Valutare gli account utente esistenti

Google supporta due tipi di account utente: account utente gestiti e account utente consumer. Gli account utente gestiti sono sotto il pieno controllo di un amministratore di Cloud Identity o Google Workspace. Al contrario, gli account dei consumatori sono interamente di proprietà e gestiti dalle persone che li hanno creati.

Un principio fondamentale della gestione delle identità è avere un unico punto di gestione delle identità di tutta l'organizzazione:

• Se utilizzi Google come provider di identità (IdP), Cloud Identity o Google Workspace dovrebbe essere l'unico luogo in cui gestire le identità. I dipendenti devono fare affidamento esclusivamente sugli account utente che gestisci in Cloud Identity o Google Workspace.

• Se utilizzi un IdP esterno, questo provider dovrebbe essere l'unico punto di gestione delle identità. L'IDP esterno deve eseguire il provisioning e gestire gli account utente in Cloud Identity o Google Workspace e i dipendenti devono fare affidamento esclusivamente su questi account utente gestiti quando utilizzano i servizi Google.

Se i dipendenti utilizzano account utente consumer, non potrai gestire le identità da un'unica posizione: gli account consumer non sono gestiti da Cloud Identity, Google Workspace o dal tuo provider di identità esterno. Di conseguenza, devi identificare gli account utente consumer che vuoi convertire in account gestiti, come spiegato nella panoramica dell'autenticazione.

Per convertire gli account consumer in account gestiti utilizzando lo strumento di trasferimento, описанном в этом документе, devi disporre di un'identità Cloud Identity o Google Workspace con il ruolo Super amministratore.

Questo documento ti aiuta a comprendere e valutare quanto segue:

• Quali account utente esistenti potrebbero essere utilizzati dai dipendenti della tua organizzazione e come identificarli.
• Quali rischi potrebbero essere associati a questi account utente esistenti.

Scenario di esempio

Per illustrare i diversi insiemi di account utente che i dipendenti potrebbero utilizzare, questo documento utilizza uno scenario di esempio per un'azienda denominata Organizzazione di esempio. L'organizzazione di esempio ha sei dipendenti e ex dipendenti che utilizzano tutti i servizi Google, come Documenti Google e Google Ads. L'organizzazione di esempio ora intende consolidare la gestione delle identità e stabilire il proprio IdP esterno come unico punto di gestione delle identità. Ogni dipendente ha un'identità nell'IdP esterno e questa identità corrisponde all'indirizzo email del dipendente.

Esistono due account utente consumer, Carol e Chuck, che utilizzano un indirizzo email example.com:

• Carol ha creato un account consumer utilizzando il suo indirizzo email aziendale (carol@example.com).
• Chuck, un ex dipendente, ha creato un account consumer utilizzando il suo chuck@example.com.

Due dipendenti, Glen e Grace, hanno deciso di utilizzare account Gmail:

• Glen ha creato un account Gmail (glen@gmail.com)) che utilizza per accedere a documenti privati e aziendali e ad altri servizi Google.
• Anche Grace utilizza un account Gmail (grace@gmail.com), ma ha aggiunto il suo indirizzo email aziendale, grace@example.com, come indirizzo email alternativo.

Infine, due dipendenti, Mary e Mike, utilizzano già Cloud Identity:

• Maria ha un account utente Cloud Identity (mary@example.com).
• Mike è l'amministratore dell'account Cloud Identity e ha creato un utente (admin@example.com) per sé.

Il seguente diagramma illustra i diversi insiemi di account utente:

Per impostare l'IdP esterno come unico punto di gestione delle identità, devi collegare le identità degli account utente Google esistenti alle identità nell'IdP esterno. Il seguente diagramma aggiunge quindi un insieme di account che rappresenta le identità nell'IDP esterno.

Ricorda che se i dipendenti vogliono stabilire un provider di identità esterno come unico punto di gestione delle identità, devono fare affidamento esclusivamente sugli account utente gestiti e il provider di identità esterno deve controllare questi account utente.

