Dokumen ini membandingkan empat pola arsitektur untuk melakukan penggabungan Google Cloud dengan penyedia identitas (IdP) eksternal. Dokumen ini juga memberikan panduan untuk membantu Anda memilih arsitektur yang sesuai untuk kasus penggunaan Anda.
Empat pola arsitektur adalah sebagai berikut:
- Federasi Cloud Identity atau Google Workspace
- Workforce Identity Federation, tanpa sinkronisasi
- Workforce Identity Federation dengan SCIM
- Hybrid Cloud Identity dan Workforce Identity Federation
Faktor keputusan
Untuk memilih pola arsitektur yang sesuai untuk organisasi Anda, pertimbangkan beberapa faktor, termasuk hal berikut:
- Portofolio layanan: Portofolio layanan Google Anda, dan apakah portofolio tersebut mencakup Google Workspace dan layanan di luarGoogle Cloud, seperti Google Ads, Google Maps, atau Chrome Enterprise.
- Residensi data: Persyaratan residensi dan kedaulatan data Anda.
- Integrasi Gemini Enterprise dengan Microsoft 365: Penggunaan Gemini Enterprise atau NotebookLM Enterprise oleh Anda dan apakah Anda berencana mengintegrasikan Gemini Enterprise dengan layanan Microsoft 365.
Portofolio layanan
Layanan Google mengelola autentikasi dan otorisasi secara berbeda. Hal ini memengaruhi cara Anda mengonfigurasi identity federation. Dua faktor menentukan perbedaan ini: model layanan SaaS versus PaaS dan IaaS serta model otorisasi IAM versus khusus layanan.
Model layanan
- Software as a Service (SaaS): Google mengelola sepenuhnya layanan seperti Gmail, Google Ads, atau aplikasi Gemini Enterprise. Layanan ini tidak memerlukan upaya pengembangan dan siap digunakan. Karena layanan SaaS menargetkan audiens yang besar, sebagian besar pengguna Anda mungkin memerlukan akses ke layanan tersebut.
- Platform as a Service (PaaS) atau Infrastructure as a Service (IaaS): Sebagian besar Google Cloud layanan adalah PaaS atau IaaS. Layanan ini memungkinkan pengguna teknis mengembangkan, men-deploy, dan mengoperasikan workload kustom. Karena layanan ini menargetkan audiens teknis, hanya sebagian kecil pengguna Anda yang memerlukan akses.
Model otorisasi
Layanan Google menerapkan otorisasi dengan salah satu dari dua cara berikut:
- IAM: Sebagian besar layanan menggunakan IAM untuk memungkinkan administrator mengelola akses terperinci ke resource. Google Cloud
- Otorisasi khusus layanan: Layanan seperti Google Ads, Looker, atau Google Workspace tidak menggunakan IAM. Sebagai gantinya, administrator mengelola akses menggunakan alat khusus untuk setiap layanan.
Faktor-faktor ini menghasilkan grup layanan berikut:
| SaaS | PaaS atau IaaS | |
|---|---|---|
| Otorisasi berbasis IAM | Google Cloud Layanan SaaS seperti aplikasi Gemini Enterprise dan NotebookLM Enterprise | Google Cloud Layanan PaaS dan IaaS seperti BigQuery atau Compute Engine |
| Otorisasi khusus layanan | Layanan Google non-cloud seperti Google Ads, Google Workspace, dan Google Maps | Tidak ada |
Untuk memilih pola arsitektur yang sesuai untuk organisasi Anda, pertimbangkan grup layanan mana yang berlaku untuk organisasi Anda.
Residensi data
Untuk mengautentikasi pengguna dan mengelola sesi, Cloud Identity, Google Workspace, dan Workforce Identity Federation memproses informasi pengguna pribadi. Informasi pengguna ini dapat mencakup hal berikut:
- Nama pengguna atau alamat email
- Atribut pengguna seperti nama depan dan nama belakang
- Nama dan keanggotaan grup
Cloud Identity, Google Workspace, dan Workforce Identity Federation memproses data ini berdasarkan persyaratan untuk data layanan dan mungkin menyimpannya di luar lokasi organisasi atau pengguna Anda:
- Cloud Identity dan Google Workspace menyimpan data layanan di pusat data Google dan dapat mereplikasinya di semua pusat data. Data yang disimpan dapat mencakup informasi yang tidak penting untuk autentikasi, seperti nama departemen, alamat, atau nomor telepon.
