Las aplicaciones web privadas se crean para los usuarios internos de una organización, como empleados y contratistas. Puedes implementar estas aplicaciones con Chrome Enterprise Premium en la consola de administración de Google.
Añadir la aplicación a tu cuenta de Google Workspace
Las aplicaciones privadas pueden estar alojadas en Google Cloud, en otro proveedor de servicios en la nube o en un centro de datos on‐premise.
-
Inicia sesión en la consola de administración de Google.
Utiliza tu cuenta de administrador (no termina en @gmail.com).
-
En la consola de administración, ve a Menú AplicacionesAplicaciones web y móviles.
- Haz clic en Añadir aplicación Añadir aplicación web privada.
- En Detalles de la aplicación, indica el nombre de la aplicación y la URL desde la que los usuarios pueden acceder a ella.
- Especifica dónde se aloja tu aplicación:
- Aplicaciones alojadas en Google Cloud: introduce la URL de Private Service Connect (PSC) en Detalles del alojamiento de aplicaciones. Para obtener más información, consulta la sección Configuración de aplicaciones alojadas en Google Cloud.
- Aplicaciones HTTPS alojadas en otro proveedor de servicios en la nube: introduce la URL interna y el número de puerto. No se admiten aplicaciones HTTP. Para obtener más información, consulta la sección Configuración de aplicaciones alojadas en otros proveedores de servicios en la nube o en centros de datos on‐premise.
Para conseguir el mejor rendimiento posible, selecciona la región más cercana a la ubicación donde se aloja la aplicación y, a continuación, elige los conectores de aplicaciones necesarios para conectarla.
- Haz clic en Añadir aplicación.
Configuración de aplicaciones alojadas en Google Cloud
Crea una URL de Private Service Connect (PSC) para conectar las aplicaciones privadas de tu entorno.
Para configurar la URL de PSC, crea un balanceador de carga interno y, a continuación, una vinculación de servicio que utilice una dirección IP interna.
Crear un balanceador de carga interno
Las aplicaciones privadas de Google Workspace deben publicarse mediante un balanceador de carga interno con el acceso global habilitado. Consulta más información en el artículo sobre cómo publicar un servicio con aprobación automática.
Crear un balanceador de carga interno para un recurso de Compute o de GKE
Antes de empezar: para permitir la comunicación HTTPS segura, crea un grupo de instancias configurado para servir solicitudes en el puerto 443. El grupo de instancias se seleccionará en la pestaña de configuración de Backend.
- En la consola de Google Cloud, ve a la página Balanceo de carga.
- Haz clic en Crear balanceador de carga.
- Haz clic en Iniciar configuración del balanceador de carga de red (TCP/SSL) y selecciona lo siguiente:
- Tipo de balanceador de carga: balanceador de carga de red (TCP/UDP/SSL).
- Proxy o paso a través: Paso a través.
- Orientado a Internet o Solo para uso interno: Interno.
- Haz clic en Siguiente.
- Haz clic en Continuar.
- Escribe el nombre del balanceador de carga y selecciona la región y la red donde vayas a desplegarlo.
Importante: La red que elijas para el balanceador de carga debe ser la misma que usa tu grupo de instancias. - Selecciona la pestaña Configuración de backend.
- Protocolo: selecciona TCP.
- Tipo de pila de IP: selecciona IPv4.
- Selecciona un grupo de instancias.
Para crear uno, ve a Grupos de instancias. - Selecciona una comprobación del estado de la lista.Para crear una comprobación del estado, sigue estos pasos:
- Selecciona Crear comprobación del estado.
- Introduce un nombre para la comprobación del estado (por ejemplo, ping-port).
- Seleccione el ámbito regional.
- Como protocolo, elige HTTPS.
- Mantén el puerto 443.
- En Protocolo de proxy, selecciona NINGUNO.
- En Ruta de solicitud, deja "/".
- Habilitar registros.
- Mantenga los valores predeterminados para los criterios de estado.
- Selecciona la pestaña Configuración de frontend.
- (Opcional) Da un nombre al frontend.
- Para la versión de IP, selecciona IPv4.
- Seleccione una subred.
- En el caso de la IP interna, selecciona No compartida.
- En el caso de los puertos, selecciona Único.
- Introduce el número de puerto 443.
- En Acceso global, selecciona Habilitar.
