IAPとBeyondCorp Enterpriseの組合せ

2024/03/28に公開されました。
2024/03/28に更新されました。

IAPとBeyondCorp Enterpriseの組合せ

Table of contents

author: yamasaki-h

はじめに

1月に入社した山﨑です。
今回はBeyondCorp Enterpriseを利用してIdentity Aware Proxy(IAP)にデバイス認証等の条件を付与していきます。
BeyondCorp Enterpriseについては過去に記事があるようなので、こちらの記事を参照してください。

Access Context Manager (ACM)

ACMではアクセスレベルを作成できます。
アクセスレベルはIAPやVPC Service Controlsに設定することでIPアドレスやデバイスポリシーなどの条件を付与できます。
アクセスレベルはプロジェクトと組織両方で作成できますが、IAPで設定できるのは組織で作成したアクセスレベルのみなので注意して下さい。
また、デバイスポリシーに関してはBeyondCorp Enterpriseを有効にすることで設定できるようになります。

アクセスレベルの作成

IPアドレス、場所(国)、デバイスポリシー、アクセスレベルを条件としてアクセスレベルを作成します。

  1. セキュリティ>Access Context Managerを開きます。
  2. アクセスレベルを作成ボタンから作成画面を開きます。
  3. 名前と条件を設定して作成します。
    acm-access-level

コンテキストアウェアアクセス

GWSのAdminコンソール内でもアクセスレベルを作成できる場所があります。
それがコンテキストアウェアアクセスです。
こちらの画面では作成したアクセスレベルを利用してGWSアプリケーションなどにアクセス制限をかけることができます。

アクセスレベルの作成

  1. Adminコンソールからセキュリティ>アクセスとデータ管理>コンテキストアウェアアクセスを開きます。
  2. アクセスレベルをクリックしアクセスレベルを作成します。
  3. 名前と説明を入力後、条件となる属性を追加して完了です。 caa-access-level

Identity Aware Proxy (IAP)

IAPによってアプリケーションへのアクセスを保護できます。
アプリケーションへのアクセス時にGoogleのID認証が行われることで不正なアクセスを弾くことができます。
BeyondCorp Enterpriseを利用するとデバイスポリシーの設定や、アクセス拒否ページのカスタマイズなどができるようになります。

OAuth同意画面の構成

IAPを利用するためにはOAuth同意画面を構成する必要があるためOAuth同意画面の構成します。

  1. APIとサービス>OAuth同意画面に遷移します。
  2. ユーザータイプを選択します。組織内のみの使用の場合内部、その他の場合外部を選択します。
  3. アプリ登録の編集画面に遷移します。必須項目を入力して次へいきます。
  4. その後の画面は編集せずに保存して次へをクリックして完了です。

IAPの有効化

準備が終わったのでIAPを有効化します。

  1. セキュリティ>Identity-Aware Proxy画面に遷移します。
  2. GAEやロードバランサなどがある場合一覧に表示されます。
  3. IAP列のスライドボタンをONにします。
  4. 構成要件のチェックをONにし、有効にすれぼ完了です。 iap

許可ユーザーの追加

IAPを有効化しましたが、このままでは誰もアプリケーションにアクセスできないので許可ユーザーを追加します。

  1. ユーザーを追加したいサービスを選択します。
  2. 右サイドメニューに権限の一覧が表示されるのでプリンシパルを追加をクリックします。
  3. 新しいプリンシパルに追加したいユーザー・グループを入力、ロールはCloud IAP>IAP-secured Web App Userを選択します。
  4. ロール右のアクセスレベルから作成済みのアクセスレベルを選択します。複数選択も可能です。
    iap-role
  5. 保存して完了です。保存後、ロールに条件が表示されていることが確認できます。
    iap-result

Access Context Managerとコンテキストアウェアアクセスの違い

これは余談になりますが、Access Context ManagerとContext Aware Accessではともにアクセスレベルを作成できます。
前者はCloudコンソールから、後者はAdminコンソールから作成できますが基本的に同じものと考えてよさそうです。
正確には組織のAccess Context Managerで作成したアクセスレベルとContext Aware Accessで作成したアクセスレベルが同じもののようです。
acm
caa

おわりに

今回はIAPにアクセスレベルを設定しました。
今回の範囲についてはデバイスポリシーを使用しなければBeyondCorp Enterpriseは不要ですので是非試してみてください。

※本記事は、ジーアイクラウド株式会社の見解を述べたものであり、必要な調査・検討は行っているものの必ずしもその正確性や真実性を保証するものではありません。

※リンクを利用する際には、必ず出典がGIC dryaki-blogであることを明記してください。
リンクの利用によりトラブルが発生した場合、リンクを設置した方ご自身の責任で対応してください。
ジーアイクラウド株式会社はユーザーによるリンクの利用につき、如何なる責任を負うものではありません。

前の記事へ
署名付きCookieの使い方
次の記事へ
LookerStudioでディメンションコントロールを使用した際に起きたエラーとその対応策