限定公開のウェブ アプリケーションは、従業員や請負業者など、組織の内部ユーザー用に作成されます。これらのアプリは、Workspace 管理コンソールの BeyondCorp Enterprise(BCE)を使用してデプロイできます。
アプリを Workspace アカウントに追加する
限定公開アプリは、Google Cloud、別のクラウド プロバイダ、オンプレミスのデータセンターでホストできます。
-
-
管理コンソールで、メニュー アイコン [アプリ] [ウェブアプリとモバイルアプリ] にアクセスします。
- [アプリを追加] [限定公開のウェブアプリを追加] をクリックします。
- [アプリケーションの詳細] で、ユーザーがアプリにアクセスするアプリ名と URL を入力します。
- アプリケーションがホストされている場所を選択します。
- Google Cloud でホストされているアプリ - [アプリケーション ホストの詳細] に Private Service Connect(PSC)の URL を入力します。詳しくは、Google Cloud でホストされているアプリの設定をご覧ください。
- 別のクラウド プロバイダでホストされている HTTPS アプリ:
- 内部 URL とポート番号を入力します。
- 最適なパフォーマンスを得るには、アプリケーションがホストされている場所に最も近いリージョンを選択してから、アプリケーションの接続に必要な BeyondCorp Enterprise(BCE)アプリコネクタを選択します。
- HTTP アプリはサポートされていません。
- 詳しくは、他のクラウド プロバイダやオンプレミス データセンターでホストされているアプリの設定をご覧ください。
- [Add application] をクリックする。
Google Cloud でホストされているアプリの設定
Private Service Connect(PSC) URL を作成して、環境内の限定公開アプリを接続します。
PSC の URL を設定するには、内部ロードバランサを作成し、内部 IP アドレスを使用するサービス アタッチメントを作成します。
内部ロードバランサを作成する
Google Workspace の限定公開アプリは、グローバル アクセスを有効にした内部ロードバランサの背後で公開する必要があります。詳しくは、自動承認でサービスを公開するをご覧ください。
コンピューティング リソースまたは GKE リソース用の内部ロードバランサを作成する
- Google Cloud コンソールで、[ロード バランシング] ページに移動します。
- [ロードバランサを作成] をクリックします。
- [ネットワーク ロードバランサ(TCP/SSL)の構成を開始] をクリックします。
- [インターネット接続または内部専用] で [VM 間のみ] を選択します。
- 残りのデフォルト値は変更しないでください。
- [続行] をクリックします。
- ロードバランサの名前を入力し、ロードバランサをデプロイするリージョンとネットワークを選択します。
- [バックエンドの構成] タブを選択します。
- リソースのバックエンド タイプを選択します。
- サービスのヘルスチェックを提供します。
- 残りのデフォルト値は変更しないでください。
- [フロントエンドの構成] タブを選択します。
- [グローバル アクセスを有効にする] を選択します。
- サブネットワークを選択します。
- ポート番号を入力します。
- 残りのデフォルト値は変更しないでください。
- [作成] をクリックします。
Cloud Run リソース用の内部ロードバランサを作成する
- Google Cloud コンソールで、[ロード バランシング] ページに移動します。
- [ロードバランサを作成] をクリックします。
- [アプリケーション ロードバランサ(HTTP/S)の構成を開始] をクリックします。
- [VM 間のみ] または [サーバーレス サービス] を選択します。
- [続行] をクリックします。
- ロードバランサの名前を入力し、ロードバランサをデプロイするリージョンとネットワークを選択します。
- [フロントエンドの構成] タブを選択します。
- サブネットワークを選択します。
- サブネットを予約していない場合は、画面上の手順に沿ってサブネットを予約します。
- [バックエンドの構成] タブを選択します。
- バックエンド サービスを作成または選択します。
- サービスを作成する場合は、サーバーレス ネットワーク エンドポイント グループを選択します。
- [作成] をクリックします。
サービス アタッチメントの URL を作成する
PSC の URL を設定するには、内部 IP アドレスを使用するサービス アタッチメントを作成します。
- Google Cloud コンソールで [Private Service Connect] ページに移動します。
- [サービスを公開 ] タブをクリックします。
- [サービスを公開] をクリックします。
- 公開するサービスのロードバランサの種類を選択します。
- 内部パススルー ネットワーク ロードバランサ
- リージョン内部プロキシ ネットワーク ロードバランサ
- リージョン内部アプリケーション ロードバランサ
- 公開するサービスをホストする内部ロードバランサを選択します。
選択した内部ロードバランサの詳細情報が [ネットワーク] フィールドと [リージョン] フィールドに挿入されます。 - [サービス名] に、サービス アタッチメントの名前を入力します。
- サービスに 1 つ以上のサブネットを選択します。新しいサブネットを追加する場合は、次の方法で作成します。
- [新しいサブネットの予約] をクリックします。
- サブネットの名前と説明(省略可)を入力します。
- サブネットのリージョンを選択します。
- サブネットに使用する IP 範囲を入力し、[追加] をクリックします。
- [接続を自動的に受け入れる] を選択します。
- [サービスを追加] をクリックします。
- 公開サービスをクリックします。[サービス アタッチメント] フィールドには、サービス アタッチメント名が含まれています。URL は次のとおりです。
