Limitare l'accesso alle risorse a domini specifici

Per migliorare la sicurezza complessiva, per impostazione predefinita l'IAP nega l'accesso alle richieste che non hanno un'indicazione nome server (SNI) corrispondente. IAP controlla anche l'SNI del certificato del bilanciatore del carico. In questo modo, IAP può limitare il reindirizzamento degli URL ai domini dannosi. La funzionalità dei domini consentiti IAP fornisce un livello di sicurezza aggiuntivo per le risorse protette da IAP. In qualità di proprietario della risorsa o amministratore IAP, puoi limitare l'accesso alle risorse protette da IAP a domini specifici configurando la funzionalità dei domini consentiti.

Puoi anche configurare i domini consentiti per IAP-app nei seguenti scenari:

  • Il browser o un proxy intermedio forza il pooling delle connessioni: in questo caso, ricevi la risposta HTTP 429 e il codice di errore 51. Per risolvere il problema, un amministratore IAP può aggiornare l'elenco dei domini consentiti in modo da includere il nome host.
  • Il nome host fornito non corrisponde al certificato SSL sul server: in questo caso, viene visualizzato il codice di errore 52. Per risolvere il problema, un amministratore IAP può aggiornare l'elenco dei domini consentiti in modo da includere il nome host.

Configurare i domini consentiti

Puoi utilizzare gcloud o l'API per configurare le impostazioni dei domini consentiti. Per configurare i domini consentiti, utilizza i seguenti campi:

  • enable: booleano. Attiva o disattiva la funzionalità dei domini consentiti.
  • Domains: stringa. L'elenco dei domini consentiti. I domini possono contenere prefissi jolly, ad esempio *.example.com.. I nomi di dominio non possono contenere un carattere jolly direttamente su un suffisso pubblico o su un dominio di primo livello. Esempio: *.com, *.co.in.

Per ulteriori informazioni, consulta IapSettings.

Per configurare i domini consentiti per l'IAP:

Console

  1. Vai alla pagina IAP.
    Vai a Identity-Aware Proxy.
  2. Seleziona un progetto e poi la risorsa su cui vuoi attivare la funzionalità dei domini consentiti.
  3. Apri le Impostazioni della risorsa. In Domini consentiti, seleziona Attiva domini consentiti.
  4. Specifica l'elenco dei domini consentiti e fai clic su Salva.

gcloud

Di seguito sono riportati alcuni esempi di comandi per specificare i domini consentiti.

Per ulteriori informazioni, vedi gcloud iap settings set.

Esegui questo comando:

gcloud iap settings set SETTING_FILE --folder=FOLDER --organization=ORGANIZATION --project=PROJECT --resource-type=RESOURCE_TYPE --service=SERVICE --version=VERSION

Dove SETTING_FILE è:

accessSettings:
  allowed_domains_settings:
    enable: true
    domains: ["*.example.com", "*.example.net"]

Sostituisci quanto segue:

  • FOLDER: l'ID cartella.
  • ORGANIZATION: l'ID organizzazione.
  • PROJECT: l'ID progetto.
  • RESOURCE_TYPE: il tipo di risorsa IAP. Deve essere app-engine, iap_web, compute, organization o folder.
  • SERVICE: il nome del servizio. Questa opzione è facoltativa quando resource-type è compute o app-engine.
  • VERSION: il nome della versione. Questo valore non è applicabile per compute ed è facoltativo quando resource-type è app-engine.

API

Per configurare i domini consentiti, completa i seguenti passaggi. Per ulteriori informazioni sull'utilizzo dell'API per configurare i domini consentiti, consulta IapSettings.

  1. Esegui il comando seguente per preparare un file iap_settings.json. Aggiorna i valori in base alle esigenze.
 {
     "access_settings":{
         "allowed_domains_settings":{
             "enable": true
             "domains": [
                 "*.example.com",
                 "*.exampe.net"
             ]
         }
     }
 }
  1. Ottieni il nome della risorsa eseguendo il comando gcloud iap settings get. Copia il campo del nome dall'output. Ti servirà nel passaggio successivo.
gcloud iap settings get --organization=ORGANIZATION --folder=FOLDER --project=PROJECT --resource-type=RESOURCE_TYPE --service=SERVICE --version=VERSION
  1. Sostituisci RESOURCE_NAME nel seguente comando con il nome del passaggio precedente. IapSettings verrà aggiornato.
curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d @iap_settings.json \
"https://iap.googleapis.com/v1/RESOURCE_NAME:iapSettings?updateMask=iapSettings.accessSettings.allowedDomainsSettings.enable,iapSettings.accessSettings.allowedDomainsSettings.domains"

Risoluzione dei problemi

Problema di accesso ai domini consentiti
Se ricevi il codice di errore 53, chiedi a un amministratore IAP di aggiungere il tuo nome host all'elenco dei domini consentiti.