Sicherer Zugriff auf private Webanwendungen

In diesem Dokument wird beschrieben, wie Sie ein sicheres Gateway für Chrome Enterprise Premium einrichten, um den Zugriff auf Ihre privaten Webanwendungen zu schützen.

Ein sicheres Gateway für Chrome Enterprise Premium fungiert als Forward-Proxy, der ein Zero-Trust-Zugriffsframework erzwingt und eine detaillierte, kontextsensitive Steuerung des Zugriffs auf Ihre privaten Webanwendungen ermöglicht.

So funktioniert die Sicherung des Zugriffs auf private Webanwendungen

Durch die Einrichtung eines sicheren Tunnels und die Durchsetzung von Richtlinien für den kontextsensitiven Zugriff sorgt das Secure Gateway dafür, dass private Anwendungen privat bleiben und vor dem öffentlichen Internet geschützt sind. Eine clientseitige Browserkonfiguration leitet den Traffic für diese Anwendungen über den Proxy-Endpunkt des sicheren Gateways. Das sichere Gateway wendet dann die entsprechende Zugriffsrichtlinie an und leitet die Anfrage, sofern zulässig, an die Zielanwendung weiter.

Das sichere Gateway kann zum Schutz privater Webanwendungen beitragen, die in den folgenden Umgebungen gehostet werden:

  • Google Cloud -Projekt: Das sichere Gateway kann den direkten Zugriff auf Anwendungen ermöglichen, die in Ihrem Google Cloud VPC-Netzwerk ausgeführt werden.

  • Nicht-Google Cloud (lokale Rechenzentren oder andere Clouds): Sie müssen zuerst eine Verbindung zwischen Ihrem privaten VPC-Netzwerk aufGoogle Cloud und dem Nicht-Google Cloud -Netzwerk herstellen. Dies geschieht in der Regel über Cloud VPN oder Cloud Interconnect. Das sichere Gateway verwendet dann die Verbindung, um den Traffic an Ihr privates VPC-Netzwerk zu senden, das ihn wiederum an die Nicht-Google Cloud -Umgebung weiterleitet.

Erforderliche Rollen

Bitten Sie Ihren Administrator, die folgenden Rollen zuzuweisen:

Weitere Informationen zu IAM-Rollen (Identity and Access Management)

Hinweis

Bevor Sie das sichere Gateway einrichten, müssen Sie Folgendes haben:

Shell-Umgebung einrichten

Um die Einrichtung zu vereinfachen und mit den APIs der sicheren Gateways zu interagieren, definieren Sie die folgenden Umgebungsvariablen in Ihrer Arbeits-Shell.

  • Allgemeine Parameter 
    PROJECT_ID=PROJECT_ID

    Ersetzen Sie Folgendes:

    • PROJECT_ID: Die ID des Projekts, in dem das sichere Gateway erstellt wird.
  • Parameter für das sichere Gateway 
    SECURITY_GATEWAY_ID=SECURITY_GATEWAY_ID
SECURITY_GATEWAY_DISPLAY_NAME="SECURITY_GATEWAY_DISPLAY_NAME"

    Ersetzen Sie Folgendes:

    • SECURITY_GATEWAY_ID: Die ID des sicheren Gateways, das Sie erstellen möchten. Die ID darf maximal 63 Zeichen lang sein und kann Kleinbuchstaben, Ziffern und Bindestriche enthalten. Das erste Zeichen muss ein Buchstabe sein und das letzte Zeichen kann ein Buchstabe oder eine Ziffer sein.
    • SECURITY_GATEWAY_DISPLAY_NAME: Der für Menschen lesbare Name des sicheren Gateways. Der Name kann bis zu 63 Zeichen lang sein und druckbare Zeichen enthalten.

Sicheres Gateway erstellen

Ein sicheres Gateway von Chrome Enterprise Premium ist ein grundlegender Baustein für die Herstellung sicherer Verbindungen zu Ihren Anwendungen.

Console

So erstellen Sie ein sicheres Gateway:

  1. Rufen Sie in der Google Cloud Console die Seite Secure Gateway auf.
    Zum sicheren Gateway
  2. Wählen Sie das Projekt aus, für das Sie das sichere Gateway erstellen möchten.
  3. Klicken Sie zum Erstellen eines sicheren Gateways auf Neues Gateway erstellen und warten Sie, bis der Vorgang abgeschlossen ist. Sie können den Fortschritt im Bereich Benachrichtigungen der Google Cloud Console verfolgen.

gcloud

Führen Sie den folgenden Befehl aus, um ein sicheres Gateway mit gcloud zu erstellen:

gcloud beyondcorp security-gateways create SECURITY_GATEWAY_ID \
    --project=PROJECT_ID \
    --location=global \
    --display-name="SECURITY_GATEWAY_DISPLAY_NAME" \
    --service-discovery={}

REST

Führen Sie den folgenden Befehl aus, um ein sicheres Gateway mit der REST API zu erstellen:

curl \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json" \
    -X POST \
    -d '{ "display_name": "SECURITY_GATEWAY_DISPLAY_NAME", "service_discovery": {} }' \
    "https://beyondcorp.googleapis.com/v1/projects/PROJECT_ID/locations/global/securityGateways?security_gateway_id=SECURITY_GATEWAY_ID"

Private Webanwendung konfigurieren

Bevor Sie bestimmte Anwendungsressourcen im sicheren Gateway definieren können, müssen Sie die erforderlichen Berechtigungen und Netzwerkeinstellungen konfigurieren, um die Konnektivität und das richtige Routing zu ermöglichen.

Berechtigungen für das Dienstkonto gewähren

Damit Traffic erfolgreich an Ihr VPC-Netzwerk gesendet werden kann, benötigt das sichere Gateway bestimmte IAM-Berechtigungen, die seinem delegierenden Dienstkonto gewährt werden. Dadurch kann das sichere Gateway auf Ihre privaten Anwendungen zugreifen, unabhängig davon, ob sie in einer Google Cloud VPC oder in einer Nicht-Google Cloud -Umgebung gehostet werden, die über Cloud VPN oder Cloud Interconnect verbunden ist.

