Activer IAP pour les applications sur site

Cette page explique comment sécuriser une application sur site basée sur HTTP ou HTTPS en dehors de Google Cloud avec Identity-Aware Proxy (IAP) en déployant un connecteur IAP.

Pour en savoir plus sur la manière dont IAP sécurise les applications et ressources sur site, consultez la présentation d'IAP pour les applications sur site.

Avant de commencer

Avant de commencer, vous avez besoin des éléments suivants :

Une application sur site basée sur HTTP ou HTTPS.
Un membre Cloud Identity auquel le rôle **Propriétaire** a été accordé sur votre Google Cloud projet.

Remarque : Les rôles de base IAM sont des rôles très permissifs qui offrent un accès étendu aux Google Cloud ressources. Nous vous recommandons d'éviter d'accorder des rôles de base dans un environnement de production. Vous pouvez accorder des rôles de base dans un environnement de développement ou de test.
L'agent de service des API Google auquel le rôle de propriétaire a été accordé.
Un Google Cloud projet avec la facturation activée.
L'URL externe à utiliser comme point d'entrée du trafic vers Google Cloud. Exemple : hr.example.com.
Un certificat SSL ou TLS pour le nom d'hôte DNS utilisé comme point d'entrée du trafic vers Google Cloud. Un certificat existant autogéré ou géré par Google peut être utilisé. Si vous n'avez pas de certificat, créez-en un à l'aide de Let's Encrypt.
Si VPC Service Controls est activé, un réseau VPC avec une règle de sortie sur l'action cp pour le compte de service de VM à destination du bucket gce-mesh dans le projet 278958399328. La règle accorde au réseau VPC l'autorisation de récupérer le fichier binaire Envoy à partir du bucket gce-mesh. L'autorisation est accordée par défaut si VPC Service Controls n'est pas activé.
Pour désactiver une adresse IP externe, procédez comme suit :
- Activez l'accès privé à Google sur le sous-réseau VPC utilisé pour le connecteur IAP. Pour plus d'informations, consultez Accès privé à Google.
- Vérifiez que la configuration du pare-feu du réseau VPC permet aux VM d'accéder aux adresses IP des API et services Google. Par défaut, cet accès est accordé, mais les utilisateurs peuvent le modifier explicitement. Pour savoir comment trouver la plage d'adresses IP, consultez la section Adresses IP pour les domaines par défaut.

Déployer un connecteur pour une application sur site

Accédez à la page IAP.

Accéder à IAP
Pour commencer à configurer le déploiement de votre connecteur pour une application sur site, cliquez sur Connecter une nouvelle application , puis sélectionnez Se connecter via un connecteur sur site.
Pour vous assurer que les API requises sont activées, cliquez sur Activer les API et continuer dans le panneau de droite.
Sélectionnez les informations de configuration, puis cliquez sur Suivant :
- Choisissez si le déploiement doit utiliser un certificat géré par Google ou un certificat que vous gérez vous-même.
- Sélectionnez le réseau et le sous-réseau pour le déploiement (ou créez-en un nouveau).
Saisissez les détails suivants pour l'application sur site que vous souhaitez ajouter :
- Saisissez l'URL externe des requêtes provenant de Google Cloud. Cette URL correspond au trafic entrant dans l'environnement.
- Saisissez un nom pour l'application, qui servira également de nom au nouveau service de backend derrière l'équilibreur de charge.
- Sélectionnez la région.
- Indiquez le type de point de terminaison sur site et ses détails :
  - Nom de domaine complet : domaine vers lequel le connecteur doit transférer le trafic.
  - Adresse IP : une ou plusieurs zones dans lesquelles le connecteur IAP doit être déployé (par exemple, us-central1-a). Pour chaque zone, spécifiez l'adresse IPv4 de la destination interne de l'application sur site vers laquelle IAP achemine le trafic après qu'un utilisateur a été autorisé et authentifié.
  Remarque : Si votre point de terminaison sur site est une adresse IP, envisagez d'utiliser directement un groupe de points de terminaison de réseau de connectivité hybride avec un équilibreur de charge au lieu d'utiliser le connecteur IAP sur site.
- Sélectionnez le protocole utilisé par le point de terminaison sur site.
- Saisissez le numéro de port utilisé par le point de terminaison sur site, par exemple 443 pour HTTPS ou 80 pour HTTP.
Pour enregistrer les informations concernant cette application, cliquez sur OK. Vous pouvez également définir d'autres applications sur site pour le déploiement.
Pour commencer le déploiement des applications que vous avez définies, cliquez sur Envoyer.

Une fois le déploiement terminé, vos applications de connecteur sur site apparaissent dans le tableau Applications et vous pouvez activer IAP.

Si vous choisissez de laisser Google générer et gérer automatiquement les certificats, le provisionnement des certificats peut prendre quelques minutes. Vous pouvez vérifier l'état sur la page de détails de Cloud Load Balancing. Pour plus d'informations sur l'état, consultez la page Dépannage.

Gérer un connecteur pour une application sur site

Pour ajouter d'autres applications à votre déploiement, cliquez sur Connecter une nouvelle application , puis sur Se connecter via un connecteur sur site.
Pour supprimer le connecteur sur site en supprimant l'intégralité du déploiement, procédez comme suit :
1. Accédez à la page "Deployment Manager".
  
  Accéder à Deployment Manager
2. Dans la liste des déploiements, cochez la case située à côté du déploiement "on-prem-app-deployment".
3. En haut de la page, cliquez sur Supprimer.
Pour supprimer des applications individuelles, cliquez sur le bouton de suppression dans l'onglet Applications. Le connecteur sur site doit contenir au moins une application. Pour supprimer toutes les applications, supprimez l'ensemble du déploiement.