- Selecciona la pestaña Revisar y finalizar para revisar los ajustes de configuración de tu balanceador de carga.
- Haz clic en Crear.
Crear un balanceador de carga interno para un recurso de Cloud Run
- En la consola de Google Cloud, ve a la página Balanceo de carga.
- Haz clic en Crear balanceador de carga.
- Haz clic en Iniciar configuración del balanceador de carga de aplicación (HTTP/S) y selecciona lo siguiente.
- Tipo de balanceador de carga: balanceador de carga de aplicación (HTTP/HTTPS).
- Orientado a Internet o Solo para uso interno: Interno.
- Implementación en una sola región o en varias regiones: una sola región.
- Haz clic en Siguiente.
- Haz clic en Configurar.
- Introduce el nombre del balanceador de carga y selecciona la región y la red donde se implementará.
- Selecciona la pestaña Configuración de backend.
- Crea o selecciona el servicio de backend.
- Si vas a crear un servicio, selecciona el tipo de backend Grupo de endpoints de red sin servidor y, a continuación, un grupo de endpoints de red.
- Si no tienes ningún endpoint de red sin servidor, selecciona la opción para crear uno.
Antes de crear el grupo de endpoints de red sin servidor, crea un servicio de Cloud Run al que el grupo de puntos de conexión apunte.
- Selecciona la pestaña Configuración de frontend.
- Protocolo: selecciona HTTPS.
- Selecciona la subred.
- Completa los pasos que aparecen en pantalla para reservar una subred si aún no lo has hecho.
- Habilita el acceso global.
- En el caso de los certificados, puedes crear uno o elegir uno que ya tengas.
- Haz clic en Crear.
Crear la URL de una vinculación de servicio
Para configurar la URL de PSC, crea una vinculación de servicio que utilice una dirección IP interna.
- En la consola de Google Cloud, ve a la página Private Service Connect.
- Haz clic en la pestaña Publicar servicio.
- Haz clic en Publicar servicio.
- Selecciona el tipo de balanceador de carga del servicio que quieras publicar:
- Balanceador de carga de red de paso a través interno
- Balanceador de carga de red de proxy interno regional
- Balanceador de carga de aplicación interno regional
- Selecciona el balanceador de carga interno en el que se aloja el servicio que quieres publicar.
Los campos de red y de región se rellenan con los detalles del balanceador de carga interno seleccionado. - En Nombre del servicio, escribe el nombre de la vinculación de servicio.
- Selecciona una o varias subredes del servicio. Si quieres añadir una nueva subred, puedes crearla siguiendo estos pasos:
- Haz clic en Reservar nueva subred.
- Escribe un nombre para la subred y, si quieres, una descripción.
- Selecciona la región de la subred.
- Introduce el intervalo de IP que quieras usar para la subred y haz clic en Añadir.
- En Preferencia de conexión, selecciona Aceptar todas las conexiones automáticamente.
- Haz clic en Añadir servicio.
- Haz clic en el servicio publicado. Usa el nombre de la vinculación de servicio del campo Vinculación de servicio para crear la URL:
https://googleapis.com/compute/v1/SERVICE_ATTACHMENT_NAME - Introduce la URL cuando añadas tu aplicación privada a Google Workspace. Consulta Añadir una aplicación a una cuenta de Workspace.
Configuración de aplicaciones alojadas en otros proveedores de servicios en la nube o en centros de datos on‐premise
Para conectar de forma segura tu red en la nube u on-premise con Google Cloud, añade un conector de aplicaciones.
Los conectores de aplicaciones te permiten conectar de forma segura tu aplicación con Google desde otras nubes sin una VPN de sitio a sitio.
Crear una máquina virtual en una red que no es de Google
Debes instalar cada agente remoto del conector de aplicaciones en una máquina virtual dedicada o en cualquier servidor de Bare Metal que no sea de Google.
- Para crear la máquina virtual, pide ayuda a tu administrador de red o sigue las instrucciones que te haya proporcionado tu proveedor de servicios en la nube.
- Para ejecutar el agente remoto, usa Docker en cada VM o servidor.
- Asegúrate de que el cortafuegos de la red de la VM de agente remoto permita todo el tráfico saliente iniciado en el puerto 443 para el intervalo de IPs de IAP-TCP 35.235.240.0/20. Consulta la sección Verificar la configuración del cortafuegos de otros dominios en los que el cortafuegos de la VM de agente remoto debe permitir el tráfico saliente.
