Google mendukung dua jenis akun pengguna, akun pengguna terkelola dan akun pengguna konsumen. Akun pengguna terkelola berada dalam kontrol penuh administrator Cloud Identity atau Google Workspace. Sebaliknya, akun konsumen sepenuhnya dimiliki dan dikelola oleh orang yang membuatnya.
Prinsip inti pengelolaan identitas adalah memiliki satu tempat untuk mengelola identitas di seluruh organisasi Anda:
Jika Anda menggunakan Google sebagai penyedia identitas (IdP), Cloud Identity atau Google Workspace adalah satu-satunya tempat untuk mengelola identitas. Karyawan harus mengandalkan akun pengguna yang Anda kelola di Cloud Identity atau Google Workspace secara eksklusif.
Jika Anda menggunakan IdP eksternal, penyedia tersebut harus menjadi satu tempat untuk mengelola identitas. IdP eksternal harus menyediakan dan mengelola akun pengguna di Cloud Identity atau Google Workspace, dan karyawan harus mengandalkan akun pengguna terkelola ini secara eksklusif saat mereka menggunakan layanan Google.
Jika karyawan menggunakan akun pengguna konsumen, premis untuk memiliki satu tempat untuk mengelola identitas akan disusupi: akun konsumen tidak dikelola oleh Cloud Identity, Google Workspace, atau IdP eksternal Anda. Oleh karena itu, Anda harus mengidentifikasi akun pengguna konsumen yang ingin dikonversi menjadi akun terkelola, seperti yang dijelaskan dalam ringkasan autentikasi.
Untuk mengonversi akun konsumen menjadi akun terkelola menggunakan alat transfer, yang dijelaskan nanti dalam dokumen ini, Anda harus memiliki identitas Cloud Identity atau Google Workspace dengan peran Admin Super.
Dokumen ini membantu Anda memahami dan menilai hal berikut:
- Akun pengguna mana yang mungkin digunakan oleh karyawan organisasi Anda dan cara mengidentifikasi akun tersebut.
- Risiko mana yang mungkin terkait dengan akun pengguna yang sudah ada tersebut.
Contoh skenario
Untuk menggambarkan berbagai kumpulan akun pengguna yang mungkin digunakan karyawan, dokumen ini menggunakan contoh skenario untuk perusahaan bernama Example Organization. Contoh Organisasi memiliki enam karyawan dan mantan karyawan yang semuanya telah menggunakan layanan Google seperti Google Dokumen dan Google Ads. Organisasi Contoh kini memiliki tujuan untuk menggabungkan pengelolaan identitas mereka dan menetapkan IdP eksternal sebagai satu tempat untuk mengelola identitas. Setiap karyawan memiliki identitas di IdP eksternal, dan identitas tersebut cocok dengan alamat email karyawan.
Ada dua akun pengguna konsumen yaitu Carol dan Chuck, yang menggunakan
alamat email example.com
:
- Carol membuat akun konsumen menggunakan alamat email perusahaannya
(
carol@example.com
). - Chuck merupakan mantan karyawan, dia membuat akun konsumen menggunakan
alamat email perusahaannya (
chuck@example.com
).
Dua karyawan, Glen dan Grace, memutuskan untuk menggunakan akun Gmail:
- Glen mendaftar untuk membuat akun Gmail (
glen@gmail.com)
, yang dia gunakan untuk mengakses dokumen pribadi dan perusahaan serta layanan Google lainnya. - Grace juga menggunakan akun Gmail (
grace@gmail.com
), tetapi dia menambahkan alamat email perusahaannya,grace@example.com
, sebagai alamat email alternatif.
Terakhir, dua karyawan yaitu Mary dan Mike, sudah menggunakan Cloud Identity:
- Maria memiliki akun pengguna Cloud Identity (
mary@example.com
). - Mike adalah administrator akun Cloud Identity dan
membuat pengguna (
admin@example.com
) untuk dirinya sendiri.
Diagram ilustrasi berikut menggambarkan berbagai kumpulan akun pengguna:
Untuk menetapkan IdP eksternal sebagai satu tempat untuk mengelola identitas, Anda harus menautkan identitas akun pengguna Google yang ada ke identitas di IdP eksternal. Oleh karena itu, diagram berikut menambahkan kumpulan akun yang menggambarkan identitas di IdP eksternal.
Perlu diingat, jika karyawan ingin menetapkan IdP eksternal sebagai satu tempat untuk mengelola identitas, mereka harus mengandalkan akun pengguna terkelola secara eksklusif, dan bahwa IdP eksternal harus mengontrol akun pengguna tersebut.
