Aplikasi web pribadi dibuat untuk pengguna internal organisasi, seperti karyawan dan kontraktor. Anda dapat men-deploy aplikasi ini menggunakan Chrome Enterprise Premium di konsol Google Admin.
Menambahkan aplikasi ke akun Google Workspace Anda
Aplikasi pribadi dapat dihosting di Google Cloud, penyedia cloud lain, atau pusat data lokal.
-
Login ke Konsol Google Admin.
Login menggunakan akun administrator (bukan yang diakhiri dengan @gmail.com).
-
Di konsol Admin, buka Menu AplikasiAplikasi seluler dan web.
- Klik Tambahkan aplikasiTambahkan aplikasi web pribadi.
- Di bagian Detail Aplikasi, masukkan URL dan nama aplikasi tempat pengguna dapat mengakses aplikasi.
- Tentukan tempat aplikasi dihosting:
- Aplikasi yang dihosting di Google Cloud—Masukkan URL Private Service Connect (PSC) di bagian Detail Host Aplikasi. Untuk mengetahui detailnya, lihat Setelan untuk aplikasi yang dihosting di Google Cloud.
- Aplikasi HTTPS yang dihosting di penyedia cloud lain—Masukkan URL internal dan nomor port. Aplikasi HTTP tidak didukung. Untuk mengetahui detailnya, lihat Setelan untuk aplikasi yang dihosting di penyedia cloud lain atau pusat data lokal
Untuk mendapatkan performa terbaik, pilih region yang paling dekat dengan tempat aplikasi dihosting, lalu pilih konektor aplikasi yang diperlukan untuk menghubungkan aplikasi.
- Klik Tambahkan aplikasi.
Setelan untuk aplikasi yang dihosting di Google Cloud
Buat URL Private Service Connect (PSC) untuk menghubungkan aplikasi pribadi di lingkungan Anda.
Untuk menyiapkan URL PSC, buat load balancer internal, lalu buat lampiran layanan yang menggunakan alamat IP internal.
Membuat Load Balancer Internal
Aplikasi pribadi di Google Workspace harus dipublikasikan di belakang load balancer internal dengan akses global yang diaktifkan. Untuk mengetahui detailnya, lihat Memublikasikan layanan dengan persetujuan otomatis.
Membuat Load Balancer Internal untuk resource Compute atau GKE
Sebelum memulai: Agar komunikasi HTTPS aman, siapkan grup instance yang dikonfigurasi untuk melayani permintaan di port 443. Grup instance akan dipilih di tab konfigurasi Backend.
- Di Konsol Google Cloud, buka halaman Load balancing.
- Klik Create Load Balancer.
- Klik Start Configuration for Network Load Balancer (TCP/SSL), lalu pilih opsi berikut:
- Type of load balancer—Network Load Balancer (TCP/UDP/SSL).
- Proxy atau Passthrough—Passthrough.
- Internet facing atau Internal only—Internal.
- Klik Next.
- Klik Continue.
- Masukkan nama load balancer, lalu pilih region dan jaringan tempat Anda akan men-deploy load balancer.
Penting: Jaringan yang Anda pilih untuk load balancer harus sama dengan jaringan yang digunakan oleh grup instance. - Pilih tab Backend configuration.
- Protocol—Pilih TCP.
- IP stack type—Pilih IPv4.
- Pilih grup instance.
Untuk membuatnya, buka Instance groups. - Pilih health check dari daftar. Untuk membuat health check baru:
- Pilih Create health check.
- Masukkan nama untuk health check Anda (misalnya: ping-port).
- Pilih regional scope.
- Untuk protocol, pilih HTTPS.
- Pastikan port sebagai 443.
- Untuk Proxy protocol, pilih NONE.
- Untuk Request path masukkan "/".
- Aktifkan log
- Pertahankan nilai default untuk health criteria.
- Pilih tab Frontend configuration
- (Opsional) Masukkan nama untuk frontend.
- Untuk IP version, pilih IPv4.
- Pilih subnetwork.
- Untuk internal IP purpose, pilih Non-shared.
- Untuk port, pilih Single.
- Masukkan nomor port 443.
- Untuk Global access, pilih Enable.