So gewähren Sie dem Dienstkonto Berechtigungen:

  1. Rufen Sie die Details Ihres sicheren Gateways auf, um die E-Mail-Adresse des delegierenden Dienstkontos zu ermitteln. Die E-Mail-Adresse befindet sich im Feld delegatingServiceAccount der Antwort.

    gcloud

    gcloud beyondcorp security-gateways describe SECURITY_GATEWAY_ID \
    --project=PROJECT_ID \
    --location=global

    REST

    curl \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json" \
    "https://beyondcorp.googleapis.com/v1/projects/PROJECT_ID/locations/global/securityGateways/SECURITY_GATEWAY_ID"
  2. Legen Sie Umgebungsvariablen für das Dienstkonto und Ihr Ziel-VPC-Projekt fest. Mit dem folgenden Befehl können Sie die E-Mail-Adresse des Dienstkontos abrufen: 
    DELEGATING_SERVICE_ACCOUNT=`gcloud beyondcorp security-gateways describe SECURITY_GATEWAY_ID --project=PROJECT_ID --location=global --format="value(delegatingServiceAccount)"`
  3. Weisen Sie dem delegierenden Dienstkonto in Ihrem privaten VPC-Projekt die IAM-Rolle roles/beyondcorp.upstreamAccess zu. 
    gcloud projects add-iam-policy-binding PRIVATE_VPC_PROJECT_ID \
    --role=roles/beyondcorp.upstreamAccess \
    --member=serviceAccount:DELEGATING_SERVICE_ACCOUNT
    Ersetzen Sie PRIVATE_VPC_PROJECT_ID durch die Projekt-ID des VPC-Netzwerk, in dem die private Web-App bereitgestellt wird oder in dem Cloud VPN/Interconnect konfiguriert ist.

Es kann etwa zwei Minuten dauern, bis die IAM-Richtlinie (Identity and Access Management) wirksam wird, nachdem Sie die Rolle zugewiesen haben.

Netzwerkrouting und Firewallregeln konfigurieren

Damit Traffic vom sicheren Gateway Ihre privaten Webanwendungen erreichen kann, müssen Sie Firewallregeln, Netzwerkrouting und DNS-Einstellungen konfigurieren.

Firewallregeln für Anwendungen in Google Cloud

Wenn Ihre private Webanwendung in Ihrem Google Cloud VPC-Netzwerk gehostet wird, z. B. auf einer Compute Engine-VM, einem Google Kubernetes Engine-Dienst mit einer internen IP-Adresse oder hinter einem internen TCP/UDP-Load-Balancer, konfigurieren SieGoogle Cloud VPC-Firewallregeln. Dadurch wird eingehender TCP-Traffic aus dem IP-Bereich des sicheren Gateways 136.124.16.0/20 zugelassen.

gcloud

Führen Sie den folgenden Befehl aus, um eine Firewallregel mit gcloud zu erstellen:

gcloud compute firewall-rules create FIREWALL_RULE_NAME \
   --project=PRIVATE_VPC_PROJECT_ID \
   --network=NETWORK_NAME \
   --allow=tcp \
   --source-ranges=136.124.16.0/20

Ersetzen Sie Folgendes:

  • FIREWALL_RULE_NAME: Ein Name für Ihre Firewallregel.
  • PRIVATE_VPC_PROJECT_ID: Die ID des Projekts, in dem Ihr VPC-Netzwerk gehostet wird.
  • NETWORK_NAME: Der Name des VPC-Netzwerk, in dem Ihre Anwendung gehostet wird.

Firewallregeln für Anwendungen in Nicht-Google Cloud -Umgebungen

Wenn sich Ihre private Webanwendung in einem lokalen Rechenzentrum oder im Netzwerk eines anderen Cloud-Anbieters befindet und über Cloud VPN oder Cloud Interconnect mit Ihrer Google Cloud-VPC verbunden ist, konfigurieren Sie Firewallregeln in Ihrer lokalen Firewall oder den entsprechenden Netzwerksicherheitskontrollen, z. B. Sicherheitsgruppen und Netzwerk-ACLs, in der anderen Cloud-Umgebung. Dadurch wird eingehender TCP-Traffic aus dem IP-Bereich des sicheren Gateways 136.124.16.0/20 zugelassen.

Routing von Nicht-Google Cloud -Umgebungen zu einem sicheren Gateway konfigurieren

Damit die bidirektionale Kommunikation für private Anwendungen, die in Nicht-Google Cloud -Umgebungen wie lokalen oder anderen Clouds gehostet werden, möglich ist, muss in Ihrem externen Netzwerk ein Rückgabepfad zum folgenden sicheren Gateway-IP-Bereich erstellt werden: 136.124.16.0/20.

Prüfen Sie, ob Ihr privates Netzwerk die IP-Bereiche des sicheren Gateways über Ihr Cloud VPN oder Cloud Interconnect erreichen kann:

  • Dynamisches Routing: Wenn Sie dynamisches Routing wie das Border Gateway Protocol (BGP) mit Cloud Router verwenden, prüfen Sie, ob Ihr Cloud Router in Google Cloud sichere Gateway-IP-Bereiche explizit für Ihr lokales BGP-Gerät bewirbt. Obwohl BGP viele Routen dynamisch austauscht, müssen die IP-Bereiche des sicheren Gateways explizit beworben werden.

    gcloud

    Führen Sie den folgenden Befehl aus, um zu prüfen, ob der Quellbereich beworben wird:

    gcloud compute routers list-bgp-routes ROUTER_NAME \
--peer=PEER_NAME \
--region=REGION \
--project=PROJECT_ID \
--route-direction=OUTBOUND \
--address-family=IPV4 \
--destination-range=136.124.16.0/20

    Ersetzen Sie Folgendes:

    • ROUTER_NAME: Der Name Ihres Cloud Router.
    • PEER_NAME: Der Name Ihres BGP-Peers.
    • REGION: Die Region, in der sich Ihr Router befindet.
    • PROJECT_ID: Die ID des Projekts, das den Router enthält.

  • Statisches Routing: Wenn Sie statische Routen verwenden, müssen Sie Routen für jeden der IP-Bereiche des sicheren Gateways manuell auf Ihren lokalen Netzwerkgeräten wie Router oder Firewall hinzufügen. In diesen statischen Routen muss angegeben werden, dass Traffic, der für die IP-Bereiche des sicheren Gateways bestimmt ist, über die Cloud VPN- oder Cloud Interconnect-Verbindung gesendet werden muss.

