Limita l'accesso alle risorse a domini specifici

Per migliorare la sicurezza generale, IAP nega per impostazione predefinita l'accesso alle richieste che non hanno un valore SNI (Server Name Indication) corrispondente. Ciò consente a IAP di limitare il reindirizzamento degli URL a domini dannosi. La funzionalità dei domini consentiti IAP fornisce un ulteriore livello di sicurezza per le risorse protette da IAP. Come proprietario della risorsa o amministratore IAP, puoi limitare l'accesso alle risorse protette con IAP a domini specifici configurando la funzionalità dei domini consentiti.

Puoi anche configurare i domini consentiti IAP nei seguenti scenari:

  • Il browser o un proxy intermedio sta forzando il pool di connessioni: in questo scenario, ricevi la risposta HTTP 429 e il codice di errore 51. Per risolvere il problema, un amministratore IAP può aggiornare l'elenco dei domini consentiti in modo da includere il tuo nome host.
  • Il nome host fornito non corrisponde al certificato SSL sul server: in questo scenario, riceverai il codice di errore 52. Per risolvere il problema, un amministratore IAP può aggiornare l'elenco dei domini consentiti in modo da includere il tuo nome host.

Configura domini consentiti

Puoi utilizzare gcloud o l'API per configurare le impostazioni dei domini consentiti. Per configurare i domini consentiti, utilizza i seguenti campi:

  • enable: valore booleano. Attiva o disattiva la funzionalità Domini consentiti.
  • Domains: stringa. L'elenco dei domini consentiti. I domini possono contenere prefissi di caratteri jolly, ad esempio *.example.com. I nomi di dominio non possono contenere un carattere jolly direttamente su un suffisso pubblico o in un dominio di primo livello. Esempio: *.com, *.co.in.

Per ulteriori informazioni, vedi IapSettings.

Per configurare i domini consentiti per IAP, completa i seguenti passaggi:

Console

  1. Vai alla pagina IAP.
    Vai a Identity-Aware Proxy.
  2. Seleziona un progetto, quindi la risorsa per cui vuoi abilitare la funzionalità dei domini consentiti.
  3. Apri le Impostazioni della risorsa. In Domini consentiti, seleziona Abilita domini consentiti.
  4. Specifica l'elenco dei domini consentiti e fai clic su Salva.

gcloud

Di seguito sono riportati alcuni comandi di esempio per specificare i domini consentiti.

Per saperne di più, visita gcloud iap settings set.

Esegui questo comando:

gcloud iap settings set SETTING_FILE [--folder=FOLDER --organization=ORGANIZATION --project=/PROJECT --resource-type=RESOURCE_TYPE --service=SERVICE --version=VERSION

Dove si trova SETTING_FILE:

accessSettings:
  allowed_domains_settings:
    enable: true
    domains: ["*.example.com", "*.example.net"]

Sostituisci quanto segue:

  • FOLDER: l'ID cartella.
  • ORGANIZATION: l'ID organizzazione.
  • PROJECT: l'ID progetto.
  • RESOURCE_TYPE: il tipo di risorsa IAP. Deve essere app-engine, iap_web, compute, organization o folder.
  • SERVICE: nome del servizio. Questa azione è facoltativa quando resource-type è compute o app-engine.
  • VERSION: il nome della versione. Non è applicabile per compute ed è facoltativa quando resource-type è app-engine.

API

Per configurare i domini consentiti, completa i seguenti passaggi. Per ulteriori informazioni sull'utilizzo dell'API per configurare i domini consentiti, vedi IapSettings.

  1. Esegui questo comando per preparare un file iap_settings.json. Aggiorna i valori in base alle esigenze.
 {
     "access_settings":{
         "allowed_domains_settings":{
             "enable": true
             "domains": [
                 "*.example.com",
                 "*.exampe.net"
             ]
         }
     }
 }
  1. Ottieni il nome della risorsa eseguendo il comando gcloud iap settings get. Copia il campo del nome dall'output. Ti servirà nel passaggio successivo.
gcloud iap settings get [--organization=ORGANIZATION --folder=FOLDER --project=/PROJECT --resource-type=RESOURCE_TYPE --service=SERVICE --version=VERSION]
  1. Sostituisci RESOURCE_NAME nel comando seguente con il nome del passaggio precedente. I IapSettings verranno aggiornati.
curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d @iap_settings.json \
"https://iap.googleapis.com/v1/RESOURCE_NAME:iapSettings?updateMask=iapSettings.accessSettings.allowedDomainsSettings.enable,iapSettings.accessSettings.allowedDomainsSettings.domains"

Risoluzione dei problemi

Problema di accesso ai domini consentiti
Se viene visualizzato il Codice di errore 53, chiedi a un amministratore IAP di aggiungere il nome host all'elenco dei domini consentiti.