Limitare l'accesso alle risorse a domini specifici

Per migliorare la sicurezza complessiva, IAP nega per impostazione predefinita l'accesso alle richieste che non hanno un'indicazione nome server (SNI) corrispondente. IAP controlla anche l'SNI del certificato del bilanciatore del carico. In questo modo IAP può limitare il reindirizzamento degli URL a domini dannosi. La funzionalità Domini consentiti IAP fornisce un livello di sicurezza aggiuntivo per le risorse protette da IAP. In qualità di proprietario della risorsa o amministratore IAP, puoi limitare l'accesso alle risorse protette da IAP a domini specifici configurando la funzionalità Domini consentiti.

Puoi anche configurare i domini consentiti per IAP-app nei seguenti scenari:

  • Il browser o un proxy intermedio sta forzando il raggruppamento delle connessioni:in questo scenario, ricevi la risposta HTTP 429 e il codice di errore 51. Per risolvere il problema, un amministratore IAP può aggiornare l'elenco dei domini consentiti in modo da includere il tuo nome host.
  • Il nome host fornito non corrisponde al certificato SSL sul server:in questo scenario, ricevi il codice di errore 52. Per risolvere il problema, un amministratore IAP può aggiornare l'elenco dei domini consentiti in modo da includere il tuo nome host.

Configurare i domini consentiti

Puoi utilizzare gcloud o l'API per configurare le impostazioni dei domini consentiti. Per configurare i domini consentiti, utilizza i seguenti campi:

  • enable: booleano. Attiva o disattiva la funzionalità Domini consentiti.
  • Domains: stringa. L'elenco dei domini consentiti. I domini possono contenere prefissi con caratteri jolly, ad esempio *.example.com. I nomi di dominio non possono contenere un carattere jolly direttamente su un suffisso pubblico o su un dominio di primo livello. Esempio: *.com, *.co.in.

Per ulteriori informazioni, vedi IapSettings.

Per configurare i domini consentiti IAP, completa i seguenti passaggi:

Console

  1. Vai alla pagina IAP.
    Vai a Identity-Aware Proxy.
  2. Seleziona un progetto, quindi seleziona la risorsa su cui vuoi abilitare la funzionalità dei domini consentiti.
  3. Apri le Impostazioni per la risorsa. In Domini consentiti, seleziona Attiva domini consentiti.
  4. Specifica l'elenco dei domini consentiti e poi fai clic su Salva.

gcloud

Di seguito sono riportati alcuni esempi di comandi per specificare i domini consentiti.

Per ulteriori informazioni, vedi gcloud iap settings set.

Esegui questo comando:

gcloud iap settings set SETTING_FILE --folder=FOLDER --organization=ORGANIZATION --project=PROJECT --resource-type=RESOURCE_TYPE --service=SERVICE --version=VERSION

Dove SETTING_FILE è:

accessSettings:
  allowed_domains_settings:
    enable: true
    domains: ["*.example.com", "*.example.net"]

Sostituisci quanto segue:

  • FOLDER: l'ID cartella.
  • ORGANIZATION: l'ID organizzazione.
  • PROJECT: l'ID progetto.
  • RESOURCE_TYPE: il tipo di risorsa IAP. Deve essere app-engine, iap_web, compute, organization, folder, backend-services, forwarding-rule o cloud-run.
  • SERVICE: il nome del servizio. Questa opzione è facoltativa quando resource-type è compute o app-engine.
  • VERSION: il nome della versione. Questo non è applicabile per compute ed è facoltativo quando resource-type è app-engine.

Devi specificare almeno uno dei seguenti flag per definire l'ambito delle impostazioni:

  • --organization=ORGANIZATION
  • --folder=FOLDER
  • --project=PROJECT

API

Per configurare i domini consentiti, completa i seguenti passaggi. Per saperne di più sull'utilizzo dell'API per configurare i domini consentiti, consulta IapSettings.

  1. Esegui il comando seguente per preparare un file iap_settings.json. Aggiorna i valori in base alle tue esigenze.
 {
     "access_settings":{
         "allowed_domains_settings":{
             "enable": true
             "domains": [
                 "*.example.com",
                 "*.exampe.net"
             ]
         }
     }
 }
  1. Recupera il nome della risorsa eseguendo il comando gcloud iap settings get. Copia il campo del nome dall'output. Ti servirà nel passaggio successivo.
gcloud iap settings get --organization=ORGANIZATION --folder=FOLDER --project=PROJECT --resource-type=RESOURCE_TYPE --service=SERVICE --version=VERSION
  1. Sostituisci RESOURCE_NAME nel comando seguente con il nome del passaggio precedente. IapSettings verrà aggiornato.
curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d @iap_settings.json \
"https://iap.googleapis.com/v1/RESOURCE_NAME:iapSettings?updateMask=iapSettings.accessSettings.allowedDomainsSettings.enable,iapSettings.accessSettings.allowedDomainsSettings.domains"

Risoluzione dei problemi

Problema di accesso ai domini consentiti
Se ricevi il codice di errore 53, chiedi a un amministratore IAP di aggiungere il tuo nome host all'elenco dei domini consentiti.