Notification

Duet AI s'appelle désormais Gemini pour Google Workspace. En savoir plus

Déployer des applications Web privées

Les applications Web privées sont créées pour les utilisateurs internes d'une organisation, comme les employés et les sous-traitants. Vous pouvez les déployer à l'aide de Chrome Enterprise Premium dans la console d'administration Google.

Ajouter l'application à votre compte Google Workspace

Les applications privées peuvent être hébergées sur Google Cloud, par un autre fournisseur de services cloud ou dans un centre de données sur site.

  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Dans la console d'administration, accédez à Menu  puis  Applications puis Applications Web et mobiles.

  3. Cliquez sur Ajouter une application puis Ajouter une application Web privée.
  4. Sous "Informations sur l'application", saisissez le nom de l'application et l'URL permettant aux utilisateurs d'y accéder.
  5. Spécifiez l'emplacement où votre application est hébergée :
  6. Cliquez sur Add application (Ajouter une application).

Paramètres pour les applications hébergées sur Google Cloud

Créez une URL Private Service Connect (PSC) pour connecter les applications privées de votre environnement.

Pour configurer l'URL PSC, créez un équilibreur de charge interne, puis créez un rattachement de service qui utilise une adresse IP interne. 

Créer un équilibreur de charge interne

Les applications privées dans Google Workspace doivent être publiées derrière un équilibreur de charge interne avec l'accès mondial activé. Pour en savoir plus, consultez Publier un service avec approbation automatique.

Créer un équilibreur de charge interne pour une ressource Compute ou GKE

Avant de commencer : Pour établir une communication HTTPS sécurisée, configurez un groupe d'instances pour qu'il diffuse les requêtes sur le port 443. Le groupe d'instances est alors sélectionné dans l'onglet de configuration du backend.

  1. Dans la console Google Cloud, accédez à la page Équilibrage de charge.
  2. Cliquez sur Créer un équilibreur de charge.
  3. Cliquez sur Start Configuration for Network Load Balancer (TCP/SSL) (Démarrer la configuration de l'équilibreur de charge réseau (TCP/SSL)), puis sélectionnez les options suivantes :
    1. Type d'équilibreur de charge : équilibreur de charge réseau (TCP/UDP/SSL)
    2. Proxy ou passthrough : passthrough
    3. Web ou interne uniquement : interne
    4. Cliquez sur Suivant.
    5. Cliquez sur Continuer.
  4. Saisissez le nom de l'équilibreur de charge, puis sélectionnez la région et le réseau dans lesquels vous allez le déployer.
    Important : Le réseau que vous choisissez pour l'équilibreur de charge doit être le même que celui utilisé par votre groupe d'instances.
  5. Sélectionnez l'onglet Configuration du backend.
    1. Protocole : sélectionnez TCP
    2. Type de pile d'adresses IP : sélectionnez IPv4
    3. Sélectionnez un groupe d'instances.
      Pour en créer un, accédez à Groupes d'instances.
    4. Sélectionnez une vérification d'état dans la liste. Pour créer une vérification d'état :
      1. Sélectionnez Créer une vérification d'état.
      2. Saisissez le nom de votre vérification d'état (par exemple, ping-port).
      3. Sélectionnez le champ d'application régional.
      4. Pour le protocole, choisissez HTTPS.
      5. Conservez le port 443.
      6. Dans "Protocole de proxy", sélectionnez AUCUN.
      7. Pour le chemin d'accès de la requête, laissez "/".
      8. Activez les journaux.
      9. Conservez les valeurs par défaut pour les critères de vérification.
  6. Sélectionnez l'onglet Configuration de l'interface.
    1. (Facultatif) Saisissez le nom de l'interface.
    2. Dans "Version IP", sélectionnez IPv4.
    3. Sélectionnez un sous-réseau.
    4. Dans le champ "Objectif de l'adresse IP interne", sélectionnez Non partagée.
    5. Dans "Ports", sélectionnez Unique.
    6. Saisissez le numéro de port 443.
    7. Pour "Accès mondial", sélectionnez Activer.
  7. Sélectionnez l'onglet Vérifier et finaliser pour vérifier les paramètres de configuration de votre équilibreur de charge.
  8. Cliquez sur Créer.