    Wenn Sie statisches Routing verwenden, muss sich Cloud VPN in einer der folgenden unterstützten Regionen befinden:

    • africa-south1
    • asia-east1
    • asia-south1
    • asia-south2
    • asia-southeast1
    • europe-central2
    • europe-north1
    • europe-southwest1
    • europe-west1
    • europe-west2
    • europe-west3
    • europe-west4
    • europe-west8
    • europe-west9
    • northamerica-northeast1
    • northamerica-northeast2
    • northamerica-south1
    • southamerica-east1
    • southamerica-west1
    • us-central1
    • us-east1
    • us-east4
    • us-east5
    • us-west1

DNS-Konfiguration für die Auflösung privater Hostnamen für Secure Gateway

Damit das sichere Gateway Ihre privaten Anwendungs-Hostnamen auflösen kann, muss IhrGoogle Cloud VPC-Netzwerk die Hostnamen mit Cloud DNS auflösen können. Die spezifische Cloud DNS-Konfiguration hängt davon ab, wo Ihre privaten DNS-Einträge autoritativ gehostet werden:

  • Anwendungen in Google Cloud mit privaten Cloud DNS-Zonen: Wenn Ihre privaten Anwendungen in Google Cloud gehostet werden und ihre DNS-Einträge in privaten Cloud DNS-Zonen verwaltet werden, die mit Ihrem VPC-Netzwerk verknüpft sind, prüfen Sie, ob die Zonen richtig konfiguriert und zugänglich sind. Das sichere Gateway nutzt die vorhandenen Cloud DNS-Auflösungsfunktionen Ihrer VPC.

  • Anwendungen in Nicht-Google Cloud -Umgebungen oder mit externen DNS-Servern: Wenn sich Ihre privaten Anwendungen in Nicht-Google Cloud-Umgebungen (lokal oder in anderen Clouds) befinden oder ihre DNS-Einträge von DNS-Servern außerhalb der privaten Zonen von Cloud DNS Ihrer VPC verwaltet werden, müssen Sie Cloud DNS so konfigurieren, dass Anfragen für diese privaten Domains weitergeleitet werden. Dazu müssen Sie in der Regel Cloud DNS-Weiterleitungszonen in Ihrer VPC erstellen. Diese Zonen leiten DNS-Abfragen für Ihre angegebenen privaten Domains an Ihre autoritativen privaten DNS-Server weiter, z. B. lokal oder in anderen Clouds.

Eine ausführliche Anleitung zur DNS-Konfiguration finden Sie unter Weiterleitungszone erstellen.

Anwendungsressource erstellen

Wenn Sie Zugriff auf eine private Webanwendung gewähren möchten, müssen Sie die Anwendung im Secure Gateway-Framework einrichten, indem Sie eine Anwendungsressource erstellen. Diese Ressource definiert, wie das Secure Gateway Traffic für Ihre Anwendung (basierend auf dem Hostnamen) identifiziert und wohin dieser Traffic weitergeleitet wird.

  1. Legen Sie die erforderlichen Umgebungsvariablen mit dem folgenden Befehl fest: 
       APPLICATION_ID=APPLICATION_ID
   APP_DISPLAY_NAME="APP_DISPLAY_NAME"
   HOST_NAME=HOST_NAME
   PRIVATE_NETWORK_RESOURCE_NAME=PRIVATE_NETWORK_RESOURCE_NAME
    Ersetzen Sie Folgendes:
    • APPLICATION_ID: Eine eindeutige ID für die Anwendungsressource.
    • APP_DISPLAY_NAME: Der für Menschen lesbare Name, der angezeigt werden soll.
    • HOST_NAME: Der primäre Hostname, auf den Nutzer zugreifen (z. B. private.local).
    • PRIVATE_NETWORK_RESOURCE_NAME: Der vollständige Ressourcenname des VPC-Netzwerk, z. B. projects/my-project/global/networks/my-network.
  2. Erstellen Sie die Anwendungsressource.

    Console

    So erstellen Sie die Anwendungsressource mit der Google Cloud Console:

    1. Rufen Sie in der Google Cloud Console die Seite Secure Gateway auf.
      Zum sicheren Gateway
    2. Klicken Sie auf Anwendung hinzufügen, um eine Anwendung hinzuzufügen.
    3. Wählen Sie den Anwendungstyp Private Anwendung aus.
    4. Geben Sie die Antragsdetails ein:
      • Anwendungsname: Geben Sie einen Namen ein, z. B. GitHub.
      • Domain-Matcher: Geben Sie eine durch Kommas getrennte Liste von Domainmustern ein, die über das sichere Gateway geleitet werden sollen. Geben Sie den Port im Format domain:port an. Platzhalter (*) sind zulässig. Beispiel: github.com:443.
    5. VPC-Netzwerk konfigurieren:
      • Im aktuellen Projekt: Wenn sich Ihr VPC-Netzwerk im aktuellen Projekt befindet, wählen Sie es aus dem Drop-down-Menü aus.
      • In einem anderen Projekt: Wenn sich Ihr VPC-Netzwerk in einem anderen Google Cloud Projekt befindet, geben Sie den vollständigen Ressourcennamen des VPC-Netzwerks an, z. B. projects/my-project/global/networks/my-network.
    6. Optional: Egress-Richtlinie definieren: Wählen Sie im Drop-down-Menü eine oder mehrere Google Cloud Regionen aus.
    7. Optional: Zugriffsrichtlinie definieren: Wählen Sie eine Access Context Manager-Zugriffsrichtlinie aus. Sie können diesen Schritt für diese Anleitung überspringen.
    8. Klicken Sie auf Erstellen, um die Anwendungsressource zu erstellen.

    gcloud

    Führen Sie den folgenden Befehl aus, um die Anwendungsressource mit gcloud zu erstellen:

    gcloud beyondcorp security-gateways applications create APPLICATION_ID \
    --project=PROJECT_ID \
    --security-gateway=SECURITY_GATEWAY_ID \
    --location=global \
    --display-name="APP_DISPLAY_NAME" \
    --endpoint-matchers="hostname=HOST_NAME,ports=[443]" \
    --upstreams=network=name="PRIVATE_NETWORK_RESOURCE_NAME"

    Wenn Sie eine Region für ausgehenden Traffic angeben möchten (z. B. bei Verwendung statischer Routen), fügen Sie das Flag --egress-regions hinzu:

    gcloud beyondcorp security-gateways applications create APPLICATION_ID \
    --project=PROJECT_ID \
    --security-gateway=SECURITY_GATEWAY_ID \
    --location=global \
    --display-name="APP_DISPLAY_NAME" \
    --endpoint-matchers="hostname=HOST_NAME,ports=[443]" \
    --upstreams=network=name="PRIVATE_NETWORK_RESOURCE_NAME",egressPolicy=regions=us-central1

    Ersetzen Sie us-central1 durch die Google Cloud Region (z. B. europe-west1 oder asia-northeast1), die mit Ihrer regionalen Einrichtung für statisches Routing übereinstimmt. Wenn Sie keine spezifischen regionalen Anforderungen an das statische Routing haben, können Sie die Egress-Richtlinie aus Ihrer Konfiguration entfernen.

