Sicherer Zugriff auf private Webanwendungen

In diesem Dokument wird beschrieben, wie Sie ein sicheres Gateway für Chrome Enterprise Premium einrichten, um den Zugriff auf Ihre privaten Webanwendungen zu schützen.

Ein sicheres Gateway von Chrome Enterprise Premium fungiert als Forward-Proxy, der ein Zero-Trust-Zugriffsframework erzwingt und eine detaillierte, kontextsensitive Steuerung des Zugriffs auf Ihre privaten Webanwendungen ermöglicht.

So funktioniert die Sicherung des Zugriffs auf private Webanwendungen

Durch die Einrichtung eines sicheren Tunnels und die Durchsetzung kontextbezogener Zugriffsrichtlinien sorgt das sichere Gateway dafür, dass private Anwendungen privat bleiben und vor dem öffentlichen Internet geschützt sind. Eine clientseitige Browserkonfiguration leitet den Traffic für diese Anwendungen über den sicheren Gateway-Proxy-Endpunkt. Das sichere Gateway wendet dann die entsprechende Zugriffsrichtlinie an und leitet die Anfrage, sofern zulässig, an die Zielanwendung weiter.

Das sichere Gateway kann private Webanwendungen schützen, die in den folgenden Umgebungen gehostet werden:

• Google Cloud -Projekt: Das sichere Gateway kann den direkten Zugriff auf Anwendungen ermöglichen, die in Ihrem Google Cloud VPC-Netzwerk ausgeführt werden.

• Nicht-Google Cloud (lokale Rechenzentren oder andere Clouds): Sie müssen zuerst eine Verbindung zwischen Ihrem privaten VPC-Netzwerk auf Google Cloud und dem Nicht-Google Cloud -Netzwerk herstellen. Dies geschieht in der Regel über Cloud VPN oder Cloud Interconnect. Das sichere Gateway verwendet dann die Verbindung, um den Traffic an Ihr privates VPC-Netzwerk zu senden, das ihn wiederum an die Nicht-Google Cloud -Umgebung weiterleitet.

Hinweise

Bevor Sie das sichere Gateway einrichten, müssen Sie Folgendes erledigt haben:

• Eine Chrome Enterprise Premium-Lizenz
• Zugriff auf die Admin-Konsole mit einem Administratorkonto
• Ein Google Cloud -Projekt mit einem zugewiesenen Rechnungskonto und der folgenden aktivierten API: BeyondCorp API

• Die folgende IAM-Rolle (Identity and Access Management) wird dem Administrator gewährt, der die Einrichtung vornimmt: Projektebene: Cloud BeyondCorp-Administrator (beyondcorp.admin).

• Für private Anwendungen in einer Umgebung, die nichtGoogle Cloud ist, ist eine Cloud VPN- oder Cloud Interconnect-Verbindung zwischen IhrerGoogle Cloud -Umgebung und der Umgebung, die nichtGoogle Cloud ist und in der sich Ihre Anwendung befindet, erforderlich. Weitere Informationen zum Einrichten von Netzwerkverbindungen finden Sie in den folgenden Ressourcen:

  • Cloud VPN-Dokumentation
  • Cloud Interconnect-Dokumentation

Shell-Umgebung einrichten

Um die Einrichtung zu vereinfachen und mit den Secure Gateway-APIs zu interagieren, definieren Sie die folgenden Umgebungsvariablen in Ihrer Arbeits-Shell.

• Allgemeine Parameter

  API="beyondcorp.googleapis.com"
  API_VERSION=v1
  PROJECT_ID=MY_PROJECT_ID
  

  Ersetzen Sie Folgendes:

  • MY_PROJECT_ID: Die ID des Projekts, in dem das sichere Gateway erstellt wird.

