Google Secure Data Connector Overview

2,401 views
2,317 views

Published on

補足説明
http://d.hatena.ne.jp/hrendoh/20110531/1306852199

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
2,401
On SlideShare
0
From Embeds
0
Number of Embeds
570
Actions
Shares
0
Downloads
6
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Google Secure Data Connector Overview

  1. 1. Google Secure Data Connector概要 株式会社 co-meeting 遠藤裕之
  2. 2. Google Secure Data Connector とはGoogle Appsとイントラネットのデータを安全に連携するために提供されているGoogle Appsの一機能ですSDCを利用して、連携できるAppsのサービス✔ Google AppEngine✔ Google Sites✔ Google Apps Script✔ Google SpreadSheet
  3. 3. Google Secure Data Connector のしくみGoogle Appsとイントラネットの連携は、SDCエージェントをイントラネットにインストールしてSSLトンネリングで通信します。 接続はSDCエージェント (図中4.Secure Data Connector)から Tunnel Servers(図中2)に対して行われる ので、FWはアウトバウンドの443ポートの み空いていれば通信可能 ※実際の通信はSSL-VPNではなく、エージェント起 動時にエージェントからTunnel ServerにSSLソ ケットをオープンしシャットダウンまで保持される。 データはこのSSLソケットの中をProtocol Buffers にラップし送受信される。
  4. 4. SDC + Google Sites infoScoopでお馴染みのガジェットをSDC対応することで Google Sitesに社内情報を 表示できるようになりますvar params = {};params[gadgets.io.RequestParameters.CONTENT_TYPE] = gadgets.io.ContentType.TEXT;params[AUTHORIZATION] = SIGNED;params[OAUTH_ADD_EMAIL] = trueparams[OAUTH_ENABLE_PRIVATE_NETWORK] = truevar url = "YOUR_URL";gadgets.io.makeRequest( url, function(response){log(response);}, params);
  5. 5. SDC + Google SpreadSheet&Apps ScriptGoogle SpreadSheetに社内のCSVをインポート可能に =importData("http://corp.example.com/contacts.csv")<resourceRules> <rule repeatable="true"> <ruleNum>1</ruleNum> <agentId>sdc42-agent</agentId> <viewerEmail repeatable="true"> pollyhedra@example.com </viewerEmail> <url>http://corp.example.com/contacts.csv</url> <urlMatch>URLEXACT</urlMatch> <apps> <service>Spreadsheets</service> <allowAnyAppId>true</allowAnyAppId> </apps> </rule></resourceRules>
  6. 6. SDC + Google AppEngine社内ネットワークのリソースを利用するアプリケーションをPublicクラウドのGoogle AppEngine上にセキュアに構築できます from google.appengine.api import urlfetch result = urlfetch.fetch( url="http://www.corp.example.com/sales.csv", headers={use_intranet: yes}) if result.status_code == 200: parseCSV(result.content) Secure Data Connector Intranet
  7. 7. AppEngineアプリをドメインに限定して公開App Engine上のアプリケーションを指定したGoogle Appsドメインにのみ公開することで半プライベートなクラウドとして利用が可能となります
  8. 8. Google Appsドメイン内ユーザのアクセス制御 SDCエージェントへのアクセスは、以下の指定が可能 ➢ ドメイン内のユーザ全体 ➢ アカウント名で指定(グループでメンバーを指定はできない) <resourceRules> <rule repeatable="true"> <ruleNum>1</ruleNum><resourceRules> <agentId>sdc42-agent</agentId> <rule repeatable="true"> <viewerEmail repeatable="true"> <ruleNum>1</ruleNum> pollyhedra@example.com <agentId>sdc42-agent</agentId> </viewerEmail> <allowDomainViewers> <url>http://corp.example.com/contacts.csv</url> true <urlMatch>URLEXACT</urlMatch> </allowDomainViewers> <apps> <url>http://corp.example.com/contacts.csv</url> <service>Spreadsheets</service> <urlMatch>URLEXACT</urlMatch> <allowAnyAppId>true</allowAnyAppId> <apps> </apps> <service>Spreadsheets</service> </rule> <allowAnyAppId>true</allowAnyAppId> </resourceRules> </apps> </rule></resourceRules>
  9. 9. 検証環境について AWS EC2のインスタンスにSDCエージェ ントを配備 セキュリティグループ(FW)のInbound ポートは22のみ開放
  10. 10. demo
  11. 11. 認証データの受け渡しについてSDCエージェントからイントラネット内のサービスへAppsの認証情報を受け渡す機能はガジェット OauthのSignedReuqestの仕組みを利用 params[AUTHORIZATION] = SIGNED; params[OAUTH_ADD_EMAIL] = true params[OAUTH_ENABLE_PRIVATE_NETWORK] = true var url = "YOUR_URL";AppEngine, SpreadSheet認証データの引渡し機能は用意されていないPOSTやヘッダで渡すなど独自で実装するしかない
  12. 12. ソフトウェアVPNと比較したメリット・デメリットメリット VPNサーバーを構築する必要がないセキュリティはGoogle Appsにお任せPublicクラウドの安全な利用が可能 Google AppEngineデメリットGoogle Apps for Businessのライセンスが必要http以外の通信はできない
  13. 13. RestletでEC2もSDCエージェントと連携未検証だが、これができたらおもしろいかもhttp://blog.noelios.com/2011/03/31/leveraging-sdc-beyond-google-cloud-with-restlet/

×