私人網頁應用程式是專為機構內部使用者 (例如員工和承包商) 所建立。您可以在 Workspace 管理控制台中,使用 BeyondCorp Enterprise (BCE) 部署這類應用程式。
將應用程式新增到 Workspace 帳戶
私人應用程式可以託管於 Google Cloud、其他雲端服務供應商或地端部署資料中心。
-
-
在管理控制台中,依序點選「選單」圖示 「應用程式」「網頁和行動應用程式」。
- 依序按一下「新增應用程式」「新增私人網頁應用程式」。
- 在「應用程式詳細資料」下方,輸入應用程式名稱,以及使用者存取該應用程式所用的網址。
- 選取應用程式的託管位置:
- 由 Google Cloud 託管的應用程式:在「應用程式主機詳細資料」下方輸入 Private Service Connect (PSC) 網址。詳情請參閱「針對由 Google Cloud 託管的應用程式進行設定」。
- 由其他雲端服務供應商託管的 HTTPS 應用程式:
- 輸入內部網址和通訊埠號碼。
- 為獲得最佳效能,請選取距離應用程式託管位置最近的區域,然後選擇連結應用程式所需的 BeyondCorp Enterprise (BCE) 應用程式連接器。
- 不支援 HTTP 應用程式。
- 詳情請參閱「針對由其他雲端服務供應商或地端部署資料中心託管的應用程式,進行相關設定」
- 按一下 Add application。
針對由 Google Cloud 託管的應用程式進行設定
建立 Private Service Connect (PSC) 網址,連結您環境中的私人應用程式。
如要設定 PSC 網址,請建立內部負載平衡器,然後建立使用內部 IP 位址的服務連結。
建立內部負載平衡器
如要發布 Google Workspace 中的私人應用程式,應透過啟用全域存取權的內部負載平衡器。詳情請參閱「發布具有自動核准功能的服務」。
為 Compute 或 GKE 資源建立內部負載平衡器
- 在 Google Cloud 控制台中,前往「負載平衡」頁面。
- 點選「建立負載平衡器」。
- 點選「開始設定網路負載平衡器 (TCP/SSL)」。
- 在「網際網路對向或僅限內部」部分,選取「僅在我的 VM 之間」。
- 請勿變更其他預設值。
- 按一下 [繼續]。
- 輸入負載平衡器名稱,然後選取要部署負載平衡器的區域和網路。
- 選取「後端設定」分頁標籤。
- 選取資源的「後端類型」。
- 提供服務的健康狀態檢查。
- 請勿變更其他預設值。
- 選取「前端設定」分頁標籤。
- 選取「啟用全域存取權」。
- 選取子網路。
- 輸入通訊埠編號。
- 請勿變更其他預設值。
- 按一下 [建立]。
為 Cloud Run 資源建立內部負載平衡器
- 在 Google Cloud 控制台中,前往「負載平衡」頁面。
- 點選「建立負載平衡器」。
- 按一下「開始設定網路負載平衡器 (HTTP/S)」。
- 選取「僅在我的 VM 之間」或「無伺服器服務」。
- 按一下 [繼續]。
- 輸入負載平衡器名稱,然後選取要部署負載平衡器的區域和網路。
- 選取「前端設定」分頁標籤。
- 選取子網路。
- 如果您尚未保留子網路,請按照畫面上的步驟操作。
- 選取「後端設定」分頁標籤。
- 建立或選取後端服務。
- 如要建立服務,請選取無伺服器網路端點群組。
- 按一下 [建立]。
建立服務連結網址
如要設定 PSC 網址,請建立使用內部 IP 位址的服務連結。
- 前往 Google Cloud 控制台中的「Private Service Connect」頁面。
- 按一下「發布服務」 分頁標籤。
- 按一下「發布服務」。
- 為要發布的服務選取「負載平衡器類型」:
- 內部直通式網路負載平衡器
- 區域性內部 Proxy 網路負載平衡器
- 區域性內部應用程式負載平衡器
- 為要發布的服務選取負責託管的「內部負載平衡器」。
「網路和區域」欄位會填入所選內部負載平衡器的詳細資料。 - 在「服務名稱」中,輸入服務連結的名稱。
- 為服務選取一或多個「子網路」。如要新增子網路,可以按照以下步驟操作:
- 按一下「保留新的子網路」。
- 輸入子網路的「名稱」和「說明」 (選填)。
- 選取子網路的「區域」。
- 輸入要用於子網路的「IP 範圍」,然後按一下「新增」。
- 選取「自動接受連線」。
- 按一下「新增服務」。
- 按一下已發布的服務。「服務連結」欄位含有服務連結的名稱。網址為:
