Présentation d'IAP pour les applications sur site

Identity-Aware Proxy (IAP) vous permet de gérer l'accès aux applications HTTP en dehors de Google Cloud. Cela inclut les applications sur site dans les centres de données de votre entreprise.

Pour savoir comment sécuriser des applications sur site avec IAP, consultez la page Configurer IAP pour les applications sur site.

Introduction

IAP cible les applications sur site à l'aide du connecteur IAP sur site. Le connecteur sur site utilise un modèle Cloud Deployment Manager pour créer les ressources nécessaires à l'hébergement et au déploiement du connecteur IAP sur site dans un projet Google Cloud compatible avec IAP, en transférant les requêtes authentifiées et autorisées aux applications sur site.

Le connecteur sur site crée les ressources suivantes:

Un déploiement peut comporter plusieurs services de backend Traffic Director qui s'exécutent derrière un équilibreur de charge d'application externe. Chaque service de backend est mappé à une application individuelle sur site.

Lorsque le connecteur IAP sur site est déployé et qu'IAP est activé pour le nouveau service de backend de connecteur sur site, IAP sécurise votre application à l'aide de stratégies d'accès IAM (Identity and Access Management) basées sur le contexte et l'identité. Étant donné qu'une stratégie d'accès IAM est configurée au niveau des ressources du service de backend, vous pouvez avoir différentes listes de contrôle d'accès pour chacune de vos applications sur site. Cela signifie qu'un seul projet Google Cloud est nécessaire pour gérer l'accès à plusieurs applications sur site.

Fonctionnement d'IAP pour les applications sur site

Lorsqu'un utilisateur envoie une requête à une application hébergée sur Google Cloud, IAP authentifie et autorise cette requête. Il accorde ensuite à l'utilisateur l'accès à l'application Google Cloud.

Lorsqu'un utilisateur envoie une requête à une application sur site, IAP authentifie et autorise cette requête. Il achemine ensuite la requête vers le connecteur IAP sur site. Le connecteur IAP sur site transmet la requête au réseau sur site via un groupe de points de terminaison du réseau de connectivité hybride depuis Google Cloud.

Le schéma suivant illustre le flux de trafic de haut niveau d'une requête Web pour une application Google Cloud (app1) et une application sur site (app2).

Règles de routage

Lors de la configuration d'un déploiement de connecteur IAP, vous devez configurer les règles de routage. Ces règles acheminent les requêtes Web authentifiées et autorisées arrivant à votre point d'entrée de nom d'hôte DNS vers le nom d'hôte DNS correspondant à la destination.

Vous trouverez ci-dessous un exemple de paramètres routing définis pour un modèle Deployment Manager de connecteur IAP.

   routing:
     - name: hr
       mapping:
        - name: host
          source: www.hr-domain.com
          destination: hr-internal.domain.com
        - name: sub
          source: sheets.hr-domain.com
          destination: sheets.hr-internal.domain.com
     - name: finance
       mapping:
        - name: host
          source: www.finance-domain.com
          destination: finance-internal.domain.com
  • Chaque nom routing correspond à une nouvelle ressource de service de backend Compute Engine créée par Ambassador.
  • Le paramètre mapping spécifie une liste de règles de routage Ambassador pour un service de backend.
  • L'élément source d'une règle de routage est mappé avec un élément destination, où source est l'URL des requêtes provenant de Google Cloud, et destination est l'URL de votre application sur site vers laquelle IAP achemine le trafic après l'autorisation et l'authentification de l'utilisateur.

Le tableau suivant présente des exemples de règles permettant d'acheminer les requêtes entrantes de www.hr-domain.com vers hr-internal.domain.com :

Service de backend Compute Engine Nom de la règle de routage Source Destination
hr hr-host www.hr-domain.com hr-internal.domain.com
hr-sub sheets.hr-domain.com sheets.hr-internal.domain.com
finance finance-host www.finance-domain.com finance-internal.domain.com

Étapes suivantes