Présentation d'IAP pour les applications sur site

Identity-Aware Proxy (IAP) vous permet de gérer l'accès aux applications HTTP en dehors de Google Cloud. Cela inclut les applications sur site dans les centres de données de votre entreprise.

Pour savoir comment sécuriser des applications sur site avec IAP, consultez la page Configurer IAP pour les applications sur site.

Présentation

IAP cible les applications sur site avec le connecteur IAP. Ce modèle Cloud Deployment Manager configurable crée les ressources nécessaires pour héberger et déployer le connecteur IAP dans un projet Google Cloud activé pour IAP, en transférant les requêtes authentifiées et autorisées aux applications sur site.

Le modèle configurable Cloud Deployment Manager crée les ressources suivantes :

Un déploiement peut avoir plusieurs services d'arrière-plan Compute Engine créés par Ambassador qui s'exécutent derrière un équilibreur de charge HTTP(S) externe. Chaque service de backend est mappé à une application individuelle sur site.

Une fois le connecteur IAP déployé, IAP sécurise votre application avec des stratégies d'accès Identity and Access Management (IAM) basées sur le contexte et l'identité. Étant donné qu'une stratégie d'accès IAM est configurée au niveau des ressources du service de backend, vous pouvez avoir différentes listes de contrôle d'accès pour chacune de vos applications sur site. Cela signifie qu'un seul projet Google Cloud est nécessaire pour gérer l'accès à plusieurs applications sur site.

Fonctionnement d'IAP pour les applications sur site

Lorsqu'un utilisateur envoie une requête à une application hébergée sur Google Cloud, IAP authentifie et autorise cette requête. Il accorde ensuite à l'utilisateur l'accès à l'application Google Cloud.

Lorsqu'un utilisateur envoie une requête à une application sur site, IAP authentifie et autorise cette requête. Il achemine ensuite la requête vers le connecteur IAP, lequel la transfère via une connexion de site à site établie via Cloud Interconnect de Google Cloud au réseau sur site.

Le schéma suivant illustre le flux de trafic de haut niveau d'une requête Web pour une application Google Cloud (app1) et une application sur site (app2).

Règles de routage

Lors de la configuration d'un déploiement de connecteur IAP, vous devez configurer les règles de routage. Ces règles acheminent les requêtes Web authentifiées et autorisées arrivant à votre point d'entrée de nom d'hôte DNS vers le nom d'hôte DNS correspondant à la destination.

Vous trouverez ci-dessous un exemple de paramètres routing définis pour un modèle Deployment Manager de connecteur IAP.

   routing:
     - name: hr
       mapping:
        - name: host
          source: www.hr-domain.com
          destination: hr-internal.domain.com
        - name: sub
          source: sheets.hr-domain.com
          destination: sheets.hr-internal.domain.com
     - name: finance
       mapping:
        - name: host
          source: www.finance-domain.com
          destination: finance-internal.domain.com
  • Chaque nom routing correspond à une nouvelle ressource de service de backend Compute Engine créée par Ambassador.
  • Le paramètre mapping spécifie une liste de règles de routage Ambassador pour un service de backend.
  • L'élément source d'une règle de routage est mappé avec un élément destination, où source est l'URL des requêtes provenant de Google Cloud, et destination est l'URL de votre application sur site vers laquelle IAP achemine le trafic après l'autorisation et l'authentification de l'utilisateur.

Le tableau suivant présente des exemples de règles permettant d'acheminer les requêtes entrantes de www.hr-domain.com vers hr-internal.domain.com :

Service de backend Compute Engine Nom de la règle de routage Source Destination
hr hr-host www.hr-domain.com hr-internal.domain.com
hr-sub sheets.hr-domain.com sheets.hr-internal.domain.com
finance finance-host www.finance-domain.com finance-internal.domain.com

Étape suivante