Per migliorare la sicurezza generale, IAP nega per impostazione predefinita l'accesso alle richieste che non hanno un valore SNI (Server Name Indication) corrispondente. Ciò consente a IAP di limitare il reindirizzamento degli URL a domini dannosi. La funzionalità dei domini consentiti IAP fornisce un ulteriore livello di sicurezza per le risorse protette da IAP. Come proprietario della risorsa o amministratore IAP, puoi limitare l'accesso alle risorse protette con IAP a domini specifici configurando la funzionalità dei domini consentiti.
Puoi anche configurare i domini consentiti IAP nei seguenti scenari:
- Il browser o un proxy intermedio sta forzando il pool di connessioni: in questo scenario, ricevi la risposta HTTP 429 e il codice di errore
51
. Per risolvere il problema, un amministratore IAP può aggiornare l'elenco dei domini consentiti in modo da includere il tuo nome host. - Il nome host fornito non corrisponde al certificato SSL sul server: in questo scenario, riceverai il codice di errore
52
. Per risolvere il problema, un amministratore IAP può aggiornare l'elenco dei domini consentiti in modo da includere il tuo nome host.
Configura domini consentiti
Puoi utilizzare gcloud o l'API per configurare le impostazioni dei domini consentiti. Per configurare i domini consentiti, utilizza i seguenti campi:
enable
: valore booleano. Attiva o disattiva la funzionalità Domini consentiti.Domains
: stringa. L'elenco dei domini consentiti. I domini possono contenere prefissi di caratteri jolly, ad esempio*.example.com.
I nomi di dominio non possono contenere un carattere jolly direttamente su un suffisso pubblico o in un dominio di primo livello. Esempio:*.com
,*.co.in
.
Per ulteriori informazioni, vedi IapSettings.
Per configurare i domini consentiti per IAP, completa i seguenti passaggi:
Console
- Vai alla pagina IAP.
Vai a Identity-Aware Proxy. - Seleziona un progetto, quindi la risorsa per cui vuoi abilitare la funzionalità dei domini consentiti.
- Apri le Impostazioni della risorsa. In Domini consentiti, seleziona Abilita domini consentiti.
- Specifica l'elenco dei domini consentiti e fai clic su Salva.
gcloud
Di seguito sono riportati alcuni comandi di esempio per specificare i domini consentiti.
Per saperne di più, visita gcloud iap settings set
.
Esegui questo comando:
gcloud iap settings set SETTING_FILE [--folder=FOLDER --organization=ORGANIZATION --project=/PROJECT --resource-type=RESOURCE_TYPE --service=SERVICE --version=VERSION
Dove si trova SETTING_FILE
:
accessSettings:
allowed_domains_settings:
enable: true
domains: ["*.example.com", "*.example.net"]
Sostituisci quanto segue:
- FOLDER: l'ID cartella.
- ORGANIZATION: l'ID organizzazione.
- PROJECT: l'ID progetto.
- RESOURCE_TYPE: il tipo di risorsa IAP. Deve essere
app-engine
,iap_web
,compute
,organization
ofolder
. - SERVICE: nome del servizio. Questa azione è facoltativa quando
resource-type
ècompute
oapp-engine
. - VERSION: il nome della versione. Non è applicabile per
compute
ed è facoltativa quandoresource-type
èapp-engine
.
API
Per configurare i domini consentiti, completa i seguenti passaggi. Per ulteriori informazioni sull'utilizzo dell'API per configurare i domini consentiti, vedi IapSettings.
- Esegui questo comando per preparare un file
iap_settings.json
. Aggiorna i valori in base alle esigenze.
{ "access_settings":{ "allowed_domains_settings":{ "enable": true "domains": [ "*.example.com", "*.exampe.net" ] } } }
- Ottieni il nome della risorsa eseguendo il comando
gcloud iap settings get
. Copia il campo del nome dall'output. Ti servirà nel passaggio successivo.
gcloud iap settings get [--organization=ORGANIZATION --folder=FOLDER --project=/PROJECT --resource-type=RESOURCE_TYPE --service=SERVICE --version=VERSION]
- Sostituisci
RESOURCE_NAME
nel comando seguente con il nome del passaggio precedente. IIapSettings
verranno aggiornati.
curl -X PATCH \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Accept: application/json" \ -H "Content-Type: application/json" \ -d @iap_settings.json \ "https://iap.googleapis.com/v1/RESOURCE_NAME:iapSettings?updateMask=iapSettings.accessSettings.allowedDomainsSettings.enable,iapSettings.accessSettings.allowedDomainsSettings.domains"
Risoluzione dei problemi
Problema di accesso ai domini consentiti
Se viene visualizzato il Codice di errore 53, chiedi a un amministratore IAP di aggiungere il nome host all'elenco dei domini consentiti.