• Gateway-Parameter sichern

  SECURITY_GATEWAY_ID=MY_SECURITY_GATEWAY_ID
  SECURITY_GATEWAY_DISPLAY_NAME="MY_SECURITY_GATEWAY_DISPLAY_NAME"
  

  Ersetzen Sie Folgendes:

  • MY_SECURITY_GATEWAY_ID: Die ID des sicheren Gateways, das Sie erstellen möchten. Die ID darf maximal 63 Zeichen lang sein und Kleinbuchstaben, Ziffern und Bindestriche enthalten. Das erste Zeichen muss ein Buchstabe sein und das letzte Zeichen kann ein Buchstabe oder eine Ziffer sein.
  • MY_SECURITY_GATEWAY_DISPLAY_NAME: Der für Menschen lesbare Name des sicheren Gateways. Der Name kann bis zu 63 Zeichen lang sein und druckbare Zeichen enthalten.

Sicheres Gateway erstellen

Ein sicheres Gateway für Chrome Enterprise Premium ist ein grundlegender Baustein für die Herstellung sicherer Verbindungen zu Ihren Anwendungen. Dabei wird ein dediziertes Projekt und Netzwerk zugewiesen, was für Isolation und Sicherheit sorgt.

Führen Sie die folgenden Schritte aus, um ein sicheres Gateway zu erstellen.

1. Erstellen Sie eine Datei mit dem Namen securityGateway.json anhand des folgenden Beispiels.

   {
      "display_name": "MY_SECURITY_GATEWAY_DISPLAY_NAME",
   }
   

2. Erstellen Sie eine sichere Gateway-Ressource, indem Sie die Create-API aufrufen.

   curl \
   -H "Authorization: Bearer $(gcloud auth print-access-token)" \
   -H "Content-Type: application/json" \
   -X POST \
   -d @securityGateway.json \
   "https://${API}/${API_VERSION}/projects/${PROJECT_ID}/locations/global/securityGateways?security_gateway_id=${SECURITY_GATEWAY_ID}"
   

Private Webanwendung konfigurieren

Bevor Sie bestimmte Anwendungsressourcen im sicheren Gateway definieren können, müssen Sie die erforderlichen Berechtigungen und Netzwerkeinstellungen konfigurieren, um die Konnektivität und das richtige Routing zu ermöglichen.

Berechtigungen für das Dienstkonto gewähren

Damit das sichere Gateway Traffic an Ihr VPC-Netzwerk senden kann, benötigt es bestimmte IAM-Berechtigungen, die seinem delegierenden Dienstkonto gewährt werden müssen. So kann das sichere Gateway auf Ihre privaten Anwendungen zugreifen, unabhängig davon, ob sie in einer Google Cloud VPC oder in einer Nicht-Google Cloud -Umgebung gehostet werden, die über Cloud VPN oder Cloud Interconnect verbunden ist.

1. Ermitteln Sie die E-Mail-Adresse des delegierenden Dienstkontos. Diese E-Mail-Adresse befindet sich im Feld delegatingServiceAccount Ihrer Sicherheitsgateway-Ressource.

   {
      "name": "projects/${PROJECT_ID}/locations/global/securityGateways/${SECURITY_GATEWAY_ID}",
      "createTime": "2024-10-28T20:46:50.949740776Z",
      "updateTime": "2024-10-29T18:41:18.520661431Z",
      "state": "RUNNING",
      "delegatingServiceAccount": "security-gateway@my-gateway-service-account.iam.gserviceaccount.com"
   }
   

2. Legen Sie Umgebungsvariablen für das Dienstkonto und Ihr Ziel-VPC-Projekt fest.

   DELEGATING_SERVICE_ACCOUNT="security-gateway@my-gateway-service-account.iam.gserviceaccount.com" # Replace with actual value
   

3. Weisen Sie dem delegierenden Dienstkonto in Ihrem privaten VPC-Projekt die IAM-Rolle roles/beyondcorp.upstreamAccess zu.

   gcloud projects add-iam-policy-binding PRIVATE_VPC_PROJECT_ID \
       --role=roles/beyondcorp.upstreamAccess \
       --member=serviceAccount:${DELEGATING_SERVICE_ACCOUNT}
   

   Ersetzen Sie PRIVATE_VPC_PROJECT_ID durch die Projekt-ID des VPC-Netzwerks, in dem die private Web-App bereitgestellt wird oder in dem Cloud VPN/Interconnect konfiguriert ist.

