ตืดตั้งใช้งานเว็บแอปส่วนตัว

เว็บแอปพลิเคชันส่วนตัวสร้างขึ้นสำหรับผู้ใช้ภายในองค์กร เช่น พนักงานประจำและพนักงานสัญญาจ้าง โดยคุณสามารถติดตั้งใช้งานได้โดยใช้ BeyondCorp Enterprise (BCE) ในคอนโซลผู้ดูแลระบบ Workspace

เพิ่มแอปลงในบัญชี Workspace

แอปส่วนตัวอาจโฮสต์อยู่ใน Google Cloud, ผู้ให้บริการคลาวด์รายอื่น หรือศูนย์ข้อมูลภายในองค์กร

ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google
ลงชื่อเข้าใช้โดยใช้บัญชีผู้ดูแลระบบ (ที่ไม่ลงท้ายด้วย @gmail.com)
ในคอนโซลผู้ดูแลระบบ ไปที่เมนู แอปแอปบนเว็บและอุปกรณ์เคลื่อนที่
คลิกเพิ่มแอปเพิ่มเว็บแอปส่วนตัว
ป้อนชื่อแอปและ URL ที่ผู้ใช้เข้าถึงแอปในส่วนรายละเอียดแอปพลิเคชัน
เลือกแพลตฟอร์มที่โฮสต์แอปพลิเคชัน ดังนี้
1. แอปที่โฮสต์ใน Google Cloud - ป้อน URL ของ Private Service Connect (PSC) ในส่วนรายละเอียดโฮสต์ของแอปพลิเคชัน โปรดดูรายละเอียดที่หัวข้อการตั้งค่าสำหรับแอปที่โฮสต์บน Google Cloud
2. แอป HTTPS ที่โฮสต์กับผู้ให้บริการคลาวด์รายอื่น
  - ป้อน URL ภายในและหมายเลขพอร์ต
  - เพื่อประสิทธิภาพที่ดีที่สุด ให้เลือกภูมิภาคที่อยู่ใกล้กับตำแหน่งที่โฮสต์แอปพลิเคชันมากที่สุด จากนั้นเลือกเครื่องมือเชื่อมต่อแอป BeyondCorp Enterprise (BCE) ที่จําเป็นในการเชื่อมต่อแอปพลิเคชัน
  - ไม่รองรับแอป HTTP
  - โปรดดูรายละเอียดที่หัวข้อการตั้งค่าสำหรับแอปที่โฮสต์กับผู้ให้บริการคลาวด์รายอื่นหรือศูนย์ข้อมูลภายในองค์กร
คลิกเพิ่มแอปพลิเคชัน

การตั้งค่าสำหรับแอปที่โฮสต์บน Google Cloud

สร้าง URL ของ Private Service Connect (PSC) เพื่อเชื่อมต่อแอปส่วนตัวในสภาพแวดล้อมของคุณ

หากต้องการตั้งค่า URL ของ PSC ให้สร้างตัวจัดสรรภาระงานภายใน แล้วสร้างไฟล์แนบบริการที่ใช้ที่อยู่ IP ภายใน

สร้างตัวจัดสรรภาระงานภายใน

แอปส่วนตัวใน Google Workspace ควรเผยแพร่โดยใช้ตัวจัดสรรภาระงานภายในที่มีการเปิดใช้การเข้าถึงทั่วโลก โปรดดูรายละเอียดที่หัวข้อเผยแพร่บริการด้วยการอนุมัติโดยอัตโนมัติ

สร้างตัวจัดสรรภาระงานภายในสำหรับทรัพยากร Compute หรือ GKE

ในคอนโซล Google Cloud ให้ไปที่หน้าการจัดสรรภาระงาน
คลิกสร้างตัวจัดสรรภาระงาน
คลิกเริ่มการกำหนดค่าสำหรับตัวจัดสรรภาระงานเครือข่าย (TCP/SSL)
- สำหรับการเชื่อมต่ออินเทอร์เน็ตหรือภายในเท่านั้น ให้เลือกระหว่าง VM ของฉันเท่านั้น
- อย่าเปลี่ยนค่าเริ่มต้นที่เหลือ
- คลิกต่อไป
ป้อนชื่อตัวจัดสรรภาระงาน แล้วเลือกภูมิภาคและเครือข่ายที่จะติดตั้งใช้งานตัวจัดสรรภาระงาน
เลือกแท็บการกำหนดค่าแบ็กเอนด์
- เลือกประเภทแบ็กเอนด์ของทรัพยากร
- ระบุการตรวจสอบประสิทธิภาพการทำงานของบริการ
- อย่าเปลี่ยนค่าเริ่มต้นที่เหลือ
เลือกแท็บการกำหนดค่าฟรอนท์เอนด์
- เลือกเปิดใช้สำหรับการเข้าถึงทั่วโลก
- เลือกเครือข่ายย่อย
- ป้อนหมายเลขพอร์ต
- อย่าเปลี่ยนค่าเริ่มต้นที่เหลือ
คลิกสร้าง

