Valutare gli account utente esistenti

Google supporta due tipi di account utente: account utente gestiti e account utente consumer. Gli account utente gestiti sono sotto il pieno controllo Cloud Identity o Google Workspace amministratore. Al contrario, gli account consumer sono interamente posseduti e gestiti dal persone che li hanno creati.

Un principio fondamentale della gestione delle identità è avere un unico punto di gestione delle identità di tutta l'organizzazione:

• Se utilizzi Google come provider di identità (IdP), Cloud Identity o Google Workspace dovrebbe essere l'unico luogo in cui gestire le identità. I dipendenti devono fare affidamento esclusivamente sugli account utente che gestisci in Cloud Identity o Google Workspace.

• Se utilizzi un IdP esterno, questo provider dovrebbe essere l'unico punto di gestione delle identità. La l'IdP esterno deve eseguire il provisioning e gestire Cloud Identity o Google Workspace, e i dipendenti devono affidarsi esclusivamente su questi account utente gestiti quando utilizzano i servizi Google.

Se i dipendenti usano account utente consumer, allora si deve avere un solo la piattaforma per la gestione delle identità è compromessa: gli account consumer non sono gestiti Cloud Identity, Google Workspace o il tuo IdP esterno. Pertanto, devi identificare gli account utente consumer da convertire in account gestiti account, come spiegato nel panoramica dell'autenticazione.

Per convertire gli account consumer in account gestiti utilizzando lo Strumento di trasferimento, descritto più avanti in questo documento, devi disporre di un account Identità Google Workspace con un ruolo di super amministratore.

Questo documento ti aiuta a comprendere e valutare quanto segue:

• Quali account utente esistenti potrebbero essere utilizzati dai dipendenti della tua organizzazione e come identificarli.
• Quali rischi potrebbero essere associati a questi account utente esistenti.

Scenario di esempio

Per illustrare i diversi insiemi di account utente che i dipendenti potrebbero utilizzare, questo documento utilizza uno scenario di esempio per un'azienda denominata Organizzazione di esempio. L'organizzazione di esempio ha sei dipendenti e precedenti dipendenti che hanno già utilizzato servizi Google come Documenti Google e Google Ads. L'organizzazione di esempio ora intende consolidare la gestione delle identità e stabilire il proprio IdP esterno come unico punto di gestione delle identità. Ogni dipendente ha un'identità nell'IdP esterno e questa identità corrisponde all'indirizzo email del dipendente.

Esistono due account utente consumer, Carol e Chuck, che utilizzano una Indirizzo email example.com:

• Carla ha creato un account consumer utilizzando il suo indirizzo email aziendale (carol@example.com).
• Chuck, un ex dipendente, ha creato un account consumer utilizzando il suo indirizzo email aziendale (chuck@example.com).

Due dipendenti, Glen e Grace, hanno deciso di utilizzare account Gmail:

• Glen ha creato un account Gmail (glen@gmail.com)) che utilizza per accedere a documenti privati e aziendali e ad altri servizi Google.
• Anche Grace utilizza un account Gmail (grace@gmail.com), ma ha aggiunto il suo indirizzo email aziendale, grace@example.com, come indirizzo email alternativo .

Infine, due dipendenti, Mary e Mike, utilizzano già Cloud Identity:

• Maria ha un account utente Cloud Identity (mary@example.com).
• Mike è l'amministratore dell'account Cloud Identity e ha creato un utente (admin@example.com) per sé.

Il seguente diagramma illustra i diversi insiemi di account utente:

Per impostare l'IdP esterno come unico punto di gestione delle identità, devi collegare le identità degli account utente Google esistenti alle identità nell'IdP esterno. Il seguente diagramma aggiunge quindi un insieme di account che rappresenta le identità nell'IDP esterno.

Ricorda che se i dipendenti vogliono stabilire un provider di identità esterno come unico punto di gestione delle identità, devono fare affidamento esclusivamente sugli account utente gestiti e il provider di identità esterno deve controllare questi account utente.