    REST

    So erstellen Sie eine Anwendungsressource mit der API:

    1. Erstellen Sie eine Datei mit dem Namen application.json.

      {
"display_name": "APP_DISPLAY_NAME",
"endpoint_matchers": [
   {"hostname": "HOST_NAME", "ports": [443]}
],
"upstreams": [{
   "network": {
      "name": "PRIVATE_NETWORK_RESOURCE_NAME"
   }
}]
}

      Wenn Sie eine Region für ausgehenden Traffic angeben möchten (z. B. bei Verwendung statischer Routen), fügen Sie der Upstream-Konfiguration ein egress_policy hinzu:

      {
"display_name": "APP_DISPLAY_NAME",
"endpoint_matchers": [
   {"hostname": "HOST_NAME", "ports": [443]}
],
"upstreams": [{
   "network": {
      "name": "PRIVATE_NETWORK_RESOURCE_NAME"
   },
   "egress_policy": {
      "regions": [
      "us-central1"
      ]
   }
}]
}

      Ersetzen Sie us-central1 durch die Google Cloud Region (z. B. europe-west1 oder asia-northeast1), die mit Ihrer regionalen Einrichtung für statisches Routing übereinstimmt. Wenn Sie keine spezifischen regionalen Anforderungen an das statische Routing haben, können Sie die Egress-Richtlinie aus Ihrer Konfiguration entfernen.

    2. Rufen Sie die API-Methode Create auf.

      curl \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json" \
    -X POST \
    -d @application.json \
    "https://beyondcorp.googleapis.com/v1/projects/PROJECT_ID/locations/global/securityGateways/SECURITY_GATEWAY_ID/applications?application_id=APPLICATION_ID"

Zugriffsrichtlinie konfigurieren

Sie können eine Zugriffsrichtlinie anwenden, um den Zugriff auf Anwendungsebene zu steuern. Wenn keine Zugriffsrichtlinie konfiguriert ist, wird der Zugriff auf die Anwendung standardmäßig verweigert.

Console

Richtlinie für mehrere Anwendungen erstellen

So konfigurieren Sie eine Zugriffsrichtlinie:

  1. Wenn Sie eine Richtlinie erstellen möchten, die für mehrere Anwendungen gilt, die mit dem sicheren Gateway verknüpft sind, rufen Sie die Seite Richtlinien auf.
    Zu den Richtlinien
  2. Wenn Sie Anwendungen Zugriffsrichtlinien hinzufügen möchten, klicken Sie auf Richtlinie erstellen.
  3. Wählen Sie in der Drop-down-Liste die Anwendungen aus, auf die die Richtlinien angewendet werden sollen.
  4. Fügen Sie der Richtlinie Hauptkonten hinzu:

    Hauptkonten können Nutzer, Gruppen, Domains oder Dienstkonten sein. Diesen Hauptkonten wird der Zugriff basierend auf den von Ihnen zugewiesenen Zugriffsebenen gewährt oder verweigert.

    1. Klicken Sie zum Hinzufügen eines Hauptkontos auf Hauptkonto hinzufügen.
    2. Geben Sie im Feld Hauptkonto die E-Mail-Adresse des Nutzers, der Gruppe oder des Dienstkontos oder den Domainnamen ein.
    3. Wählen Sie im Drop-down-Menü Zugriffsebenen eine oder mehrere vordefinierte kontextsensitive Zugriffsebenen aus. Der Zugriff wird nur gewährt, wenn das Hauptkonto die Bedingungen der ausgewählten Zugriffsebenen erfüllt.

    Wenn Sie weitere Hauptkonten hinzufügen möchten, klicken Sie noch einmal auf Hauptkonto hinzufügen und wiederholen Sie die Teilschritte.

    Sie können Zugriffsebenen in Access Context Manager erstellen und verwalten.

  5. Klicken Sie auf Richtlinie erstellen, um die Richtlinie auf die Anwendung anzuwenden.

Zugriffsrichtlinie auf Anwendungsebene ändern

  1. Wenn Sie eine Richtlinie für eine einzelne Anwendung ändern möchten, rufen Sie die Seite Anwendungen auf.
    Zu „Anwendungen“ wechseln
  2. So finden Sie die Anwendung, die Sie bearbeiten möchten:
    1. Suchen Sie in der Liste Anwendungen nach der Anwendung, die Sie ändern möchten.
    2. Wenn Sie die Anwendungsdetails aufrufen möchten, klicken Sie auf das Menü Weitere Aktionen () und wählen Sie Details ansehen aus.
  3. Klicken Sie zum Bearbeiten des Antrags auf Bearbeiten.
  4. Fügen Sie der Richtlinie Hauptkonten hinzu:

    Hauptkonten können Nutzer, Gruppen, Domains oder Dienstkonten sein. Diesen Hauptkonten wird der Zugriff basierend auf den von Ihnen zugewiesenen Zugriffsebenen gewährt oder verweigert.

    1. Klicken Sie zum Hinzufügen eines Hauptkontos auf Hauptkonto hinzufügen.
    2. Geben Sie im Feld Hauptkonto die E-Mail-Adresse des Nutzers, der Gruppe oder des Dienstkontos oder den Domainnamen ein.
    3. Wählen Sie in der Drop-down-Liste Zugriffsebenen eine oder mehrere vordefinierte kontextsensitiven Zugriffsebenen aus. Der Zugriff wird nur gewährt, wenn das Hauptkonto die Bedingungen der ausgewählten Zugriffsebenen erfüllt.

