เว็บแอปพลิเคชันส่วนตัวสร้างขึ้นสำหรับผู้ใช้ภายในองค์กร เช่น พนักงานประจำและพนักงานสัญญาจ้าง โดยคุณสามารถติดตั้งใช้งานได้โดยใช้ BeyondCorp Enterprise (BCE) ในคอนโซลผู้ดูแลระบบ Workspace
เพิ่มแอปลงในบัญชี Workspace
แอปส่วนตัวอาจโฮสต์อยู่ใน Google Cloud, ผู้ให้บริการคลาวด์รายอื่น หรือศูนย์ข้อมูลภายในองค์กร
-
ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google
ลงชื่อเข้าใช้โดยใช้บัญชีผู้ดูแลระบบ (ที่ไม่ลงท้ายด้วย @gmail.com)
-
ในคอนโซลผู้ดูแลระบบ ไปที่เมนู แอปแอปบนเว็บและอุปกรณ์เคลื่อนที่
- คลิกเพิ่มแอปเพิ่มเว็บแอปส่วนตัว
- ป้อนชื่อแอปและ URL ที่ผู้ใช้เข้าถึงแอปในส่วนรายละเอียดแอปพลิเคชัน
- เลือกแพลตฟอร์มที่โฮสต์แอปพลิเคชัน ดังนี้
- แอปที่โฮสต์ใน Google Cloud - ป้อน URL ของ Private Service Connect (PSC) ในส่วนรายละเอียดโฮสต์ของแอปพลิเคชัน โปรดดูรายละเอียดที่หัวข้อการตั้งค่าสำหรับแอปที่โฮสต์บน Google Cloud
- แอป HTTPS ที่โฮสต์กับผู้ให้บริการคลาวด์รายอื่น
- ป้อน URL ภายในและหมายเลขพอร์ต
- เพื่อประสิทธิภาพที่ดีที่สุด ให้เลือกภูมิภาคที่อยู่ใกล้กับตำแหน่งที่โฮสต์แอปพลิเคชันมากที่สุด จากนั้นเลือกเครื่องมือเชื่อมต่อแอป BeyondCorp Enterprise (BCE) ที่จําเป็นในการเชื่อมต่อแอปพลิเคชัน
- ไม่รองรับแอป HTTP
- โปรดดูรายละเอียดที่หัวข้อการตั้งค่าสำหรับแอปที่โฮสต์กับผู้ให้บริการคลาวด์รายอื่นหรือศูนย์ข้อมูลภายในองค์กร
- คลิกเพิ่มแอปพลิเคชัน
การตั้งค่าสำหรับแอปที่โฮสต์บน Google Cloud
สร้าง URL ของ Private Service Connect (PSC) เพื่อเชื่อมต่อแอปส่วนตัวในสภาพแวดล้อมของคุณ
หากต้องการตั้งค่า URL ของ PSC ให้สร้างตัวจัดสรรภาระงานภายใน แล้วสร้างไฟล์แนบบริการที่ใช้ที่อยู่ IP ภายใน
สร้างตัวจัดสรรภาระงานภายใน
แอปส่วนตัวใน Google Workspace ควรเผยแพร่โดยใช้ตัวจัดสรรภาระงานภายในที่มีการเปิดใช้การเข้าถึงทั่วโลก โปรดดูรายละเอียดที่หัวข้อเผยแพร่บริการด้วยการอนุมัติโดยอัตโนมัติ
สร้างตัวจัดสรรภาระงานภายในสำหรับทรัพยากร Compute หรือ GKE
- ในคอนโซล Google Cloud ให้ไปที่หน้าการจัดสรรภาระงาน
- คลิกสร้างตัวจัดสรรภาระงาน
- คลิกเริ่มการกำหนดค่าสำหรับตัวจัดสรรภาระงานเครือข่าย (TCP/SSL)
- สำหรับการเชื่อมต่ออินเทอร์เน็ตหรือภายในเท่านั้น ให้เลือกระหว่าง VM ของฉันเท่านั้น
- อย่าเปลี่ยนค่าเริ่มต้นที่เหลือ
- คลิกต่อไป
- ป้อนชื่อตัวจัดสรรภาระงาน แล้วเลือกภูมิภาคและเครือข่ายที่จะติดตั้งใช้งานตัวจัดสรรภาระงาน
- เลือกแท็บการกำหนดค่าแบ็กเอนด์
- เลือกประเภทแบ็กเอนด์ของทรัพยากร