สร้างตัวจัดสรรภาระงานภายในสำหรับทรัพยากร Cloud Run

ในคอนโซล Google Cloud ให้ไปที่หน้าการจัดสรรภาระงาน
คลิกสร้างตัวจัดสรรภาระงาน
คลิกเริ่มการกําหนดค่าสําหรับตัวจัดสรรภาระงานแอปพลิเคชัน (HTTP/S)
1. เลือกระหว่าง VM ของฉันเท่านั้นหรือบริการแบบ Serverless
2. คลิกต่อไป
ป้อนชื่อตัวจัดสรรภาระงาน แล้วเลือกภูมิภาคและเครือข่ายที่จะติดตั้งใช้งานตัวจัดสรรภาระงาน
เลือกแท็บการกำหนดค่าฟรอนท์เอนด์
1. เลือกเครือข่ายย่อย
2. ทำตามขั้นตอนบนหน้าจอเพื่อจองซับเน็ต หากยังไม่ได้ดำเนินการ
เลือกแท็บการกำหนดค่าแบ็กเอนด์
1. สร้างหรือเลือกบริการแบ็กเอนด์
2. หากสร้างบริการ ให้เลือกกลุ่มปลายทางของเครือข่ายแบบ Serverless
คลิกสร้าง

สร้าง URL ของไฟล์แนบบริการ

หากต้องการตั้งค่า URL ของ PSC ให้สร้างไฟล์แนบบริการที่ใช้ที่อยู่ IP ภายใน

ในคอนโซล Google Cloud ให้ไปที่หน้า Private Service Connect
คลิกแท็บเผยแพร่บริการ
คลิกเผยแพร่บริการ
เลือกประเภทตัวจัดสรรภาระงานสำหรับบริการที่คุณต้องการเผยแพร่
- ตัวจัดสรรภาระงานเครือข่ายการปล่อยผ่านสัญญาณภายใน
- ตัวจัดสรรภาระงานเครือข่ายพร็อกซีภายในระดับภูมิภาค
- ตัวจัดสรรภาระงานแอปพลิเคชันภายในระดับภูมิภาค
เลือกตัวจัดสรรภาระงานภายในที่โฮสต์บริการที่คุณต้องการเผยแพร่
ระบบจะป้อนรายละเอียดสำหรับตัวจัดสรรภาระงานภายในที่เลือกในฟิลด์เครือข่ายและภูมิภาค
ในส่วนชื่อบริการ ให้ป้อนชื่อไฟล์แนบของบริการ
เลือกซับเน็ตอย่างน้อย 1 รายการสำหรับบริการ หากต้องการเพิ่มซับเน็ตใหม่ ให้สร้างซับเน็ตใหม่โดยดำเนินการดังนี้
- คลิกจองซับเน็ตใหม่
- ป้อนชื่อและคำอธิบาย (ไม่บังคับ) สำหรับซับเน็ต
- เลือกภูมิภาคสำหรับซับเน็ต
- ป้อนช่วง IP เพื่อใช้กับซับเน็ต แล้วคลิกเพิ่ม
เลือกยอมรับการเชื่อมต่อโดยอัตโนมัติ
คลิกเพิ่มบริการ
คลิกบริการที่เผยแพร่แล้ว ฟิลด์ไฟล์แนบบริการจะมีชื่อไฟล์แนบของบริการ โดย URL คือ
https://www.googleapis.com/compute/v1/SERVICE_ATTACHMENT_NAME

การตั้งค่าสำหรับแอปที่โฮสต์กับผู้ให้บริการคลาวด์รายอื่นหรือศูนย์ข้อมูลภายในองค์กร

หากต้องการเชื่อมต่อระบบคลาวด์หรือเครือข่ายภายในองค์กรกับ Google Cloud อย่างปลอดภัย ให้เพิ่มเครื่องมือเชื่อมต่อแอป

เครื่องมือเชื่อมต่อแอปช่วยให้คุณเชื่อมต่อแอปพลิเคชันของคุณจากระบบคลาวด์อื่นไปยัง Google ได้อย่างปลอดภัยโดยไม่ต้องใช้ VPN แบบเว็บไซต์สู่เว็บไซต์

