Proxy

GmailとGoogle Workspaceのアクセスを制御したい

midnight480
対象 このようなシステム管理者に向けたものです。 自社ドメインのGoogle Workspace(旧G Suite)にアクセス許可 個人のGmailにはアクセスさせない 背景 業務でアクセス先に制限が出来る機能を実装する必要があり、その対応をしたものとなります。 一般のユーザとGoogle Workspaceでは通信するホスト名は同じとなっていて、 バニティURL[自社独自のURL]( hogehoge.mail.google.com )にはならないんです。 Gmail のファイアウォールの設定 https://support.google.com/a/answer/9497877?hl=ja .client-channel.google.com accounts.google.com apis.google.com clients.google.com contacts.google.com hangouts.google.com *.googleusercontent.com mail.google.com ssl.gstatic.com www.google.com www.gstatic.com ogs.google.com play.google.com 一般ユーザー向けアカウントからのサービス利用を防ぐ https://support.google.com/a/answer/1668854?hl=ja a.リクエストをインターセプトします。 b.「X-GoogApps-Allowed-Domains:」という HTTP ヘッダーを追加し、許可されるドメイン名のカンマ区切りのリストを続けて指定します。 Google Workspace に登録したドメインと追加したセカンダリ ドメインを必ずリストに含めるようにしてください。 例: X-GoogApps-Allowed-Domains: mydomain1.com, mydomain2.com OSSのイカくん(Squid)で、なんとかできそうでは?😆 (追加要件で、Microsoft Teamsのみアクセス許可) Microsoft Teams が Edge、Internet Explorer、または Google Chrome のログイン ループでスタックする https://docs.microsoft.com/ja-jp/microsoftteams/troubleshoot/teams-sign-in/sign-in-loop#resolution [.]microsoft.com [.]microsoftonline.com [.]teams.skype.com [.]teams.microsoft.com [.]sfbassets.com [.]skypeforbusiness.com Squid プロキシ フォワードプロキシ 一般的に内部ネットワークからインターネット接続を行う際に、クライアントとサーバの間に存在する リバースプロキシ 一般的に外部から内部でアクセスする負荷分散 方針 Containerで実装したい AWSのマネージドサービスで動かしたい 必要なもの sudo apt install -y openssl squid3 自己発行証明書生成 cd /etc/squid/ mkdir ssl_cert mkdir acl cd /etc/squid/ssl_cert openssl req -new -newkey rsa:2048 -days 3650 -nodes -x509 -keyout myCA.