本文說明 Google Cloud 的身分佈建選項,以及將使用者加入 Cloud Identity 或 Google Workspace 時必須做出的決定。本文也提供指引,說明如何取得更多有關部署各選項的資訊。
本文是登陸區系列文章之一,適用於負責管理貴機構和 Google Cloud部署作業身分的架構師和技術人員。
總覽
如要讓貴機構使用者存取 Google Cloud 資源,您必須提供驗證身分的方式。 Google Cloud 會使用Google 登入驗證使用者身分,這與 Gmail 或 Google Ads 等其他 Google 服務使用的身分識別提供者 (IdP) 相同。
雖然貴機構中的部分使用者可能已有私人 Google 使用者帳戶,但我們強烈建議不要讓他們在存取 Google Cloud時使用私人帳戶。您可以改為讓使用者加入 Cloud Identity 或 Google Workspace,控管使用者帳戶的生命週期和安全性。
在 Google Cloud 中佈建身分識別是複雜的主題,您的確切策略可能需要比本決策指南範圍更詳細的資訊。如需更多最佳做法、規劃和部署資訊,請參閱「身分與存取權管理總覽」。
身分識別導入程序的決策點
如要為貴機構選擇最佳的身分佈建設計,您必須做出下列決策:
決定身分架構
管理使用者帳戶的生命週期和安全性,對於確保部署作業安全至關重要。 Google Cloud 您必須做出重要決策,就是 Google Cloud 在現有身分管理系統和應用程式中扮演的角色。選項如下:
- 將 Google 設為主要識別資訊提供者 (IdP)。
- 與外部識別資訊提供者建立聯盟。
以下各節將詳細說明每個選項。
選項 1:將 Google 設為主要身分來源 (不使用同盟)
直接在 Cloud Identity 或 Google Workspace 中建立使用者帳戶時,您可以將 Google 設為身分來源和主要 IdP。使用者隨後就能使用這些身分和憑證登入 Google Cloud 和其他 Google 服務。
Cloud Identity 和 Google Workspace 提供多種現成整合功能,可與熱門的第三方應用程式搭配使用。您也可以使用 SAML、OAuth 和 OpenID Connect 等標準通訊協定,將自訂應用程式與 Cloud Identity 或 Google Workspace 整合。
在下列情況下,請使用這項策略:
- 貴機構已在 Google Workspace 中佈建使用者身分。
- 貴機構沒有現有的 IdP。
- 貴機構已有 IdP,但想先為一小部分使用者快速啟用服務,之後再聯合身分。
如果您有現有的 IdP,且想將其做為身分的授權來源,請避免使用這項策略。
如要瞭解詳情,請參考下列資源:
方法 2:使用與外部識別資訊提供者的同盟
您可以透過同盟機制,將 Google Cloud 與現有的外部 IdP 整合。身分聯盟會在兩個以上的 IdP 之間建立信任關係,因此使用者在不同身分管理系統中擁有的多個身分可以連結。
將 Cloud Identity 或 Google Workspace 帳戶與外部 IdP 聯合後,使用者就能透過現有身分和憑證登入 Google Cloud 和其他 Google 服務。
在下列情況下,請使用這項策略:
- 您有現有的 IdP,例如 Active Directory、Azure AD、ForgeRock、Okta 或 Ping Identity。
- 您希望員工使用現有的身分和憑證登入 Google Cloud 和其他 Google 服務,例如 Google Ads 和 Google Marketing Platform。
如果貴機構沒有現有的 IdP,請避免採用這項策略。
如要瞭解詳情,請參考下列資源:
- 外部身分 - Google 身分管理總覽
- 參考架構:使用外部 IdP
- 連結外部識別資訊提供者的最佳做法 Google Cloud
- 連結 Google Cloud Active Directory
