Limita l'accesso alle risorse a domini specifici

Per migliorare la sicurezza in generale, IAP nega per impostazione predefinita l'accesso a a richieste senza corrispondenza SNI (Server Name Indication). IAP controlla anche lo SNI del certificato del bilanciatore del carico. Ciò consente IAP per limitare il reindirizzamento degli URL a domini dannosi. La La funzionalità dei domini consentiti IAP offre un'ulteriore per le tue risorse protette da IAP. Come proprietario della risorsa o IAP, puoi limitare l'accesso a le risorse protette da IAP in domini specifici configurando la funzionalità dei domini consentiti.

Puoi anche configurare i domini consentiti IAP nei seguenti scenari:

  • Il browser o un proxy intermedio forza il pooling delle connessioni: in questo caso, ricevi la risposta HTTP 429 e il codice di errore 51. Per risolvere il problema, un amministratore IAP può aggiornare l'elenco dei domini consentiti in modo che includa il tuo nome host.
  • Il nome host fornito non corrisponde al certificato SSL sul server:in questo scenario, viene visualizzato il codice di errore 52. Per risolvere il problema, un amministratore IAP può aggiornare l'elenco dei domini consentiti in modo che includa il tuo nome host.

Configura domini consentiti

Puoi utilizzare gcloud o l'API per configurare le impostazioni dei domini consentiti. Per configurare i domini consentiti, utilizza i seguenti campi:

  • enable: valore booleano. Attiva o disattiva la funzionalità dei domini consentiti.
  • Domains: stringa. L'elenco dei domini consentiti. I domini possono contenere prefissi con caratteri jolly, ad esempio *.example.com. I nomi di dominio non possono contenere caratteri jolly direttamente su un suffisso pubblico o su un dominio di primo livello. Esempio: *.com, *.co.in.

Per ulteriori informazioni, consulta IapSettings.

Per configurare i domini consentiti da IAP, completa i seguenti passaggi:

Console

  1. Vai alla pagina IAP.
    Vai a Identity-Aware Proxy.
  2. Seleziona un progetto, quindi seleziona la risorsa su cui vuoi abilitare la funzionalità dei domini consentiti.
  3. Apri le Impostazioni per la risorsa. In Domini consentiti, seleziona Abilita domini consentiti.
  4. Specifica l'elenco dei domini consentiti e fai clic su Salva.

gcloud

Di seguito sono riportati alcuni comandi di esempio per specificare i domini consentiti.

Per ulteriori informazioni, vedi gcloud iap settings set.

Esegui questo comando:

gcloud iap settings set SETTING_FILE --folder=FOLDER --organization=ORGANIZATION --project=PROJECT --resource-type=RESOURCE_TYPE --service=SERVICE --version=VERSION

Dove SETTING_FILE è:

accessSettings:
  allowed_domains_settings:
    enable: true
    domains: ["*.example.com", "*.example.net"]

Sostituisci quanto segue:

  • FOLDER: l'ID cartella.
  • ORGANIZATION: l'ID organizzazione.
  • PROJECT: l'ID progetto.
  • RESOURCE_TYPE: il tipo di risorsa IAP. Deve essere app-engine, iap_web, compute, organization o folder.
  • SERVICE: il nome del servizio. Questa opzione è facoltativa quando il valore di resource-type è compute o app-engine.
  • VERSION: il nome della versione. Questo non è applicabile per compute ed è facoltativo quando resource-type è app-engine.

API

Per configurare i domini consentiti, completa i seguenti passaggi. Per ulteriori informazioni sull'utilizzo dell'API per configurare i domini consentiti, consulta IapSettings.

  1. Esegui questo comando per preparare un file iap_settings.json. Aggiorna i valori in base alle esigenze.
 {
     "access_settings":{
         "allowed_domains_settings":{
             "enable": true
             "domains": [
                 "*.example.com",
                 "*.exampe.net"
             ]
         }
     }
 }
  1. Esegui il comando gcloud iap settings get per ottenere il nome della risorsa. Copia il campo del nome dall'output. Ti servirà nel passaggio successivo.
gcloud iap settings get --organization=ORGANIZATION --folder=FOLDER --project=PROJECT --resource-type=RESOURCE_TYPE --service=SERVICE --version=VERSION
  1. Sostituisci RESOURCE_NAME nel comando seguente con il nome del passaggio precedente. IapSettings verrà aggiornato.
curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d @iap_settings.json \
"https://iap.googleapis.com/v1/RESOURCE_NAME:iapSettings?updateMask=iapSettings.accessSettings.allowedDomainsSettings.enable,iapSettings.accessSettings.allowedDomainsSettings.domains"

Risoluzione dei problemi

Problema di accesso ai domini consentito
Se ricevi il codice di errore 53, chiedi a un amministratore IAP di aggiungere il tuo nome host all'elenco dei domini consentiti.