Architetture di riferimento

Questo documento presenta le architetture tipiche che puoi utilizzare come riferimento per la gestione delle identità aziendali. Di seguito sono riportati due principi fondamentali della gestione delle identità aziendali:

• Un sistema di origine autorevole per le identità che è l'unico sistema che utilizzi per creare, gestire ed eliminare le identità dei tuoi dipendenti. Le identità gestite nel sistema di origine autorevole potrebbero essere propagate ad altri sistemi.

• Un provider di identità (IdP) centrale che è l'unico sistema per l'autenticazione e che fornisce un'esperienza di Single Sign-On per i tuoi dipendenti che si estende alle applicazioni.

Quando utilizzi Google Cloud o altri servizi Google, devi decidere quale sistema utilizzare come provider di identità e quale sistema utilizzare come tua origine autorevole.

Utilizzare Google come IdP

Utilizzando Cloud Identity Premium o Google Workspace, puoi impostare Google come IdP principale. Google offre un' ampia selezione di integrazioni pronte all'uso per le applicazioni di terze parti più diffuse e puoi utilizzare protocolli standard come SAML, OAuth, e OpenID Connect per integrare le tue applicazioni personalizzate.

Google come IdP e origine autorevole

Puoi utilizzare Cloud Identity Premium o Google Workspace sia come IdP sia come origine autorevole, come nel seguente diagramma.

• Utilizzi Cloud Identity Premium o Google Workspace per gestire utenti e gruppi.
• Tutti i servizi Google utilizzano Cloud Identity Premium o Google Workspace come IdP.
• Configuri le applicazioni aziendali e altri servizi SaaS in modo che utilizzino Google come IdP.

Esperienza utente

In questa configurazione, per un dipendente, l'esperienza utente di accesso è la seguente:

1. Quando un dipendente richiede una risorsa protetta o l'accesso a un'applicazione aziendale, viene reindirizzato alla schermata Accedi con Google, che richiede l'indirizzo email e la password.
2. Se la verifica in due passaggi è attivata, al dipendente viene chiesto di fornire un secondo fattore, ad esempio una chiave USB o un codice.
3. Una volta autenticato, il dipendente viene reindirizzato alla risorsa protetta.

Vantaggi

L'utilizzo di Google come IdP e origine autorevole presenta i seguenti vantaggi:

• Puoi sfruttare appieno le funzionalità di autenticazione a più fattori e gestione dei dispositivi mobili di Google.
• Non hai bisogno di un IdP aggiuntivo, il che potrebbe farti risparmiare.

Quando utilizzare questa architettura

Prendi in considerazione l'utilizzo di Google come IdP e origine autorevole nei seguenti scenari:

• Utilizzi già Google Workspace come soluzione di collaborazione e produttività.
• Non esiste un'infrastruttura o un IdP on-premise esistente con cui devi eseguire l'integrazione oppure vuoi mantenerlo separato da tutte le tue risorse su Google (in Google Cloud, in Google Ads e così via).
• Non è necessaria l'integrazione con un sistema informativo per le risorse umane (HRIS) per gestire le identità.

Google come IdP con un HRIS come origine autorevole

Se utilizzi un sistema informativo per le risorse umane (HRIS) per gestire la procedura di onboarding e offboarding dei tuoi dipendenti, puoi comunque utilizzare Google come IdP. Cloud Identity e Google Workspace forniscono API che consentono a HRIS e ad altri sistemi di controllare la gestione di utenti e gruppi, come mostrato nel seguente diagramma.

• Utilizzi il tuo HRIS esistente per gestire gli utenti e, facoltativamente, i gruppi. L'HRIS rimane l'unica fonte di verità per la gestione delle identità ed esegue automaticamente il provisioning degli utenti per Cloud Identity o Google Workspace.
• Tutti i servizi Google utilizzano Cloud Identity Premium o Google Workspace come IdP.
• Configuri le applicazioni aziendali e altri servizi SaaS in modo che utilizzino Google come IdP.

Esperienza utente

Per un dipendente, l'esperienza utente di accesso è equivalente all'utilizzo di Google come IdP e origine autorevole.

