Implementera privata webbappar

Privata webbappar skapas för en organisations interna användare, till exempel medarbetare och entreprenörer. Du kan implementera dessa appar med Chrome Enterprise Premium i Googles administratörskonsol.

Lägg till appen i Google Workspace-kontot

Privata appar kan finnas på Google Cloud, en annan molnleverantör eller ett lokalt datacenter.

  1. Logga inGoogles administratörskonsol.

    Logga in med ditt administratörskonto (slutar inte på @gmail.com).

  2. På administratörskonsolen går du till menyn följt av Apparföljt avWebb- och mobilappar.

  3. Klicka på Lägg till appföljt avLägg till privat webbapp.
  4. Under Appinformation anger du ett appnamn och en webbadress där användarna får åtkomst till appen.
  5. Ange var appen finns:
  6. Klicka på Lägg till app.

Inställningar för appar som lagras på Google Cloud

Skapa en webbadress för Private Service Connect (PSC) om du vill ansluta de privata apparna i din miljö.

Konfigurera PSC-webbadressen genom att skapa en intern belastningsutjämnare och skapa sedan en tjänstbilaga som använder en intern IP-adress. 

Skapa en intern belastningsutjämnare

Privata appar i Google Workspace ska publiceras bakom en intern belastningsutjämnare med global åtkomst aktiverad. Mer information finns i Publicera en tjänst med automatiskt godkännande.

Skapa en intern belastningsutjämnare för Compute- eller GKE-resurs

Innan du börjar: Om du vill tillåta säker HTTPS-kommunikation konfigurerar du en instansgrupp som är konfigurerad för att visa begäranden på port 443. Instansgruppen väljs på fliken Backend-konfiguration.

  1. Öppna sidan Belastningsbalansering i Google Cloud Console.
  2. Klicka på Skapa belastningsutjämnare.
  3. Klicka på Starta konfiguration för belastningsutjämnare för nätverk (TCP/SSL) och välj följande:
    1. Typ av belastningsutjämnare – belastningsutjämnare för nätverk (TCP/UDP/SSL).
    2. Proxy eller passthrough – passthrough.
    3. Mot internet eller endast internt – internt.
    4. Klicka på Next.
    5. Klicka på Fortsätt.
  4. Ange belastningsutjämnarens namn och välj region och nätverk där du vill implementera belastningsutjämnaren.
    Viktigt! Nätverket du väljer för belastningsutjämnaren måste vara samma nätverk som används av instansgruppen.
  5. Välj fliken Backend-konfiguration (serverkonfiguration).
    1. Protokoll – välj TCP
    2. IP-stacktyp – välj IPv4
    3. Välj en instansgrupp.
      Skapa en genom att gå till Instansgrupper.
    4. Välj en statuskontroll i listan.Så här skapar du en ny statuskontroll:
      1. Välj Skapa statuskontroll.
      2. Ge statuskontrollen ett namn (till exempel ping-port).
      3. Välj regional omfattning.
      4. Välj HTTPS som protokoll.
      5. Behåll port som 443.
      6. För Proxyprotokoll väljer du INGEN.
      7. Lämna / för Sökväg till begäran.
      8. Aktivera loggar.
      9. Behåll standardvärdena för hälsokriterierna.
  6. Välj fliken Gränssnittskonfiguration
    1. (Valfritt) Ange ett namn på användargränssnittet.
    2. Välj IPv4 som IP-version.
    3. Välj ett delnätverk.
    4. För internt IP-ändamål väljer du Icke-delad.
    5. För portar väljer du Single.
    6. Ange portnummer 443.
    7. Välj Aktivera för global åtkomst.
  7. Välj fliken Granska och slutför för att granska konfigurationsinställningarna för belastningsutjämnaren.
  8. Klicka på Skapa.