สร้าง VM ในเครือข่ายที่ไม่ใช่ของ Google

Agent ระยะไกลสำหรับเครื่องมือเชื่อมต่อแอปแต่ละรายการต้องติดตั้งบนเครื่องเสมือน (VM) โดยเฉพาะหรือเซิร์ฟเวอร์ Bare Metal ในสภาพแวดล้อมที่ไม่ใช่ของ Google

หากต้องการสร้าง VM โปรดขอความช่วยเหลือจากผู้ดูแลเครือข่าย หรือทำตามวิธีการจากผู้ให้บริการคลาวด์
นอกจากนี้ Docker ยังจำเป็นสำหรับ VM หรือเซิร์ฟเวอร์แต่ละรายการเพื่อเรียกใช้ Agent ระยะไกล
ตรวจสอบว่าไฟร์วอลล์เครือข่าย VM ของ Agent ระยะไกลอนุญาตการรับส่งข้อมูลขาออกทั้งหมดซึ่งเริ่มต้นที่พอร์ต 443 สำหรับช่วง IP ของ IAP-TCP 35.235.240.0/20 โปรดดูหัวข้อยืนยันการกำหนดค่าไฟร์วอลล์สำหรับโดเมนอื่นๆ ที่ไฟร์วอลล์ VM ของ Agent ระยะไกลควรอนุญาตให้มีการรับส่งข้อมูลขาออกได้

เพิ่มเครื่องมือเชื่อมต่อแอปและติดตั้ง Agent ระยะไกล

เครื่องมือเชื่อมต่อแอปกำหนดให้ต้องติดตั้งและเรียกใช้ Agent ระยะไกลในเครือข่ายที่ไม่ใช่ของ Google แต่ละเครือข่ายที่โฮสต์แอปของคุณอยู่ Agent ระยะไกลจะเริ่มต้นและดูแลให้การเชื่อมต่อเครือข่ายมีความปลอดภัย และกำหนดเส้นทางการรับส่งข้อมูลระหว่าง Google Workspace และแอปพลิเคชัน

เพิ่มเครื่องมือเชื่อมต่อแอป ดังนี้
1. ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google
  ลงชื่อเข้าใช้โดยใช้บัญชีผู้ดูแลระบบ (ที่ไม่ลงท้ายด้วย @gmail.com)
2. ในคอนโซลผู้ดูแลระบบ ไปที่เมนู แอปแอปบนเว็บและอุปกรณ์เคลื่อนที่
3. คลิกแท็บเครื่องมือเชื่อมต่อ BeyondCorp Enterprise (BCE)
4. คลิกเพิ่มเครื่องมือเชื่อมต่อ
5. ป้อนชื่อเครื่องมือเชื่อมต่อ เช่น Connect-myapp
6. เลือกภูมิภาคที่อยู่ใกล้กับสภาพแวดล้อมที่ไม่ใช่ของ Google
7. คลิกเพิ่มเครื่องมือเชื่อมต่อ
8. หากต้องการดูสถานะ ให้คลิก งานของคุณ ที่ด้านขวาบน
สร้างอินสแตนซ์เครื่องเสมือน (VM) เพื่อโฮสต์ Agent ระยะไกล
ทำตามวิธีการที่ผู้ดูแลเครือข่ายหรือผู้ให้บริการคลาวด์ระบุ โปรดดูหัวข้อสร้าง VM ในเครือข่ายที่ไม่ใช่ของ Google
ติดตั้ง Agent ระยะไกล
1. คลิกชื่อเครื่องมือเชื่อมต่อแอป
2. คลิกติดตั้ง Agent ระยะไกล
3. ในสภาพแวดล้อมที่ไม่ใช่ของ Google ให้ติดตั้ง Agent ระยะไกล ดังนี้
  - สร้างอินสแตนซ์เครื่องเสมือน (VM) เพื่อโฮสต์ Agent ระยะไกล จากนั้นทำตามวิธีการที่ผู้ดูแลเครือข่ายหรือผู้ให้บริการคลาวด์ระบุ
  - ติดตั้ง Docker ซึ่งจำเป็นสำหรับการเรียกใช้ Agent ระยะไกล โปรดดูวิธีการในเอกสารประกอบออนไลน์เพื่อติดตั้ง Docker Engine
  - ติดตั้งและลงทะเบียน Agent ระยะไกลโดยใช้คำสั่ง CLI ที่แสดงในหน้าเครื่องมือเชื่อมต่อแอป Google Workspace
  - คัดลอกและวางคีย์สาธารณะที่แสดงขึ้นหลังจากลงทะเบียน Agent ระยะไกลเรียบร้อยแล้ว
4. คลิกบันทึก

