Implantar apps da Web particulares

Os aplicativos da Web particulares são criados para os usuários internos de uma organização, como funcionários e prestadores de serviços. Você pode implantar esses apps usando o Chrome Enterprise Premium no Google Admin Console.

Adicionar o app à sua conta do Google Workspace

Os apps particulares podem ser hospedados no Google Cloud, em outro provedor de nuvem ou em um data center no local.

Faça login no Google Admin Console.
Use sua conta de administrador (não termina em @gmail.com).
No Admin Console, acesse Menu AppsApps da Web e para dispositivos móveis.
Clique em Adicionar appAdicionar app da Web particular.
Em "Detalhes do aplicativo", insira o nome e o URL de um app que os usuários acessam.
Especifique onde seu aplicativo está hospedado:
- Apps hospedados no Google Cloud: digite o URL do Private Service Connect (PSC) em "Detalhes do host do aplicativo". Para mais detalhes, consulte Configurações para apps hospedados no Google Cloud.
- Apps HTTPS hospedados em outro provedor de nuvem: digite o URL interno e o número da porta.Os apps HTTP não são compatíveis.Para mais detalhes, consulte as Configurações para apps hospedados em outros provedores de nuvem ou data centers no local.
  
  Para ter o melhor desempenho, selecione a região mais próxima de onde o aplicativo está hospedado e escolha os conectores necessários para conectá-lo.
Clique em Adicionar aplicativo.

Configurações para apps hospedados no Google Cloud

Crie um URL do Private Service Connect (PSC) para conectar os apps particulares no seu ambiente.

Para configurar o URL do PSC, crie um balanceador de carga interno e um anexo de serviço que use um endereço IP interno.

Crie um balanceador de carga interno

Os apps particulares no Google Workspace precisam ser publicados usando um balanceador de carga interno com acesso global ativado. Saiba mais em Publicar um serviço com aprovação automática.

Criar um balanceador de carga interno para o recurso do GKE ou do Compute

Antes de começar:para permitir a comunicação HTTPS segura, configure um grupo de instâncias configurado para atender a solicitações na porta 443. O grupo de instâncias será selecionado na guia de configuração Back-end.

No console do Google Cloud, acesse a página Balanceamento de carga.
Clique em Criar balanceador de carga.
Clique em Iniciar configuração do balanceador de carga de rede (TCP/SSL) e selecione:
1. Tipo de balanceador de carga: Balanceador de carga de rede (TCP/UDP/SSL).
2. Proxy ou Passthrough: passagem.
3. Voltado para a Internet ou Somente interno: interno.
4. Clique em Próxima.
5. Clique em Continuar.
Informe o nome do balanceador de carga e selecione a região e a rede em que ele será implantado.
Importante : a rede escolhida para o balanceador de carga precisa ser a mesma usada pelo grupo de instâncias.
Selecione a guia Configuração de back-end.
1. Protocolo: selecione TCP.
2. Tipo de pilha de IP: selecione IPv4.
3. Selecione um grupo de instâncias.
  Para criar um, acesse Grupos de instâncias.
4. Selecione uma verificação de integridade na lista.Para criar uma verificação de integridade:
  1. Selecione Criar verificação de integridade.
  2. Insira um nome para sua verificação de integridade (por exemplo: ping-port).
  3. Selecione o escopo regional.
  4. Como protocolo, escolha HTTPS.
  5. Mantenha a porta como 443.
  6. Em "Protocolo de proxy", selecione NENHUM.
  7. Em Caminho da solicitação, deixe "/".
  8. Ativar registros.
  9. Mantenha os valores padrão para os critérios de integridade.
Selecione a guia Configuração de front-end.
1. (Opcional) Insira um nome para o front-end.
2. Em Versão IP, selecione IPv4.
3. Selecione uma sub-rede.
4. Para fins de IP interno, selecione Não compartilhado.
5. Em Portas, selecione Individuais.
6. Inserir número da porta 443.
7. Em Acesso global, selecione Ativar.
Selecione a guia Analisar e finalizar para revisar as configurações do balanceador de carga.
Clique em Criar.