In questo scenario, solo Mary soddisfa questi requisiti. Utilizza un utente Cloud Identity, ovvero un account utente gestito, e l'identità del suo account utente corrisponde alla sua identità nell'IdP esterno. Tutti gli altri dipendenti utilizzano account consumer o l'identità dei loro account non corrisponde a quella nell'IdP esterno. I rischi e le implicazioni del mancato rispetto dei requisiti sono diversi per ciascuno di questi utenti. Ogni utente rappresenta un insieme diverso di account utente che potrebbero richiedere ulteriori accertamenti.

Insiemi di account utente da esaminare

Le sezioni seguenti esaminano insiemi di account utente potenzialmente problematici.

Account consumer

Questo insieme di account utente è costituito da account per i quali è vera una delle seguenti condizioni:

• Sono stati creati dai dipendenti utilizzando la funzionalità Registrati offerta da molti servizi Google.
• Utilizzano un indirizzo email aziendale come identità.

Nello scenario di esempio, questa descrizione si adatta a Carol e Chuck.

Un account consumer utilizzato per scopi aziendali e che utilizza un indirizzo email aziendale può comportare rischi per la tua attività, ad esempio:

• Non puoi controllare il ciclo di vita dell'account consumer. Un dipendente che lascia l'azienda potrebbe continuare a utilizzare l'account utente per accedere alle risorse aziendali o per generare spese aziendali.

  Anche se revochi l'accesso a tutte le risorse, l'account potrebbe comunque porre un rischio di ingegneria sociale. Poiché l'account utente utilizza un'identità apparentemente affidabile come chuck@example.com, l'ex dipendente potrebbe essere in grado di convincere gli attuali dipendenti o partner commerciali a concedere nuovamente l'accesso alle risorse.

  Analogamente, un ex dipendente potrebbe utilizzare l'account utente per eseguire attività non in linea con le norme della tua organizzazione e mettere a rischio la reputazione della tua azienda.

• Non puoi applicare criteri di sicurezza, come la verifica a MFA o le regole di complessità della password, all'account.

• Non puoi limitare la posizione geografica in cui vengono archiviati i dati di Documenti Google e Google Drive, il che potrebbe costituire un rischio per la conformità.

• Non puoi limitare i servizi Google accessibili utilizzando questo account utente.

Se ExampleOrganization decide di utilizzare Google come IdP, il modo migliore per gestire gli account consumer è eseguirne la migrazione a Cloud Identity o Google Workspace o eliminarli costringendo i proprietari a rinominare l'account utente.

Se ExampleOrganization decide di utilizzare un provider di identità esterno, deve distinguere ulteriormente tra quanto segue:

• Account consumer con un'identità corrispondente nel provider di identità esterno.
• Account consumer che non hanno un'identità corrispondente nell'IdP esterno.

Le due sezioni seguenti esaminano in dettaglio questi due sottoinsiemi.

Account consumer con un'identità corrispondente nel provider di identità esterno

Questo insieme di account utente è costituito da account che corrispondono a tutti i seguenti requisiti:

• Sono stati creati dai dipendenti.
• Utilizzano un indirizzo email aziendale come indirizzo email principale.
• La sua identità corrisponde a un'identità nell'IdP esterno.

Nello scenario di esempio, questa descrizione si adatta a Carol.

Il fatto che questi account consumer abbiano un'identità corrispondente nel tuo IdP esterno suggerisce che questi account utente appartengono a dipendenti attuali e devono essere mantenuti. Ti consigliamo quindi di eseguire la migrazione di questi account a Cloud Identity o Google Workspace.

Puoi identificare gli account dei consumatori con un'identità corrispondente nell'IdP esterno come segue:

1. Aggiungi a Cloud Identity o Google Workspace tutti i domini che sospetti possano essere stati utilizzati per la registrazione di account consumer. In particolare, l'elenco di domini in Cloud Identity o Google Workspace deve includere tutti i domini supportati dal tuo sistema email.
2. Utilizza lo strumento di trasferimento per gli utenti non gestiti per identificare gli account consumer che utilizzano un indirizzo email corrispondente a uno dei domini che hai aggiunto a Cloud Identity o Google Workspace. Lo strumento ti consente inoltre di esportare l'elenco degli utenti interessati come file CSV.
3. Confronta l'elenco degli account dei consumatori con le identità nella tua IDE esterna e trova gli account dei consumatori che hanno una controparte.