In questo caso, solo Maria soddisfa questi requisiti. Utilizza Cloud Identity utente, che è un account utente gestito, e l'identità del suo account utente corrisponde la propria identità nell'IdP esterno. Tutti gli altri dipendenti utilizzano account consumer o l'identità dei loro account non corrisponde alla loro identità nell'IdP esterno. I rischi e le implicazioni del mancato rispetto dei requisiti sono: diverso per ciascuno di questi utenti. Ogni utente rappresenta un insieme diverso di account utente che potrebbero richiedere ulteriori accertamenti.

Set di account utente da esaminare

Le seguenti sezioni esaminano gli insiemi di account utente potenzialmente problematici.

Account consumer

Questo insieme di account utente è costituito da account per i quali uno degli che segue è vero:

• Sono stati creati dai dipendenti utilizzando la funzionalità Registrati offerta da molti servizi Google.
• Utilizzano un indirizzo email aziendale come identità.

Nello scenario di esempio, questa descrizione si adatta a Carol e Chuck.

Un account consumer utilizzato per scopi commerciali e che si avvale di una un indirizzo email può rappresentare un rischio per la tua attività, ad esempio:

• Non puoi controllare il ciclo di vita dell'account consumer. Un dipendente che lascia l'azienda potrebbe continuare a utilizzare l'account utente per accedere alle risorse aziendali o per generare spese aziendali.

  Anche se revochi l'accesso a tutte le risorse, l'account potrebbe comunque porre un rischio di ingegneria sociale. Poiché l'account utente utilizza un'identità apparentemente affidabile come chuck@example.com, l'ex dipendente potrebbe essere in grado di convincere gli attuali dipendenti o partner commerciali a concedere nuovamente l'accesso alle risorse.

  Analogamente, un ex dipendente potrebbe utilizzare l'account utente per eseguire attività non in linea con i criteri dell'organizzazione, ad esempio mettere a rischio la reputazione della tua azienda.

• Non puoi applicare criteri di sicurezza come la verifica MFA o la password regole di complessità dell'account.

• Non puoi limitare la posizione geografica in cui vengono archiviati i dati di Documenti Google e Google Drive, il che potrebbe costituire un rischio per la conformità.

• Non puoi limitare i servizi Google accessibili utilizzando questo account utente.

Se ExampleOrganization decide usano Google come provider di identità, il modo migliore per trattare con gli account consumer è eseguire la migrazione a Cloud Identity o Google Workspace o a eliminarli costringendo i proprietari a rinominare l'account utente.

Se ExampleOrganization decide di utilizzare un provider di identità esterno, deve distinguere ulteriormente tra quanto segue:

• Account consumer con un'identità corrispondente nel provider di identità esterno.
• Account consumer che non hanno un'identità corrispondente nell'IdP esterno.

Le due sezioni seguenti esaminano in dettaglio questi due sottoinsiemi.

Account consumer con un'identità corrispondente nell'IdP esterno

Questo insieme di account utente è costituito da account che corrispondono a tutti i seguenti requisiti:

• Sono stati creati dai dipendenti.
• che utilizza un indirizzo email aziendale come indirizzo email principale.
• La loro identità corrisponde a un'identità nell'IdP esterno.

Nello scenario di esempio, questa descrizione corrisponde a Carla.

Il fatto che questi account consumer abbiano un'identità corrispondente nel tuo IdP esterno suggerisce che questi account utente appartengono a dipendenti attuali e devono essere mantenuti. Ti consigliamo quindi di eseguire la migrazione di questi account a Cloud Identity o Google Workspace.

Puoi identificare gli account consumer con identità corrispondente nella IdP come segue:

1. Aggiungere tutti i domini a Cloud Identity o Google Workspace che temi possano sono stati utilizzati per le registrazioni di account consumer. In particolare, l'elenco in Cloud Identity o Google Workspace devono includere tutti i domini supportati dal tuo sistema email.
2. Utilizza lo strumento di trasferimento per gli utenti non gestiti per identificare gli account consumer che utilizzano un indirizzo email corrispondente a uno dei domini che hai aggiunto a Cloud Identity o Google Workspace. Lo strumento ti consente inoltre di esportare l'elenco degli utenti interessati come file CSV.
3. Confronta l'elenco degli account consumer con le identità nel tuo IdP esterno e trovare gli account consumer che hanno una controparte.

