Como proteger aplicativos e recursos no local com o IAP

Neste guia, você aprenderá como proteger um app no local baseado em HTTP fora do Google Cloud usando o Identity-Aware Proxy (IAP) por meio da implantação de um conector do IAP.

Antes de começar

Antes de começar, os seguintes itens são necessários:

  • um app no local baseado em HTTP que tenha uma instância própria do IAP;
  • Ter um membro do Cloud Identity com o papel proprietário no seu projeto do Google Cloud.
  • ter um projeto do Google Cloud com o faturamento ativado;
  • Ter o nome do host de DNS que será usado como o ponto de entrada do tráfego para o Google Cloud. Por exemplo, www.hr-domain.com
  • ter um certificado SSL ou TLS para o nome do host de DNS que será usado como ponto de entrada do tráfego para o Google Cloud. É possível usar um certificado autogerenciado ou gerenciado pelo Google que você já tenha. Se você ainda não tem um certificado, crie um usando a Let's Encrypt (em inglês).

Implante um conector para um app no local

  1. Acesse a página de administrador do IAP.

    Acessar a página de administrador do IAP

  2. Comece a configurar a implantação do conector em um app no local clicando em Configuração de conectores no local.

  3. Verifique se as APIs necessárias estão carregadas clicando em Ativar APIs.

  4. Escolha se a implantação deve usar um certificado gerenciado pelo Google ou por você. Selecione a rede e a sub-rede da implantação (ou crie um novo) e clique em Next.

  5. Insira os detalhes de um aplicativo no local que você quer adicionar:

    • o URL externo das solicitações que chegam ao Google Cloud. Esse URL é por onde o tráfego entra no ambiente;
    • um nome para o aplicativo. Ele também será usado como o nome de um novo serviço de back-end por trás do balanceador de carga.
    • região onde o conector será implantado. Por exemplo, us-central.
    • uma ou mais zonas em que o conector do IAP precisa ser implantado (por exemplo, us-central1-a). Para cada uma, o endereço IPv4 do destino interno do app no local em que o IAP encaminha o tráfego depois de o usuário ter sido autorizado e autenticado.
    • A porta usada para acessar os destinos internos.
  6. clique em Concluído para salvar os detalhes do app. Se você quiser, defina mais aplicativos locais para a implantação.

  7. Quando tudo estiver pronto, clique em Enviar para começar a implantação dos apps que você definiu.

Após a conclusão da implantação, os apps de conector no local aparecerão na tabela Recursos HTTP, e o IAP poderá ser ativado.

Gerencie um conector para um app no local

  • É possível adicionar mais aplicativos à sua implantação a qualquer momento clicando em Configuração de conectores no local.
  • Só é possível excluir um aplicativo de conector no local excluindo toda a implantação:

    1. Acesse a página do Deployment Manager.

      Acessar a página do Deployment Manager

    2. Na lista de implantações, marque a caixa de seleção ao lado da implantação "on-prem-app-deployment".

    3. No topo da página, clique em Excluir.

Próximas etapas