    Wenn Sie weitere Hauptkonten hinzufügen möchten, klicken Sie noch einmal auf Hauptkonto hinzufügen und wiederholen Sie die Teilschritte.

    Sie können Zugriffsebenen in Access Context Manager erstellen und verwalten.

  5. Klicken Sie auf Speichern, um die Richtlinie auf die Anwendung anzuwenden.

gcloud

Zugriffsrichtlinie sicher aktualisieren

Mit dem Befehl setIamPolicy wird die gesamte vorhandene Richtlinie durch die von Ihnen angegebene Richtlinie ersetzt. Um zu vermeiden, dass vorhandene Berechtigungen versehentlich entfernt werden, empfehlen wir, das folgende Muster „Lesen-Ändern-Schreiben“ zu verwenden. Dieses Muster trägt dazu bei, dass vorhandene Berechtigungen nicht versehentlich entfernt werden.

  1. Lesen: Die aktuelle Zugriffsrichtlinie abrufen.
  2. Ändern: Bearbeiten Sie die Richtliniendatei lokal, um Berechtigungen hinzuzufügen oder zu ändern.
  3. Schreiben: Wenden Sie die aktualisierte Richtliniendatei an.

Richtlinie auf Gateway-Ebene für Service Discovery festlegen

Bevor Sie einem Nutzer Zugriff auf eine Anwendung gewähren, müssen Sie sicherstellen, dass er über Berechtigungen für die Dienstermittlung auf Secure Gateway-Ebene verfügt. Sie müssen eine Zugriffsrichtlinie festlegen, indem Sie dem Muster „Read-Modify-Write“ (Lesen-Ändern-Schreiben) folgen.

Rufen Sie die aktuelle Richtlinie ab und speichern Sie sie in einer Datei mit dem Namen gateway_policy.json.

gcloud beta beyondcorp security-gateways get-iam-policy SECURITY_GATEWAY_ID \
    --project=PROJECT_ID \
    --location=global > gateway_policy.json

Öffnen Sie dann die Datei gateway_policy.json in einem Texteditor und fügen Sie der Liste members für die Rolle roles/beyondcorp.serviceDiscoveryUser die erforderlichen Hauptkonten hinzu, ähnlich wie bei den Änderungen auf Anwendungsebene.

Die Datei gateway_policy.json sieht etwa so aus:

{
  "version": 3,
  "bindings": [
    {
      "role": "roles/beyondcorp.serviceDiscoveryUser",
      "members": [
        "group:existing-group@example.com"
      ]
    }
  ],
  "etag": "BwXN8_d-bOM="
}

Sie können auch andere Arten von Mitgliedern wie serviceAccount, user, group, principal und principalSet in Richtlinienbindungen hinzufügen. Weitere Informationen finden Sie unter IAM-Hauptkonten.

Wenden Sie die aktualisierte Richtlinie an:

gcloud beta beyondcorp security-gateways set-iam-policy SECURITY_GATEWAY_ID gateway_policy.json \
    --project=PROJECT_ID \
    --location=global

Zugriffsrichtlinie auf Anwendungsebene festlegen

Aktuelle Richtlinie abrufen

Rufen Sie die aktuelle Richtlinie ab. Das Feld etag verhindert Konflikte bei Aktualisierungen, wenn mehrere Administratoren gleichzeitig Änderungen vornehmen.

Mit dem folgenden Befehl wird die Richtlinie abgerufen und in einer Datei mit dem Namen policy.json gespeichert. 

gcloud beta beyondcorp security-gateways applications get-iam-policy APPLICATION_ID \
    --security-gateway=SECURITY_GATEWAY_ID \
    --project=PROJECT_ID \
    --location=global > policy.json

Ersetzen Sie Folgendes:

  • APPLICATION_ID: die ID der Anwendungsressource
  • SECURITY_GATEWAY_ID: die ID des sicheren Gateways
  • PROJECT_ID: die ID des Projekts, in dem das sichere Gateway konfiguriert ist

Mit dem Befehl wird eine policy.json-Datei mit der aktuellen Richtlinie erstellt.

Richtliniendatei ändern

Öffnen Sie die Datei policy.json in einem Texteditor. Wenn Sie einer Gruppe Zugriff auf das sichere Gateway gewähren möchten, fügen Sie die Gruppe der Liste members für die Rolle roles/beyondcorp.sgApplicationUser hinzu.

Die Datei policy.json sieht etwa so aus:

{
  "version": 3,
  "bindings": [
    {
      "role": "roles/beyondcorp.sgApplicationUser",
      "members": [
        "group:existing-group@example.com"
      ]
    }
  ],
  "etag": "BwXN8_d-bOM="
}

Wenn Sie eine zusätzliche Gruppe hinzufügen möchten, fügen Sie dem Array members einen neuen Eintrag hinzu. Fügen Sie nach dem vorherigen Eintrag ein Komma ein. Im folgenden Beispiel wird new-group@example.com hinzugefügt:

{
  "version": 3,
  "bindings": [
    {
      "role": "roles/beyondcorp.sgApplicationUser",
      "members": [
        "group:existing-group@example.com",
        "group:new-group@example.com"
      ]
    }
  ],
  "etag": "BwXN8_d-bOM="
}

Sie können auch andere Arten von Mitgliedern wie serviceAccount, user, group, principal und principalSet in Richtlinienbindungen hinzufügen. Weitere Informationen finden Sie unter IAM-Hauptkonten.

Aktualisierte Richtlinie anwenden

Nachdem Sie die policy.json-Datei bearbeitet und gespeichert haben, wenden Sie sie mit dem Befehl setIamPolicy auf die Ressource an. Dieser Befehl verwendet die etag aus Ihrer Datei, um sicherzustellen, dass Sie die richtige Version aktualisieren.

gcloud beta beyondcorp security-gateways applications set-iam-policy APPLICATION_ID policy.json \
    --security-gateway=SECURITY_GATEWAY_ID \
    --project=PROJECT_ID \
    --location=global

Ersetzen Sie Folgendes:

  • APPLICATION_ID: die ID der Anwendungsressource
  • SECURITY_GATEWAY_ID: die ID des sicheren Gateways
  • PROJECT_ID: die ID des Projekts, in dem das sichere Gateway konfiguriert ist

Richtlinie für bedingten Zugriff hinzufügen

Sie können auch Zugriffsrichtlinien mit Bedingungen festlegen. In Bedingungen werden Anforderungen angegeben, z. B. dass die IP-Adresse eines Nutzers von einem bestimmten Standort stammt. Die Zugriffsebene kann entweder in einer Zugriffsrichtlinie auf Organisationsebene oder in einer Bereichszugriffsrichtlinie definiert werden.