Es kann etwa zwei Minuten dauern, bis die IAM-Richtlinie (Identity and Access Management) wirksam wird, nachdem Sie die Rolle zugewiesen haben.

Netzwerkrouting und Firewallregeln konfigurieren

Damit Traffic vom sicheren Gateway Ihre privaten Webanwendungen erreichen kann, müssen Sie Firewallregeln, Netzwerkrouting und DNS-Einstellungen konfigurieren.

Firewallregeln für Anwendungen in Google Cloud

Wenn Ihre private Webanwendung in Ihrem Google Cloud VPC-Netzwerk gehostet wird, z. B. auf einer Compute Engine-VM, einem Google Kubernetes Engine-Dienst mit einer internen IP-Adresse oder hinter einem internen TCP/UDP-Load-Balancer, konfigurieren SieGoogle Cloud VPC-Firewallregeln. Dadurch wird eingehender TCP-Traffic aus den IP-Bereichen des sicheren Gateways zugelassen: 34.158.8.0/21 und 136.124.16.0/20.

Firewallregeln für Anwendungen in Nicht-Google Cloud -Umgebungen

Wenn sich Ihre private Webanwendung in einem lokalen Rechenzentrum oder im Netzwerk eines anderen Cloud-Anbieters befindet und über Cloud VPN oder Cloud Interconnect mit Ihrer Google Cloud-VPC verbunden ist, konfigurieren Sie Firewallregeln in Ihrer lokalen Firewall oder den entsprechenden Netzwerksicherheitskontrollen, z. B. Sicherheitsgruppen und Netzwerk-ACLs, in der anderen Cloud-Umgebung. Dadurch wird eingehender TCP-Traffic aus den IP-Bereichen des sicheren Gateways zugelassen.

Routing von Nicht-Google Cloud -Umgebungen zu einem sicheren Gateway konfigurieren

Für die bidirektionale Kommunikation beim Schutz privater Anwendungen, die in Nicht-Google Cloud -Umgebungen wie On-Premise- oder anderen Clouds gehostet werden, muss in Ihrem externen Netzwerk ein Rückgabepfad zu den folgenden IP-Adressen des sicheren Gateways erstellt werden: 34.158.8.0/21 und 136.124.16.0/20.

Prüfen Sie, ob Ihr privates Netzwerk die IP-Bereiche des sicheren Gateways über Cloud VPN oder Cloud Interconnect erreichen kann:

• Dynamisches Routing: Wenn Sie dynamisches Routing wie das Border Gateway Protocol (BGP) mit Cloud Router verwenden, prüfen Sie, ob Ihr Cloud Router inGoogle Cloud explizit IP-Bereiche für sichere Gateways für Ihr lokales BGP-Gerät bewirbt. Obwohl BGP viele Routen dynamisch austauscht, müssen die IP-Bereiche des sicheren Gateways explizit beworben werden.

• Statisches Routing: Wenn Sie statische Routen verwenden, müssen Sie Routen für jeden der IP-Bereiche des sicheren Gateways manuell auf Ihrer lokalen Netzwerkausrüstung, z. B. Ihrem Router oder Ihrer Firewall, hinzufügen. In diesen statischen Routen muss angegeben werden, dass Traffic, der für die IP-Bereiche des Secure Gateways bestimmt ist, über die Cloud VPN- oder Cloud Interconnect-Verbindung gesendet werden muss.