- Pilih tab Review and finalize untuk meninjau setelan konfigurasi load balancer Anda.
- Klik Create.
Membuat Load Balancer Internal untuk resource Cloud Run
- Di Konsol Google Cloud, buka halaman Load balancing.
- Klik Create Load Balancer.
- Klik Start Configuration for application load balancer (HTTP/S), lalu pilih opsi berikut.
- Type of load balancer—Application Load Balancer (HTTP/HTTPS).
- Internet facing atau internal only—internal.
- Deployment Cross-region atau single region—single region.
- Klik Next.
- Klik Configure.
- Masukkan nama load balancer, lalu pilih region dan jaringan tempat load balancer akan di-deploy.
- Pilih tab Backend configuration.
- Buat atau pilih layanan backend.
- Jika membuat layanan, pilih jenis Backend Serverless Network Endpoint Group, lalu pilih grup endpoint jaringan.
- Jika Anda belum memiliki Endpoint Jaringan Serverless, pilih opsi untuk membuat endpoint baru.
Sebelum membuat Grup Endpoint Jaringan Serverless, buat layanan Cloud Run yang akan diarahkan oleh grup endpoint.
- Pilih tab Frontend configuration
- Protocol—Pilih HTTPS.
- Pilih subnetwork.
- Selesaikan langkah-langkah di layar untuk memesan subnet jika Anda belum melakukannya.
- Aktifkan global access.
- Untuk sertifikat, Anda dapat memilih untuk membuat yang baru atau memilih sertifikat yang ada.
- Klik Create.
Membuat URL Lampiran Layanan
Untuk menyiapkan URL PSC, buat lampiran layanan yang menggunakan alamat IP internal.
- Di konsol Google Cloud, buka halaman Private Service Connect.
- Klik tab Publish service .
- Klik Publish service.
- Pilih Load balancer type untuk layanan yang ingin dipublikasikan:
- Load Balancer Jaringan passthrough internal
- Load Balancer Jaringan proxy internal regional
- Load Balancer Aplikasi internal regional
- Pilih Load balancer internal yang menghosting layanan yang ingin dipublikasikan.
Kolom jaringan dan region diisi dengan detail untuk load balancer internal yang dipilih. - Untuk Service name, masukkan nama lampiran layanan.
- Pilih satu atau beberapa Subnet untuk layanan tersebut. Jika ingin menambahkan subnet baru, Anda dapat membuatnya:
- Klik Reserve new subnet.
- Masukkan Name dan Description opsional untuk subnet.
- Pilih Region untuk subnet.
- Masukkan IP range yang akan digunakan untuk subnet, lalu klik Add.
- Untuk Connection preference, pilih Automatically accept all connections.
- Klik Add service.
- Klik layanan yang dipublikasikan. Gunakan nama lampiran layanan di kolom Service attachment untuk membuat URL:
https://www.googleapis.com/compute/v1/SERVICE_ATTACHMENT_NAME - Masukkan URL saat menambahkan aplikasi pribadi Anda di Google Workspace. Lihat Menambahkan aplikasi ke akun Workspace Anda.
Setelan untuk aplikasi yang dihosting di penyedia cloud lain atau pusat data lokal
Untuk menghubungkan jaringan cloud atau lokal ke Google Cloud dengan aman, tambahkan konektor aplikasi.
Konektor aplikasi memungkinkan Anda menghubungkan aplikasi dengan aman dari cloud lain ke Google tanpa VPN site-to-site.
Membuat VM di jaringan non-Google
Anda harus menginstal setiap remote agent konektor aplikasi di virtual machine (VM) khusus atau pada server Bare Metal apa pun di lingkungan non-Google.
- Untuk membuat VM, minta bantuan administrator jaringan Anda atau ikuti petunjuk yang diberikan oleh penyedia cloud.
- Untuk menjalankan remote agent, gunakan Docker di setiap VM atau server.
- Pastikan firewall jaringan untuk remote agent VM mengizinkan semua traffic keluar yang dimulai di port 443 untuk rentang IP IAP-TCP 35.235.240.0/20. Lihat Memverifikasi konfigurasi firewall untuk domain lain yang harus diizinkan oleh firewall bagi remote agent VM untuk traffic keluar.