Vantaggi

L'utilizzo di Google come IdP e origine autorevole presenta i seguenti vantaggi:

• Puoi ridurre al minimo il sovraccarico amministrativo riutilizzando i flussi di lavoro HRIS esistenti.
• Puoi sfruttare appieno le funzionalità di autenticazione a più fattori e gestione dei dispositivi mobili di Google.
• Non hai bisogno di un IdP aggiuntivo, il che potrebbe farti risparmiare.

Quando utilizzare questa architettura

Prendi in considerazione l'utilizzo di Google come IdP con un HRIS come origine autorevole nei seguenti scenari:

• Hai un HRIS o un altro sistema esistente che funge da origine autorevole per le identità.
• Utilizzi già Google Workspace come soluzione di collaborazione e produttività.
• Non esiste un'infrastruttura o un IdP on-premise esistente con cui devi eseguire l'integrazione oppure vuoi mantenerlo separato dalle tue risorse Google.

Utilizzare un IdP esterno

Se la tua organizzazione utilizza già un IdP come Active Directory, Microsoft Entra ID (in precedenza Azure AD), ForgeRock, Okta o Ping Identity, puoi eseguire l'integrazione Google Cloud con questo IdP esterno utilizzando la federazione.

Federando un account Cloud Identity o Google Workspace con un IdP esterno, puoi consentire ai dipendenti di utilizzare la loro identità e le loro credenziali esistenti per accedere ai servizi Google come Google Marketing Platform e Google Ads. Google Cloud

IDaaS esterno come IdP e origine autorevole

Se utilizzi un provider di identità come servizio (IDaaS) come ForgeRock, Okta o Ping Identity, puoi configurare la federazione come illustrato nel seguente diagramma.

• Cloud Identity o Google Workspace utilizza il tuo IDaaS come IdP per il Single Sign-On.
• L'IDaaS esegue automaticamente il provisioning di utenti e gruppi per Cloud Identity o Google Workspace.
• Le applicazioni aziendali esistenti e altri servizi SaaS possono continuare a utilizzare il tuo IDaaS come IdP.

Per saperne di più sulla federazione di Cloud Identity o Google Workspace con Okta, vedi Provisioning degli utenti e Single Sign-On di Okta.

Esperienza utente

Per un dipendente, l'esperienza utente di accesso è la seguente:

1. Quando un dipendente richiede una risorsa protetta, viene reindirizzato alla schermata Accedi con Google, che richiede l'indirizzo email.
2. Accedi con Google ti reindirizza alla pagina di accesso del tuo IDaaS.
3. Esegui l'autenticazione con il tuo IDaaS. A seconda del tuo IDaaS, potrebbe essere necessario fornire un secondo fattore, ad esempio un codice.
4. Una volta autenticato, il sistema ti reindirizzerà nuovamente alla risorsa protetta.

Vantaggi

L'utilizzo di un IDaaS esterno come IdP e origine autorevole presenta i seguenti vantaggi:

• Consenti ai tuoi dipendenti di usufruire di un'esperienza di Single Sign-On che si estende ai servizi Google e ad altre applicazioni integrate con il tuo IDaaS.
• Se hai configurato il tuo IDaaS in modo che richieda l'autenticazione a più fattori, questa configurazione si applica automaticamente a Google Cloud.
• Non devi sincronizzare password o altre credenziali con Google.
• Puoi utilizzare la versione senza costi di Cloud Identity.

Quando utilizzare questa architettura

Prendi in considerazione l'utilizzo di un IDaaS esterno come IdP e origine autorevole nei seguenti scenari:

• Utilizzi già un provider IDaaS come ForgeRock, Okta o Ping Identity come IdP.

Best practice

Consulta le nostre best practice per la federazione Google Cloud con un provider di identità esterno.

Active Directory come IdP e origine autorevole

Se utilizzi Active Directory come origine di verità per la gestione delle identità, puoi configurare la federazione come illustrato nel seguente diagramma.

• Utilizzi Google Cloud Directory Sync (GCDS) per eseguire automaticamente il provisioning di utenti e gruppi da Active Directory per Cloud Identity o Google Workspace. Google Cloud Directory Sync è uno strumento senza costi fornito da Google che implementa la procedura di sincronizzazione e può essere eseguito su Google Cloud o nel tuo ambiente on-premise. La sincronizzazione è unidirezionale, quindi Active Directory rimane l'origine di verità.
• Cloud Identity o Google Workspace utilizza Active Directory Federation Services (AD FS) per il Single Sign-On.
• Le applicazioni aziendali esistenti e altri servizi SaaS possono continuare a utilizzare AD FS come IdP.

