הפעלת IAP

משתמשים בשרת proxy לאימות זהויות (IAP) כדי לשלוט בגישה לאפליקציות בתחנות העבודה. ‫IAP יוצר שכבת הרשאה מרכזית שמאפשרת לכם לנהל את הגישה ברמת האפליקציה, במקום להסתמך על חומות אש ברמת הרשת.

אתם יכולים לשלוט בגישה על סמך זהות המשתמש, החברות בקבוצה, אבטחת המכשיר, המיקום, כתובת ה-IP ואותות אחרים. המשתמשים ניגשים לאפליקציות באמצעות דפדפן האינטרנט שלהם ו-HTTPS, ואילו צוותי ה-IT מגדירים ומאכפים מדיניות גישה באופן מרכזי במקום אחד.

במאמר הזה מוסבר איך להפעיל רכישות מתוך האפליקציה באפליקציות בתחנות עבודה באשכול. הדיאגרמה הבאה ממחישה אשכול עם IAP מופעל:

איור 1. אשכול עם רכישות מתוך האפליקציה מופעלות

לפני שמתחילים

כדי להפעיל את IAP בתחנות העבודה, צריך לוודא שיש באשכול את הדברים הבאים:

  • דומיין מותאם אישית:‏ IAP נתמך רק באשכולות של תחנות עבודה שמשתמשים בדומיין מותאם אישית.
  • מאזן עומסים של אפליקציות: מאזן העומסים הזה יטפל בכל תנועת ה-HTTP הנכנסת באמצעות נקודת קצה (endpoint) של Private Service Connect ‏(PSC), ויאפשר לכם להגדיר את IAP.

הוראות להגדרת הרכיבים האלה מופיעות במאמר הגדרת דומיינים מותאמים אישית ל-Cloud Workstations.

הפעלת ה-proxy

כדי להפעיל רכישות מתוך האפליקציה בתחנות העבודה, פועלים לפי השלבים הבאים:

  1. מפעילים את IAP במאזן העומסים של האפליקציה של האשכול באמצעות הפקודה הבאה:

    gcloud compute backend-services update BACKEND_SERVICE_NAME \
    --iap=enabled,oauth2-client-id=CLIENT_ID,oauth2-client-secret=CLIENT_SECRET \
    --global

    מחליפים את מה שכתוב בשדות הבאים:

    • BACKEND_SERVICE_NAME: השם של שירות לקצה העורפי שיצרתם כשקבעתם דומיין מותאם אישית לאשכול.
    • CLIENT_ID: מזהה הלקוח של OAuth 2.0.
    • CLIENT_SECRET: הסוד של לקוח OAuth 2.0.

    מידע נוסף על הגדרת Application Load Balancer עם IAP מופעל זמין במאמר הפעלת IAP במאזן עומסים.

  2. הענקת גישה למשתמשים בדומיין:

     gcloud iap web add-iam-policy-binding \
     --resource-type=backend-services \
     --service=BACKEND_SERVICE_NAME \
     --member='PRINCIPAL' \
     --role='roles/iap.httpsResourceAccessor' \
     --condition="expression=EXPRESSION,title=TITLE,description=DESCRIPTION"

    מחליפים את מה שכתוב בשדות הבאים:

    • BACKEND_SERVICE_NAME: השם של השירות לקצה העורפי.
    • PRINCIPAL: חשבון המשתמש שרוצים לתת לו גישה. לדוגמה, group:my-group@example.com,‏ user:test-user@example.com או domain:example.com.
    • EXPRESSION: ביטוי התנאי, שנכתב ב-Common Expression Language ‏ (CEL). לדוגמה, אפשר להשתמש בביטוי הזה כדי לציין רמות גישה להגדרת בקרת גישה מבוססת-הקשר.
    • TITLE: שם לתנאי.
    • DESCRIPTION: תיאור אופציונלי של התנאי. תחנות עבודה ב-Cloud עדיין מבצעות את הבדיקות של IAM על סמך מדיניות IAM שהוגדרה במשאבי תחנות העבודה האישיות. כדי להימנע מכפילות, כדאי להגדיר את מדיניות IAP כך שתאפשר הענקת הרשאות לקבוצה רחבה שכוללת את כל המשתמשים המורשים בתחנות העבודה, או לכל הדומיין. אפשר להשתמש במדיניות הזו בעיקר כדי לציין רמות גישה ולהגדיר בקרת גישה מבוססת-הקשר.

    מידע נוסף על הענקת גישה למשתמשים זמין במאמר gcloud iap web add-iam-policy-binding.