Criar um balanceador de carga interno para o recurso do Cloud Run

No console do Google Cloud, acesse a página Balanceamento de carga.
Clique em Criar balanceador de carga.
Clique em Iniciar configuração do balanceador de carga de aplicativo (HTTP/S) e selecione as opções a seguir.
1. Tipo de balanceador de carga: Balanceador de carga de aplicativo (HTTP/HTTPS).
2. Voltado para a Internet ou somente interno: interno.
3. Implantação entre regiões ou região única: região única.
4. Clique em Próxima.
5. Clique em Configurar.
Informe o nome do balanceador de carga e selecione a região e a rede em que ele será implantado.
Selecione a guia Configuração de back-end.
1. Criar ou selecionar o serviço de back-end.
2. Se você estiver criando um serviço, selecione o tipo de back-end Grupo de endpoints de rede sem servidor e um grupo de endpoints de rede.
3. Se você não tiver um endpoint de rede sem servidor, selecione a opção para criar um novo.
  Antes de criar o grupo de endpoints de rede sem servidor, crie um serviço do Cloud Run para onde o grupo de endpoints vai apontar.
Selecione a guia Configuração de front-end.
1. Protocolo: selecione HTTPS.
2. Selecione a sub-rede.
3. Conclua as etapas na tela para reservar uma sub-rede, caso ainda não tenha feito isso.
4. Ativar o acesso global.
5. Para o certificado, você pode criar um novo certificado ou escolher um existente.
Clique em Criar.

Criar o URL do anexo de serviço

Para configurar o URL do PSC, crie um anexo de serviço que use um endereço IP interno.

No console do Google Cloud, acesse a página do Private Service Connect.
Clique na guia Publicar serviço .
Clique em Publicar serviço.
Selecione o Tipo de balanceador de carga para o serviço que você quer publicar:
- Balanceador de carga de rede de passagem interna
- Balanceador de carga de rede de proxy interno regional
- Balanceador de carga de aplicativo interno regional
Selecione o Balanceador de carga interno que hospeda o serviço que você quer publicar.
Os campos de rede e região são preenchidos com os detalhes do balanceador de carga interno selecionado.
Em Nome do serviço, insira um nome para o anexo de serviço.
Selecione uma ou mais sub-redes para o serviço. Se quiser adicionar uma nova sub-rede, crie uma:
- Clique em Reservar nova sub-rede.
- Insira um Nome e uma Descrição opcional para a sub-rede.
- Selecione uma Região para a sub-rede.
- Digite o Intervalo de IP a ser usado para a sub-rede e clique em Adicionar.
Em "Preferência de conexão", selecione Aceitar automaticamente todas as conexões.
Clique em Adicionar serviço.
Clique no serviço publicado. Use o nome do anexo de serviço no campo Service attachment para criar o URL:
https://googleapis.com/compute/v1/SERVICE_ATTACHMENT_NAME
Digite o URL ao adicionar seu app particular no Google Workspace. Consulte Adicionar o app à sua conta do Workspace.

Configurações para apps hospedados em outros provedores de nuvem ou data centers no local

Para conectar sua rede no local ou na nuvem com segurança ao Google Cloud, adicione um conector de app.

Com os conectores de apps, você conecta seu aplicativo ao Google de outras nuvens com segurança sem uma VPN site a site.

Criar uma VM na rede que não é do Google

É necessário instalar cada agente remoto do conector de app em uma máquina virtual (VM) dedicada ou em qualquer servidor Bare Metal no ambiente que não seja do Google.

Para criar a VM, peça ajuda ao administrador da rede ou siga as instruções do provedor de nuvem.
Para executar o agente remoto, use o Docker em cada VM ou servidor.
Verifique se o firewall de rede da VM do agente remoto permite todo o tráfego de saída iniciado na porta 443 para o intervalo de IP IAP-TCP 35.235.240.0/20. Consulte Verificar a configuração do firewall para outros domínios que devem receber o tráfego de saída permitido pelo firewall da VM do agente remoto.