- Federasi Identitas Tenaga Kerja menyimpan data layanan di Google Cloud region dan dapat mereplikasinya di semua region.
Jika Anda memberi pengguna akses ke resource, IAM akan menyimpan ID pokoknya dalam binding peran. Google Cloud memproses binding peran berdasarkan persyaratan untuk data layanan dan dapat menyimpannya di semua Google Cloud region.
Pola arsitektur yang dijelaskan di halaman ini memerlukan penyimpanan informasi pengguna, tetapi berbeda dalam berapa lama mereka menyimpan informasi pengguna tersebut:
- Workforce Identity Federation tanpa SCIM menyimpan informasi pengguna hanya hingga sesi pengguna berakhir.
- Workforce Identity Federation dengan SCIM menyimpan informasi pengguna hingga Anda menghapus akun pengguna atau menghapus tenant, dan hingga periode retensi data berakhir.
- Cloud Identity dan Google Workspace menyimpan informasi pengguna hingga Anda menghapus akun pengguna dan hingga periode retensi data berakhir.
Banyak IdP memungkinkan Anda mengotomatiskan penangguhan atau penghapusan akun pengguna saat status akun pengguna yang sesuai berubah di IdP. Bergantung pada IdP dan konfigurasinya, IdP mungkin menunda penghapusan akun pengguna hingga masa tenggang tertentu berakhir, yang dapat memperpanjang durasi penyimpanan informasi pengguna tersebut. Google Cloud
Integrasi Gemini Enterprise dengan Microsoft 365
Gemini Enterprise memungkinkan Anda terhubung ke layanan Microsoft 365 menggunakan dua jenis konektor:
- Konektor berbasis penyerapan data: Konektor ini meng-crawl Microsoft 365 untuk membuat indeks penelusuran di Google Cloud. Saat pengguna mengirimkan perintah, Gemini Enterprise menggunakan indeks ini untuk menelusuri konten, dan melakukan pemeriksaan akses secara lokal dengan mengevaluasi daftar kontrol akses (ACL) yang diperoleh dari Microsoft 365.
- Konektor gabungan: Konektor ini mengkueri Microsoft 365 untuk setiap perintah. Mereka menggunakan otorisasi yang didelegasikan untuk mengizinkan Microsoft 365 melakukan pemeriksaan akses secara langsung.
Konektor berbasis penyerapan data memperkenalkan persyaratan khusus untuk federasi pengguna:
- Pengetahuan keanggotaan grup: ACL Microsoft 365 dapat menyertakan entri untuk grup dan pengguna. Untuk mengevaluasi apakah pengguna dapat mengakses konten, konektor harus mempertimbangkan semua grup tempat pengguna berada. Jika konektor hanya mengetahui sebagian grup pengguna, konektor tersebut mungkin salah mengizinkan atau menolak akses.
- Konversi ID: Untuk mengevaluasi ACL, konektor harus mengonversi antara ID pengguna dan grup yang digunakan oleh Microsoft 365 dan ID yang digunakan oleh Google Cloud.
Saat Anda menggunakan Workforce Identity Federation, Gemini Enterprise dapat mengonversi ID dan mengevaluasi ACL secara andal jika Anda mengonfigurasi pemetaan atribut agar kompatibel dengan Gemini Enterprise.
Saat Anda menggunakan federasi Cloud Identity atau Google Workspace, Microsoft Entra ID mengontrol pemetaan atribut untuk penyediaan pengguna dan grup, bukan Google Cloud. Entra menentukan aturan konversi untuk ID pengguna dan grup, yang mungkin melibatkan transformasi yang kompleks. Untuk mengevaluasi ACL, konektor Gemini Enterprise harus menerapkan aturan konversi yang sama, tetapi konektor tidak memiliki visibilitas ke konfigurasi Entra. Oleh karena itu, saat Anda menggunakan federasi Cloud Identity atau federasi Google Workspace, Gemini Enterprise tidak dapat mengonversi ID pengguna dan grup secara andal dan tidak dapat mengevaluasi ACL secara andal.