Die folgende Beispielrichtlinie gewährt nur Zugriff, wenn sich die Quell-IP-Adresse innerhalb einer angegebenen Zugriffsebene befindet:

  {
    "version": 3,
    "bindings": [
      {
        "role": "roles/beyondcorp.sgApplicationUser",
        "members": [
          "group:group@example.com"
        ],
        "condition": {
          "expression": "request.auth.access_levels.contains('accessPolicies/1234567890/accessLevels/in_us')",
          "title": "Source IP must be in US"
        }
      }
    ],
    "etag": "BwXN8_d-bOM="
  }

Folgen Sie der Anleitung oben, um diese Richtlinie anzuwenden.

REST

Zugriffsrichtlinie sicher aktualisieren

Mit dem Befehl setIamPolicy wird die gesamte vorhandene Richtlinie durch die von Ihnen angegebene Richtlinie ersetzt. Um zu vermeiden, dass vorhandene Berechtigungen versehentlich entfernt werden, empfehlen wir, das folgende Muster „Lesen-Ändern-Schreiben“ zu verwenden. Dieses Muster trägt dazu bei, dass vorhandene Berechtigungen nicht versehentlich entfernt werden.

  1. Lesen: Speichert die aktuelle Zugriffsrichtlinie in einer Datei.
  2. Ändern: Bearbeiten Sie die Richtliniendatei lokal, um Berechtigungen hinzuzufügen oder zu ändern.
  3. Schreiben: Wenden Sie die aktualisierte Richtliniendatei an.

Richtlinie auf Gateway-Ebene für Service Discovery festlegen

Wenn Sie Berechtigungen für die Service Discovery erteilen möchten, müssen Sie eine Zugriffsrichtlinie für das Sicherheits-Gateway anstelle einer einzelnen Anwendung festlegen. Dies folgt demselben „Read-Modify-Write“-Muster.

Rufen Sie die aktuelle Richtlinie ab und speichern Sie sie in einer Datei mit dem Namen gateway_policy.json.

curl \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json" \
    "https://beyondcorp.googleapis.com/v1/projects/PROJECT_ID/locations/global/securityGateways/SECURITY_GATEWAY_ID:getIamPolicy" > gateway_policy.json

Öffnen Sie dann die Datei gateway_policy.json in einem Texteditor und fügen Sie der Liste members für die Rolle roles/beyondcorp.serviceDiscoveryUser die erforderlichen Hauptkonten hinzu, ähnlich wie bei den Änderungen auf Anwendungsebene.

Die Datei gateway_policy.json sieht etwa so aus:

{
  "version": 3,
  "bindings": [
    {
      "role": "roles/beyondcorp.serviceDiscoveryUser",
      "members": [
        "group:existing-group@example.com"
      ]
    }
  ],
  "etag": "BwXN8_d-bOM="
}

Sie können auch andere Arten von Mitgliedern wie serviceAccount, user, group, principal und principalSet in Richtlinienbindungen hinzufügen. Weitere Informationen finden Sie unter IAM-Hauptkonten.

Wenden Sie die aktualisierte Richtlinie an:

jq '{policy: .}' gateway_policy.json | curl -X POST \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json" \
    -d @- \
    "https://beyondcorp.googleapis.com/v1/projects/PROJECT_ID/locations/global/securityGateways/SECURITY_GATEWAY_ID:setIamPolicy"

Zugriffsrichtlinie auf Anwendungsebene festlegen

Aktuelle Richtlinie abrufen

Rufen Sie die aktuelle Richtlinie ab. Das Feld etag verhindert Konflikte bei Aktualisierungen, wenn mehrere Administratoren gleichzeitig Änderungen vornehmen.

Mit dem folgenden Befehl wird die Richtlinie abgerufen und in einer Datei mit dem Namen policy.json gespeichert. 

curl \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json" \
    "https://beyondcorp.googleapis.com/v1/projects/PROJECT_ID/locations/global/securityGateways/SECURITY_GATEWAY_ID/applications/APPLICATION_ID:getIamPolicy" > policy.json

Ersetzen Sie Folgendes:

  • PROJECT_ID: die ID des Projekts, in dem das sichere Gateway konfiguriert ist
  • SECURITY_GATEWAY_ID: die ID des sicheren Gateways
  • APPLICATION_ID: die ID der Anwendungsressource

Mit dem Befehl wird eine policy.json-Datei mit der aktuellen Richtlinie erstellt.

Richtliniendatei ändern

So gewähren Sie einer Gruppe Zugriff auf das sichere Gateway:

  1. Öffnen Sie die Datei policy.json in einem Texteditor.
  2. Fügen Sie die Gruppe der Liste members für die Rolle roles/beyondcorp.securityGatewayUser hinzu.

Die Datei policy.json sieht etwa so aus:

{
  "version": 3,
  "bindings": [
    {
      "role": "roles/beyondcorp.sgApplicationUser",
      "members": [
        "group:existing-group@example.com"
      ]
    }
  ],
  "etag": "BwXN8_d-bOM="
}

Wenn Sie eine zusätzliche Gruppe hinzufügen möchten, fügen Sie dem Array members einen neuen Eintrag hinzu. Fügen Sie nach dem vorherigen Eintrag ein Komma ein. Im folgenden Beispiel wird new-group@example.com hinzugefügt:

{
  "version": 3,
  "bindings": [
    {
      "role": "roles/beyondcorp.sgApplicationUser",
      "members": [
        "group:existing-group@example.com",
        "group:new-group@example.com"
      ]
    }
  ],
  "etag": "BwXN8_d-bOM="
}

Sie können auch andere Arten von Mitgliedern wie serviceAccount, user, group, principal und principalSet in Richtlinienbindungen hinzufügen. Weitere Informationen finden Sie unter IAM-Hauptkonten.