- ระบุการตรวจสอบประสิทธิภาพการทำงานของบริการ
- อย่าเปลี่ยนค่าเริ่มต้นที่เหลือ
- เลือกแท็บการกำหนดค่าฟรอนท์เอนด์
- เลือกเปิดใช้สำหรับการเข้าถึงทั่วโลก
- เลือกเครือข่ายย่อย
- ป้อนหมายเลขพอร์ต
- อย่าเปลี่ยนค่าเริ่มต้นที่เหลือ
- คลิกสร้าง
สร้างตัวจัดสรรภาระงานภายในสำหรับทรัพยากร Cloud Run
- ในคอนโซล Google Cloud ให้ไปที่หน้าการจัดสรรภาระงาน
- คลิกสร้างตัวจัดสรรภาระงาน
- คลิกเริ่มการกําหนดค่าสําหรับตัวจัดสรรภาระงานแอปพลิเคชัน (HTTP/S)
- เลือกระหว่าง VM ของฉันเท่านั้นหรือบริการแบบ Serverless
- คลิกต่อไป
- ป้อนชื่อตัวจัดสรรภาระงาน แล้วเลือกภูมิภาคและเครือข่ายที่จะติดตั้งใช้งานตัวจัดสรรภาระงาน
- เลือกแท็บการกำหนดค่าฟรอนท์เอนด์
- เลือกเครือข่ายย่อย
- ทำตามขั้นตอนบนหน้าจอเพื่อจองซับเน็ต หากยังไม่ได้ดำเนินการ
- เลือกแท็บการกำหนดค่าแบ็กเอนด์
- สร้างหรือเลือกบริการแบ็กเอนด์
- หากสร้างบริการ ให้เลือกกลุ่มปลายทางของเครือข่ายแบบ Serverless
- คลิกสร้าง
สร้าง URL ของไฟล์แนบบริการ
หากต้องการตั้งค่า URL ของ PSC ให้สร้างไฟล์แนบบริการที่ใช้ที่อยู่ IP ภายใน
- ในคอนโซล Google Cloud ให้ไปที่หน้า Private Service Connect
- คลิกแท็บเผยแพร่บริการ
- คลิกเผยแพร่บริการ
- เลือกประเภทตัวจัดสรรภาระงานสำหรับบริการที่คุณต้องการเผยแพร่
- ตัวจัดสรรภาระงานเครือข่ายการปล่อยผ่านสัญญาณภายใน
- ตัวจัดสรรภาระงานเครือข่ายพร็อกซีภายในระดับภูมิภาค
- ตัวจัดสรรภาระงานแอปพลิเคชันภายในระดับภูมิภาค
- เลือกตัวจัดสรรภาระงานภายในที่โฮสต์บริการที่คุณต้องการเผยแพร่
ระบบจะป้อนรายละเอียดสำหรับตัวจัดสรรภาระงานภายในที่เลือกในฟิลด์เครือข่ายและภูมิภาค - ในส่วนชื่อบริการ ให้ป้อนชื่อไฟล์แนบของบริการ
- เลือกซับเน็ตอย่างน้อย 1 รายการสำหรับบริการ หากต้องการเพิ่มซับเน็ตใหม่ ให้สร้างซับเน็ตใหม่โดยดำเนินการดังนี้
- คลิกจองซับเน็ตใหม่
- ป้อนชื่อและคำอธิบาย (ไม่บังคับ) สำหรับซับเน็ต
- เลือกภูมิภาคสำหรับซับเน็ต
- ป้อนช่วง IP เพื่อใช้กับซับเน็ต แล้วคลิกเพิ่ม
- เลือกยอมรับการเชื่อมต่อโดยอัตโนมัติ
- คลิกเพิ่มบริการ
- คลิกบริการที่เผยแพร่แล้ว ฟิลด์ไฟล์แนบบริการจะมีชื่อไฟล์แนบของบริการ โดย URL คือ
https://www.googleapis.com/compute/v1/SERVICE_ATTACHMENT_NAME
การตั้งค่าสำหรับแอปที่โฮสต์กับผู้ให้บริการคลาวด์รายอื่นหรือศูนย์ข้อมูลภายในองค์กร
หากต้องการเชื่อมต่อระบบคลาวด์หรือเครือข่ายภายในองค์กรกับ Google Cloud อย่างปลอดภัย ให้เพิ่มเครื่องมือเชื่อมต่อแอป
