Notifica

Duet AI ha cambiato nome in Gemini per Google Workspace. Scopri di più

Esegui il deployment di app web private

Le applicazioni web private vengono create per gli utenti interni di un'organizzazione, ad esempio dipendenti e collaboratori. Il deployment di queste app può essere eseguito utilizzando BeyondCorp Enterprise (BCE) nella Console di amministrazione di Workspace.

Aggiungere l'app all'account Workspace

Le app private possono essere ospitate su Google Cloud, su un altro provider cloud o su un data center on-prem.

  1. Accedi alla Console di amministrazione Google.

    Accedi utilizzando l'account amministratore (che non termina con @gmail.com).

  2. Nella Console di amministrazione, vai a Menu e poi Applicazionie poiApp web e mobile.

  3. Fai clic su Aggiungi appe poiAggiungi app web privata.
  4. In Dettagli applicazione, inserisci il nome dell'app e l'URL da cui gli utenti accedono all'app.
  5. Seleziona dove è ospitata la tua applicazione:
    1. App ospitate su Google Cloud: inserisci l'URL Private Service Connect (PSC) in Dettagli host applicazione. Per maggiori dettagli, vedi Impostazioni per le app ospitate su Google Cloud.
    2. App HTTPS ospitate su un altro provider cloud:
      • Inserisci l'URL interno e il numero di porta.
      • Per ottenere prestazioni ottimali, seleziona la regione più vicina a dove è ospitata l'applicazione, poi scegli i connettori di app BeyondCorp Enterprise (BCE) necessari per connettere l'applicazione.
      • Le app HTTP non sono supportate.
      • Per maggiori dettagli, vedi Impostazioni per le app ospitate su altri provider cloud o data center on-prem
  6. Fai clic su Add application (Aggiungi applicazione).

Impostazioni per le app ospitate su Google Cloud

Crea un URL di Private Service Connect (PSC) per connettere le app private nel tuo ambiente.

Per configurare l'URL PSC, crea un bilanciatore del carico interno, quindi crea un collegamento a un servizio che utilizzi un indirizzo IP interno. 

Creare un bilanciatore del carico interno

Le app private in Google Workspace devono essere pubblicate dietro un bilanciatore del carico interno con l'accesso globale abilitato. Per maggiori dettagli, vedi Pubblicare un servizio con approvazione automatica.

Crea un bilanciatore del carico interno per Compute o una risorsa GKE

  1. Nella console Google Cloud, vai alla pagina Bilanciamento del carico.
  2. Fai clic su Crea bilanciatore del carico.
  3. Fai clic su Avvia configurazione per il bilanciatore del carico di rete (TCP/SSL).
    • In corrispondenza di Per internet o solo interno, seleziona Solo tra le mie VM.
    • Non modificare gli altri valori predefiniti.
    • Fai clic su Continua.
  4. Inserisci il nome del bilanciatore del carico e seleziona la regione e la rete in cui verrà eseguito il deployment del bilanciatore del carico.
  5. Seleziona la scheda Configurazione backend.
    • Seleziona il tipo di backend della risorsa.
    • Fornire il controllo di integrità del servizio.
    • Non modificare gli altri valori predefiniti.
  6. Seleziona la scheda Configurazione frontend
    • Seleziona Abilita per l'accesso globale.
    • Seleziona la subnet.
    • Inserisci il numero di porta.
    • Non modificare gli altri valori predefiniti.
  7. Fai clic su Crea.

Crea un bilanciatore del carico interno per la risorsa Cloud Run

  1. Nella console Google Cloud, vai alla pagina Bilanciamento del carico.
  2. Fai clic su Crea bilanciatore del carico.
  3. Fai clic su Avvia configurazione per il bilanciatore del carico delle applicazioni (HTTP/S).
    1. Seleziona Solo tra le mie VM o Servizi serverless.
    2. Fai clic su Continua.
  4. Inserisci il nome del bilanciatore del carico e seleziona la regione e la rete in cui verrà eseguito il deployment del bilanciatore del carico.
  5. Seleziona la scheda Configurazione frontend
    1. Seleziona la subnet.
    2. Se non l'hai ancora fatto, completa i passaggi visualizzati sullo schermo per prenotare una subnet.
  6. Seleziona la scheda Configurazione backend.
    1. Crea o seleziona il servizio di backend.
    2. Se stai creando un servizio, seleziona il gruppo di endpoint di rete serverless.
  7. Fai clic su Crea.