  Wenn Sie statisches Routing verwenden, muss sich Cloud VPN in einer der folgenden unterstützten Regionen befinden:

  • africa-south1
  • asia-east1
  • asia-south1
  • asia-south2
  • asia-southeast1
  • europe-central2
  • europe-north1
  • europe-southwest1
  • europe-west1
  • europe-west2
  • europe-west3
  • europe-west4
  • europe-west8
  • europe-west9
  • northamerica-northeast1
  • northamerica-northeast2
  • northamerica-south1
  • southamerica-east1
  • southamerica-west1
  • us-central1
  • us-east1
  • us-east4
  • us-east5
  • us-west1

DNS-Konfiguration für die Auflösung privater Hostnamen des Secure Gateways

Damit das sichere Gateway die Hostnamen Ihrer privaten Anwendungen auflösen kann, muss IhrGoogle Cloud VPC-Netzwerk die Hostnamen mithilfe von Cloud DNS auflösen können. Die spezifische Cloud DNS-Konfiguration hängt davon ab, wo Ihre privaten DNS-Einträge autoritativ gehostet werden:

• Anwendungen in Google Cloud mit privaten Cloud DNS-Zonen: Wenn Ihre privaten Anwendungen in Google Cloud gehostet werden und ihre DNS-Einträge in privaten Cloud DNS-Zonen verwaltet werden, die mit Ihrem VPC-Netzwerk verknüpft sind, prüfen Sie, ob die Zonen richtig konfiguriert sind und darauf zugegriffen werden kann. Das sichere Gateway nutzt die vorhandenen Cloud DNS-Auflösungsfunktionen Ihrer VPC.

• Anwendungen in Nicht-Google Cloud -Umgebungen oder mit externen DNS-Servern: Wenn sich Ihre privaten Anwendungen in Nicht-Google Cloud-Umgebungen (lokal oder in anderen Clouds) befinden oder ihre DNS-Einträge von DNS-Servern außerhalb der privaten Cloud DNS-Zonen Ihrer VPC verwaltet werden, müssen Sie Cloud DNS so konfigurieren, dass Anfragen für diese privaten Domains weitergeleitet werden. Dazu müssen Sie in der Regel Cloud DNS-Weiterleitungszonen in Ihrer VPC erstellen. Diese Zonen leiten DNS-Abfragen für Ihre angegebenen privaten Domains an Ihre autoritativen privaten DNS-Server weiter, z. B. lokal oder in anderen Clouds.

Eine detaillierte Anleitung zur DNS-Konfiguration finden Sie unter Weiterleitungszone erstellen.

Anwendungsressource erstellen

Wenn Sie Zugriff auf eine private Webanwendung gewähren möchten, müssen Sie sie im sicheren Gateway-Framework einrichten, indem Sie eine Anwendungsressource erstellen. Diese Ressource definiert, wie das Secure Gateway Traffic für Ihre Anwendung (basierend auf dem Hostnamen) identifiziert und wohin dieser Traffic weitergeleitet wird.

1. Legen Sie die erforderlichen Umgebungsvariablen mit dem folgenden Befehl fest:

   APPLICATION_ID=MY_APPLICATION_ID
   APP_DISPLAY_NAME="MY_APP_DISPLAY_NAME"
   

   Ersetzen Sie Folgendes:

   • MY_APPLICATION_ID: Eine eindeutige ID für die Anwendungsressource.
   • MY_APP_DISPLAY_NAME: Der für Menschen lesbare Name, der angezeigt werden soll.