Aktualisierte Richtlinie anwenden

Nachdem Sie die policy.json-Datei bearbeitet und gespeichert haben, wenden Sie sie mit dem Befehl setIamPolicy auf die Ressource an. Dieser Befehl verwendet die etag aus Ihrer Datei, um sicherzustellen, dass Sie die richtige Version aktualisieren.

jq '{policy: .}' policy.json | curl -X POST \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json" \
    -d @- \
    "https://beyondcorp.googleapis.com/v1/projects/PROJECT_ID/locations/global/securityGateways/SECURITY_GATEWAY_ID/applications/APPLICATION_ID:setIamPolicy"

Ersetzen Sie Folgendes:

  • PROJECT_ID: die ID des Projekts, in dem das sichere Gateway konfiguriert ist
  • SECURITY_GATEWAY_ID: die ID des sicheren Gateways
  • APPLICATION_ID: die ID der Anwendungsressource

Richtlinie für bedingten Zugriff hinzufügen

Sie können auch Zugriffsrichtlinien mit Bedingungen festlegen. In Bedingungen werden Anforderungen angegeben, z. B. dass die IP-Adresse eines Nutzers von einem bestimmten Standort stammt. Die Zugriffsebene kann entweder in einer Zugriffsrichtlinie auf Organisationsebene oder in einer Bereichszugriffsrichtlinie definiert werden.

Die folgende Beispielrichtlinie gewährt nur Zugriff, wenn sich die Quell-IP-Adresse innerhalb einer angegebenen Zugriffsebene befindet:

{
  "version": 3,
  "bindings": [
    {
      "role": "roles/beyondcorp.sgApplicationUser",
      "members": [
        "group:group@example.com"
      ],
      "condition": {
        "expression": "request.auth.access_levels.contains('accessPolicies/1234567890/accessLevels/in_us')",
        "title": "Source IP must be in US"
      }
    }
  ],
  "etag": "BwXN8_d-bOM="
}

Folgen Sie der Anleitung oben, um diese Richtlinie anzuwenden.

Sicherheit mit kontextsensitivem Zugriff erhöhen

Um die Sicherheit weiter zu erhöhen und dafür zu sorgen, dass nur verwaltete Google Chrome-Instanzen über das Security Gateway auf Ihre Webanwendungen zugreifen können, empfehlen wir, eine Regel für den kontextsensitiven Zugriff (Context-Aware Access, CAA) hinzuzufügen. Mit dieser Regel wird geprüft, ob das Chrome-Profil des Nutzers verwaltet wird. So wird potenzieller Missbrauch durch nicht verwaltete oder schädliche Browser verhindert.

Hinweis: Für diese Funktion muss die Erweiterung „Endpunktprüfung“ installiert und eingerichtet sein.

Sie können dies implementieren, indem Sie Ihren benutzerdefinierten Zugriffsebenen in Access Context Manager eine Bedingung hinzufügen. Hier ist ein Beispiel für eine Bedingung, die Sie anpassen können:

  device.chrome.management_state == ChromeManagementState.CHROME_MANAGEMENT_STATE_PROFILE_MANAGED

Weitere Informationen zum Konfigurieren, Prüfen und Verwalten dieses Status finden Sie unter Chrome-Browser-Attribute.

Chrome Enterprise Premium-Erweiterung installieren

Die Chrome Enterprise Premium-Erweiterung ist ein integraler Bestandteil eines sicheren Gateways und unterstützt die Authentifizierung. Installieren Sie die Erweiterung für alle Nutzer des sicheren Gateways. Informationen zum Bereitstellen der Erweiterung finden Sie unter Apps und Erweiterungen ansehen und festlegen. So installieren Sie die Chrome Enterprise Premium-Erweiterung:

  1. Rufen Sie die Admin-Konsole auf.
  2. Klicken Sie auf Chrome-Browser > Apps und Erweiterungen.
  3. Klicken Sie auf den Tab Nutzer und Browser.
  4. Wenn Sie die Chrome-Erweiterung hinzufügen möchten, klicken Sie auf die Schaltfläche + und wählen Sie dann Chrome-Apps oder ‑Erweiterungen über die jeweilige ID hinzufügen aus.

  5. Suchen Sie mit der folgenden ID nach der Erweiterung Secure Enterprise Browser und legen Sie die Installationsrichtlinie für alle Nutzer in der Organisationseinheit oder Gruppe auf Installation erzwingen fest:

    ekajlcmdfcigmdbphhifahdfjbkciflj

  6. Klicken Sie auf die installierte Erweiterung und geben Sie im Feld Richtlinie für Erweiterungen den folgenden JSON-Wert ein:

    {
  "securityGateway": {
    "Value": {
      "authentication": {},
      "context": { "resource": "projects/PROJECT_ID/locations/global/securityGateways/SECURITY_GATEWAY_ID" },
      "serviceDiscovery": { "routes": {} }
    }
  }
}

    Ersetzen Sie Folgendes:

    • PROJECT_ID: die ID des Projekts, in dem das sichere Gateway konfiguriert ist
    • SECURITY_GATEWAY_ID: die ID des sicheren Gateways

  7. Klicken Sie auf Speichern, um die Konfiguration zu speichern.

Alte PAC-Datei einrichten

Wenn Service Discovery aktiviert ist, kann der Chrome-Browser-Client automatisch Traffic zu Ihren konfigurierten Anwendungen über das sichere Gateway erkennen und weiterleiten. Manuelle Routingkonfigurationen mit einer PAC-Datei sind dann nicht mehr erforderlich.

Wenn Service Discovery auf Ihrem sicheren Gateway nicht aktiviert ist, haben Sie eine Legacy-Einrichtung. Sie müssen eine PAC-Datei konfigurieren, um das Routing auf dem Chrome-Browser-Client zu steuern.

Mit den folgenden Befehlen können Sie prüfen, ob die Service Discovery aktiviert ist:

gcloud

gcloud beyondcorp security-gateways describe SECURITY_GATEWAY_ID \
    --project=PROJECT_ID \
    --location=global | grep -i "serviceDiscovery"

REST

curl --silent \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json" \
    "https://beyondcorp.googleapis.com/v1/projects/PROJECT_ID/locations/global/securityGateways/SECURITY_GATEWAY_ID" | grep -i "serviceDiscovery"

Wenn der Befehl keine Ausgabe zurückgibt, verwendet Ihr Gateway die alte Einrichtung. Bei Gateways, die die alte Einrichtung verwenden, wird das Routing über eine gehostete PAC-Datei abgewickelt.