Account consumer senza un'identità corrispondente nell'IdP esterno

Questo insieme di account utente è costituito da account che corrispondono a tutti i seguenti requisiti:

• Sono stati creati dai dipendenti.
• Utilizzano un indirizzo email aziendale come identità.
• La sua identità non corrisponde a nessuna identità nell'IdP esterno.

Nello scenario di esempio, questa descrizione si adatta a Chuck.

Esistono diversi motivi per cui gli account dei consumatori non hanno un'identità corrispondente nella RP esterna, tra cui:

• Il dipendente che ha creato l'account potrebbe aver lasciato l'azienda, pertanto l'identità corrispondente non esiste più nel provider di identità esterno.

• Potrebbe esserci una mancata corrispondenza tra l'indirizzo email utilizzato per la registrazione dell'account consumer e l'identità nota nell'IdP esterno. Mancate corrispondenze come queste possono verificarsi se il tuo sistema email consente variazioni negli indirizzi email, ad esempio:

  • Utilizzo di domini alternativi. Ad esempio, johndoe@example.org e johndoe@example.com potrebbero essere alias per la stessa casella di posta, ma l' utente potrebbe essere noto solo come johndoe@example.com nel tuo provider di identità.
  • Utilizzo di handle alternativi. Ad esempio, johndoe@example.com e john.doe@example.com potrebbero anche fare riferimento alla stessa casella di posta, ma la tua IDP potrebbe riconoscere una sola ortografia.
  • Utilizzo di lettere maiuscole e minuscole diverse. Ad esempio, le varianti johndoe@example.com e JohnDoe@example.com potrebbero non essere riconosciute come lo stesso utente.

Puoi gestire gli account consumer che non hanno un'identità corrispondente nell'IDP esterno nei seguenti modi:

• Puoi eseguire la migrazione dell'account consumer a Cloud Identity o Google Workspace e poi riconciliare eventuali mancate corrispondenze causate da domini, handle o lettere maiuscole alternativi.

• Se ritieni che l'account utente non sia legittimo o non debba più essere utilizzato, puoi eliminare l'account consumer costringendo il proprietario a rinominarlo.

Puoi identificare gli account dei consumatori senza un'identità corrispondente nell'IdP esterno come segue:

1. Aggiungi a Cloud Identity o Google Workspace tutti i domini che sospetti possano essere stati utilizzati per la registrazione di account consumer. In particolare, l'elenco dei domini in Cloud Identity o Google Workspace deve includere tutti i domini supportati dal tuo sistema email come alias.
2. Utilizza lo strumento di trasferimento per gli utenti non gestiti per identificare gli account consumer che utilizzano un indirizzo email corrispondente a uno dei domini che hai aggiunto a Cloud Identity o Google Workspace. Lo strumento ti consente inoltre di esportare l'elenco degli utenti interessati come file CSV.
3. Confronta l'elenco degli account consumer con le identità nel tuo IdP esterno e individua gli account consumer che non dispongono di una controparte.

Account gestiti senza un'identità corrispondente nell'IDP esterno

Questo insieme di account utente è costituito da account che corrispondono a tutti i seguenti requisiti:

• Sono stati creati manualmente da un amministratore di Cloud Identity o Google Workspace.
• La sua identità non corrisponde a nessuna identità nell'IdP esterno.

Nello scenario di esempio, questa descrizione si adatta a Mike, che ha utilizzato l'identità admin@example.com per il suo account gestito.

Le potenziali cause degli account gestiti senza un'identità corrispondente nell'IdP esterno sono simili a quelle degli account consumer senza un'identità corrispondente nell'IdP esterno:

• Il dipendente per cui è stato creato l'account potrebbe aver lasciato l'azienda, pertanto l'identità corrispondente non esiste più nel provider di identità esterno.
• L'indirizzo email aziendale corrispondente all'identità nell'IDP esterno potrebbe essere stato impostato come indirizzo email alternativo o alias anziché come indirizzo email principale.
• L'indirizzo email utilizzato per l'account utente in Cloud Identity o Google Workspace potrebbe non corrispondere all'identità nota nell'IdP esterno. Né Cloud Identity né Google Workspace verificano l'esistenza dell'indirizzo email utilizzato come identità. Una mancata corrispondenza può quindi verificarsi non solo a causa di domini alternativi, handle alternativi o lettere maiuscole diverse, ma anche a causa di un errore ortografico o di altro tipo.