2. Erstellen Sie mit dem folgenden Beispiel eine JSON-Datei mit dem Namen application.json.

   {
   "display_name": "MY_APP_DISPLAY_NAME",
   "endpoint_matchers": [
     {"hostname": "MY_HOST_NAME"}
   ],
   "upstreams": [{
    "network": {
       "name": "MY_PRIVATE_NETWORK_RESOURCE_NAME"
    }
   }]
   }
   

   Ersetzen Sie MY_HOST_NAME durch den primären Hostnamen, auf den Nutzer zugreifen. Beispiel: private.local. Der Hostname kann bis zu 253 Zeichen lang sein und muss eines der folgenden Formate haben:

   • Eine gültige IPv4-Adresse
   • Eine gültige IPv6-Adresse
   • Ein gültiger DNS-Name
   • Ein Sternchen (*)
   • Ein Sternchen (*) gefolgt von einem gültigen DNS-Namen

   Ersetzen Sie MY_PRIVATE_NETWORK_RESOURCE_NAME durch den vollständigen Ressourcennamen des VPC-Netzwerk, in dem Ihre Anwendung gehostet wird oder mit Ihrer Nicht-Google Cloud -Umgebung verbunden ist. Der Netzwerkname muss das Format projects/{project}/global/networks/{network} haben.

3. Optional: Geben Sie eine Region für ausgehenden Traffic an.

   In einigen Netzwerkkonfigurationen müssen Sie möglicherweise dieGoogle Cloud -Region steuern, in der der Traffic des sicheren Gateways zu Ihrer privaten Anwendung weitergeleitet wird. Dies gilt beispielsweise, wenn Sie statische Routen über Cloud VPN oder Cloud Interconnect verwenden. Für diese Konfigurationen können Sie der Upstream-Konfiguration für Ihre Anwendung eine Egress-Richtlinie hinzufügen. Diese Richtlinie für ausgehenden Traffic weist das sichere Gateway an, Traffic für die Anwendung aus der angegebenen Google Cloud-Region an Ihr privates Netzwerk weiterzuleiten.

   Unten sehen Sie eine JSON-Beispieldatei, die eine egress_policy enthält.

   {
   "display_name": "MY_APP_DISPLAY_NAME",
   "endpoint_matchers": [
    {"hostname": "MY_HOST_NAME"}
   ],
   "upstreams": [{
    "network": {
       "name": "MY_PRIVATE_NETWORK_RESOURCE_NAME"
    },
    "egress_policy": {
        "regions": [
           "us-central1"
        ]
     }
   }]
   }
   

   Ersetzen Sie us-central1 durch die Google Cloud Regioneurope-west1 (z. B. europe-west1 oder asia-northeast1), die Ihrer regionalen Einrichtung für statisches Routing entspricht. Wenn Sie keine spezifischen regionalen Anforderungen an das statische Routing haben, können Sie die Egress-Richtlinie aus Ihrer Konfiguration entfernen.

4. Erstellen Sie die Anwendungsressource, indem Sie die Create API aufrufen.

   curl \
   -H "Authorization: Bearer $(gcloud auth print-access-token)" \
   -H "Content-Type: application/json" \
   -X POST \
   -d @application.json \
   "https://${API}/${API_VERSION}/projects/${PROJECT_ID}/locations/global/securityGateways/${SECURITY_GATEWAY_ID}/applications?application_id=${APPLICATION_ID}"
   

Google Chrome-Proxymodus konfigurieren

Wenn Sie den Traffic für die Anwendungsressource über das sichere Gateway leiten möchten, konfigurieren Sie Chrome, indem Sie in den Chrome-Einstellungen in der Admin-Konsole eine PAC-Datei anwenden.

1. Erstellen oder aktualisieren Sie eine PAC-Datei.

   • Wenn Sie Ihre erste Anwendung erstellen, erstellen Sie eine pac_config.js-Datei mit der folgenden Beispiel-PAC-Datei.