Añadir un conector de aplicaciones e instalar un agente remoto
-
Para añadir un conector de aplicaciones, sigue estos pasos:
-
Inicia sesión en la consola de administración de Google.
Utiliza tu cuenta de administrador (no termina en @gmail.com).
-
En la consola de administración, ve a Menú AplicacionesAplicaciones web y móviles.
- Haz clic en la pestaña Conectores de BeyondCorp Enterprise (BCE).
- Haz clic en Añadir conector.
- Introduce un nombre para el conector. Por ejemplo: conectar-miapp.
- Selecciona una región cercana al entorno que no es de Google.
- Haz clic en Añadir conector.
- Para consultar el estado, en la parte superior derecha, haz clic en Tus tareas.
-
- Crea una instancia de VM para alojar el agente remoto.
Sigue las instrucciones proporcionadas por tu administrador de red o tu proveedor de servicios en la nube. Consulta el artículo sobre cómo crear una máquina virtual en una red que no es de Google. - Instala un agente remoto.
- Haz clic en el nombre del conector de aplicaciones.
- Haz clic en Instalar agente remoto.
- En el entorno que no es de Google, instala el agente remoto:
- Crea una instancia de máquina virtual para alojar el agente remoto. Sigue las instrucciones proporcionadas por tu administrador de red o tu proveedor de servicios en la nube.
- Instala Docker, que es una herramienta necesaria para ejecutar el agente remoto. Para obtener instrucciones, consulta la documentación online para instalar Docker Engine.
- Instala y registra el agente remoto mediante los comandos de la CLI que se muestran en la página del conector de aplicaciones de Google Workspace.
- Copia y pega la clave pública que se muestra una vez que el agente remoto se ha registrado correctamente.
- Haz clic en Guardar.
La página del conector de aplicaciones debe mostrar que se ha añadido correctamente una clave pública.
Restringir el acceso y la autenticación
-
Inicia sesión en la consola de administración de Google.
Utiliza tu cuenta de administrador (no termina en @gmail.com).
-
En la consola de administración, ve a Menú AplicacionesAplicaciones web y móviles.
- Haz clic en la pestaña Aplicaciones y, a continuación, en una aplicación para abrir la página de detalles.
- Haz clic en Configuración avanzada.
- Página de destino 403: introduce la dirección web a la que se redirigirá a los usuarios si se les deniega el acceso a la aplicación. Usa el formato https://<url>.
- Dominio de autenticación: introduce la URL de inicio de sesión único (SSO) de tu organización para que los usuarios puedan iniciar sesión con las credenciales de la organización. Esta opción también denegará el acceso a los usuarios que no tengan credenciales válidas para tu dominio de Google Workspace. Usa este formato: sso.tu.org.com.
- Dominios permitidos: marca la casilla Habilitar dominios permitidos para restringir el acceso de los usuarios únicamente a los dominios especificados. Separa las entradas con una coma. Por ejemplo: prueba.tu.org.com o prod.tu.org.com.
- Reautenticación: utiliza estas opciones para pedir a los usuarios que se vuelvan a autenticar después de un tiempo. Por ejemplo, puedes usar una llave de seguridad táctil o la verificación en dos pasos.
- Inicio de sesión: solicita a los usuarios que se vuelvan a autenticar con un nombre de usuario o una contraseña después de iniciar sesión durante el periodo especificado.
- Clave segura: solicita a los usuarios que vuelvan a autenticarse con su llave de seguridad.
- Segundos factores registrados: requiere que los usuarios se vuelvan a autenticar con un método de autenticación de dos factores (2FA).
Para obtener más información, consulta el artículo sobre cómo reautenticar IAP.
Asignar un control de acceso contextual
Con el acceso contextual, puedes controlar a qué aplicaciones privadas puede acceder un usuario en función de su contexto, como si su dispositivo cumple tu política de TI.
Por ejemplo, puedes crear políticas de control de acceso granulares para las aplicaciones que acceden a datos de Google Workspace en función de atributos como la identidad, la ubicación, el estado de seguridad del dispositivo y la dirección IP del usuario.
Para obtener más información, consulta el artículo Asignar niveles de acceso a aplicaciones web privadas.