Indipendentemente dalla causa, gli account gestiti senza un'identità corrispondente nell'IDP esterno rappresentano un rischio perché possono essere soggetti a riutilizzo involontario e squatting del nome. Ti consigliamo di riconciliare questi account.

Puoi identificare gli account dei consumatori senza un'identità corrispondente nell'IdP esterno come segue:

1. Utilizza la Console di amministrazione o l'API Directory per esportare l'elenco degli account utente in Cloud Identity o Google Workspace.
2. Confronta l'elenco degli account con le identità nella tua IdP esterna e individua gli account che non hanno una controparte.

Account Gmail utilizzati per scopi aziendali

Questo insieme di account utente è costituito da account corrispondenti a quanto segue:

• Sono stati creati dai dipendenti.
• Utilizza un indirizzo email gmail.com come identità.
• Le loro identità non corrispondono a nessuna identità nell'IdP esterno.

Nello scenario di esempio, questa descrizione si adatta a Grace e Glen.

Gli account Gmail utilizzati per scopi aziendali sono soggetti a rischi simili a quelli degli account consumer senza identità corrispondente nell'IdP esterno:

• Non puoi controllare il ciclo di vita dell'account consumer. Un dipendente che lascia l'azienda potrebbe continuare a utilizzare l'account utente per accedere alle risorse aziendali o per generare spese aziendali.
• Non puoi applicare criteri di sicurezza, come la verifica a MFA o le regole di complessità della password, all'account.

Il modo migliore per gestire gli account Gmail è quindi revocare l'accesso di questi account utente a tutte le risorse aziendali e fornire ai dipendenti interessati nuovi account utente gestiti come sostituti.

Poiché gli account Gmail utilizzano gmail.com come dominio, non è chiara la loro affiliazione alla tua organizzazione. La mancanza di un'affiliazione chiara implica che non esiste un modo sistematico, diverso dall'analisi dei criteri di controllo dell'accesso esistenti, per identificare gli account Gmail che sono stati utilizzati per scopi aziendali.

Account Gmail con un indirizzo email aziendale come indirizzo email alternativo

Questo insieme di account utente è costituito da account che corrispondono a tutti i seguenti requisiti:

• Sono stati creati dai dipendenti.
• Utilizza un indirizzo email gmail.com come identità.
• Utilizzano un indirizzo email aziendale come indirizzo email alternativo.
• Le loro identità non corrispondono a nessuna identità nell'IdP esterno.

Nello scenario di esempio, questa descrizione si adatta a Grace.

Dal punto di vista dei rischi, gli account Gmail che utilizzano un indirizzo email aziendale come indirizzo email alternativo sono equivalenti agli account consumer senza un'identità corrispondente nell'IdP esterno. Poiché questi account utilizzano un indirizzo email aziendale apparentemente affidabile come seconda identità, sono soggetti al rischio di ingegneria sociale.

Se vuoi mantenere i diritti di accesso e alcuni dei dati associati all'account Gmail, puoi chiedere al proprietario di rimuovere Gmail dall'account utente in modo da poter poi eseguire la migrazione a Cloud Identity o Google Workspace.

Il modo migliore per gestire gli account Gmail che utilizzano un indirizzo email aziendale come indirizzo email alternativo è sanificarli. Quando esegui la sanificazione di un account, costringi il proprietario a cedere l'indirizzo email aziendale creando un account utente gestito con lo stesso indirizzo email aziendale. Inoltre, ti consigliamo di revocare l'accesso a tutte le risorse aziendali e di fornire ai dipendenti interessati i nuovi account utente gestiti come sostituti.

Passaggi successivi

• Scopri di più sui diversi tipi di account utente su Google Cloud.
• Scopri come funziona la procedura di migrazione per gli account consumer.
• Consulta le best practice per la federazione di Google Cloud con un provider di identità esterno.