Decidi come eseguire l'onboarding delle identità in Google Cloud

Questo documento descrive le opzioni di provisioning delle identità per Google Cloud e le decisioni che devi prendere quando esegui l'onboarding degli utenti in Cloud Identity o Google Workspace. Questo documento fornisce anche indicazioni su dove trovare ulteriori informazioni su come eseguire il deployment di ogni opzione.

Questo documento fa parte di una serie sulle landing zone ed è destinato ad architetti e professionisti tecnici coinvolti nella gestione delle identità per la tua organizzazione e per la tua implementazione di Google Cloud.

Panoramica

Per consentire agli utenti della tua organizzazione di accedere alle tue risorse, devi fornire un modo per autenticarsi. Google Cloud utilizza l'accesso con Google per autenticare gli utenti, ovvero lo stesso identity provider (IdP) utilizzato da altri servizi Google come Gmail o Google Ads. Google Cloud

Anche se alcuni utenti della tua organizzazione potrebbero già avere un account utente Google privato, sconsigliamo vivamente di consentire loro di utilizzare i propri account privati quando accedono a Google Cloud. Puoi invece eseguire l'onboarding degli utenti su Cloud Identity o Google Workspace, che ti consente di controllare il ciclo di vita e la sicurezza degli account utente.

Il provisioning delle identità in Google Cloud è un argomento complesso e la tua strategia esatta potrebbe richiedere maggiori dettagli rispetto a quelli inclusi in questa guida alla decisione. Per ulteriori best practice, informazioni sulla pianificazione e sul deployment, consulta la panoramica di Identity and Access Management.

Punti decisionali per l'onboarding dell'identità

Per scegliere il miglior design di provisioning delle identità per la tua organizzazione, devi prendere le seguenti decisioni:

• La tua architettura di identità

• Come consolidare gli account utente esistenti

Decidere l'architettura dell'identità

La gestione del ciclo di vita e della sicurezza degli account utente svolge un ruolo importante nella protezione del tuo Google Cloud deployment. Una decisione fondamentale che devi prendere è il ruolo che Google Cloud deve svolgere in relazione ai tuoi sistemi e applicazioni di gestione delle identità esistenti. Le opzioni sono le seguenti:

• Utilizza Google come provider di identità principale.
• Utilizza la federazione con un provider di identità esterno.

Le sezioni seguenti forniscono ulteriori informazioni su ciascuna opzione.

Opzione 1: utilizza Google come origine principale per le identità (nessuna federazione)

Quando crei account utente direttamente in Cloud Identity o Google Workspace, puoi fare di Google la tua origine delle identità e il tuo IdP principale. Gli utenti possono quindi utilizzare queste identità e credenziali per accedere a Google Cloud e ad altri servizi Google.

Cloud Identity e Google Workspace offrono un'ampia selezione di integrazioni pronte all'uso per le applicazioni di terze parti più diffuse. Puoi anche utilizzare protocolli standard come SAML, OAuth e OpenID Connect per integrare le tue applicazioni personalizzate con Cloud Identity o Google Workspace.

Utilizza questa strategia quando si verifica quanto segue:

• La tua organizzazione ha già eseguito il provisioning delle identità utente in Google Workspace.
• La tua organizzazione non dispone di un IdP esistente.
• La tua organizzazione ha un IdP esistente, ma vuole iniziare rapidamente con un piccolo sottoinsieme di utenti e federare le identità in un secondo momento.

Evita questa strategia se disponi di un IdP esistente che vuoi utilizzare come origine autorevole per le identità.

Per ulteriori informazioni, consulta le seguenti risorse:

• Preparazione del tuo account Google Workspace o Cloud Identity
• Utilizzo di Google come IdP

Opzione 2: utilizza la federazione con un provider di identità esterno

Puoi integrare Google Cloud con un IdP esterno esistente utilizzando la federazione. La federazione delle identità stabilisce l'attendibilità tra due o più IdP in modo che le più identità che un utente potrebbe avere in diversi sistemi di gestione delle identità possano essere collegate.

Quando federi un account Cloud Identity o Google Workspace con un IdP esterno, consenti agli utenti di utilizzare le proprie identità e credenziali esistenti per accedere a Google Cloud e ad altri servizi Google.

Utilizza questa strategia quando si verifica quanto segue:

• Hai un IdP esistente come Active Directory, Azure AD, ForgeRock, Okta o Ping Identity.
• Vuoi che i dipendenti utilizzino la loro identità e le loro credenziali esistenti per accedere a Google Cloud e ad altri servizi Google come Google Ads e Google Marketing Platform.

Evita questa strategia quando la tua organizzazione non dispone di un IdP esistente.

Per ulteriori informazioni, consulta le seguenti risorse:

• Identità esterne - Panoramica della gestione delle identità Google
• Architetture di riferimento: utilizzo di un IdP esterno
• Best practice per la federazione Google Cloud con un provider di identità esterno
• Federazione Google Cloud con Active Directory
• Federazione Google Cloud con Azure AD

Decidere come consolidare gli account utente esistenti

Se non utilizzi Cloud Identity o Google Workspace, è possibile che i dipendenti della tua organizzazione utilizzino account consumer per accedere ai tuoi servizi Google. Gli account dei consumatori sono account interamente di proprietà e gestiti dalle persone che li hanno creati. Poiché questi account non sono sotto il controllo della tua organizzazione e potrebbero includere dati personali e aziendali, devi decidere come consolidarli con altri account aziendali.

