G Suiteで、会社のみを許可する方法

会社からG Suiteを利用できるようにすると、会社のG Suiteだけではなく、
個人利用のGmailなども利用できてしまいます。
会社以外のG Suiteにアクセスした場合、拒否することができます。

1. SSL(TLS) インターセプト（クライアントからの HTTPS 通信をプロキシで一度複合化する）
2. プロキシ サーバーで、アクセスできるテナント名を記載したHTTPヘッダーを追加する
3. Google側で、ヘッダーに記載のあったテナントへのアクセスを拒否する

google.com の各リクエストに対して次の処理を行います。
「X-GoogApps-Allowed-Domains:」という HTTP ヘッダーを追加します。

X-GoogApps-Allowed-Domains: mydomain1.com, mydomain2.com

# openssl req -new -newkey rsa:2048 -sha256 -days 3650 -nodes -x509 -keyout squidCA.pem -out squidCA.pem
# openssl x509 -in squidCA.pem -outform DER -out squidCA.der
# cp squidCA.pem /usr/lib64/squid/


# /usr/lib64/squid/ssl_crtd -c -s /var/db/ssl_db  # ssl_db の初期化
# chown -R /var/db/ssl_db

# Add HTTP Header
request_header_add X-GoogApps-Allowed-Domains: mydomain1.com, mydomain2.com

# SSL BUMP Settings
http_port 3128 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/usr/lib64/squid/squidCA.pem
ssl_bump bump all
sslcrtd_program /usr/lib64/squid/ssl_crtd -s /var/db/ssl_db -M 4MB

squidCA.der をダブルクリックし、以下の信頼済みルート証明機関にインストール

• 一般ユーザー向けアカウントからのサービス利用を防ぐ - G Suite 管理者 ヘルプ