- 連結 Google Cloud Azure AD
決定如何合併現有使用者帳戶
如果您尚未使用 Cloud Identity 或 Google Workspace,貴機構的員工有可能已經使用個人帳戶來存取 Google 服務。個人帳戶是由建立者全權擁有及管理。由於這些帳戶不受貴機構控管,且可能包含個人和公司資料,因此您必須決定如何將這些帳戶與其他公司帳戶合併。
如要進一步瞭解消費者帳戶、如何識別這類帳戶,以及這類帳戶可能對貴機構造成的風險,請參閱「評估現有使用者帳戶」。
合併帳戶的選項如下:
- 整合相關的消費者帳戶子集。
- 透過遷移作業合併所有帳戶。
- 透過逐出程序合併所有帳戶,也就是先建立新帳戶,再遷移舊帳戶。
以下各節將詳細說明每個選項。
方法 1:整合相關的個人帳戶子集
如要保留消費者帳戶,並根據公司政策管理這些帳戶和資料,請將帳戶遷移至 Cloud Identity 或 Google Workspace。不過,整合消費者帳戶的過程可能相當耗時。因此,建議您先評估哪些使用者子集與預計部署作業相關,然後只合併這些使用者帳戶。 Google Cloud
在下列情況下,請使用這項策略:
- 非受管使用者帳戶轉移工具會顯示網域中的許多消費者使用者帳戶,但只有部分使用者會使用 Google Cloud。
- 您想在合併程序中節省時間。
如果符合下列情況,請避免使用這項策略:
- 您的網域沒有個人使用者帳戶。
- 您希望在開始使用Google Cloud前,確保網域中所有個人使用者帳戶的資料都已整合至代管帳戶。
詳情請參閱「帳戶合併總覽」。
方法 2:透過遷移作業合併所有帳戶
如要管理網域中的所有使用者帳戶,可以將所有消費者帳戶遷移至代管帳戶,藉此整合所有帳戶。
在下列情況下,請使用這項策略:
- 非受管使用者帳戶轉移工具只會顯示網域中的少數幾個消費者帳戶。
- 您想限制貴機構使用個人帳戶。
如果您想在合併程序中節省時間,請避免使用這項策略。
詳情請參閱「遷移個人帳戶」。
方法 3:透過逐出功能合併所有帳戶
在下列情況下,您可以逐出個人帳戶:
- 您希望建立個人帳戶的使用者能完全控管自己的帳戶和資料。
- 您不想轉移任何資料,交由貴機構管理。
如要逐出個人帳戶,請建立同名的受管理使用者身分,但不要先遷移使用者帳戶。
在下列情況下,請使用這項策略:
- 您想為使用者建立新的代管帳戶,但不想轉移個人帳戶中的任何資料。
- 您想限制貴機構可用的 Google 服務。您也希望使用者保留資料,並繼續使用他們建立的個人帳戶存取這些服務。
如果消費者帳戶曾用於公司用途,且可能存取公司資料,請避免使用這項策略。
詳情請參閱「逐出個人帳戶」。
導入身分的最佳做法
選擇身分架構和合併現有消費者帳戶的方法後,請參考下列身分最佳做法。
為貴機構選擇合適的導入方案
選取高階方案,將機構的身分識別資訊加入 Cloud Identity 或 Google Workspace。如要查看經過驗證的新手上路計畫,以及如何選擇最符合需求的計畫,請參閱「評估新手上路計畫」。
如果您打算使用外部 IdP,且已找出需要遷移的使用者帳戶,可能需要滿足其他條件。詳情請參閱「評估合併使用者帳戶對連結的影響」。
保護使用者帳戶
將使用者加入 Cloud Identity 或 Google Workspace 後,您必須採取措施,協助保護他們的帳戶免遭濫用。如要瞭解詳情,請參考下列資源:
- 實施 Cloud Identity 管理員帳戶的安全性最佳做法。
- 強制執行統一的多重驗證規則 ,並遵循與聯盟身分搭配使用的最佳做法。
- 啟用資料共用,將 Google Workspace 或 Cloud Identity 稽核記錄匯出至 Cloud Logging。
後續步驟
- 決定資源階層結構 (本系列文件的下一篇)。
- 進一步瞭解使用者、Cloud Identity 帳戶和機構之間的關係。 Google Cloud
- 請參閱規劃帳戶和機構的最佳做法。
- 請參閱連結外部身分識別提供者的最佳做法 Google Cloud 。