Creare l'URL del collegamento al servizio

Per configurare l'URL PSC, crea un collegamento a un servizio che utilizzi un indirizzo IP interno.

  1. Nella console Google Cloud, vai alla pagina Private Service Connect.
  2. Fai clic sulla scheda Pubblica servizio .
  3. Fai clic su Pubblica servizio.
  4. Seleziona il tipo di bilanciatore del carico per il servizio che vuoi pubblicare:
    • Bilanciatore del carico di rete passthrough interno
    • Bilanciatore del carico di rete proxy interno regionale
    • Bilanciatore del carico delle applicazioni interno regionale
  5. Seleziona il Bilanciatore del carico interno che ospita il servizio da pubblicare.
    I campi relativi a rete e regione vengono compilati con i dettagli del bilanciatore del carico interno selezionato.
  6. In Nome servizio, inserisci un nome per il collegamento al servizio.
  7. Seleziona una o più subnet per il servizio. Se vuoi aggiungere una nuova subnet, puoi crearne una:
    • Fai clic su Prenota nuova subnet
    • Inserisci un nome e una descrizione facoltativa per la subnet.
    • Seleziona una regione per la subnet.
    • Inserisci l'intervallo IP da utilizzare per la subnet e fai clic su Aggiungi.
  8. Seleziona Accetta automaticamente le connessioni.
  9. Fai clic su Aggiungi servizio.
  10. Fai clic sul servizio pubblicato. Il campo del collegamento al servizio contiene il nome del collegamento al servizio. L'URL è:
    https://www.googleapis.com/compute/v1/SERVICE_ATTACHMENT_NAME

Impostazioni per le app ospitate su altri provider cloud o data center on-prem

Per connettere in modo sicuro la tua rete cloud o on-prem al cloud Google, aggiungi un connettore di app.

I connettori di app ti consentono di connettere in modo sicuro la tua applicazione da altri cloud a Google senza una VPN site-to-site. 

Creare una VM sulla rete non Google

Ogni agente remoto del connettore di app deve essere installato su una macchina virtuale (VM) dedicata o su qualsiasi server Bare Metal nell'ambiente non Google.

  • Per creare la VM, chiedi assistenza all'amministratore di rete o segui le istruzioni fornite dal tuo provider cloud.
  • Per eseguire l'agente remoto, è inoltre richiesto Docker su ogni VM o server. 
  • Assicurati che il firewall di rete delle VM dell'agente remoto consenta tutto il traffico in uscita avviato sulla porta 443 per l'intervallo IP IAP-TCP 35.235.240.0/20. Vedi Verificare la configurazione del firewall per gli altri domini a cui il firewall della VM dell'agente remoto deve consentire il traffico in uscita.

Aggiungi un connettore di app e installa l'agente remoto

I connettori di app richiedono l'installazione e l'esecuzione di un agente remoto su ogni rete non Google in cui sono ospitate le tue app. L'agente remoto avvia e gestisce la connessione di rete sicura e instrada il traffico tra Google Workspace e l'applicazione.

  1. Aggiungi un connettore di app:
    1. Accedi alla Console di amministrazione Google.

      Accedi utilizzando l'account amministratore (che non termina con @gmail.com).

