A Google suporta dois tipos de contas de utilizador: contas de utilizador geridas e contas de utilizador de consumidor. As contas de utilizador geridas estão sob o controlo total de um administrador do Cloud ID ou do Google Workspace. Por outro lado, as contas de consumidor são totalmente pertencentes e geridas pelas pessoas que as criaram.
Um princípio fundamental da gestão de identidades é ter um único local para gerir identidades em toda a sua organização:
Se utilizar a Google como fornecedor de identidade (IdP), o Cloud ID ou o Google Workspace devem ser o único local para gerir identidades. Os funcionários devem confiar exclusivamente nas contas de utilizador que gere no Cloud ID ou no Google Workspace.
Se usar um IdP externo, esse fornecedor deve ser o único local para gerir identidades. O IdP externo tem de aprovisionar e gerir contas de utilizador no Cloud ID ou no Google Workspace, e os funcionários devem confiar exclusivamente nestas contas de utilizador geridas quando utilizam os serviços Google.
Se os funcionários usarem contas de utilizador de consumidor, a premissa de ter um único local para gerir identidades fica comprometida: as contas de consumidor não são geridas pelo Cloud ID, pelo Google Workspace nem pelo seu IdP externo. Por conseguinte, tem de identificar as contas de utilizador de consumidor que quer converter em contas geridas, conforme explicado na vista geral da autenticação.
Para converter contas de consumidor em contas geridas através da ferramenta de transferência, descrita mais adiante neste documento, tem de ter uma identidade do Cloud ID ou do Google Workspace com uma função de superadministrador.
Este documento ajuda a compreender e avaliar o seguinte:
- Que contas de utilizador existentes os funcionários da sua organização podem estar a usar e como identificar essas contas.
- Que riscos podem estar associados a estas contas de utilizador existentes.
Cenário de exemplo
Para ilustrar os diferentes conjuntos de contas de utilizador que os funcionários podem estar a usar, este documento usa um cenário de exemplo para uma empresa denominada Organização de exemplo. A organização de exemplo tem seis funcionários e antigos funcionários que usam os serviços Google, como o Google Docs e o Google Ads. A Example Organization pretende agora consolidar a respetiva gestão de identidades e estabelecer o respetivo IdP externo como o único local para gerir identidades. Cada funcionário tem uma identidade no IdP externo e essa identidade corresponde ao endereço de email do funcionário.
Existem duas contas de utilizador consumidor, Carol e Chuck, que usam um endereço de email example.com:
- A Carol criou uma conta de consumidor com o respetivo endereço de email empresarial (
carol@example.com). - O Carlos, um antigo funcionário, criou uma conta de consumidor com o respetivo endereço de email corporativo (
chuck@example.com).
Dois funcionários, o Glen e a Grace, decidiram usar Contas do Gmail:
- O Glen inscreveu-se numa Conta do Gmail (
glen@gmail.com)), que usa para aceder a documentos privados e empresariais, bem como a outros serviços Google. - A Grace também usa uma conta do Gmail (
grace@gmail.com), mas adicionou o endereço de email corporativo,grace@example.com, como endereço de email alternativo.
Por último, dois funcionários, a Maria e o Miguel, já estão a usar o Cloud Identity:
- A Maria tem uma conta de utilizador do Cloud ID (
mary@example.com). - O Miguel é o administrador da conta do Cloud ID e criou um utilizador (
admin@example.com) para si próprio.
O diagrama seguinte ilustra os diferentes conjuntos de contas de utilizador:
Para estabelecer o IdP externo como o único local para gerir identidades, tem de associar as identidades das contas de utilizador Google existentes às identidades no IdP externo. Por conseguinte, o diagrama seguinte adiciona um conjunto de contas que representa as identidades no IdP externo.
Lembre-se de que, se os funcionários quiserem estabelecer um IdP externo como o único local para gerir identidades, têm de depender exclusivamente de contas de utilizador geridas e que o IdP externo tem de controlar essas contas de utilizador.
