Limitare l'accesso alle risorse a domini specifici

Per migliorare la sicurezza complessiva, IAP nega per impostazione predefinita l'accesso alle richieste che non hanno un'indicazione del nome del server (SNI) corrispondente. IAP controlla anche l'SNI del certificato del bilanciatore del carico. In questo modo, IAP può limitare il reindirizzamento degli URL a domini dannosi. La funzionalità dei domini consentiti di IAP fornisce un ulteriore livello di sicurezza per le risorse protette da IAP. In qualità di proprietario di una risorsa o amministratore IAP, puoi limitare l'accesso alle risorse protette da IAP a domini specifici configurando la funzionalità dei domini consentiti.

Puoi anche configurare i domini consentiti di IAP nei seguenti scenari:

  • Il browser o un proxy intermedio sta forzando il pool di connessioni: in questo scenario, ricevi la risposta HTTP 429 e il codice di errore 51. Per risolvere il problema, un amministratore IAP può aggiornare l'elenco dei domini consentiti in modo da includere il nome host.
  • Il nome host fornito non corrisponde al certificato SSL sul server: in questo scenario, ricevi il codice di errore 52. Per risolvere il problema, un amministratore IAP può aggiornare l'elenco dei domini consentiti in modo da includere il nome host.

Configurare i domini consentiti

Puoi utilizzare gcloud o l'API per configurare le impostazioni dei domini consentiti. Per configurare i domini consentiti, utilizza i seguenti campi:

  • enable: valore booleano. Attiva o disattiva la funzionalità dei domini consentiti.
  • Domains: stringa. L'elenco dei domini consentiti. I domini possono contenere prefissi con caratteri jolly, ad esempio *.example.com. I nomi di dominio non possono contenere un carattere jolly direttamente su un suffisso pubblico o su un dominio di primo livello. Esempio: *.com, *.co.in.

Per ulteriori informazioni, consulta IapSettings.

Per configurare i domini consentiti di IAP:

Console

  1. Vai alla pagina IAP.
    Vai a Identity-Aware Proxy.
  2. Seleziona un progetto, quindi la risorsa su cui vuoi attivare la funzionalità dei domini consentiti.
  3. Apri le Impostazioni della risorsa. In Domini consentiti, seleziona Attiva domini consentiti.
  4. Specifica l'elenco dei domini consentiti e fai clic su Salva.

gcloud

Di seguito sono riportati alcuni comandi di esempio per specificare i domini consentiti.

Per ulteriori informazioni, consulta gcloud iap settings set.

Esegui questo comando:

gcloud iap settings set SETTING_FILE --folder=FOLDER --organization=ORGANIZATION --project=PROJECT --resource-type=RESOURCE_TYPE --service=SERVICE --version=VERSION

Dove SETTING_FILE è:

accessSettings:
  allowed_domains_settings:
    enable: true
    domains: ["*.example.com", "*.example.net"]

Sostituisci quanto segue:

  • FOLDER: l'ID della cartella.
  • ORGANIZATION: l'ID organizzazione.
  • PROJECT: l'ID progetto.
  • RESOURCE_TYPE: il tipo di risorsa IAP. Deve essere app-engine, iap_web, compute, organization, folder, backend-services, forwarding-rule o cloud-run.
  • SERVICE: il nome del servizio. Questo parametro è facoltativo quando resource-type è compute o app-engine.
  • VERSION: il nome della versione. Questo parametro non è applicabile per compute ed è facoltativo quando resource-type è app-engine.

Devi specificare almeno uno dei seguenti flag per definire l'ambito delle impostazioni:

  • --organization=ORGANIZATION
  • --folder=FOLDER
  • --project=PROJECT

API

Per configurare i domini consentiti: Per ulteriori informazioni sull'utilizzo dell'API per configurare i domini consentiti, consulta IapSettings.

  1. Esegui il seguente comando per preparare un file iap_settings.json. Aggiorna i valori in base alle esigenze.
 {
     "access_settings":{
         "allowed_domains_settings":{
             "enable": true
             "domains": [
                 "*.example.com",
                 "*.exampe.net"
             ]
         }
     }
 }
  1. Recupera il nome della risorsa eseguendo il comando gcloud iap settings get. Copia il campo name dall'output. Avrai bisogno del nome nel passaggio successivo.
gcloud iap settings get --organization=ORGANIZATION --folder=FOLDER --project=PROJECT --resource-type=RESOURCE_TYPE --service=SERVICE --version=VERSION
  1. Sostituisci RESOURCE_NAME nel seguente comando con il nome del passaggio precedente. L'oggetto IapSettings verrà aggiornato.
curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d @iap_settings.json \
"https://iap.googleapis.com/v1/RESOURCE_NAME:iapSettings?updateMask=iapSettings.accessSettings.allowedDomainsSettings.enable,iapSettings.accessSettings.allowedDomainsSettings.domains"

Risoluzione dei problemi

Problema di accesso ai domini consentiti
Se ricevi il codice di errore 53, chiedi a un amministratore IAP di aggiungere il tuo nome host all'elenco dei domini consentiti.