Créer un équilibreur de charge interne pour une ressource Cloud Run

  1. Dans la console Google Cloud, accédez à la page Équilibrage de charge.
  2. Cliquez sur Créer un équilibreur de charge.
  3. Cliquez sur Start Configuration for application load balancer (HTTP/S) (Démarrer la configuration de l'équilibreur de charge d'application (HTTP/S)) et sélectionnez les options suivantes.
    1. Type d'équilibreur de charge : équilibreur de charge d'application (HTTP/HTTPS)
    2. Web ou interne uniquement : interne
    3. Déploiement interrégional ou dans une seule région : dans une seule région
    4. Cliquez sur Suivant.
    5. Cliquez sur Configurer.
  4. Saisissez le nom de l'équilibreur de charge, puis sélectionnez la région et le réseau dans lesquels il sera déployé.
  5. Sélectionnez l'onglet Configuration du backend.
    1. Créez ou sélectionnez le service de backend.
    2. Si vous créez un service, sélectionnez le type de backend Groupe de points de terminaison du réseau sans serveur, puis un groupe de points de terminaison du réseau.
    3. Si vous ne possédez pas de point de terminaison du réseau sans serveur, sélectionnez l'option pour en créer un.
      Avant de créer le groupe de points de terminaison du réseau sans serveur, créez un service Cloud Run vers lequel le groupe de points de terminaison pointera.
  6. Sélectionnez l'onglet Configuration de l'interface.
    1. Protocole : sélectionnez HTTPS.
    2. Sélectionnez le sous-réseau.
    3. Suivez les instructions à l'écran pour réserver un sous-réseau, si ce n'est pas déjà fait.
    4. Activez l'accès mondial.
    5. Pour le certificat, vous pouvez choisir d'en créer un ou de sélectionner un certificat existant.
  7. Cliquez sur Créer.

Créer l'URL du rattachement de service

Pour configurer l'URL PSC, créez un rattachement de service qui utilise une adresse IP interne.

  1. Dans la console Google Cloud, accédez à la page Private Service Connect.
  2. Cliquez sur l'onglet Publier le service.
  3. Cliquez sur Publier le service.
  4. Sélectionnez le type d'équilibreur de charge pour le service que vous souhaitez publier :
    • Équilibreur de charge réseau passthrough interne
    • Équilibreur de charge réseau proxy interne régional
    • Équilibreur de charge d'application interne régional
  5. Sélectionnez l'équilibreur de charge interne qui héberge le service que vous souhaitez publier.
    Les champs de réseau et de région sont renseignés avec les détails de l'équilibreur de charge interne sélectionné.
  6. Dans le champ Nom du service, saisissez le nom du rattachement de service.
  7. Sélectionnez un ou plusieurs sous-réseaux pour le service. Si vous souhaitez ajouter un sous-réseau, vous pouvez en créer un :
    • Cliquez sur Réserver un nouveau sous-réseau.
    • Saisissez un nom et une description facultative pour le sous-réseau.
    • Sélectionnez une région pour le sous-réseau.
    • Saisissez la plage d'adresses IP à utiliser pour le sous-réseau, puis cliquez sur Ajouter.
  8. Dans "Préférences de connexion", sélectionnez Automatically accept all connections (Accepter automatiquement toutes les connexions).
  9. Cliquez sur Ajouter un service.
  10. Cliquez sur le service publié. Renseignez le nom du rattachement de service dans le champ Rattachement de service pour créer l'URL :
    https://www.googleapis.com/compute/v1/NOM_RATTACHEMENT_SERVICE
  11. Saisissez l'URL lorsque vous ajoutez votre application privée dans Google Workspace. Consultez Ajouter l'application à votre compte Workspace.

Paramètres pour les applications hébergées par d'autres fournisseurs de services cloud ou dans des centres de données sur site

Pour connecter de manière sécurisée votre réseau cloud ou sur site au cloud Google, ajoutez un connecteur d'application.

Les connecteurs d'application vous permettent de connecter de manière sécurisée votre application à Google depuis d'autres clouds sans VPN de site à site. 

Créer une VM sur le réseau autre que Google 

Vous devez installer l'agent distant de chaque connecteur d'application sur une machine virtuelle (VM) dédiée ou sur n'importe quel serveur Bare Metal dans l'environnement autre que Google. 

  • Pour créer la VM, demandez de l'aide à votre administrateur réseau ou suivez les instructions fournies par votre fournisseur de services cloud.
  • Pour exécuter l'agent distant, utilisez Docker sur chaque VM ou serveur. 
  • Assurez-vous que le pare-feu de réseau de la VM de l'agent distant autorise tout le trafic sortant initié sur le port 443 pour la plage d'adresses IP IAP-TCP 35.235.240.0/20. Consultez Vérifier la configuration du pare-feu pour les autres domaines dans lesquels le pare-feu de la VM de l'agent distant doit autoriser le trafic sortant.