https://www.googleapis.com/compute/v1/SERVICE_ATTACHMENT_NAME
針對由其他雲端服務供應商或地端部署資料中心託管的應用程式,進行相關設定
如要安全地將雲端網路或地端部署網路連線至 Google 雲端,請新增應用程式連接器。
使用應用程式連接器,即可安全地從其他雲端將應用程式連線至 Google,不需要點對點 VPN。
在非 Google 網路中建立虛擬機器
每個應用程式連接器遠端代理程式都必須安裝在專屬虛擬機器 (VM) 上,或是非 Google 環境的任何 Bare Metal 伺服器上。
- 如要建立 VM,請洽詢網路管理員,或按照雲端服務供應商提供的指示操作。
- 每個 VM 或伺服器也都需要使用 Docker 執行遠端代理程式。
- 確保遠端代理程式 VM 網路防火牆,允許所有 IAP-TCP IP 範圍 35.235.240.0/20 中,透過通訊埠 443 啟動的輸出流量。請參閱「驗證防火牆設定,瞭解遠端代理程式 VM 防火牆應允許輸出流量至哪些網域。
新增應用程式連接器並安裝遠端代理程式
如要使用應用程式連接器,您必須在託管應用程式的每個非 Google 網路上,安裝及執行遠端代理程式。遠端代理程式會啟動及維護安全的網路連線,並在 Google Workspace 和應用程式之間轉送流量。
- 新增應用程式連接器:
-
-
在管理控制台中,依序點選「選單」圖示 「應用程式」「網頁和行動應用程式」。
- 按一下「BeyondCorp Enterprise (BCE) 連接器」分頁標籤。
- 按一下「新增連接器」。
- 輸入連接器名稱,例如:connect-myapp。
- 選取靠近非 Google 環境的區域。
- 按一下「新增連接器」。
- 如要查看狀態,請依序按一下右上方的 「您的工作」。
-
- 建立虛擬機器 (VM) 執行個體來託管遠端代理程式。
請按照網路管理員或雲端服務供應商提供的說明操作。請參閱「在非 Google 網路中建立虛擬機器」。 - 安裝遠端代理程式。
- 按一下應用程式連接器名稱。
- 按一下「安裝遠端代理程式」。
- 在非 Google 環境中安裝遠端代理程式:
- 建立虛擬機器 (VM) 執行個體來託管遠端代理程式。請按照網路管理員或雲端服務供應商提供的說明操作。
- 須安裝 Docker 才能執行遠端代理程式。請參閱線上說明文件,瞭解安裝 Docker Engine 的操作說明。
- 使用 Google Workspace 應用程式連接器頁面中顯示的 CLI 指令,安裝並註冊遠端代理程式。
- 成功註冊遠端代理程式後,請複製及貼上公開金鑰。
- 按一下「儲存」。
應用程式連接器頁面應該會顯示已成功新增公開金鑰。
限制存取權和驗證
-
-
在管理控制台中,依序點選「選單」圖示 「應用程式」「網頁和行動應用程式」。
- 按一下「應用程式」分頁標籤,然後按一下應用程式,開啟詳細資料頁面。
- 按一下「進階設定」。
- 403 到達網頁:輸入網址,當使用者存取應用程式遭拒時,系統會將其重新導向至該網址。請使用以下格式:https://<網址>。
- 驗證網域:輸入貴機構的單一登入 (SSO) 網址,讓使用者可透過機構憑證登入。如果使用者不具備您 Workspace 網域的有效憑證,則系統也會拒絕該使用者存取。格式如下:sso.your.org.com。
- 允許的網域:勾選「啟用允許的網域」方塊,即可限制使用者只能存取指定網域。請以半形逗號分隔不同的項目,例如:test.your.org.com、prod.your.org.com。
- 重新驗證:使用這些選項,即可要求使用者必須在一段時間後重新驗證。舉例來說,您可以選擇輕觸安全金鑰或兩步驟驗證選項。
- 登入:要求使用者在指定的時間長度後,輸入使用者名稱/密碼重新進行驗證。
- 安全金鑰:要求使用者透過自己的安全金鑰重新驗證。
- 已註冊的雙重驗證:要求使用者透過雙重驗證 (2FA) 方法重新驗證。
詳情請參閱「IAP 重新驗證」。
指派情境感知存取權控管
透過情境感知存取權功能,您可以根據使用者所處的情境 (例如其裝置是否符合您的 IT 政策),控管使用者可存取的私人應用程式。
舉例來說,您可以根據使用者身分、位置、裝置安全性狀態和 IP 位址等屬性,為存取 Workspace 資料的應用程式建立精細的存取權控管政策。
詳情請參閱「為私人應用程式指派存取層級」。