เครื่องมือเชื่อมต่อแอปช่วยให้คุณเชื่อมต่อแอปพลิเคชันของคุณจากระบบคลาวด์อื่นไปยัง Google ได้อย่างปลอดภัยโดยไม่ต้องใช้ VPN แบบเว็บไซต์สู่เว็บไซต์
สร้าง VM ในเครือข่ายที่ไม่ใช่ของ Google
Agent ระยะไกลสำหรับเครื่องมือเชื่อมต่อแอปแต่ละรายการต้องติดตั้งบนเครื่องเสมือน (VM) โดยเฉพาะหรือเซิร์ฟเวอร์ Bare Metal ในสภาพแวดล้อมที่ไม่ใช่ของ Google
- หากต้องการสร้าง VM โปรดขอความช่วยเหลือจากผู้ดูแลเครือข่าย หรือทำตามวิธีการจากผู้ให้บริการคลาวด์
- นอกจากนี้ Docker ยังจำเป็นสำหรับ VM หรือเซิร์ฟเวอร์แต่ละรายการเพื่อเรียกใช้ Agent ระยะไกล
- ตรวจสอบว่าไฟร์วอลล์เครือข่าย VM ของ Agent ระยะไกลอนุญาตการรับส่งข้อมูลขาออกทั้งหมดซึ่งเริ่มต้นที่พอร์ต 443 สำหรับช่วง IP ของ IAP-TCP 35.235.240.0/20 โปรดดูหัวข้อยืนยันการกำหนดค่าไฟร์วอลล์สำหรับโดเมนอื่นๆ ที่ไฟร์วอลล์ VM ของ Agent ระยะไกลควรอนุญาตให้มีการรับส่งข้อมูลขาออกได้
เพิ่มเครื่องมือเชื่อมต่อแอปและติดตั้ง Agent ระยะไกล
เครื่องมือเชื่อมต่อแอปกำหนดให้ต้องติดตั้งและเรียกใช้ Agent ระยะไกลในเครือข่ายที่ไม่ใช่ของ Google แต่ละเครือข่ายที่โฮสต์แอปของคุณอยู่ Agent ระยะไกลจะเริ่มต้นและดูแลให้การเชื่อมต่อเครือข่ายมีความปลอดภัย และกำหนดเส้นทางการรับส่งข้อมูลระหว่าง Google Workspace และแอปพลิเคชัน
- เพิ่มเครื่องมือเชื่อมต่อแอป ดังนี้
-
ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google
ลงชื่อเข้าใช้โดยใช้บัญชีผู้ดูแลระบบ (ที่ไม่ลงท้ายด้วย @gmail.com)
-
ในคอนโซลผู้ดูแลระบบ ไปที่เมนู แอปแอปบนเว็บและอุปกรณ์เคลื่อนที่
- คลิกแท็บเครื่องมือเชื่อมต่อ BeyondCorp Enterprise (BCE)
- คลิกเพิ่มเครื่องมือเชื่อมต่อ
- ป้อนชื่อเครื่องมือเชื่อมต่อ เช่น Connect-myapp
- เลือกภูมิภาคที่อยู่ใกล้กับสภาพแวดล้อมที่ไม่ใช่ของ Google
- คลิกเพิ่มเครื่องมือเชื่อมต่อ
- หากต้องการดูสถานะ ให้คลิก งานของคุณ ที่ด้านขวาบน
-
- สร้างอินสแตนซ์เครื่องเสมือน (VM) เพื่อโฮสต์ Agent ระยะไกล
ทำตามวิธีการที่ผู้ดูแลเครือข่ายหรือผู้ให้บริการคลาวด์ระบุ โปรดดูหัวข้อสร้าง VM ในเครือข่ายที่ไม่ใช่ของ Google - ติดตั้ง Agent ระยะไกล
- คลิกชื่อเครื่องมือเชื่อมต่อแอป
- คลิกติดตั้ง Agent ระยะไกล
- ในสภาพแวดล้อมที่ไม่ใช่ของ Google ให้ติดตั้ง Agent ระยะไกล ดังนี้
- สร้างอินสแตนซ์เครื่องเสมือน (VM) เพื่อโฮสต์ Agent ระยะไกล จากนั้นทำตามวิธีการที่ผู้ดูแลเครือข่ายหรือผู้ให้บริการคลาวด์ระบุ
- ติดตั้ง Docker ซึ่งจำเป็นสำหรับการเรียกใช้ Agent ระยะไกล โปรดดูวิธีการในเอกสารประกอบออนไลน์เพื่อติดตั้ง Docker Engine