Untuk menentukan pola arsitektur yang sesuai dengan organisasi Anda, pertimbangkan penggunaan Gemini Enterprise dan apakah Anda berencana menggunakan konektor berbasis penyerapan data.
Pola arsitektur
Diagram alur berikut menunjukkan cara faktor-faktor ini menentukan pola mana yang memenuhi persyaratan organisasi Anda:
Apakah sebagian besar organisasi Anda menggunakan Google Workspace?
- Jika Ya, gunakan pola federasi Cloud Identity atau Google Workspace.
- Jika Tidak, lanjutkan ke keputusan 2.
Apakah Anda menggunakan layanan di luar Google Cloud seperti Google Ads atau Google Maps?
- Jika Ya, lanjutkan ke keputusan 3.
- Jika Tidak, lanjutkan ke keputusan 4.
Apakah Anda berencana menggunakan Gemini Enterprise dan mengintegrasikannya dengan Microsoft 365?
- Jika Ya, gunakan pola Hybrid Cloud Identity dan Workforce Identity Federation.
- Jika Tidak, gunakan pola federasi Cloud Identity atau Google Workspace.
Apakah Anda berencana menggunakan Gemini Enterprise?
- Jika Ya, gunakan pola Workforce Identity Federation dengan SCIM.
- Jika Tidak, lanjutkan ke keputusan 5.
Apakah Anda memiliki persyaratan residensi data yang mengharuskan Anda meminimalkan penyimpanan informasi pengguna?
- Jika Ya, gunakan Workforce Identity Federation, pola tanpa sinkronisasi.
- Jika Tidak, gunakan pola federasi Cloud Identity atau Google Workspace.
Federasi Cloud Identity atau Google Workspace
Pilih pola ini jika organisasi Anda memenuhi salah satu kriteria berikut:
- Sebagian besar organisasi Anda sudah menggunakan Google Workspace.
- Anda menggunakan layanan Google di luar seperti Google Ads atau Google Maps, tetapi tidak berencana mengintegrasikan Gemini Enterprise dengan Microsoft 365 menggunakan konektor berbasis penyerapan data. Google Cloud
- Anda hanya menggunakan Google Cloud layanan, tidak berencana menggunakan Gemini Enterprise, dan tidak memiliki persyaratan residensi data yang ketat untuk meminimalkan penyimpanan data pengguna.
Dalam pola ini, Anda tidak menggunakan Workforce Identity Federation. Sebagai gantinya, Anda menggabungkan akun Cloud Identity atau akun Google Workspace Anda dengan IdP Anda, dan Anda menggunakan penyediaan pengguna dan penyediaan grup sebelum waktunya.
Dalam pola ini, Anda harus menyediakan pengguna dan grup sebelum pengguna dapat login; jika tidak, upaya login mereka akan gagal:
- Penyediaan pengguna: Membantu memastikan orientasi dan deaktivasi pengguna tepat waktu.
- Penyediaan grup: Memungkinkan Anda menggunakan grup untuk mengelola akses ke layanan dan resource Google. Google Cloud
Jika hanya sebagian kecil pengguna organisasi Anda yang memerlukan Google Workspace, tambahkan langganan Google Workspace dan langganan Cloud Identity ke akun Anda, lalu tetapkan lisensi Google Workspace hanya kepada pengguna yang memerlukannya.
Manfaat
- Pengguna dapat melakukan autentikasi ke layanan Google, terlepas dari apakah layanan tersebut menggunakan IAM atau tidak. Di akun Cloud Identity atau di akun Google Workspace, kontrol layanan Google mana yang diizinkan untuk digunakan pengguna.
- Anda dapat membatasi single sign-on (SSO) dan penyediaan lebih awal untuk sebagian pengguna, dan terus mengelola pengguna tertentu, seperti pengguna akses darurat, langsung di Cloud Identity atau di Google Workspace.
- Anda dapat menyediakan grup dari IdP eksternal, mengelola grup secara lokal di akun Cloud Identity atau di akun Google Workspace, atau menggabungkan kedua pendekatan tersebut.
Batasan
- Menyediakan akun pengguna terlebih dahulu akan menambah beban, dan penyediaan tersebut dapat memperlambat proses aktivasi.