Account consumer senza un'identità corrispondente nell'IdP esterno

Questo insieme di account utente è composto da account che corrispondono a tutti i seguenti:

• Sono stati creati dai dipendenti.
• Utilizzano un indirizzo email aziendale come identità.
• La loro identità non corrisponde ad alcuna identità nell'IdP esterno.

Nello scenario di esempio, questa descrizione si adatta a Chuck.

Esistono diversi motivi per cui gli account dei consumatori non hanno un'identità corrispondente nella RP esterna, tra cui:

• Il dipendente che ha creato l'account potrebbe aver lasciato l'azienda, pertanto l'identità corrispondente non esiste più nel provider di identità esterno.

• Potrebbe esserci una mancata corrispondenza tra l'indirizzo email utilizzato per la registrazione dell'account consumer e l'identità nota nell'IdP esterno. Mancata corrispondenza come queste possono verificarsi se il sistema di posta elettronica consente variazioni di come i seguenti:

  • Utilizzo di domini alternativi. Ad esempio, johndoe@example.org e johndoe@example.com può essere alias per la stessa casella di posta, ma potrebbe essere noto solo come johndoe@example.com nel tuo IdP.
  • Utilizzare handle alternativi. Ad esempio johndoe@example.com e Anche john.doe@example.com potrebbe fare riferimento alla stessa casella di posta, ma L'IdP potrebbe riconoscere solo un'ortografia.
  • Utilizzo di lettere maiuscole e minuscole diverse. Ad esempio, le varianti johndoe@example.com e JohnDoe@example.com potrebbero non essere riconosciute come lo stesso utente.

Puoi gestire gli account consumer che non hanno un'identità corrispondente nell'IDP esterno nei seguenti modi:

• Puoi eseguire la migrazione dell'account consumer a Cloud Identity o Google Workspace e poi riconciliare Eventuali mancate corrispondenze causate da domini alternativi, handle o dall'uso di maiuscole e minuscole.

• Se ritieni che l'account utente non sia legittimo o non debba più essere utilizzato, puoi eliminare l'account consumer costringendo il proprietario a rinominarlo.

Puoi identificare gli account consumer senza un'identità corrispondente nella IdP come segue:

1. Aggiungere tutti i domini a Cloud Identity o Google Workspace che temi possano sono stati utilizzati per le registrazioni di account consumer. In particolare, l'elenco dei domini in Cloud Identity o Google Workspace deve includere tutti i domini supportati dal tuo sistema email come alias.
2. Utilizza lo strumento di trasferimento per gli utenti non gestiti per identificare gli account consumer che utilizzano un indirizzo email corrispondente a uno dei domini che hai aggiunto a Cloud Identity o Google Workspace. Lo strumento ti consente inoltre esportare l'elenco degli utenti interessati come file CSV.
3. Confronta l'elenco degli account consumer con le identità nel tuo IdP esterno e trovare account consumer che non dispongono di una controparte.

Account gestiti senza un'identità corrispondente nell'IDP esterno

Questo insieme di account utente è composto da account che corrispondono a tutti i seguenti:

• Sono stati creati manualmente da un amministratore di Cloud Identity o Google Workspace.
• La sua identità non corrisponde a nessuna identità nell'IdP esterno.

Nello scenario di esempio, questa descrizione è adatta a Michele, che ha utilizzato l'identità. admin@example.com per il suo account gestito.

Le potenziali cause degli account gestiti senza un'identità corrispondente in IdP esterno sono simili a quelli degli account consumer senza corrispondenza di identità nell'IdP esterno:

• Il dipendente per cui è stato creato l'account potrebbe aver lasciato dell'azienda, quindi l'identità corrispondente non esiste più nell'IdP esterno.
• L'indirizzo email aziendale che corrisponde all'identità nell'email esterna l'IdP potrebbe essere stato impostare come indirizzo email alternativo o alias anziché come indirizzo email principale.
• L'indirizzo email utilizzato per l'account utente in Cloud Identity o Google Workspace potrebbe non corrispondere all'identità nota nell'IdP esterno. Né Cloud Identity né Google Workspace verifica che l'indirizzo email utilizzato come identità esiste già. Pertanto, una mancata corrispondenza non può verificarsi solo a causa di domini, handle alternativi o maiuscole/minuscole diverse, ma anche a causa di un errore di battitura o altri errori umani.