Dalam skenario ini, hanya Mary yang memenuhi persyaratan ini. Dia menggunakan pengguna Cloud Identity, yang merupakan akun pengguna terkelola, dan identitas akun penggunanya cocok dengan identitasnya di IdP eksternal. Semua karyawan lain menggunakan akun konsumen, atau identitas akun mereka tidak sesuai dengan identitas mereka di IdP eksternal. Risiko dan implikasi tidak memenuhi persyaratan berbeda bagi setiap pengguna. Setiap pengguna mewakili kumpulan akun pengguna yang berbeda yang mungkin memerlukan penyelidikan lebih lanjut.
Set akun pengguna untuk diselidiki
Bagian berikut memeriksa kumpulan akun pengguna yang berpotensi bermasalah.
Akun konsumen
Kumpulan akun pengguna disini terdiri dari beberapa akun yang memenuhi salah satu syarat berikut:
- Grup tersebut dibuat oleh karyawan menggunakan fitur Daftar yang ditawarkan oleh banyak layanan Google.
- Mereka menggunakan alamat email perusahaan sebagai identitasnya.
Dalam contoh skenario, deskripsi ini sesuai dengan Carol dan Chuck.
Akun konsumen yang digunakan untuk tujuan bisnis dan yang menggunakan alamat email perusahaan dapat menimbulkan risiko bagi bisnis Anda, seperti berikut ini:
Anda tidak dapat mengontrol siklus proses akun konsumen. Karyawan yang keluar dari perusahaan dapat terus menggunakan akun yang tidak dikelola, untuk mengakses resource perusahaan atau menimbulkan biaya perusahaan.
Meskipun jika Anda mencabut akses ke semua resource, akun yang tidak dikelola mungkin masih menimbulkan risiko rekayasa sosial. Karena akun pengguna menggunakan identitas yang tampak dapat dipercaya seperti
chuck@example.com
, mantan karyawan mungkin dapat meyakinkan karyawan atau partner bisnis saat ini untuk memberikan akses ke resource lagi.Demikian pula, mantan karyawan mungkin menggunakan akun pengguna untuk melakukan aktivitas yang tidak sejalan dengan kebijakan organisasi, dan dapat membahayakan reputasi perusahaan Anda.
Anda tidak dapat menerapkan kebijakan keamanan, seperti verifikasi MFA atau aturan kerumitan sandi pada akun.
Anda tidak dapat membatasi lokasi geografis tempat penyimpanan data Google Dokumen dan Google Drive yang mungkin menimbulkan risiko kepatuhan.
Anda tidak dapat membatasi layanan Google yang dapat diakses menggunakan akun pengguna ini.
Jika ExampleOrganization memutuskan untuk menggunakan Google sebagai IdP, cara terbaik bagi mereka untuk menangani akun konsumen adalah dengan memigrasikan akun ke Cloud Identity atau Google Workspace atau mengeluarkannya dengan memaksa pemilik mengganti nama akun pengguna.
Jika ExampleOrganization memutuskan untuk menggunakan IdP eksternal, mereka perlu lebih lanjut membedakan hal-hal berikut:
- Akun konsumen yang memiliki identitas yang cocok di IdP eksternal.
- Akun konsumen yang tidak memiliki identitas yang cocok di IdP eksternal.
Dua bagian berikut membahas kedua subclass ini secara mendetail.
Akun konsumen dengan identitas yang cocok di IdP eksternal
Kumpulan akun pengguna ini terdiri dari akun yang cocok dengan semua hal berikut:
- Grup dibuat oleh karyawan.
- Dia menggunakan alamat email perusahaan sebagai alamat email utama.
- Identitasnya cocok dengan identitas di IdP eksternal.
Dalam contoh skenario, deskripsi ini sesuai dengan Carol.
Fakta bahwa akun konsumen ini memiliki identitas yang cocok di IdP eksternal Anda menunjukkan bahwa akun pengguna ini adalah milik karyawan saat ini dan harus dipertahankan. Oleh karena itu, sebaiknya Anda mempertimbangkan untuk memigrasikan akun ini ke Cloud Identity atau Google Workspace.
Anda dapat mengidentifikasi akun konsumen yang memiliki identitas yang cocok di IdP eksternal sebagai berikut:
- Tambahkan semua domain ke Cloud Identity atau Google Workspace yang Anda curigai mungkin digunakan untuk pendaftaran akun konsumen. Secara khusus, daftar domain di Cloud Identity atau Google Workspace harus mencakup semua domain yang didukung sistem email Anda.
- Gunakan alat transfer untuk pengguna yang tidak dikelola untuk mengidentifikasi akun konsumen yang menggunakan alamat email yang sama dengan salah satu domain yang telah Anda tambahkan ke Cloud Identity atau Google Workspace. Alat ini juga memungkinkan Anda mengekspor daftar pengguna yang terpengaruh sebagai file CSV.