Menambahkan konektor aplikasi dan menginstal remote agent
-
Tambahkan konektor aplikasi:
-
Login ke Konsol Google Admin.
Login menggunakan akun administrator (bukan yang diakhiri dengan @gmail.com).
-
Di konsol Admin, buka Menu AplikasiAplikasi seluler dan web.
- Klik tab BeyondCorp Enterprise (BCE) Connectors .
- Klik Add connector.
- Masukkan nama untuk konektor. Misalnya: connect-myapp.
- Pilih region yang dekat dengan lingkungan non-Google.
- Klik Add connector.
- Untuk melihat status, di kanan atas, klik Your tasks.
-
- Buat instance VM untuk menghosting remote agent.
Ikuti petunjuk yang diberikan oleh administrator jaringan atau penyedia cloud Anda. Lihat Membuat VM di jaringan non-Google. - Instal remote agent.
- Klik nama konektor aplikasi.
- Klik Install remote agent.
- Di lingkungan non-Google, instal remote agent:
- Buat instance virtual machine (VM) untuk menghosting remote agent. Ikuti petunjuk yang diberikan oleh administrator jaringan atau penyedia cloud Anda.
- Instal Docker, yang diperlukan untuk menjalankan remote agent. Untuk mengetahui petunjuknya, lihat dokumentasi online untuk menginstal Docker Engine.
- Instal dan daftarkan remote agent menggunakan perintah CLI yang ditampilkan di halaman konektor aplikasi Google Workspace.
- Salin dan tempel kunci publik yang ditampilkan setelah remote agent berhasil didaftarkan.
- Klik Save.
Halaman konektor aplikasi akan menampilkan bahwa kunci publik berhasil ditambahkan.
Membatasi akses dan autentikasi
-
Login ke Konsol Google Admin.
Login menggunakan akun administrator (bukan yang diakhiri dengan @gmail.com).
-
Di konsol Admin, buka Menu AplikasiAplikasi seluler dan web.
- Klik tab Aplikasi , lalu klik aplikasi untuk membuka halaman detail.
- Klik Setelan lanjutan.
- Halaman landing 403—Masukkan alamat web tempat pengguna akan dialihkan jika mereka ditolak mengakses aplikasi. Gunakan format https://<url>.
- Domain autentikasi—Masukkan URL single sign-on (SSO) untuk organisasi Anda agar pengguna dapat login menggunakan kredensial organisasi mereka. Tindakan ini juga menolak akses bagi pengguna yang tidak memiliki kredensial yang valid untuk domain Google Workspace Anda. Gunakan format sso.your.org.com.
- Domain yang diizinkan—Centang kotak Aktifkan domain yang diizinkan untuk membatasi akses pengguna hanya ke domain yang ditentukan. Pisahkan entri dengan koma. Misalnya: test.your.org.com, prod.your.org.com.
- Autentikasi ulang—Gunakan opsi ini untuk mewajibkan pengguna melakukan autentikasi ulang setelah jangka waktu tertentu. Misalnya, Anda dapat menggunakan kunci keamanan sentuh atau verifikasi 2 langkah.
- Login: Wajibkan pengguna untuk melakukan autentikasi ulang dengan nama pengguna/sandi setelah login selama jangka waktu yang ditentukan.
- Kunci aman: Wajibkan pengguna untuk melakukan autentikasi ulang menggunakan kunci keamanan mereka.
- Faktor kedua yang terdaftar: Wajibkan pengguna untuk melakukan autentikasi ulang menggunakan metode autentikasi faktor kedua (2FA).
Untuk mengetahui informasi selengkapnya, lihat Autentikasi ulang IAP.
Menetapkan kontrol Akses Kontekstual
Dengan Akses Kontekstual, Anda dapat mengontrol aplikasi pribadi yang dapat diakses pengguna berdasarkan konteksnya, seperti apakah perangkat mereka mematuhi kebijakan IT Anda.
Misalnya, Anda dapat membuat kebijakan kontrol akses terperinci untuk aplikasi yang mengakses data Google Workspace berdasarkan atribut seperti identitas pengguna, lokasi, status keamanan perangkat, dan alamat IP.
Untuk mengetahui detailnya, lihat Menetapkan tingkat akses ke aplikasi pribadi.