Anda tidak dapat mengontrol atau membatasi lokasi yang digunakan Cloud Identity atau Google Workspace untuk menyimpan data pengguna dan data grup. Karena Google memproses dan menyimpan data pengguna dan data grup berdasarkan persyaratan untuk data layanan, kontrol region data tidak mencakup data tersebut, dan Google dapat mereplikasi data tersebut di seluruh lokasi pusat data Google.
Gemini Enterprise memberikan dukungan terbatas untuk terhubung ke sumber data Microsoft saat Anda menggunakan penggabungan Cloud Identity atau penggabungan Google Workspace.
Workforce Identity Federation, tanpa sinkronisasi
Pilih pola ini jika organisasi Anda memenuhi kriteria berikut:
- Anda hanya menggunakan Google Cloud layanan.
- Anda menggunakan Gemini Enterprise, tetapi berharap untuk tetap berada dalam batasan grup yang diterapkan oleh IdP Anda.
- Anda memiliki persyaratan residensi data yang mengharuskan Anda meminimalkan penyimpanan informasi pengguna pribadi.
Dalam pola ini, Anda menggunakan Workforce Identity Federation untuk menggabungkanGoogle Cloud organisasi Anda dengan IdP eksternal.
Pola ini tidak memerlukan penyediaan pengguna atau penyediaan grup. Setiap kali pengguna login, IdP meneruskan informasi yang diperlukan tentang pengguna—termasuk keanggotaan grup dan atribut khusus—ke Google Cloud, dan Google Cloud menyimpan informasi tersebut hanya selama sesi pengguna berlangsung.
Manfaat
- Anda tidak perlu menyimpan atau mengelola akun atau grup pengguna di Google Cloud.
- Pola ini memungkinkan Anda menggunakan konektor berbasis penyerapan data untuk mengintegrasikan Gemini Enterprise dengan Microsoft 365.
Batasan
- Workforce Identity Federation adalah fitur IAM dan hanya memungkinkan pengguna mengakses layanan yang menggunakan IAM. Pengguna yang melakukan autentikasi menggunakan Workforce Identity Federation tidak dapat mengakses layanan Google seperti Google Ads, Looker, atau Google Marketing Platform.
- Pengguna yang melakukan autentikasi menggunakan Workforce Identity Federation tidak dapat mengakses beberapa Google Cloud fitur. Untuk mengetahui detailnya, lihat Federasi identitas: produk dan batasan.
- Banyak IdP membatasi jumlah keanggotaan grup yang dapat diteruskan ke Workforce Identity Federation dalam pernyataan SAML atau token ID. Untuk tetap berada di bawah batas ini, Anda mungkin perlu memperkuat tata kelola grup dan membatasi jenis grup yang akan disertakan dalam pernyataan atau token.
- Saat membagikan materi seperti notebook NotebookLM Enterprise, Anda tidak dapat menelusuri grup berdasarkan nama. Sebagai gantinya, pengguna harus memasukkan ID mereka secara manual.
Jika Anda menggunakan Microsoft Entra ID, Anda dapat menggunakan variasi pola ini dengan mengonfigurasi atribut tambahan. Saat Anda mengonfigurasi atribut tambahan, Workforce Identity Federation akan menjalankan callback ke Microsoft Graph API selama autentikasi pengguna untuk mengambil keanggotaan grup. Konfigurasi ini memungkinkan Anda mengatasi batas keanggotaan grup Entra untuk pernyataan SAML dan token ID serta menggunakan hingga 999 keanggotaan grup per pengguna.
Workforce Identity Federation dengan SCIM
Pilih pola ini jika organisasi Anda memenuhi kriteria berikut:
- Anda hanya menggunakan Google Cloud layanan. Artinya, Anda tidak menggunakan layanan Google eksternal seperti Google Ads atau Google Maps.
- Anda berencana menggunakan Gemini Enterprise atau NotebookLM Enterprise, dan Anda memerlukan dukungan hingga 2.000 keanggotaan grup per pengguna, atau kemampuan untuk mencari grup berdasarkan nama saat membagikan resource.
Dalam pola ini, Anda menggunakan Workforce Identity Federation untuk menggabungkan Google Cloud organisasi Anda. Untuk menambah jumlah grup yang dapat Anda gunakan untuk Gemini Enterprise, Anda juga mengonfigurasi SCIM untuk menyediakan informasi keanggotaan grup terlebih dahulu.