- Bandingkan daftar akun konsumen dengan identitas di IdP eksternal Anda, dan temukan akun konsumen yang memiliki kesamaan.
Akun konsumen tanpa identitas yang cocok di IdP eksternal
Kumpulan akun pengguna ini terdiri dari akun yang cocok dengan semua hal berikut:
- Grup dibuat oleh karyawan.
- Mereka menggunakan alamat email perusahaan sebagai identitasnya.
- Identitasnya tidak cocok dengan identitas apa pun di IdP eksternal.
Dalam contoh skenario, deskripsi ini sesuai dengan Chuck.
Mungkin ada beberapa penyebab untuk akun konsumen tanpa identitas yang cocok di IdP eksternal, termasuk hal berikut:
- Karyawan yang membuat akun mungkin telah keluar dari perusahaan, sehingga identitas yang sesuai tidak ada lagi di IdP eksternal.
Mungkin ada ketidakcocokan antara alamat email yang digunakan untuk pendaftaran akun konsumen dan identitas yang diketahui di IdP eksternal. Ketidakcocokan seperti ini dapat terjadi jika sistem email Anda memungkinkan variasi pada alamat email seperti berikut:
- Menggunakan domain alternatif. Misalnya,
johndoe@example.org
danjohndoe@example.com
mungkin merupakan alias dari kotak surat yang sama, tetapi pengguna mungkin hanya dikenal sebagaijohndoe@example.com
di IdP Anda. - Menggunakan nama sebutan channel alternatif. Misalnya,
johndoe@example.com
danjohn.doe@example.com
mungkin juga merujuk ke kotak surat yang sama, tetapi IdP Anda mungkin hanya mengenali satu ejaan. - Menggunakan huruf besar/kecil yang berbeda. Misalnya, varian
johndoe@example.com
danJohnDoe@example.com
mungkin tidak dikenali sebagai pengguna yang sama.
- Menggunakan domain alternatif. Misalnya,
Anda dapat menangani akun konsumen yang tidak memiliki identitas yang cocok di IdP eksternal dengan cara berikut:
Anda dapat memigrasikan akun konsumen ke Cloud Identity atau Google Workspace, lalu merekonsiliasi setiap ketidakcocokan yang disebabkan oleh domain alternatif, nama sebutan channel, atau huruf besar/kecil.
Jika menurut Anda akun pengguna tidak sah atau tidak boleh digunakan lagi, Anda dapat mengeluarkan akun konsumen dengan memaksa pemilik untuk mengganti namanya.
Anda dapat mengidentifikasi akun konsumen tanpa identitas yang cocok di IdP eksternal sebagai berikut:
- Tambahkan semua domain ke Cloud Identity atau Google Workspace yang Anda curigai mungkin digunakan untuk pendaftaran akun konsumen. Secara khusus, daftar domain di Cloud Identity atau Google Workspace harus mencakup semua domain yang didukung oleh sistem email Anda sebagai alias.
- Gunakan alat transfer untuk pengguna yang tidak dikelola untuk mengidentifikasi akun konsumen yang menggunakan alamat email yang sama dengan salah satu domain yang telah Anda tambahkan ke Cloud Identity atau Google Workspace. Alat ini juga memungkinkan Anda mengekspor daftar pengguna yang terpengaruh sebagai file CSV.
- Bandingkan daftar akun konsumen dengan identitas di IdP eksternal Anda dan temukan akun konsumen yang tidak memiliki padanan.
Akun terkelola tanpa identitas yang cocok di IdP eksternal
Kumpulan akun pengguna ini terdiri dari akun yang cocok dengan semua hal berikut:
- Akun tersebut dibuat secara manual oleh administrator Cloud Identity atau Google Workspace.
- Identitasnya tidak cocok dengan identitas apa pun di IdP eksternal.
Dalam contoh skenario, deskripsi ini sesuai dengan Mike, yang menggunakan identitas
admin@example.com
untuk akun terkelolanya.
Potensi penyebab akun terkelola tanpa identitas yang cocok di IdP eksternal serupa dengan penyebab akun konsumen tanpa identitas yang cocok di IdP eksternal:
- Karyawan yang akunnya dibuat mungkin telah keluar dari perusahaan, sehingga identitas yang sesuai tidak ada lagi di IdP eksternal.
- Alamat email perusahaan yang cocok dengan identitas di IdP eksternal mungkin telah ditetapkan sebagai alamat email alternatif atau alias, bukan sebagai alamat email primer.
