Restringir o acesso a recursos a domínios específicos

Para melhorar a segurança geral, o IAP nega por padrão acesso a solicitações que não têm indicação de nome do servidor (SNI, na sigla em inglês) correspondente. Dessa forma, o IAP restringe o redirecionamento de URLs a domínios maliciosos. O recurso de domínios permitidos do IAP oferece uma camada extra de segurança para os recursos protegidos pelo IAP. Como proprietário de recursos ou administrador do IAP, é possível configurar o recurso de domínios permitidos para restringir o acesso a recursos protegidos pelo IAP para domínios específicos.

Também é possível configurar domínios permitidos do IAP nos seguintes cenários:

  • Seu navegador ou um proxy intermediário está forçando o pool de conexões:neste cenário, você recebe a resposta HTTP 429 e o código de erro 51. Para resolver o problema, um administrador do IAP pode atualizar a lista de domínios permitidos e incluir seu nome de host.
  • O nome do host fornecido não corresponde ao certificado SSL no servidor:nesse cenário, você recebe o código de erro 52. Para resolver o problema, um administrador do IAP pode atualizar a lista de domínios permitidos e incluir seu nome de host.

Configurar domínios permitidos

É possível usar a gcloud ou a API para definir as configurações de domínios permitidos. Para configurar domínios permitidos, use os seguintes campos:

  • enable: booleano. Ativa ou desativa o recurso de domínios permitidos.
  • Domains: string. Lista de domínios permitidos. Os domínios podem conter prefixos com caractere curinga, como *.example.com.. Os nomes de domínio não podem conter um caractere curinga diretamente em um sufixo público ou em um domínio de nível superior. Exemplo: *.com, *.co.in.

Para mais informações, consulte IapSettings.

Para configurar domínios permitidos do IAP, siga estas etapas:

Console

  1. Acesse a página do IAP.
    Acesse o Identity-Aware Proxy.
  2. Selecione um projeto e o recurso em que você quer ativar o recurso de domínios permitidos.
  3. Abra as Configurações do recurso. Em Domínios permitidos, selecione Ativar domínios permitidos.
  4. Especifique a lista de domínios permitidos e clique em Salvar.

gcloud

Veja a seguir alguns exemplos de comandos para especificar domínios permitidos.

Para mais informações, consulte gcloud iap settings set.

Execute este comando:

gcloud iap settings set SETTING_FILE [--folder=FOLDER --organization=ORGANIZATION --project=/PROJECT --resource-type=RESOURCE_TYPE --service=SERVICE --version=VERSION

Onde SETTING_FILE é:

accessSettings:
  allowed_domains_settings:
    enable: true
    domains: ["*.example.com", "*.example.net"]

Substitua:

  • FOLDER: o ID da pasta.
  • ORGANIZATION: o ID da organização.
  • PROJECT: o ID do projeto.
  • RESOURCE_TYPE: o tipo de recurso do IAP. Precisa ser app-engine, iap_web, compute, organization ou folder.
  • SERVICE: o nome do serviço. Isso é opcional quando resource-type é compute ou app-engine.
  • VERSION: o nome da versão. Isso não é aplicável para compute e é opcional quando resource-type é app-engine.

API

Para configurar domínios permitidos, siga as etapas abaixo. Para mais informações sobre como usar a API para configurar domínios permitidos, consulte IapSettings.

  1. Execute o comando a seguir para preparar um arquivo iap_settings.json. Atualize os valores conforme necessário.
 {
     "access_settings":{
         "allowed_domains_settings":{
             "enable": true
             "domains": [
                 "*.example.com",
                 "*.exampe.net"
             ]
         }
     }
 }
  1. Encontre o nome do recurso executando o comando gcloud iap settings get. Copie o campo de nome da saída. Você precisará desse nome na próxima etapa.
gcloud iap settings get [--organization=ORGANIZATION --folder=FOLDER --project=/PROJECT --resource-type=RESOURCE_TYPE --service=SERVICE --version=VERSION]
  1. Substitua RESOURCE_NAME no comando a seguir pelo nome da etapa anterior. A tabela IapSettings vai ser atualizada.
curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d @iap_settings.json \
"https://iap.googleapis.com/v1/RESOURCE_NAME:iapSettings?updateMask=iapSettings.accessSettings.allowedDomainsSettings.enable,iapSettings.accessSettings.allowedDomainsSettings.domains"

Solução de problemas

Problema com acesso aos domínios permitidos
Se você receber o código de erro 53, peça a um administrador do IAP para adicionar seu nome de host à lista de domínios permitidos.