Manfaat
- Pola ini memungkinkan Anda menggunakan konektor berbasis penyerapan data untuk mengintegrasikan Gemini Enterprise dengan Microsoft 365.
- Anda dapat menggunakan hingga 2.000 keanggotaan grup per pengguna untuk mengontrol akses ke Gemini Enterprise dan NotebookLM Enterprise, serta mengizinkan konektor berbasis penyerapan data Gemini Enterprise melakukan pemeriksaan akses.
- Saat membagikan referensi seperti notebook NotebookLM Enterprise, Anda dapat mencari grup berdasarkan nama untuk membantu meningkatkan kualitas pengalaman pengguna secara keseluruhan.
Batasan
- Dukungan untuk grup yang disediakan SCIM terbatas pada Gemini Enterprise dan NotebookLM Enterprise. Layanan lain hanya dapat menggunakan keanggotaan grup yang diteruskan IdP Anda dalam pernyataan SAML atau token ID.
- Workforce Identity Federation adalah fitur IAM dan hanya memungkinkan pengguna mengakses layanan yang menggunakan IAM. Pengguna yang melakukan autentikasi menggunakan Workforce Identity Federation tidak dapat mengakses layanan Google seperti Google Ads, Looker, atau Google Marketing Platform.
- Pengguna yang melakukan autentikasi menggunakan Workforce Identity Federation tidak dapat mengakses beberapa fitur Google Cloud . Untuk mengetahui detailnya, lihat Federasi identitas: produk dan batasan.
Hybrid Cloud Identity dan Workforce Identity Federation
Pilih pola ini jika organisasi Anda memenuhi kriteria berikut:
- Anda menggunakan layanan Google di luar Google Cloud (seperti Google Ads atau Google Maps).
- Anda berencana menggunakan Gemini Enterprise dan mengintegrasikannya dengan Microsoft 365.
Pola ini menggabungkan dua pola sebelumnya:
- Anda menggunakan Workforce Identity Federation (tanpa sinkronisasi atau dengan SCIM) untuk mengelola akses ke Gemini Enterprise dan NotebookLM Enterprise.
- Anda menggunakan federasi Cloud Identity atau Google Workspace untuk mengelola akses ke layanan lain, termasuk layanan Google non-cloud Google Cloud .
Manfaat
Pola ini memungkinkan Anda menggabungkan manfaat dari dua pola sebelumnya:
- Anda dapat menghubungkan Gemini Enterprise ke sumber data Microsoft tanpa batasan fitur.
- Pengguna dapat melakukan autentikasi ke layanan Google, terlepas dari apakah layanan tersebut menggunakan IAM atau tidak.
- Gunakan rangkaian lengkap fitur Google Cloud .
Batasan
- Anda harus mempertahankan dua konfigurasi pihak tepercaya terpisah di IdP eksternal: satu untuk Cloud Identity dan satu untuk Workforce Identity Federation.
- Bergantung pada apakah Anda mengonfigurasi pengguna untuk menggunakan Cloud Identity atau Workforce Identity Federation, pengalaman login mereka mungkin berbeda.
- Saat mengelola kebijakan izin IAM, Anda harus menggunakan ID akun utama yang berbeda
bergantung pada cara pengguna melakukan autentikasi. Misalnya, pengguna yang dikenal sebagai
bob@example.comdi IdP eksternal Anda mungkin memiliki ID utamabob@example.comatauprincipal://iam.googleapis.com/locations/global/workforcePools/POOL_ID//subject/SUBJECT_IDdi IAM, bergantung pada apakah pengguna tersebut melakukan autentikasi menggunakan federasi Cloud Identity atau menggunakan Workforce Identity Federation. - Anda tidak dapat membuat grup yang berisi campuran pengguna Cloud Identity dan akun utama Workforce Identity Federation. Grup Cloud Identity hanya dapat berisi pengguna Cloud Identity, dan grup workforce identity hanya dapat berisi akun utama Workforce Identity Federation.
- Memperluas penggunaan Workforce Identity Federation di luar Gemini Enterprise dapat mengharuskan pengguna beralih identitas atau membuat mereka tidak yakin cara melakukan autentikasi.