Skapa en intern belastningsutjämnare för Cloud Run-resurs

  1. Öppna sidan Belastningsbalansering i Google Cloud Console.
  2. Klicka på Skapa belastningsutjämnare.
  3. Klicka på Starta konfiguration för appbelastningsutjämnare (HTTP/S) och välj följande.
    1. Typ av belastningsutjämnare – Application Load Balancer (HTTP/HTTPS).
    2. Vänd mot internet eller endast internt – internt.
    3. Implementering över flera regioner eller en enskild region – en region.
    4. Klicka på Next.
    5. Klicka på Konfigurera.
  4. Ange belastningsutjämnarens namn och välj region och nätverk där belastningsutjämnaren ska implementeras.
  5. Välj fliken Backend-konfiguration (serverkonfiguration).
    1. Skapa eller välj servertjänsten.
    2. Om du skapar en tjänst väljer du Backend-typen Serverless Network Endpoint Group och väljer en ändpunktsgrupp för nätverket.
    3. Om du inte har en slutpunkt för serverlösa nätverk väljer du alternativet att skapa en ny.
      Innan du skapar slutpunktsgruppen för Serverless Network skapar du en Cloud Run-tjänst som ändpunktsgruppen pekar på.
  6. Välj fliken Gränssnittskonfiguration
    1. Protokoll – välj HTTPS.
    2. Välj delnätverket.
    3. Slutför stegen på skärmen för att reservera ett delnät om du inte redan har gjort det.
    4. Aktivera global åtkomst.
    5. Du kan välja att skapa ett nytt eller ett befintligt certifikat för certifikatet.
  7. Klicka på Skapa.

Skapa webbadressen för tjänstbilaga

Om du vill konfigurera PSC-webbadressen skapar du en tjänstbilaga som använder en intern IP-adress.

  1. Öppna sidan Private Service Connect i Google Cloud Console.
  2. Klicka på fliken Publiceringstjänst .
  3. Klicka på Publicera tjänst.
  4. Välj Typ av belastningsutjämnare för den tjänst du vill publicera:
    • Intern vidarekoppling för nätverksbelastningsutjämnare
    • Nätverksbelastningsutjämnare för regional intern proxy
    • Regional intern belastningsutjämnare för appar
  5. Välj den interna belastningsutjämnaren som är värd för tjänsten du vill publicera.
    Fälten för nätverk och region fylls med uppgifter för den valda interna belastningsutjämnaren.
  6. För Tjänstnamn anger du ett namn på tjänstbilagan.
  7. Välj ett eller flera delnät för tjänsten. Om du vill lägga till ett nytt delnät kan du skapa ett:
    • Klicka på Reservera nytt delnät.
    • Ange ett Namn och en valfri Beskrivning för delnätet.
    • Välj en region för delnätet.
    • Ange det IP-intervall som ska användas för delnätet och klicka på Lägg till.
  8. Välj Godkänn alla anslutningar automatiskt under Anslutningsinställningar.
  9. Klicka på Lägg till tjänst.
  10. Klicka på den publicerade tjänsten. Använd namnet på tjänstbilagan i fältet Tjänstbilaga för att skapa webbadressen:
    https://www.googleapis.com/compute/v1/SERVICE_ATTACHMENT_NAME
  11. Ange webbadressen när du lägger till din privata app i Google Workspace. Mer information finns i Lägg till appen i Workspace-kontot.

Inställningar för appar som finns hos andra molnleverantörer eller lokala datacenter

Lägg till en appanslutare för att ansluta ditt moln eller lokala nätverk till Googles moln på ett säkert sätt.

Med appanslutare kan du ansluta din app från andra moln till Google på ett säkert sätt utan ett VPN från webbplats till webbplats. 

Skapa en virtuell dator i nätverket utanför Google 

Du måste installera varje fjärragent för appanslutaren på en dedikerad virtuell dator (VM) eller på en Bare Metal-server i miljön som inte tillhör Google. 

  • Om du vill skapa den virtuella datorn ber du nätverksadministratören om hjälp eller följer anvisningarna från molnleverantören.
  • Om du vill köra fjärragenten använder du Docker på varje virtuell dator eller server. 
  • Kontrollera att nätverksbrandväggen för fjärragentens virtuella dator tillåter all utgående trafik som initieras på port 443 för IP-intervallet för IAP-TCP 35.235.240.0/20. Mer information om andra domäner som brandväggen för den virtuella fjärragenten ska tillåta utgående trafik till finns i Verifiera brandväggskonfigurationen.

Lägg till en appanslutare och installera fjärragenten

  1. Lägga till en appanslutare:
    1. Logga inGoogles administratörskonsol.

      Logga in med ditt administratörskonto (slutar inte på @gmail.com).