Per una variante di questo pattern, puoi anche utilizzare Active Directory Lightweight Directory Services (AD LDS) o un'altra directory LDAP con AD FS o un altro IdP conforme a SAML.

Per saperne di più su questo approccio, vedi Federare Google Cloud con Active Directory.

Esperienza utente

1. Quando un dipendente richiede la risorsa protetta, viene reindirizzato alla schermata Accedi con Google, che richiede l'indirizzo email.
2. Accedi con Google reindirizza il dipendente alla pagina di accesso di AD FS.
3. A seconda della configurazione di AD FS, il dipendente potrebbe visualizzare una schermata di accesso che richiede il nome utente e la password di Active Directory. In alternativa, AD FS potrebbe tentare di accedere automaticamente al dipendente in base al suo accesso a Windows.
4. Una volta autenticato il dipendente, AD FS lo reindirizza alla risorsa protetta.

Vantaggi

L'utilizzo di Active Directory come IdP e origine autorevole presenta i seguenti vantaggi:

• Consenti ai tuoi dipendenti di usufruire di un'esperienza di Single Sign-On che si estende ai servizi Google e al tuo ambiente on-premise.
• Se hai configurato AD FS in modo che richieda l'autenticazione a più fattori, questa configurazione si applica automaticamente a Google Cloud.
• Non devi sincronizzare password o altre credenziali con Google.
• Puoi utilizzare la versione senza costi di Cloud Identity.
• Poiché le API utilizzate da GCDS sono accessibili pubblicamente, non è necessario configurare la connettività ibrida tra la rete on-premise e Google Cloud.

Quando utilizzare questa architettura

Prendi in considerazione l'utilizzo di Active Directory come IdP e origine autorevole nei seguenti scenari:

• Hai un'infrastruttura Active Directory esistente.
• Vuoi offrire un'esperienza di accesso senza problemi per gli utenti di Windows.

Best practice

Tieni presente le seguenti best practice:

• Active Directory e Cloud Identity utilizzano una struttura logica diversa. Assicurati di comprendere le differenze e valuta quale metodo di mappatura di domini, identità e gruppi è più adatto alla tua situazione. Per saperne di più, consulta la nostra guida alla federazione Google Cloud con Active Directory.
• Sincronizza i gruppi oltre agli utenti. Con questo approccio, puoi configurare IAM in modo da utilizzare le appartenenze ai gruppi in Active Directory per controllare chi ha accesso a quali risorse inGoogle Cloud.
• Esegui il deployment ed esponi AD FS in modo che gli utenti aziendali possano accedervi, ma non esporlo più del necessario. Sebbene gli utenti aziendali debbano essere in grado di accedere ad AD FS, non è necessario che AD FS sia raggiungibile da Cloud Identity o Google Workspace o da qualsiasi applicazione di cui hai eseguito il deployment su Google Cloud.
• Valuta la possibilità di attivare l'autenticazione integrata di Windows (IWA) in AD FS per consentire agli utenti di accedere automaticamente in base al loro accesso a Windows.
• Se AD FS non è disponibile, gli utenti potrebbero non essere in grado di utilizzare la Google Cloud console o qualsiasi altra risorsa che utilizza Google come IdP. Assicurati quindi che AD FS e i domain controller su cui si basa AD FS siano sottoposti a deployment e dimensionati in modo da soddisfare i tuoi obiettivi di disponibilità.

• Se utilizzi Google Cloud per garantire la continuità operativa, l'utilizzo di AD FS on-premise potrebbe compromettere l'intento di utilizzare Google Cloud come copia indipendente del deployment. In questo caso, valuta la possibilità di eseguire il deployment delle repliche di tutti i sistemi pertinenti su Google Cloud in uno dei seguenti modi:

  • Estendi il dominio Active Directory esistente a Google Cloud e esegui il deployment di GCDS su Google Cloud.
  • Esegui server AD FS dedicati su Google Cloud. Questi server utilizzano i domain controller Active Directory in esecuzione su Google Cloud.
  • Configura Cloud Identity in modo che utilizzi i server AD FS di cui hai eseguito il deployment su Google Cloud per il Single Sign-On.