Schritt 1: PAC-Datei erstellen und hosten

  1. Erstellen Sie eine Datei mit dem Namen pac_config.js mit dem folgenden JavaScript-Code und ersetzen Sie HOST_NAME durch die Domain Ihrer Anwendung (z. B. myapp.example.com):

    function FindProxyForURL(url, host) {
  const PROXY = "HTTPS via.prod.securegateway.goog:443";
  const sites = ["HOST_NAME"];

  for (const site of sites) {
    if (shExpMatch(url, 'https://' + site + '/*') || shExpMatch(url, '*.' + site + '/*')) {
      return PROXY;
    }
  }
  return 'DIRECT';
}

  2. Laden Sie die PAC-Datei in einen Hostingdienst wie einen Cloud Storage-Bucket hoch.

    • Achten Sie darauf, dass die Datei öffentlich heruntergeladen werden kann.
    • Setzen Sie den HTTP-Header Cache-Control auf no-cache, damit Browser immer die neuesten Routingregeln abrufen.

  3. Kopieren Sie die öffentliche URL der hochgeladenen PAC-Datei.

Schritt 2: PAC-Datei in der Admin-Konsole anwenden

  1. Rufen Sie die Admin-Konsole auf.
  2. Gehen Sie zu Geräte > Chrome > Einstellungen.
  3. Wählen Sie Ihre Organisationseinheit oder Gruppe aus und klicken Sie dann auf Proxy-Modus.
  4. Wählen Sie unter Proxymodus die Option Für den Proxyserver immer die unten angegebene automatische Konfiguration verwenden aus.
  5. Geben Sie die öffentliche URL Ihrer gehosteten PAC-Datei in das dafür vorgesehene Feld ein.
  6. Klicken Sie auf Speichern.

Schritt 3: Chrome Enterprise Premium-Erweiterung konfigurieren

Die Erweiterung muss die Authentifizierung übernehmen. Diese Erweiterungsrichtlinie weicht von der Standardkonfiguration ab, da sie den serviceDiscovery-Block ausschließt.

  1. Gehen Sie in der Admin-Konsole zu Chrome-Browser > Apps und Erweiterungen.
  2. Rufen Sie den Tab Nutzer und Browser auf und prüfen Sie, ob die Secure Enterprise Browser-Erweiterung ekajlcmdfcigmdbphhifahdfjbkciflj hinzugefügt und erzwungen wird.

  3. Klicken Sie auf die Erweiterung und geben Sie im Feld Richtlinie für Erweiterungen den folgenden JSON-Wert ein:

    {
  "securityGateway": {
    "Value": {
      "authentication": {},
      "context": {
        "resource": "projects/PROJECT_ID/locations/global/securityGateways/SECURITY_GATEWAY_ID"
      }
    }
  }
}

  4. Klicken Sie auf Speichern.

Zur Einrichtung der Service Discovery wechseln

Wenn Sie Ihr altes sicheres Gateway von einer PAC-Datei auf die neuere Service Discovery umstellen möchten, müssen Sie die Funktion manuell aktivieren und Ihre Konfigurationen aktualisieren.

  1. Service Discovery für Ihr sicheres Gateway aktivieren: Aktualisieren Sie Ihr vorhandenes Gateway, um Service Discovery zu aktivieren.

    gcloud

    gcloud beyondcorp security-gateways update SECURITY_GATEWAY_ID \
--project=PROJECT_ID \
--location=global \
--service-discovery={}

    REST

    curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-d '{ "service_discovery": {} }' \
"https://beyondcorp.googleapis.com/v1/projects/PROJECT_ID/locations/global/securityGateways/SECURITY_GATEWAY_ID?updateMask=service_discovery"

  2. Zugriffsrichtlinie auf Gateway-Ebene festlegen: Weisen Sie Nutzern die Rolle roles/beyondcorp.serviceDiscoveryUser auf Gateway-Ebene zu, damit sie Service Discovery verwenden können. Folgen Sie der Anleitung im Abschnitt Richtlinie auf Gateway-Ebene für Service Discovery festlegen.

  3. Konfiguration der Chrome Enterprise Premium-Erweiterung aktualisieren: Folgen Sie der Anleitung im Abschnitt Chrome Enterprise Premium-Erweiterung installieren, um die Erweiterungsrichtlinie zu aktualisieren. Die neue JSON-Konfiguration muss den "serviceDiscovery": { "routes": {} }-Block enthalten.

  4. Legacy PAC-Datei entfernen: Sobald Service Discovery aktiv ist, wird die Legacy PAC-Datei nicht mehr benötigt.

    1. Rufen Sie in der Google Admin-Konsole Geräte > Chrome > Einstellungen > Nutzer- und Browsereinstellungen > Netzwerk auf.
    2. Suchen Sie die Einstellung Proxymodus.
    3. Entfernen Sie die PAC-URL (Proxy Auto-Config) oder ändern Sie die Einstellung von Für den Proxyserver immer die unten angegebene automatische Konfiguration verwenden in einen für Ihr Netzwerk geeigneten Modus, z. B. Nutzerkonfiguration zulassen.
    4. Klicken Sie auf Speichern.

Nutzererfahrung

Nach Abschluss der Einrichtung wird Endnutzern, die auf die geschützte SaaS-Anwendung zugreifen, der Zugriff basierend auf der auf die Anwendung angewendeten Zugriffsrichtlinie gewährt oder verweigert.

Auf die Anwendung in Chrome zugreifen

Die Chrome Enterprise Premium-Erweiterung ist erforderlich, um den Traffic über das sichere Gateway zu leiten. Die Erweiterung übernimmt die Authentifizierung zwischen dem Nutzer und dem sicheren Gateway. Die Erweiterung wird automatisch über die Domainrichtlinie installiert.

Wenn Nutzer auf die von Ihnen konfigurierte SaaS-Anwendung zugreifen, wird ihr Traffic über das sichere Gateway geleitet, das prüft, ob sie die Zugriffsrichtlinie erfüllen. Wenn die Nutzer die Prüfungen der Zugriffsrichtlinie bestehen, erhalten sie Zugriff auf die Anwendung.

Wenn der Browserzugriff auf die Anwendung durch die Autorisierungsrichtlinie abgelehnt wird, erhalten Nutzer eine Access denied-Meldung.

Nächste Schritte