- Alamat email yang digunakan untuk akun pengguna di Cloud Identity atau Google Workspace mungkin tidak cocok dengan identitas yang diketahui di IdP eksternal. Cloud Identity maupun Google Workspace tidak memverifikasi bahwa alamat email yang digunakan sebagai identitas sudah ada. Oleh karena itu, ketidakcocokan tidak hanya dapat terjadi karena domain alternatif, nama sebutan channel alternatif, atau kapitalisasi yang berbeda, tetapi juga karena kesalahan ketik atau kesalahan manusia lainnya.
Apa pun penyebabnya, akun terkelola tanpa identitas yang cocok di IdP eksternal berisiko karena akun tersebut dapat mengalami penggunaan ulang yang tidak disengaja dan squatting nama. Kami merekomendasikan agar Anda merekonsiliasi akun ini.
Anda dapat mengidentifikasi akun konsumen tanpa identitas yang cocok di IdP eksternal sebagai berikut:
- Dengan menggunakan Konsol Admin atau Directory API, ekspor daftar akun pengguna di Cloud Identity atau Google Workspace.
- Bandingkan daftar akun dengan identitas di IdP eksternal Anda dan temukan akun yang tidak memiliki padanan.
Akun Gmail yang digunakan untuk tujuan perusahaan
Kumpulan akun pengguna ini terdiri dari akun yang cocok dengan hal berikut:
- Grup dibuat oleh karyawan.
- Dia menggunakan alamat email
gmail.com
sebagai identitasnya. - Identitasnya tidak cocok dengan identitas apa pun di IdP eksternal.
Dalam contoh skenario, deskripsi ini sesuai dengan Grace dan Glen.
Akun Gmail yang digunakan untuk tujuan perusahaan akan memiliki risiko yang serupa dengan akun konsumen tanpa identitas yang cocok di IdP eksternal:
- Anda tidak dapat mengontrol siklus proses akun konsumen. Karyawan yang keluar dari perusahaan dapat terus menggunakan akun yang tidak dikelola, untuk mengakses resource perusahaan atau menimbulkan biaya perusahaan.
- Anda tidak dapat menerapkan kebijakan keamanan, seperti verifikasi MFA atau aturan kerumitan sandi pada akun.
Oleh karena itu, cara terbaik untuk menangani akun Gmail adalah dengan mencabut akses akun pengguna tersebut ke semua resource perusahaan dan memberikan akun pengguna terkelola yang baru kepada karyawan terpengaruh sebagai penggantinya.
Karena akun Gmail menggunakan gmail.com
sebagai domainnya, tidak ada afiliasi yang
jelas dengan organisasi Anda. Tidak adanya afiliasi yang jelas, menyiratkan bahwa
tidak ada cara yang sistematis—selain menghapus kebijakan kontrol akses
yang ada—untuk mengidentifikasi akun Gmail yang telah digunakan untuk tujuan
perusahaan.
Akun Gmail dengan alamat email perusahaan sebagai email alternatif
Kumpulan akun pengguna ini terdiri dari akun yang cocok dengan semua hal berikut:
- Grup dibuat oleh karyawan.
- Dia menggunakan alamat email
gmail.com
sebagai identitasnya. - Mereka menggunakan alamat email perusahaan sebagai alamat email alternatif.
- Identitasnya tidak cocok dengan identitas apa pun di IdP eksternal.
Dalam contoh skenario, deskripsi ini sesuai dengan Grace.
Dari perspektif risiko, akun Gmail yang menggunakan alamat email perusahaan sebagai alamat email alternatif setara dengan akun konsumen tanpa identitas yang cocok di IdP eksternal. Karena menggunakan alamat email perusahaan yang tampaknya tepercaya sebagai identitas kedua, akun tersebut rentan terhadap risiko rekayasa sosial.
Jika ingin mempertahankan hak akses dan beberapa data yang terkait dengan akun Gmail, Anda dapat meminta pemilik akun tersebut untuk menghapus Gmail dari akun pengguna sehingga Anda kemudian dapat memigrasikannya ke Cloud Identity atau Google Workspace.
Cara terbaik untuk menangani akun Gmail yang menggunakan alamat email perusahaan sebagai alamat email alternatif adalah dengan membersihkan alamat email tersebut. Saat membersihkan akun, Anda memaksa pemilik untuk memberikan alamat email perusahaan dengan membuat akun pengguna terkelola, menggunakan alamat email perusahaan yang sama. Selain itu, sebaiknya cabut akses ke semua resource perusahaan dan berikan akun pengguna terkelola baru kepada karyawan yang terpengaruh sebagai pengganti.
Langkah berikutnya
- Pelajari lebih lanjut tentang berbagai jenis akun pengguna di Google Cloud.
- Cari tahu cara kerja proses migrasi untuk akun konsumen.
- Tinjau praktik terbaik untuk menggabungkan Google Cloud dengan penyedia identitas eksternal.