Per saperne di più, vedi Best practice per la federazione Google Cloud con un provider di identità esterno.

Entra ID come IdP con Active Directory come origine autorevole

Se sei un cliente di Microsoft 365 o Azure, potresti aver connesso Active Directory on-premise a Entra ID. Se tutti gli account utente che potrebbero aver bisogno di accedere a Google Cloud sono già sincronizzati con Entra ID, puoi riutilizzare questa integrazione federando Cloud Identity con Entra ID, come mostrato nel seguente diagramma.

• Utilizzi Entra ID per eseguire automaticamente il provisioning di utenti e gruppi in Cloud Identity o Google Workspace. Entra ID stesso potrebbe essere integrato con Active Directory on-premise.
• Cloud Identity o Google Workspace utilizza Entra ID per il Single Sign-On.
• Le applicazioni aziendali esistenti e altri servizi SaaS possono continuare a utilizzare Entra ID come IdP.

Per informazioni più dettagliate su questo approccio, vedi Federare Google Cloud con Microsoft Entra ID.

Esperienza utente

1. Quando un dipendente richiede la risorsa protetta, viene reindirizzato alla schermata Accedi con Google, che richiede l'indirizzo email.
2. Accedi con Google li reindirizza alla pagina di accesso di AD FS.
3. A seconda di come Active Directory on-premise è connesso a Entra ID, Entra ID potrebbe richiedere un nome utente e una password oppure reindirizzare l'utente a un AD FS on-premise.
4. Una volta autenticato con Entra ID, il dipendente viene reindirizzato alla risorsa protetta.

Vantaggi

L'utilizzo di Entra ID come IdP con Active Directory come origine autorevole presenta diversi vantaggi:

• Consenti ai tuoi dipendenti di usufruire di un'esperienza di Single Sign-On che si estende ai servizi Google, a Entra e al tuo ambiente on-premise.
• Se hai configurato Entra ID in modo che richieda l'autenticazione a più fattori, questa configurazione si applica automaticamente a Google Cloud.
• Non devi installare software aggiuntivo on-premise.
• Se Active Directory on-premise utilizza più domini o foreste e hai configurato una configurazione personalizzata di Entra ID Connect per mappare questa struttura a un tenant Entra ID, puoi sfruttare questo lavoro di integrazione.
• Non devi sincronizzare password o altre credenziali con Google.
• Puoi utilizzare la versione senza costi di Cloud Identity.
• Puoi visualizzare la Google Cloud console come riquadro nel portale di Office 365.
• Poiché le API utilizzate da Entra ID sono accessibili pubblicamente, non è necessario configurare la connettività ibrida tra Entra e Google Cloud.

Quando utilizzare questa architettura

Prendi in considerazione l'utilizzo di Entra ID come IdP con Active Directory come origine autorevole nei seguenti scenari:

• Utilizzi già Entra ID e l'hai integrato con un'infrastruttura Active Directory esistente.
• Vuoi offrire un'esperienza di accesso senza problemi per gli utenti di Entra e Google Cloud.

Best practice

Segui queste best practice:

• Poiché Entra ID e Cloud Identity utilizzano una struttura logica diversa, assicurati di comprendere le differenze. Valuta quale metodo di mappatura di domini, identità e gruppi è più adatto alla tua situazione. Per informazioni più dettagliate, vedi Federare Google Cloud con Microsoft Entra ID.
• Sincronizza i gruppi oltre agli utenti. Con questo approccio, puoi configurare IAM in modo da utilizzare le appartenenze ai gruppi in Entra ID per controllare chi ha accesso a quali risorse in Google Cloud.
• Se utilizzi Google Cloud per garantire la continuità operativa, l'utilizzo di Entra ID per l'autenticazione potrebbe compromettere l'intento di utilizzare Google Cloud come copia indipendente del deployment.

Per saperne di più, vedi Best practice per la federazione Google Cloud con un provider di identità esterno.

Passaggi successivi

• Scopri di più sulla federazione con Active Directory.
• Scopri come configurare la federazione con Entra ID.
• Consulta le nostre best practice per la pianificazione di account e organizzazioni e per la federazione Google Cloud con un provider di identità esterno.