https://www.googleapis.com/compute/v1/SERVICE_ATTACHMENT_NAME
他のクラウド プロバイダやオンプレミスのデータセンターでホストされているアプリの設定
クラウドまたはオンプレミスのネットワークを Google Cloud に安全に接続するには、アプリコネクタを追加します。
アプリコネクタを使用すると、サイト間 VPN を使用せずに、アプリケーションを他のクラウドから Google に安全に接続できます。
Google 以外のネットワークに VM を作成する
各アプリコネクタのリモート エージェントは、Google 以外の環境の専用の仮想マシン(VM)またはベアメタル サーバーにインストールされている必要があります。
- VM を作成するには、ネットワーク管理者にサポートを依頼するか、クラウド プロバイダの指示に従ってください。
- リモート エージェントを実行するには、各 VM またはサーバーに Docker も必要です。
- リモート エージェントの VM ネットワーク ファイアウォールで、ポート 443 で開始し、IAP-TCP IP 範囲 35.235.240.0/20 に向かうすべての送信トラフィックが許可されていることを確認します。リモート エージェント VM ファイアウォールが送信トラフィックの宛先として許可している他のドメインについては、ファイアウォール構成を確認するをご覧ください。
アプリコネクタを追加してリモート エージェントをインストールする
アプリコネクタを使用するには、アプリがホストされている Google 以外の各ネットワークにリモート エージェントをインストールして実行する必要があります。リモート エージェントは、安全なネットワーク接続を開始して維持し、Google Workspace とアプリケーション間のトラフィックをルーティングします。
- アプリコネクタを追加します。
-
-
管理コンソールで、メニュー アイコン [アプリ] [ウェブアプリとモバイルアプリ] にアクセスします。
- [BeyondCorp Enterprise(BCE)コネクタ] タブをクリックします。
- [コネクタを追加] をクリックします。
- コネクタの名前を入力してください(例: connect-myapp)。
- Google 以外の環境に近いリージョンを選択します。
- [コネクタを追加] をクリックします。
- ステータスを表示するには、右上の [タスク] をクリックします。
-
- リモート エージェントをホストする仮想マシン(VM)インスタンスを作成します。
ネットワーク管理者またはクラウド プロバイダの指示に従います。Google 以外のネットワークで VM を作成するをご覧ください。 - リモート エージェントをインストールします。
- アプリコネクタ名をクリックします。
- [リモート エージェントをインストールする] をクリックします。
- Google 以外の環境で、リモート エージェントをインストールします。
- リモート エージェントをホストする仮想マシン(VM)インスタンスを作成します。ネットワーク管理者またはクラウド プロバイダの指示に従ってください。
- リモート エージェントの実行に必要な Docker をインストールします。手順については、Docker Engine のインストールに関するオンライン ドキュメントをご覧ください。
- Google Workspace アプリコネクタのページに表示された CLI コマンドを使用して、リモート エージェントのインストールと登録を行います。
- リモート エージェントの登録後に表示される公開鍵をコピーして貼り付けます。
- [保存] をクリックします。
アプリコネクタのページに、公開鍵が正常に追加されたことが表示されます。
アクセスと認証を制限する
-
-
管理コンソールで、メニュー アイコン [アプリ] [ウェブアプリとモバイルアプリ] にアクセスします。
- [アプリ] タブをクリックし、アプリをクリックして詳細ページを開きます。
- [詳細設定] をクリックします。
- 403 ランディング ページ - ユーザーがアプリへのアクセスを拒否された場合のリダイレクト先となるウェブアドレスを入力します。https://<url> の形式を使用します。
- 認証ドメイン - ユーザーが組織の認証情報を使用してログインできるようにするには、組織のシングル サインオン(SSO)の URL を入力します。Workspace ドメインの有効な認証情報を持っていないユーザーのアクセスも拒否されます。sso.your.org.com の形式を使用してください
- 許可されたドメイン - [許可されたドメインを有効にする] チェックボックスをオンにして、指定したドメインのみにユーザーのアクセスを制限します。エントリはカンマで区切ってください。(例: test.your.org.com, prod.your.org.com)。
- 再認証 - 一定期間経過後にユーザーに再認証を要求するには、このオプションを使用します。たとえば、タッチ セキュリティ キーや 2 段階認証プロセスを使用できます。
- ログイン: 指定した時間ログインした後、ユーザー名とパスワードによる再認証をユーザーに求めます。
- セキュアキー: ユーザーにセキュリティ キーを使用した再認証を求めます。
- 登録された第 2 要素: ユーザーに 2 段階認証プロセス(2FA)を使用した再認証を要求します。
詳細については、IAP 再認証をご覧ください。
コンテキストアウェア アクセス制御を割り当てる
コンテキストアウェア アクセスを使用すると、ユーザーのデバイスが IT ポリシーに準拠しているかどうかなどの状況に基づいて、ユーザーがアクセスできる限定公開アプリを制御できます。
たとえば、ユーザー ID、場所、デバイスのセキュリティ ステータス、IP アドレスなどの属性に基づいて、Workspace データにアクセスするアプリに対する詳細なアクセス制御ポリシーを作成できます。
詳しくは、限定公開アプリにアクセスレベルを割り当てるをご覧ください。