หน้าเครื่องมือเชื่อมต่อแอปควรจะแสดงว่าเพิ่มคีย์สาธารณะเรียบร้อยแล้ว

จำกัดการเข้าถึงและการตรวจสอบสิทธิ์

ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google
ลงชื่อเข้าใช้โดยใช้บัญชีผู้ดูแลระบบ (ที่ไม่ลงท้ายด้วย @gmail.com)
ในคอนโซลผู้ดูแลระบบ ไปที่เมนู แอปแอปบนเว็บและอุปกรณ์เคลื่อนที่
คลิกแท็บแอป จากนั้นคลิกแอปเพื่อเปิดหน้ารายละเอียด
คลิกการตั้งค่าขั้นสูง
- หน้า Landing Page 403 - ป้อนที่อยู่เว็บที่ระบบจะเปลี่ยนเส้นทางให้ผู้ใช้หากถูกปฏิเสธไม่ให้เข้าถึงแอป โดยใช้รูปแบบ https://<url>
- โดเมนการตรวจสอบสิทธิ์ - ป้อน URL การลงชื่อเพียงครั้งเดียว (SSO) ขององค์กรเพื่ออนุญาตให้ผู้ใช้เข้าสู่ระบบโดยใช้ข้อมูลเข้าสู่ระบบขององค์กรได้ ซึ่งการดำเนินการนี้ยังจะปฏิเสธสิทธิ์การเข้าถึงของผู้ใช้ที่ไม่มีข้อมูลเข้าสู่ระบบที่ถูกต้องสำหรับโดเมน Workspace ของคุณด้วย ใช้รูปแบบ sso.your.org.com
- โดเมนที่อนุญาต - เลือกช่องเปิดใช้โดเมนที่อนุญาตเพื่อจำกัดการเข้าถึงของผู้ใช้ไว้เฉพาะโดเมนที่ระบุเท่านั้น โดยให้คั่นรายการด้วยคอมมา เช่น test.your.org.com, prod.your.org.com
- การตรวจสอบสิทธิ์ซ้ำ - ใช้ตัวเลือกต่อไปนี้เพื่อกำหนดให้ผู้ใช้ต้องตรวจสอบสิทธิ์อีกครั้งหลังจากผ่านไประยะหนึ่ง เช่น ใช้คีย์ความปลอดภัยแบบแตะ หรือการยืนยันแบบ 2 ขั้นตอน

การเข้าสู่ระบบ: กำหนดให้ผู้ใช้ตรวจสอบสิทธิ์ซ้ำด้วยชื่อผู้ใช้/รหัสผ่านหลังจากเข้าสู่ระบบเป็นระยะเวลาหนึ่ง
คีย์ความปลอดภัย: กำหนดให้ผู้ใช้ตรวจสอบสิทธิ์ซ้ำโดยใช้คีย์ความปลอดภัย
ปัจจัยที่สองที่ลงทะเบียนแล้ว: กำหนดให้ผู้ใช้ตรวจสอบสิทธิ์ซ้ำโดยใช้วิธีการตรวจสอบสิทธิ์จากปัจจัยที่สอง (2FA)

ดูข้อมูลเพิ่มเติมได้ที่การตรวจสอบสิทธิ์ IAP ซ้ำ

กำหนดการควบคุมการเข้าถึงแบบ Context-Aware

เมื่อใช้การเข้าถึงแบบ Context-Aware คุณสามารถควบคุมแอปส่วนตัวที่ผู้ใช้จะเข้าถึงได้โดยพิจารณาจากบริบทของผู้ใช้ เช่น อุปกรณ์ของผู้ใช้นั้นเป็นไปตามนโยบายด้าน IT หรือไม่

ตัวอย่างเช่น คุณสามารถสร้างนโยบายควบคุมการเข้าถึงแบบละเอียดสำหรับแอปที่เข้าถึงข้อมูล Workspace โดยอิงตามแอตทริบิวต์ต่างๆ เช่น ข้อมูลประจําตัวของผู้ใช้ สถานที่ตั้ง สถานะความปลอดภัยของอุปกรณ์ และที่อยู่ IP

โปรดดูรายละเอียดที่หัวข้อกำหนดระดับการเข้าถึงให้แอปส่วนตัว

ข้อมูลนี้มีประโยชน์ไหม

เราจะปรับปรุงได้อย่างไร