Neste cenário, apenas a Maria cumpre estes requisitos. Ela usa um utilizador do Cloud ID, que é uma conta de utilizador gerida, e a identidade da conta de utilizador corresponde à identidade no IdP externo. Todos os outros funcionários usam contas de consumidor ou a identidade das respetivas contas não corresponde à identidade no IdP externo. Os riscos e as implicações de não cumprir os requisitos são diferentes para cada um destes utilizadores. Cada utilizador representa um conjunto diferente de contas de utilizador que podem exigir uma investigação mais aprofundada.
Contas de utilizador a investigar
As secções seguintes examinam conjuntos de contas de utilizador potencialmente problemáticos.
Contas de consumidor
Este conjunto de contas de utilizador consiste em contas para as quais qualquer uma das seguintes condições é verdadeira:
- Foram criadas por funcionários através da funcionalidade Inscrever-se oferecida por muitos serviços Google.
- A pessoa usar um endereço de email empresarial como identidade.
No cenário de exemplo, esta descrição adequa-se à Ana e ao Carlos.
Uma conta de consumidor usada para fins empresariais e que usa um endereço de email corporativo pode representar um risco para a sua empresa, como o seguinte:
Não pode controlar o ciclo de vida da conta de consumidor. Um funcionário que sai da empresa pode continuar a usar a conta de utilizador para aceder a recursos empresariais ou gerar despesas empresariais.
Mesmo que revogue o acesso a todos os recursos, a conta ainda pode representar um risco de engenharia social. Uma vez que a conta de utilizador usa uma identidade aparentemente fidedigna, como
chuck@example.com, o antigo funcionário pode conseguir convencer os funcionários atuais ou os parceiros de negócios a concederem novamente acesso aos recursos.Da mesma forma, um antigo funcionário pode usar a conta de utilizador para realizar atividades que não estão em conformidade com as políticas da sua organização, o que pode pôr em risco a reputação da sua empresa.
Não pode aplicar políticas de segurança, como a validação MFA ou regras de complexidade de palavras-passe, à conta.
Não pode restringir a localização geográfica onde os dados do Google Docs e Google Drive são armazenados, o que pode constituir um risco de conformidade.
Não pode restringir os serviços Google aos quais se pode aceder através desta conta de utilizador.
Se a organização de exemplo decidir usar o Google como o respetivo IdP, a melhor forma de lidar com as contas de consumidor é migrá-las para o Cloud ID ou o Google Workspace ou expulsá-las, forçando os proprietários a mudarem o nome da conta de utilizador.
Se a ExampleOrganization decidir usar um IdP externo, tem de fazer uma distinção adicional entre o seguinte:
- Contas de consumidor que têm uma identidade correspondente no IdP externo.
- Contas de consumidor que não têm uma identidade correspondente no IdP externo.
As duas secções seguintes analisam estas duas subclasses em detalhe.
Contas de consumidor com uma identidade correspondente no IdP externo
Este conjunto de contas de utilizador consiste em contas que correspondem a todos os seguintes critérios:
- Foram criadas por funcionários.
- Usam um endereço de email empresarial como endereço de email principal.
- A respetiva identidade corresponde a uma identidade no IdP externo.
No cenário de exemplo, esta descrição adequa-se à Carol.
O facto de estas contas de consumidor terem uma identidade correspondente no seu IdP externo sugere que estas contas de utilizador pertencem a funcionários atuais e devem ser retidas. Por conseguinte, deve considerar migrar estas contas para o Cloud ID ou o Google Workspace.
Pode identificar as contas de consumidor que têm uma identidade correspondente no IdP externo da seguinte forma:
- Adicione todos os domínios ao Cloud ID ou ao Google Workspace que suspeita que possam ter sido usados para inscrições de contas de consumidor. Em particular, a lista de domínios no Cloud ID ou Google Workspace deve incluir todos os domínios suportados pelo seu sistema de email.
- Use a ferramenta de transferência para utilizadores não geridos para identificar contas de consumidor que usam um endereço de email que corresponde a um dos domínios que adicionou ao Cloud ID ou ao Google Workspace. A ferramenta também permite exportar a lista de utilizadores afetados como um ficheiro CSV.