    2. På administratörskonsolen går du till menyn följt av Apparföljt avWebb- och mobilappar.

    3. Klicka på fliken BeyondCorp Enterprise-anslutare (BCE) .
    4. Klicka på Lägg till anslutare.
    5. Ange ett namn för anslutaren. Exempel: connect-myapp.
    6. Välj en region nära miljön som inte kommer från Google.
    7. Klicka på Lägg till anslutare.
    8. Klicka på uppe till höger följt av Dina uppgifter för att se statusen.
  2. Skapa en VM-instans som värd för fjärragenten.
    Följ anvisningarna från nätverksadministratören eller molnleverantören. Se Skapa en virtuell dator i nätverket utanför Google.
  3. Installera en fjärragent.
    1. Klicka på appanslutarens namn.
    2. Klicka på Installera fjärragent.
    3. Installera fjärragenten i miljön utanför Google:
      • Skapa en virtuell datorinstans (VM) som värd för fjärragenten. Följ anvisningarna från nätverksadministratören eller molnleverantören.
      • Installera Docker, vilket krävs för att köra fjärragenten. Anvisningar om hur du installerar Docker Engine finns i onlinedokumentationen.
      • Installera och registrera fjärragenten med hjälp av CLI-kommandona som visas på sidan för Google Workspace-appens anslutare.
      • Kopiera och klistra in den offentliga nyckel som visas när fjärragenten har registrerats. 
    4. Klicka på Spara.

På appanslutarens sida ska det framgå att en offentlig nyckel har lagts till.

Begränsa åtkomst och autentisering

Administratören som har skapat appen kan bestämma under vilka villkor en användare ska få åtkomst till den. Du kan till exempel begränsa åtkomsten till användare från en viss domän eller bara tillåta åtkomst under vissa tider eller dagar. Om åtkomst nekas omdirigeras användaren till en viss sida.
  1. Logga inGoogles administratörskonsol.

    Logga in med ditt administratörskonto (slutar inte på @gmail.com).

  2. På administratörskonsolen går du till menyn följt av Apparföljt avWebb- och mobilappar.

  3. Klicka på fliken Appar och sedan på en app för att öppna informationssidan.
  4. Klicka på Avancerade inställningar.
  • 403-målsida – ange webbadressen dit användare ska omdirigeras om de nekas åtkomst till appen. Använd formatet https://<webbadress>.
  • Autentiseringsdomän – ange SSO-webbadressen för organisationen så att användarna kan logga in med sina organisationsuppgifter. Detta nekar också åtkomst för användare som inte har giltiga användaruppgifter för Google Workspace-domänen. Använd det här formatet: sso.din.org.com
  • Tillåtna domäner – markera rutan Aktivera tillåtna domäner om du vill begränsa användaråtkomst till enbart de angivna domänerna. Avgränsa posterna med kommatecken.Exempel: test.din.org.com, prod.din.org.com.
  • Omautentisering – använd de här alternativen för att kräva att användarna autentiserar om efter en viss tidsperiod.Du kan till exempel använda en trycksäkerhetsnyckel eller tvåstegsverifiering.
    • Inloggning: Kräv att användarna autentiserar om med användarnamn/lösenord efter att ha varit inloggade under den angivna tiden.
    • Säker nyckel: Kräv att användarna autentiserar om med sin säkerhetsnyckel.
    • Registrerade andra faktorer: Kräv att användarna autentiserar om med hjälp av en metod för tvåfaktorsautentisering (2FA).

Mer information finns i Omautentisering av köp i appen.

Tilldela kontextkänslig åtkomstkontroll

Med hjälp av kontextkänslig åtkomst kan du styra vilka privata appar en användare kan få åtkomst till baserat på kontext, till exempel om enheten följer din IT-policy. 

Du kan till exempel skapa detaljerade policyer för åtkomstkontroll för appar som har åtkomst till Google Workspace-data baserat på attribut som användaridentitet, plats, enhetens säkerhetsstatus och IP-adress.

Mer information finns i Tilldela privata appar åtkomstnivåer.

Var det här till hjälp?

Hur kan vi förbättra den?

Behöver du mer hjälp?

Testa detta härnäst:

Gör ett inlägg i hjälpforumet Få svar från communityn
Kontakta oss Berätta mer så hjälper vi dig
true
Testa kostnadsfritt i 14 dagar

E-post för arbetet, onlinelagring, delade kalendrar, videomöten med mera. Påbörja din kostnadsfria provperiod på G Suite i dag.

Sök
Rensa sökning
Stäng sökrutan
Huvudmeny
1402879516282341384
true
Sök i hjälpcentret
true
true
true
true
true
73010
false
false