Per informazioni dettagliate sugli account consumer, su come identificarli e sul rischio che potrebbero rappresentare per la tua organizzazione, consulta Valutazione degli account utente esistenti.

Le opzioni per consolidare gli account sono le seguenti:

• Consolidare un sottoinsieme pertinente di account consumer.
• Consolida tutti gli account tramite la migrazione.
• Consolida tutti gli account tramite l'espulsione, senza eseguire la migrazione degli account prima di crearne di nuovi.

Le sezioni seguenti forniscono ulteriori informazioni su ciascuna opzione.

Opzione 1: consolida un sottoinsieme pertinente di account consumer

Se vuoi conservare gli account consumer e gestirli insieme ai relativi dati in base alle norme aziendali, devi eseguire la migrazione a Cloud Identity o Google Workspace. Tuttavia, la procedura di consolidamento degli account consumatore può richiedere molto tempo. Pertanto, ti consigliamo di valutare prima quale sottoinsieme di utenti è pertinente per l'implementazione Google Cloud pianificata e poi consolidare solo questi account utente.

Utilizza questa strategia quando si verifica quanto segue:

• Lo strumento di trasferimento per gli account utente non gestiti mostra molti account utente consumer nel tuo dominio, ma solo un sottoinsieme dei tuoi utenti utilizzerà Google Cloud.
• Vuoi risparmiare tempo nella procedura di consolidamento.

Evita questa strategia quando si verifica quanto segue:

• Non hai account utente consumer nel tuo dominio.
• Vuoi assicurarti che tutti i dati di tutti gli account utente consumer nel tuo dominio vengano consolidati negli account gestiti prima di iniziare a utilizzare Google Cloud.

Per saperne di più, consulta la pagina Panoramica del consolidamento degli account.

Opzione 2: consolida tutti gli account tramite la migrazione

Se vuoi gestire tutti gli account utente nel tuo dominio, puoi consolidare tutti gli account consumer eseguendo la migrazione agli account gestiti.

Utilizza questa strategia quando si verifica quanto segue:

• Lo Strumento di trasferimento per gli account utente non gestiti mostra solo alcuni account consumer nel tuo dominio.
• Vuoi limitare l'utilizzo degli account consumer nella tua organizzazione.

Evita questa strategia se vuoi risparmiare tempo nella procedura di consolidamento.

Per ulteriori informazioni, vedi Eseguire la migrazione degli account consumer.

Opzione 3: consolidare tutti gli account tramite l'espulsione

Puoi espellere gli account consumer nelle seguenti circostanze:

• Vuoi che gli utenti che hanno creato account consumer mantengano il controllo completo dei propri account e dati.
• Non vuoi trasferire dati da gestire dalla tua organizzazione.

Per rimuovere gli account consumer, crea un'identità utente gestita con lo stesso nome senza eseguire prima la migrazione dell'account utente.

Utilizza questa strategia quando si verifica quanto segue:

• Vuoi creare nuovi account gestiti per i tuoi utenti senza trasferire i dati esistenti nei loro account consumer.
• Vuoi limitare i servizi Google disponibili nella tua organizzazione. Inoltre, vuoi che gli utenti conservino i propri dati e continuino a utilizzare questi servizi per gli account consumer che hanno creato.

Evita questa strategia quando gli account consumer sono stati utilizzati per scopi aziendali e potrebbero avere accesso ai dati aziendali.

Per ulteriori informazioni, vedi Rimozione degli account consumer.

Best practice per l'onboarding delle identità

Dopo aver scelto l'architettura dell'identità e il metodo per consolidare gli account consumer esistenti, prendi in considerazione le seguenti best practice per l'identità.

Seleziona un piano di onboarding adatto alla tua organizzazione

Seleziona un piano di alto livello per eseguire l'onboarding delle identità della tua organizzazione in Cloud Identity o Google Workspace. Per una selezione di piani di onboarding collaudati, insieme a indicazioni su come scegliere il piano più adatto alle tue esigenze, consulta Valutare i piani di onboarding.

Se prevedi di utilizzare un IdP esterno e hai identificato gli account utente da migrare, potresti avere requisiti aggiuntivi. Per saperne di più, vedi Valutazione dell'impatto del consolidamento degli account utente sulla federazione.

Proteggi gli account utente

Dopo aver eseguito l'onboarding degli utenti in Cloud Identity o Google Workspace, devi adottare misure per proteggere i loro account da abusi. Per ulteriori informazioni, consulta le seguenti risorse:

• Implementa le best practice per la sicurezza degli account amministrativi Cloud Identity.
• Applica regole di autenticazione a più fattori uniformi e segui le best practice quando combinate con la federazione delle identità.
• Esporta i log di controllo di Google Workspace o Cloud Identity in Cloud Logging attivando la condivisione dei dati.

Passaggi successivi

• Decidi la gerarchia delle risorse (documento successivo di questa serie).
• Scopri di più su come si relazionano utenti, account Cloud Identity e Google Cloud organizzazioni.
• Rivedi le best practice consigliate per la pianificazione di account e organizzazioni.
• Leggi le best practice per la federazione Google Cloud con un provider di identità esterno.