscheiden, unter welchen Bedingungen ein Nutzer auf die App zugreifen kann. Sie können beispielsweise den Zugriff auf Nutzer aus einer bestimmten Domain oder nur zu bestimmten Zeiten oder an bestimmten Tagen zulassen. Wenn der Zugriff verweigert wird, wird der Nutzer zu einer bestimmten Seite weitergeleitet.

Melden Sie sich in der Google Admin-Konsole an.
Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.
Gehen Sie in der Admin-Konsole zu „Menü“ AppsWeb- und mobile Apps.
Klicken Sie auf den Tab Apps und dann auf eine App, um die Detailseite zu öffnen.
Klicken Sie auf Erweiterte Einstellungen.

403-Landingpage: Geben Sie die Webadresse ein, zu der Nutzer weitergeleitet werden, wenn ihnen der Zugriff auf die App verweigert wird. Verwenden Sie das Format https://<url>.
Authentifizierungsdomain: Geben Sie die URL für die Einmalanmeldung (SSO) für Ihre Organisation ein, damit sich Nutzer mit ihren Organisationsanmeldedaten anmelden können. Dadurch wird auch der Zugriff für Nutzer verweigert, die keine gültigen Anmeldedaten für Ihre Google Workspace-Domain haben. Verwenden Sie das Format sso.Ihr.Unternehmen.de.
Zulässige Domains: Klicken Sie das Kästchen Zulässige Domains aktivieren an, um den Nutzerzugriff auf die angegebenen Domains zu beschränken. Trennen Sie Einträge durch Kommas. Beispiel: test.your.org.com, prod.your.org.com.
Erneute Authentifizierung: Mit diesen Optionen können Sie festlegen, dass sich Nutzer nach einer bestimmten Zeit neu authentifizieren müssen. Sie können beispielsweise einen Touch-Sicherheitsschlüssel oder die Bestätigung in zwei Schritten verwenden.
- Anmeldung: Sie können festlegen, dass Nutzer sich nach einer gewissen Zeit, nachdem sie sich angemeldet hatten, noch einmal mit einem Nutzernamen und einem Passwort authentifizieren müssen.
- Sicherer Schlüssel: Sie können festlegen, dass Nutzer sich mit ihrem Sicherheitsschlüssel neu authentifizieren müssen.
- Registrierte zweite Faktoren: Sie können festlegen, dass Nutzer sich mit einer 2FA-Methode (Zwei-Faktor-Authentifizierung) noch einmal authentifizieren müssen.

Weitere Informationen finden Sie unter Erneute IAP-Authentifizierung.

Kontextsensitive Zugriffssteuerung zuweisen

Mit dem kontextsensitiven Zugriff können Sie steuern, auf welche privaten Apps ein Nutzer kontextabhängig zugreifen kann, z. B. ob sein Gerät Ihren IT-Richtlinien entspricht.

Sie können beispielsweise detaillierte Richtlinien für die Zugriffssteuerung für Apps erstellen, die anhand von Attributen wie Nutzer-ID, Standort, Sicherheitsstatus des Geräts und IP-Adresse auf Google Workspace-Daten zugreifen.

Weitere Informationen finden Sie im Hilfeartikel Zugriffsebenen für private Apps zuweisen.

War das hilfreich?

Wie können wir die Seite verbessern?