- Compare a lista de contas de consumidor com as identidades no seu IdP externo e encontre contas de consumidor que tenham uma contrapartida.
Contas de consumidor sem uma identidade correspondente no IdP externo
Este conjunto de contas de utilizador consiste em contas que correspondem a todos os seguintes critérios:
- Foram criadas por funcionários.
- A pessoa usar um endereço de email empresarial como identidade.
- A respetiva identidade não corresponde a nenhuma identidade no IdP externo.
No cenário de exemplo, esta descrição adequa-se ao Carlos.
Existem várias causas para as contas de consumidor sem uma identidade correspondente no IdP externo, incluindo o seguinte:
- O funcionário que criou a conta pode ter saído da empresa, pelo que a identidade correspondente já não existe no IdP externo.
Pode existir uma incompatibilidade entre o endereço de email usado para a inscrição na conta de consumidor e a identidade conhecida no IdP externo. As não correspondências como estas podem ocorrer se o seu sistema de email permitir variações nos endereços de email, como as seguintes:
- Usar domínios alternativos. Por exemplo,
johndoe@example.orgejohndoe@example.compodem ser aliases da mesma caixa de correio, mas o utilizador pode ser conhecido apenas comojohndoe@example.comno seu IdP. - Usar identificadores alternativos. Por exemplo,
johndoe@example.comejohn.doe@example.comtambém podem referir-se à mesma caixa de correio, mas o seu IdP pode reconhecer apenas uma ortografia. - Usar letras maiúsculas e minúsculas diferentes. Por exemplo, as variantes
johndoe@example.comeJohnDoe@example.compodem não ser reconhecidas como o mesmo utilizador.
- Usar domínios alternativos. Por exemplo,
Pode processar contas de consumidor que não tenham uma identidade correspondente no IdP externo das seguintes formas:
Pode migrar a conta de consumidor para o Cloud ID ou o Google Workspace e, em seguida, conciliar quaisquer incompatibilidades causadas por domínios, identificadores ou capitalização alternativos.
Se considerar que a conta de utilizador é ilegítima ou já não deve ser usada, pode expulsar a conta de consumidor forçando o proprietário a mudar-lhe o nome.
Pode identificar contas de consumidor sem uma identidade correspondente no IdP externo da seguinte forma:
- Adicione todos os domínios ao Cloud ID ou ao Google Workspace que suspeita que possam ter sido usados para inscrições de contas de consumidor. Em particular, a lista de domínios no Cloud ID ou Google Workspace deve incluir todos os domínios que o seu sistema de email suporta como alias.
- Use a ferramenta de transferência para utilizadores não geridos para identificar contas de consumidor que usam um endereço de email que corresponde a um dos domínios que adicionou ao Cloud ID ou ao Google Workspace. A ferramenta também permite exportar a lista de utilizadores afetados como um ficheiro CSV.
- Compare a lista de contas de consumidor com as identidades no seu IdP externo e encontre contas de consumidor que não têm uma contrapartida.
Contas geridas sem uma identidade correspondente no IdP externo
Este conjunto de contas de utilizador consiste em contas que correspondem a todos os seguintes critérios:
- Foram criados manualmente por um administrador do Cloud ID ou Google Workspace.
- A identidade não corresponde a nenhuma identidade no IdP externo.
No cenário de exemplo, esta descrição adequa-se ao João, que usou a identidade
admin@example.com para a respetiva conta gerida.
As potenciais causas para contas geridas sem uma identidade correspondente no IdP externo são semelhantes às das contas de consumidor sem uma identidade correspondente no IdP externo:
- O funcionário para quem a conta foi criada pode ter saído da empresa, pelo que a identidade correspondente já não existe no IdP externo.
- O endereço de email corporativo que corresponde à identidade no IdP externo pode ter sido definido como um endereço de email alternativo ou um alias, em vez do endereço de email principal.