Indipendentemente dalla causa, gli account gestiti senza un'identità corrispondente nell'IDP esterno rappresentano un rischio perché possono essere soggetti a riutilizzo involontario e squatting del nome. Ti consigliamo di riconciliare questi account.

Puoi identificare gli account dei consumatori senza un'identità corrispondente nell'IdP esterno come segue:

1. Utilizza la Console di amministrazione o l'API Directory per esportare l'elenco degli account utente in Cloud Identity o Google Workspace.
2. Confronta l'elenco degli account con le identità nel tuo IdP esterno e individuare gli account privi di controparte.

Account Gmail utilizzati per scopi aziendali

Questo insieme di account utente è costituito da account corrispondenti a quanto segue:

• Sono stati creati dai dipendenti.
• Utilizzano un indirizzo email gmail.com come identità.
• Le loro identità non corrispondono ad alcuna identità nell'IdP esterno.

Nello scenario di esempio, questa descrizione si adatta a Grace e Glen.

Gli account Gmail utilizzati per scopi aziendali sono soggetti ad simili e rischi account consumer senza corrispondenza dell'identità nell'IdP esterno:

• Non puoi controllare il ciclo di vita dell'account consumer. Un dipendente che lascia l'azienda potrebbe continuare a utilizzare l'account utente per accedere alle risorse aziendali o per generare spese aziendali.
• Non puoi applicare criteri di sicurezza, come la verifica a più fattori o le regole di complessità della password, all'account.

Il modo migliore per gestire gli account Gmail è quindi revocare l'accesso a questi account utente a tutte le risorse aziendali e fornire ai dipendenti interessati con i nuovi account utente gestiti come sostituzione.

Poiché gli account Gmail utilizzano gmail.com come dominio, non è chiara la loro affiliazione alla tua organizzazione. La mancanza di una chiara affiliazione implica che non esiste un metodo sistematico, a parte lo scrubbing controllo dell'accesso esistente. per identificare gli account Gmail utilizzati per scopi aziendali scopi.

Account Gmail con un indirizzo email aziendale come email alternativa

Questo insieme di account utente è costituito da account che corrispondono a tutti i seguenti requisiti:

• Sono stati creati dai dipendenti.
• Utilizzano un indirizzo email gmail.com come identità.
• Utilizzano un indirizzo email aziendale come indirizzo email alternativo.
• Le loro identità non corrispondono ad alcuna identità nell'IdP esterno.

Nello scenario di esempio, questa descrizione corrisponde a Grazia.

Dal punto di vista dei rischi, gli account Gmail che utilizzano un indirizzo email aziendale un indirizzo email alternativo equivale a account consumer senza un'identità corrispondente nell'IdP esterno. Poiché questi account utilizzano un indirizzo email aziendale apparentemente affidabile come seconda identità, sono soggetti al rischio di ingegneria sociale.

Se vuoi mantenere i diritti di accesso e alcuni dei dati associati all'account Gmail, puoi chiedere al proprietario di rimuovere Gmail dall'account utente in modo da poter poi eseguire la migrazione a Cloud Identity o Google Workspace.

Il modo migliore per gestire gli account Gmail che utilizzano un indirizzo email aziendale come l'indirizzo email alternativo è sanificali. Quando esegui la sanificazione di un account, costringi il proprietario a rinunciare all'indirizzo email aziendale creando un account utente gestito con lo stesso indirizzo email aziendale. Inoltre, ti consigliamo di revocare l'accesso a tutti i dipendenti le risorse e fornire ai dipendenti interessati i nuovi account utente gestiti come sostituzioni.

Passaggi successivi

• Scopri di più sui diversi tipi di account utente su Google Cloud.
• Scopri come procedura di migrazione per account consumer funziona.
• Rivedi best practice per la federazione di Google Cloud con un provider di identità esterno.