Adicionar um conector de app e instalar o agente remoto

Adicione um conector de app:
1. Faça login no Google Admin Console.
  Use sua conta de administrador (não termina em @gmail.com).
2. No Admin Console, acesse Menu AppsApps da Web e para dispositivos móveis.
3. Clique na guia Conectores do BeyondCorp Enterprise (BCE).
4. Clique em Adicionar conector.
5. Digite um nome para o conector. Por exemplo: connect-myapp.
6. Selecione uma região próxima ao ambiente que não é do Google.
7. Clique em Adicionar conector.
8. Para ver o status, no canto superior direito, clique em Suas tarefas.
Criar uma instância de VM para hospedar o agente remoto.
Siga as instruções fornecidas pelo administrador da rede ou provedor de nuvem. Consulte Criar uma VM na rede que não é do Google.
Instalar um agente remoto.
1. Clique no nome do conector de app.
2. Clique em Instalar agente remoto.
3. No ambiente que não é do Google, instale o agente remoto:
  - Criar uma instância de máquina virtual (VM) para hospedar o agente remoto. Siga as instruções fornecidas pelo administrador da rede ou provedor de nuvem.
  - Instale o Docker, que é necessário para executar o agente remoto. Para obter instruções, consulte a documentação on-line para instalar o Docker Engine.
  - Instale e registre o agente remoto usando os comandos da CLI exibidos na página do conector de app do Google Workspace.
  - Copie e cole a chave pública exibida após o registro do agente remoto.
4. Clique em Salvar.

A página do conector de app mostra que uma chave pública foi adicionada.

Restringir o acesso e a autenticação

O administrador que criou o app pode decidir em quais condições o usuário terá acesso a ele. Por exemplo, é possível limitar o acesso aos usuários de um domínio específico ou permitir o acesso apenas durante determinados horários ou dias. Se o acesso for negado, o usuário será redirecionado para uma página específica.

Faça login no Google Admin Console.
Use sua conta de administrador (não termina em @gmail.com).
No Admin Console, acesse Menu AppsApps da Web e para dispositivos móveis.
Clique na guia Apps e em um deles para abrir a página de detalhes.
Clique em Configurações avançadas.

Página de destino 403: digite o endereço da Web para onde os usuários serão redirecionados se o acesso ao aplicativo for negado. Use o formato https://<url>.
Domínio de autenticação: digite o URL de Logon único (SSO) da sua organização para permitir que os usuários façam login com as credenciais. Isso também impede o acesso de usuários que não têm credenciais válidas para o domínio do Google Workspace. Use o formato sso.your.org.com.
Domínios permitidos: marque a caixa Ativar domínios permitidos para restringir o acesso dos usuários apenas aos domínios especificados. Separe as entradas com uma vírgula. Por exemplo: teste.sua.org.com, prod.sua.org.com.
Reautenticação: use essas opções para exigir que os usuários façam uma nova autenticação após um período. Por exemplo, você pode usar uma chave de segurança por toque ou a verificação em duas etapas.
- Login: exija que os usuários se autentiquem novamente com um nome de usuário/senha após o período de login especificado.
- Chave segura: exija que os usuários se autentiquem novamente com a chave de segurança.
- Segundos fatores registrados: exija que os usuários se autentiquem novamente usando um método de autenticação de dois fatores (2FA).

Para mais informações, consulte Reautenticação do IAP.

Atribuir controle de acesso baseado no contexto

Com o acesso baseado no contexto, você controla quais apps particulares um usuário pode acessar com base no contexto, por exemplo, se o dispositivo obedece à sua política de TI.

Por exemplo, é possível criar políticas detalhadas de controle de acesso para apps que acessam dados do Google Workspace com base em atributos como identidade do usuário, local, status de segurança do dispositivo e endereço IP.

Saiba mais em Atribuir níveis de acesso a apps particulares.

Isso foi útil?

Como podemos melhorá-lo?