    2. Nella Console di amministrazione, vai a Menu e poi Applicazionie poiApp web e mobile.

    3. Fai clic sulla scheda Connettori BeyondCorp Enterprise (BCE).
    4. Fai clic su Aggiungi connettore.
    5. Inserisci un nome per il connettore. Ad esempio, connect-myapp.
    6. Seleziona una regione vicina all'ambiente non Google.
    7. Fai clic su Aggiungi connettore.
    8. Per visualizzare lo stato, in alto a destra, fai clic su e poiLe tue attività.
  2. Crea un'istanza di macchina virtuale (VM) per ospitare l'agente remoto.
    Segui le istruzioni fornite dall'amministratore di rete o dal provider cloud. Vedi Creare una VM sulla rete non Google.
  3. Installa un agente remoto.
    1. Fai clic sul nome del connettore di app.
    2. Fai clic su Installa agente remoto.
    3. Nell'ambiente non Google, installa l'agente remoto:
      • Crea un'istanza di macchina virtuale (VM) per ospitare l'agente remoto. Segui le istruzioni fornite dall'amministratore di rete o dal provider cloud.
      • Installa Docker, necessario per eseguire l'agente remoto. Per istruzioni, consulta la documentazione online per installare Docker Engine.
      • Installa e registra l'agente remoto utilizzando i comandi dell'interfaccia a riga di comando visualizzati nella pagina del connettore di app di Google Workspace.
      • Copia e incolla la chiave pubblica visualizzata dopo la corretta registrazione dell'agente remoto. 
    4. Fai clic su Salva.

La pagina del connettore di app dovrebbe mostrare che una chiave pubblica è stata aggiunta correttamente.

Limitare accesso e autenticazione

  1. Accedi alla Console di amministrazione Google.

    Accedi utilizzando l'account amministratore (che non termina con @gmail.com).

  2. Nella Console di amministrazione, vai a Menu e poi Applicazionie poiApp web e mobile.

  3. Fai clic sulla scheda App , quindi su un'app per aprire la pagina dei dettagli.
  4. Fai clic su Impostazioni avanzate.
    • Pagina di destinazione 403: inserisci l'indirizzo web a cui gli utenti verranno reindirizzati in caso di rifiuto dell'accesso all'app. Utilizza il formato https://<url>.
    • Dominio di autenticazione: inserisci l'URL Single Sign-On (SSO) per la tua organizzazione per consentire agli utenti di accedere utilizzando le credenziali della loro organizzazione. Inoltre, nega l'accesso agli utenti che non dispongono di credenziali valide per il tuo dominio Workspace. Utilizza questo formato sso.your.org.com
    • Domini consentiti: seleziona la casella Abilita domini consentiti per limitare l'accesso degli utenti solo ai domini specificati. Separa le voci con una virgola.Ad esempio: test.your.org.com, prod.your.org.com.
    • Riautenticazione: utilizza queste opzioni per richiedere agli utenti di eseguire nuovamente l'autenticazione dopo un determinato periodo di tempo.Ad esempio, puoi usare un token di sicurezza touch o la verifica in due passaggi.
  • Accesso: richiedi agli utenti di eseguire nuovamente l'autenticazione con nome utente o password dopo aver eseguito l'accesso per il periodo di tempo specificato.
  • Token di sicurezza: richiedi agli utenti di eseguire nuovamente l'autenticazione utilizzando il proprio token di sicurezza.
  • Registrazione a due fattori: richiedi agli utenti di eseguire nuovamente l'autenticazione utilizzando un metodo di autenticazione a due fattori (2FA).

Per saperne di più, consulta Riautenticazione IAP.

Assegnare il controllo dell'accesso sensibile al contesto

Con l'accesso sensibile al contesto, puoi controllare le app private a cui un utente può accedere in base al contesto, ad esempio al fatto che il dispositivo sia conforme o meno ai criteri IT. 

Ad esempio, puoi creare criteri di controllo granulare degli accessi per le app che accedono ai dati di Workspace in base ad attributi come l'identità dell'utente, la località, lo stato della sicurezza del dispositivo e l'indirizzo IP.

Per maggiori dettagli, vedi Assegnare i livelli di accesso alle app private.

È stato utile?

Come possiamo migliorare l'articolo?

Hai bisogno di ulteriore assistenza?

Prova i passaggi successivi indicati di seguito:

Pubblica una domanda nella community di assistenza Ricevi risposte dai membri della community
Contattaci Dacci ulteriori informazioni e potremo aiutarti
true
Inizia oggi la tua prova gratuita di 14 giorni oggi

Email professionale, spazio di archiviazione online, calendari condivisi, riunioni video e altro ancora. Inizia oggi la prova gratuita di G Suite.

Ricerca
Cancella ricerca
Chiudi ricerca
Menu principale
11611857980034233753
true
Cerca nel Centro assistenza
true
true
true
true
true
73010
false
false