Zur Verbesserung der Gesamtsicherheit verweigert IAP standardmäßig den Zugriff auf -Anfragen ohne passende Server Name Indication (SNI). IAP prüft auch die SNI des Load-Balancer-Zertifikats. Dadurch können Sie IAP, um die URL-Weiterleitung auf schädliche Domains zu beschränken. Die Feature für zulässige IAP-Domains bietet zusätzliche Sicherheit für Ihre IAP-geschützten Ressourcen. Als Ressourceninhaber oder IAP-Administrator können Sie den Zugriff IAP-geschützte Ressourcen in bestimmten Domains durch Konfigurieren die Funktion „Zugelassene Domains“.
In den folgenden Szenarien können Sie auch zugelassene IAP-Domains konfigurieren:
- Ihr Browser oder ein Zwischenproxy erzwingt das Verbindungs-Pooling:In diesem Szenario erhalten Sie die HTTP-Antwort 429 und den Fehlercode
51
. Um das Problem zu beheben, kann ein IAP-Administrator die Liste der zulässigen Domains so aktualisieren, dass sie Ihren Hostnamen enthält. - Der angegebene Hostname stimmt nicht mit dem SSL-Zertifikat auf dem Server überein:In diesem Szenario wird der Fehlercode
52
angezeigt. Um das Problem zu beheben, kann ein IAP-Administrator die Liste der zulässigen Domains so aktualisieren, dass sie Ihren Hostnamen enthält.
Zulässige Domains konfigurieren
Sie können die Einstellungen für zulässige Domains mit gcloud oder der API konfigurieren. Verwenden Sie die folgenden Felder, um zulässige Domains zu konfigurieren:
enable
: Boolesch. Aktiviert oder deaktiviert die Funktion für zugelassene Domains.Domains
: String. Die Liste der zulässigen Domains. Die Domains können Platzhalterpräfixe enthalten, z. B.*.example.com.
. Domainnamen dürfen keinen Platzhalter direkt in einem öffentlichen Suffix oder auf einer Top-Level-Domain enthalten. Beispiel:*.com
,*.co.in
.
Weitere Informationen finden Sie unter IapSettings.
Führen Sie die folgenden Schritte aus, um zugelassene IAP-Domains zu konfigurieren:
Console
- Rufen Sie die Seite IAP auf.
Rufen Sie „Identity-Aware Proxy“ auf. - Wählen Sie ein Projekt und dann die Ressource aus, für die Sie die Funktion „Zulässige Domains“ aktivieren möchten.
- Öffnen Sie die Einstellungen für die Ressource. Wählen Sie unter Zugelassene Domains die Option Zugelassene Domains aktivieren aus.
- Geben Sie die Liste der zulässigen Domains an und klicken Sie auf Speichern.
gcloud
Im Folgenden finden Sie einige Beispielbefehle zur Angabe zulässiger Domains.
Weitere Informationen finden Sie unter gcloud iap settings set
.
Führen Sie dazu diesen Befehl aus:
gcloud iap settings set SETTING_FILE --folder=FOLDER --organization=ORGANIZATION --project=PROJECT --resource-type=RESOURCE_TYPE --service=SERVICE --version=VERSION
Wo SETTING_FILE
Folgendes ist:
accessSettings:
allowed_domains_settings:
enable: true
domains: ["*.example.com", "*.example.net"]
Ersetzen Sie Folgendes:
- FOLDER: Die Ordner-ID.
- ORGANIZATION: Die Organisations-ID.
- PROJECT: die Projekt-ID
- RESOURCE_TYPE: Der IAP-Ressourcentyp. Muss
app-engine
,iap_web
,compute
,organization
oderfolder
sein. - SERVICE: Der Dienstname. Dies ist optional, wenn
resource-type
den Wertcompute
oderapp-engine
hat. - VERSION: Der Versionsname. Dies gilt nicht für
compute
und ist optional, wennresource-type
den Wertapp-engine
hat.
API
Führen Sie die folgenden Schritte aus, um zulässige Domains zu konfigurieren. Weitere Informationen zur Verwendung der API zum Konfigurieren zulässiger Domains finden Sie unter IapSettings.
- Führen Sie den folgenden Befehl aus, um eine
iap_settings.json
-Datei vorzubereiten. Aktualisieren Sie die Werte nach Bedarf.
{ "access_settings":{ "allowed_domains_settings":{ "enable": true "domains": [ "*.example.com", "*.exampe.net" ] } } }
- Rufen Sie den Ressourcennamen mit dem Befehl
gcloud iap settings get
ab. Kopieren Sie das Namensfeld aus der Ausgabe. Sie benötigen den Namen im nächsten Schritt.
gcloud iap settings get --organization=ORGANIZATION --folder=FOLDER --project=PROJECT --resource-type=RESOURCE_TYPE --service=SERVICE --version=VERSION
- Ersetzen Sie
RESOURCE_NAME
im folgenden Befehl durch den Namen aus dem vorherigen Schritt. DieIapSettings
wird aktualisiert.
curl -X PATCH \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Accept: application/json" \ -H "Content-Type: application/json" \ -d @iap_settings.json \ "https://iap.googleapis.com/v1/RESOURCE_NAME:iapSettings?updateMask=iapSettings.accessSettings.allowedDomainsSettings.enable,iapSettings.accessSettings.allowedDomainsSettings.domains"
Fehlerbehebung
Problem beim Zugriff auf zulässige Domains
Wenn Sie den Fehlercode 53 erhalten, bitten Sie einen IAP-Administrator, Ihren Hostnamen in die Liste der zulässigen Domains aufzunehmen.