   • Wenn Sie eine zweite oder weitere Anwendung erstellen, aktualisieren Sie Ihre vorhandene pac_config.js-Datei und fügen Sie die Domains Ihrer neuen Anwendung dem Array „sites“ hinzu, wie im folgenden Beispiel für eine PAC-Datei gezeigt.

   function FindProxyForURL(url, host) {
    const PROXY = "HTTPS ingress.cloudproxy.app:443";
    const sites = ["MY_HOST_NAME"];
   
    for (const site of sites) {
      if (shExpMatch(url, 'https://' + site + '/*') || shExpMatch(url, '*.' + site + '/*')) {
        return PROXY;
      }
    }
   return 'DIRECT';
   }
   

   Wenn Sie eine vorhandene PAC-Datei verwenden, die nicht speziell für ein sicheres Gateway ist, führen Sie die PAC-Dateien zusammen, indem Sie die Domains Ihrer Anwendung dem Array „sites“ hinzufügen.

2. Laden Sie die Datei so hoch, dass sie öffentlich heruntergeladen werden kann. Sie können die Datei beispielsweise in Cloud Storage hochladen und sie öffentlich herunterladbar machen, indem Sie allen Nutzern die Rolle Storage Object User für den Bucket zuweisen.

3. Wenn Sie dafür sorgen möchten, dass die hochgeladene Datei immer die neueste Version ist, können Sie das Caching-Verhalten anpassen, indem Sie den Header Cache-Control auf no-cache festlegen. Diese Einstellung verhindert, dass Browser und Zwischenserver eine Kopie der Datei speichern, sodass Chrome immer die neueste Version herunterlädt.

   Weitere Informationen zu Cache-Control und den Auswirkungen auf das Browser-Caching finden Sie unter Cache-Control-Header.

4. Kopieren Sie die öffentliche URL der hochgeladenen Datei.

Proxy-Moduseinstellungen aktualisieren

1. Rufen Sie die Google Admin-Konsole auf.
2. Klicken Sie auf Geräte > Chrome > Einstellungen.
3. Wählen Sie eine Organisationseinheit oder Gruppe aus und klicken Sie dann auf Proxymodus.
4. Wählen Sie auf der Seite „Proxymodus“ die Option Für den Proxyserver immer die unten angegebene automatische Konfiguration verwenden aus und geben Sie die URL der PAC-Datei aus Cloud Storage ein.

Zugriffsrichtlinie konfigurieren

Sie können eine Zugriffsrichtlinie auf Ebene des sicheren Gateways oder der Anwendung anwenden:

• Sichere Gateway-Ressource:Wenden Sie eine Richtlinie auf der Ebene des sicheren Gateways an, um den Zugriff auf alle zugehörigen Anwendungen zu steuern.
• Einzelne Anwendung:Für eine detailliertere Steuerung können Sie eine Zugriffsrichtlinie auf eine einzelne Anwendung anwenden.

1. Erstellen Sie eine Datei im JSON-Format mit dem Namen setIamPolicy.json und fügen Sie Folgendes hinzu.

   {
    "policy": {
      object (POLICY)
    }
   }
   

   Ersetzen Sie POLICY durch eine IAM-Zulassungsrichtlinie. Die etag in der Richtlinie muss mit der etag in der aktiven Richtlinie übereinstimmen. Sie können sie abrufen, indem Sie die Methode getIamPolicy aufrufen.

2. Wenn Sie einer bestimmten Gruppe die Verwendung des sicheren Gateways erlauben möchten, weisen Sie der Gruppe die Rolle roles/beyondcorp.securityGatewayUser zu.

   {
    "policy": {
      "version": 3,
      "bindings": [
        {
          "role": "roles/beyondcorp.securityGatewayUser",
          "members": [
                  "group:"
          ]
        }
      ],
      "etag": "AA1jlb"
    }
   }
   

   Weitere Kennungen wie serviceAccount, user, group, principal und principalSet in Richtlinienbindungen finden Sie unter IAM-Hauptkonto.