- ติดตั้งและลงทะเบียน Agent ระยะไกลโดยใช้คำสั่ง CLI ที่แสดงในหน้าเครื่องมือเชื่อมต่อแอป Google Workspace
- คัดลอกและวางคีย์สาธารณะที่แสดงขึ้นหลังจากลงทะเบียน Agent ระยะไกลเรียบร้อยแล้ว
- คลิกบันทึก
หน้าเครื่องมือเชื่อมต่อแอปควรจะแสดงว่าเพิ่มคีย์สาธารณะเรียบร้อยแล้ว
จำกัดการเข้าถึงและการตรวจสอบสิทธิ์
-
ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google
ลงชื่อเข้าใช้โดยใช้บัญชีผู้ดูแลระบบ (ที่ไม่ลงท้ายด้วย @gmail.com)
-
ในคอนโซลผู้ดูแลระบบ ไปที่เมนู แอปแอปบนเว็บและอุปกรณ์เคลื่อนที่
- คลิกแท็บแอป จากนั้นคลิกแอปเพื่อเปิดหน้ารายละเอียด
- คลิกการตั้งค่าขั้นสูง
- หน้า Landing Page 403 - ป้อนที่อยู่เว็บที่ระบบจะเปลี่ยนเส้นทางให้ผู้ใช้หากถูกปฏิเสธไม่ให้เข้าถึงแอป โดยใช้รูปแบบ https://<url>
- โดเมนการตรวจสอบสิทธิ์ - ป้อน URL การลงชื่อเพียงครั้งเดียว (SSO) ขององค์กรเพื่ออนุญาตให้ผู้ใช้เข้าสู่ระบบโดยใช้ข้อมูลเข้าสู่ระบบขององค์กรได้ ซึ่งการดำเนินการนี้ยังจะปฏิเสธสิทธิ์การเข้าถึงของผู้ใช้ที่ไม่มีข้อมูลเข้าสู่ระบบที่ถูกต้องสำหรับโดเมน Workspace ของคุณด้วย ใช้รูปแบบ sso.your.org.com
- โดเมนที่อนุญาต - เลือกช่องเปิดใช้โดเมนที่อนุญาตเพื่อจำกัดการเข้าถึงของผู้ใช้ไว้เฉพาะโดเมนที่ระบุเท่านั้น โดยให้คั่นรายการด้วยคอมมา เช่น test.your.org.com, prod.your.org.com
- การตรวจสอบสิทธิ์ซ้ำ - ใช้ตัวเลือกต่อไปนี้เพื่อกำหนดให้ผู้ใช้ต้องตรวจสอบสิทธิ์อีกครั้งหลังจากผ่านไประยะหนึ่ง เช่น ใช้คีย์ความปลอดภัยแบบแตะ หรือการยืนยันแบบ 2 ขั้นตอน
- การเข้าสู่ระบบ: กำหนดให้ผู้ใช้ตรวจสอบสิทธิ์ซ้ำด้วยชื่อผู้ใช้/รหัสผ่านหลังจากเข้าสู่ระบบเป็นระยะเวลาหนึ่ง
- คีย์ความปลอดภัย: กำหนดให้ผู้ใช้ตรวจสอบสิทธิ์ซ้ำโดยใช้คีย์ความปลอดภัย
- ปัจจัยที่สองที่ลงทะเบียนแล้ว: กำหนดให้ผู้ใช้ตรวจสอบสิทธิ์ซ้ำโดยใช้วิธีการตรวจสอบสิทธิ์จากปัจจัยที่สอง (2FA)
ดูข้อมูลเพิ่มเติมได้ที่การตรวจสอบสิทธิ์ IAP ซ้ำ
กำหนดการควบคุมการเข้าถึงแบบ Context-Aware
เมื่อใช้การเข้าถึงแบบ Context-Aware คุณสามารถควบคุมแอปส่วนตัวที่ผู้ใช้จะเข้าถึงได้โดยพิจารณาจากบริบทของผู้ใช้ เช่น อุปกรณ์ของผู้ใช้นั้นเป็นไปตามนโยบายด้าน IT หรือไม่
ตัวอย่างเช่น คุณสามารถสร้างนโยบายควบคุมการเข้าถึงแบบละเอียดสำหรับแอปที่เข้าถึงข้อมูล Workspace โดยอิงตามแอตทริบิวต์ต่างๆ เช่น ข้อมูลประจําตัวของผู้ใช้ สถานที่ตั้ง สถานะความปลอดภัยของอุปกรณ์ และที่อยู่ IP
โปรดดูรายละเอียดที่หัวข้อกำหนดระดับการเข้าถึงให้แอปส่วนตัว