- O endereço de email usado para a conta de utilizador no Cloud Identity ou no Google Workspace pode não corresponder à identidade conhecida no IdP externo. Nem o Cloud ID nem o Google Workspace validam se o endereço de email usado como identidade existe. Por conseguinte, uma não correspondência pode ocorrer não só devido a domínios alternativos, identificadores alternativos ou letras maiúsculas e minúsculas diferentes, mas também devido a um erro ortográfico ou outro erro humano.
Independentemente da causa, as contas geridas sem uma identidade correspondente no IdP externo representam um risco, uma vez que podem ficar sujeitas a reutilização inadvertida e roubo de nomes. Recomendamos que reconcilie estas contas.
Pode identificar contas de consumidor sem uma identidade correspondente no IdP externo da seguinte forma:
- Use a consola do administrador ou a API Directory para exportar a lista de contas de utilizador no Cloud Identity ou no Google Workspace.
- Compare a lista de contas com as identidades no seu IdP externo e encontre contas que não têm uma contrapartida.
Contas do Gmail usadas para fins empresariais
Este conjunto de contas de utilizador consiste em contas que correspondem ao seguinte:
- Foram criadas por funcionários.
- Usam um endereço de email
gmail.comcomo identidade. - As respetivas identidades não correspondem a nenhuma identidade no IdP externo.
No cenário de exemplo, esta descrição adequa-se à Grace e ao Glen.
As contas do Gmail usadas para fins empresariais estão sujeitas a riscos semelhantes aos das contas de consumidor sem uma identidade correspondente no IdP externo:
- Não pode controlar o ciclo de vida da conta de consumidor. Um funcionário que sai da empresa pode continuar a usar a conta de utilizador para aceder a recursos empresariais ou gerar despesas empresariais.
- Não pode aplicar políticas de segurança, como a validação MFA ou regras de complexidade de palavras-passe, à conta.
Por conseguinte, a melhor forma de lidar com as Contas do Gmail é revogar o acesso dessas contas de utilizador a todos os recursos empresariais e fornecer aos funcionários afetados novas contas de utilizador geridas como substituições.
Uma vez que as Contas do Gmail usam gmail.com como domínio, não existe uma afiliação clara com a sua organização. A falta de uma afiliação clara implica que não existe uma forma sistemática, além de limpar as políticas de controlo de acesso existentes, de identificar as Contas do Gmail que foram usadas para fins empresariais.
Contas do Gmail com um endereço de email empresarial como email alternativo
Este conjunto de contas de utilizador consiste em contas que correspondem a todos os seguintes critérios:
- Foram criadas por funcionários.
- Usam um endereço de email
gmail.comcomo identidade. - Usam um endereço de email empresarial como endereço de email alternativo.
- As respetivas identidades não correspondem a nenhuma identidade no IdP externo.
No cenário de exemplo, esta descrição adequa-se à Grace.
Do ponto de vista do risco, as contas do Gmail que usam um endereço de email corporativo como endereço de email alternativo são equivalentes a contas de consumidor sem uma identidade correspondente no IdP externo. Uma vez que estas contas usam um endereço de email empresarial aparentemente fidedigno como a sua segunda identidade, estão sujeitas ao risco de engenharia social.
Se quiser manter os direitos de acesso e alguns dos dados associados à conta do Gmail, pode pedir ao proprietário para remover o Gmail da conta de utilizador para que possa migrá-la para o Cloud Identity ou o Google Workspace.
A melhor forma de processar contas do Gmail que usam um endereço de email corporativo como um endereço de email alternativo é limpá-las. Quando limpa uma conta, força o proprietário a desistir do endereço de email corporativo através da criação de uma conta de utilizador gerida com esse mesmo endereço de email corporativo. Além disso, recomendamos que revogue o acesso a todos os recursos corporativos e faculte aos funcionários afetados as novas contas de utilizador geridas como substituições.
O que se segue?
- Saiba mais acerca dos diferentes tipos de contas de utilizador no Google Cloud.
- Saiba como funciona o processo de migração para contas de consumidor.
- Reveja as práticas recomendadas para a federação Google Cloud com um fornecedor de identidade externo.