3. Erzwingen Sie die Zugriffsrichtlinie für das im JSON-Dokument angegebene sichere Gateway, indem Sie die setIamPolicy API aufrufen.

   curl \
   -H "Authorization: Bearer $(gcloud auth print-access-token)" \
   -H "Content-Type: application/json" \
   -X POST \
   -d @setIamPolicy.json \
   "https://${API}/${API_VERSION}/projects/${PROJECT_ID}/locations/global/securityGateways/${SECURITY_GATEWAY_ID}:setIamPolicy"
   

   Verwenden Sie den folgenden Befehl, um die Zugriffsrichtlinie für eine Anwendung zu erzwingen:

   curl \
   -H "Authorization: Bearer $(gcloud auth print-access-token)" \
   -H "Content-Type: application/json" \
   -X POST \
   -d @setIamPolicy.json \
   "https://${API}/${API_VERSION}/projects/${PROJECT_ID}/locations/global/securityGateways/${SECURITY_GATEWAY_ID}/applications/${APPLICATION_ID}:setIamPolicy"
   

Sie können auch Zugriffsrichtlinien mit Zugriffsebenen als Bedingung festlegen, wie im folgenden Beispiel gezeigt.

{
  "policy": {
    "version": 3,
    "bindings": [
      {
        "role": "roles/beyondcorp.securityGatewayUser",
        "members": [
                "group:"
        ],
        "condition": {
                "expression": "'accessPolicies/1234567890/accessLevels/in_us' in request.auth.access_levels",
                "title": "Source IP must be in US"
        }
      }
    ],
    "etag": "A1jlb"
  }
}'

Chrome Enterprise Premium-Erweiterung installieren

Die Chrome Enterprise Premium-Erweiterung ist ein integraler Bestandteil eines sicheren Gateways und unterstützt die Authentifizierung. Installieren Sie die Erweiterung für alle Nutzer des sicheren Gateways. Informationen zum Bereitstellen der Erweiterung finden Sie unter Apps und Erweiterungen ansehen und festlegen.

1. Rufen Sie die Google Admin-Konsole auf.
2. Klicken Sie auf Chrome-Browser > Apps und Erweiterungen.
3. Klicken Sie auf den Tab Nutzer und Browser.
4. Klicken Sie zum Hinzufügen einer Chrome-Erweiterung auf die Schaltfläche +.
5. Suchen Sie nach ekajlcmdfcigmdbphhifahdfjbkciflj und erzwingen Sie dann die Installation für alle Nutzer in der Organisationseinheit oder Gruppe.

6. Klicken Sie auf die installierte Erweiterung, rufen Sie das Feld Richtlinie für Erweiterungen auf und geben Sie den folgenden JSON-Wert an:

   {
    "securityGateway": {
      "Value": {
        "authentication": {},
        "context": { "resource": "projects/MY_PROJECT_ID/locations/global/securityGateways/MY_SECURITY_GATEWAY_ID" }
      }
    }
   }
   

Nutzererfahrung

Nach Abschluss der Einrichtung wird Endnutzern, die auf die geschützte SaaS-Anwendung zugreifen, der Zugriff basierend auf der auf die Anwendung angewendeten Zugriffsrichtlinie gewährt oder verweigert.

Auf die Anwendung in Chrome zugreifen

Die Chrome Enterprise Premium-Erweiterung ist erforderlich, um den Traffic über das sichere Gateway zu leiten. Die Erweiterung übernimmt die Authentifizierung zwischen dem Nutzer und dem sicheren Gateway. Die Erweiterung wird automatisch über die Domainrichtlinie installiert.

Wenn Nutzer auf die von Ihnen konfigurierte SaaS-Anwendung zugreifen, wird ihr Traffic über das sichere Gateway geleitet, das prüft, ob sie die Zugriffsrichtlinie erfüllen. Wenn die Nutzer die Prüfungen der Zugriffsrichtlinie bestehen, erhalten sie Zugriff auf die Anwendung.

Wenn der Browserzugriff auf die Anwendung durch die Autorisierungsrichtlinie abgelehnt wird, erhalten Nutzer eine Access denied-Meldung.

Nächste Schritte

• Probleme mit dem sicheren Gateway beheben
• Sicheres Gateway verwalten