Ajouter un connecteur d'application et installer l'agent distant

  1. Ajoutez un connecteur d'application :
    1. Connectez-vous à la Console d'administration Google.

      Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

    2. Dans la console d'administration, accédez à Menu  puis  Applications puis Applications Web et mobiles.

    3. Cliquez sur l'onglet Connecteurs BeyondCorp Enterprise (BCE).
    4. Cliquez sur Ajouter un connecteur.
    5. Entrez un nom de connecteur. Exemple : connect-myapp.
    6. Sélectionnez une région proche de l'environnement autre que Google.
    7. Cliquez sur Ajouter un connecteur.
    8. Pour afficher l'état, cliquez sur puis Vos tâches en haut à droite.
  2. Créez une instance de VM pour héberger l'agent distant.
    Suivez les instructions fournies par votre administrateur réseau ou votre fournisseur de services cloud. Consultez Créer une VM sur le réseau autre que Google.
  3. Installez un agent distant.
    1. Cliquez sur le nom du connecteur d'application.
    2. Cliquez sur Installer l'agent distant.
    3. Dans l'environnement autre que Google, installez l'agent distant :
      • Créez une instance de machine virtuelle (VM) pour héberger l'agent distant. Suivez les instructions fournies par votre administrateur réseau ou votre fournisseur de services cloud.
      • Installez Docker, qui est nécessaire pour exécuter l'agent distant. Pour obtenir des instructions, consultez la documentation en ligne sur l'installation de Docker Engine.
      • Installez et enregistrez l'agent distant à l'aide des commandes de la CLI affichées sur la page du connecteur d'application Google Workspace.
      • Copiez et collez la clé publique qui s'affiche une fois l'agent distant enregistré. 
    4. Cliquez Enregistrer.

La page du connecteur d'application doit indiquer qu'une clé publique a bien été ajoutée.

Restreindre l'accès et l'authentification

L'administrateur qui a créé l'application peut décider dans quelles conditions un utilisateur doit pouvoir y accéder. Par exemple, vous pouvez limiter l'accès aux utilisateurs d'un domaine spécifique, ou n'autoriser l'accès que pendant certaines heures ou certains jours. Si l'accès est refusé, l'utilisateur est redirigé vers une page spécifique.
  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Dans la console d'administration, accédez à Menu  puis  Applications puis Applications Web et mobiles.

  3. Cliquez sur l'onglet Applications, puis sur une application pour ouvrir sa page d'informations.
  4. Cliquez sur Paramètres avancés.
  • Page de destination 403 : saisissez l'adresse Web vers laquelle les utilisateurs seront redirigés s'ils se voient refuser l'accès à l'application. Utilisez le format https://<url>.
  • Domaine d'authentification : saisissez l'URL d'authentification unique (SSO) de votre organisation pour permettre aux utilisateurs de se connecter à l'aide de leurs identifiants professionnels. Cela permet aussi de refuser l'accès aux utilisateurs qui ne disposent pas d'identifiants valides pour votre domaine Google Workspace. Utilisez le format sso.votre.org.com
  • Domaines autorisés : cochez l'option Activer les domaines autorisés pour limiter l'accès des utilisateurs aux domaines spécifiés. Séparez les entrées par une virgule. Par exemple: test.votre.org.com, prod.votre.org.com.
  • Réauthentification : utilisez ces options pour exiger que les utilisateurs s'authentifient à nouveau après un certain temps. Par exemple, vous pouvez utiliser une clé de sécurité tactile ou la validation en deux étapes.
    • Connexion : demandez aux utilisateurs de s'authentifier à nouveau à l'aide d'un nom d'utilisateur/mot de passe après avoir été connectés pendant la durée spécifiée.
    • Clé sécurisée : demandez aux utilisateurs de s'authentifier à nouveau à l'aide de leur clé de sécurité.
    • Seconds facteurs enregistrés: exigez que les utilisateurs s'authentifient de nouveau à l'aide d'une méthode d'authentification à deux facteurs (A2F).

Pour en savoir plus, consultez Réauthentification IAP.

Attribuer un contrôle des accès contextuels

Grâce à l'accès contextuel, vous pouvez contrôler les applications privées auxquelles un utilisateur peut accéder en fonction de son contexte, par exemple la conformité de son appareil avec vos règles informatiques. 

Par exemple, vous pouvez créer des règles précises de contrôle des accès pour les applications qui accèdent aux données Google Workspace, sur la base d'attributs tels que l'identité de l'utilisateur, son emplacement, le niveau de sécurité de l'appareil et son adresse IP.

Pour en savoir plus, consultez Attribuer des niveaux d'accès aux applications privées.

Ces informations vous-ont elles été utiles ?

Comment pouvons-nous l'améliorer ?

Vous avez encore besoin d'aide ?

Essayez les solutions ci-dessous :

Publier dans la communauté d'aide Obtenez des réponses de membres de la communauté
Contactez-nous Donnez-nous plus de détails pour que nous puissions vous aider
true
Démarrez dès aujourd'hui votre essai gratuit de 14 jours.

Messagerie professionnelle, stockage en ligne, agendas partagés, visioconférences et bien plus. Démarrez dès aujourd'hui votre essai gratuit de G Suite.

Recherche
Effacer la recherche
Fermer le champ de recherche
Menu principal
5796187429391351436
true
Rechercher dans le centre d'aide
true
true
true
true
true
73010
false
false