Evaluar cuentas de usuario

Google admite dos tipos de cuentas de usuario: cuentas de usuario gestionadas y cuentas de usuario de consumidor. Las cuentas de usuario gestionadas están controladas totalmente por un administrador de Cloud Identity o Google Workspace. Por el contrario, las cuentas de consumidor son propiedad de las personas que las han creado, que también son quienes las gestionan.

Un principio fundamental de la gestión de identidades es tener un único lugar donde gestionar las identidades de toda la organización:

• Si usas Google como proveedor de identidades (IdP), Cloud Identity o Google Workspace deben ser el único lugar donde gestionar las identidades. Los empleados deben usar exclusivamente las cuentas de usuario que gestionas en Cloud Identity o Google Workspace.

• Si utilizas un IdP externo, ese proveedor debería ser el único lugar donde gestionar las identidades. El proveedor de identidades externo debe aprovisionar y gestionar las cuentas de usuario en Cloud Identity o Google Workspace, y los empleados deben usar exclusivamente estas cuentas de usuario gestionadas cuando utilicen los servicios de Google.

Si los empleados utilizan cuentas de usuario de consumidor, la premisa de gestionar las identidades de forma centralizada se ve comprometida, ya que las cuentas de consumidor no se gestionan mediante Cloud Identity, Google Workspace ni tu IdP externo. Por lo tanto, debes identificar las cuentas de usuario de consumidor que quieras convertir en cuentas gestionadas, tal como se explica en el resumen de la autenticación.

Para convertir cuentas de consumidor en cuentas gestionadas con la herramienta de transferencia, que se describe más adelante en este documento, debes tener una identidad de Cloud Identity o Google Workspace con el rol de superadministrador.

Este documento le ayudará a comprender y evaluar lo siguiente:

• Qué cuentas de usuario utilizan los empleados de tu organización y cómo identificarlas.
• Qué riesgos pueden estar asociados a estas cuentas de usuario.

Caso de ejemplo

Para ilustrar los diferentes conjuntos de cuentas de usuario que pueden usar los empleados, en este documento se utiliza un ejemplo de una empresa llamada Organización de Ejemplo. La organización de ejemplo tiene seis empleados y exempleados que han usado servicios de Google, como Documentos de Google y Google Ads. Example Organization quiere consolidar su gestión de identidades y establecer su proveedor de identidades externo como el único lugar donde gestionar las identidades. Cada empleado tiene una identidad en el IdP externo, y esa identidad coincide con la dirección de correo del empleado.

Hay dos cuentas de usuario de consumidor, Carol y Chuck, que usan una dirección de correo example.com:

• Carol ha creado una cuenta de consumidor con su dirección de correo de empresa (carol@example.com).
• Chuck, un antiguo empleado, creó una cuenta de consumidor con su dirección de correo corporativa (chuck@example.com).

Dos empleados, Glen y Grace, han decidido usar cuentas de Gmail:

• Glen se ha registrado para obtener una cuenta de Gmail (glen@gmail.com)), que usa para acceder a documentos privados y de empresa, así como a otros servicios de Google.
• Grace también usa una cuenta de Gmail (grace@gmail.com), pero ha añadido su dirección de correo de empresa, grace@example.com, como dirección de correo alternativa.

Por último, dos empleados, María y Miguel, ya utilizan Cloud Identity:

• María tiene una cuenta de usuario de Cloud Identity (mary@example.com).
• Mike es el administrador de la cuenta de Cloud Identity y ha creado un usuario (admin@example.com) para sí mismo.

En el siguiente diagrama se muestran los diferentes conjuntos de cuentas de usuario:

Para establecer el IdP externo como el único lugar donde gestionar las identidades, debes vincular las identidades de las cuentas de usuario de Google con las identidades del IdP externo. Por lo tanto, en el siguiente diagrama se añade un conjunto de cuentas que representa las identidades del IdP externo.

Recuerda que, si los empleados quieren establecer un IdP externo como único lugar para gestionar las identidades, deben usar exclusivamente cuentas de usuario gestionadas y que el IdP externo debe controlar esas cuentas de usuario.

En este caso, solo María cumple estos requisitos. Usa un usuario de Cloud Identity, que es una cuenta de usuario gestionada, y la identidad de su cuenta de usuario coincide con su identidad en el IdP externo. El resto de los empleados usan cuentas de consumidor o la identidad de sus cuentas no coincide con su identidad en el IdP externo. Los riesgos y las implicaciones de no cumplir los requisitos son diferentes para cada uno de estos usuarios. Cada usuario representa un conjunto diferente de cuentas de usuario que pueden requerir una investigación más a fondo.

Conjuntos de cuentas de usuario que investigar

En las siguientes secciones se analizan conjuntos de cuentas de usuario que pueden dar problemas.

Cuentas de consumidor

Este conjunto de cuentas de usuario está formado por cuentas en las que se cumple alguna de las siguientes condiciones:

• Los empleados las han creado mediante la función Registrarse que ofrecen muchos servicios de Google.
• Usan una dirección de correo de empresa como identidad.

En el ejemplo, esta descripción se ajusta a Carol y Chuck.

Tener cuentas de consumidor para el trabajo y con una dirección de correo corporativa puede suponer un riesgo para tu empresa, como los siguientes:

• No puedes controlar el ciclo de vida de la cuenta de consumidor. Un empleado que abandone la empresa podría seguir utilizando la cuenta de usuario para acceder a recursos corporativos o generar gastos de empresa.

  Aunque revoques el acceso a todos los recursos, la cuenta todavía puede suponer un riesgo de ingeniería social. Dado que la cuenta de usuario utiliza una identidad aparentemente fiable, como chuck@example.com, ese antiguo empleado podría convencer a otros empleados o partners de la empresa para que vuelvan a darle acceso a los recursos.

  Del mismo modo, un antiguo empleado podría usar la cuenta de usuario para llevar a cabo actividades que no cumplan las políticas de tu organización, lo que podría poner en riesgo la reputación de tu empresa.

• No puedes implementar políticas de seguridad obligatorias en la cuenta, como la verificación con MFA o las reglas de complejidad de la contraseña.

• No poder restringir en qué ubicación geográfica se almacenan los datos de Google Docs y Google Drive, lo que podría suponer un riesgo de cumplimiento.

• No puedes restringir a qué servicios de Google se puede acceder con esta cuenta de usuario.

Si ExampleOrganization decide usar Google como su proveedor de identidades, la mejor forma de gestionar las cuentas de consumidor es migrarlas a Cloud Identity o Google Workspace o expulsarlas obligando a los propietarios a cambiar el nombre de la cuenta de usuario.

Si la organización Ejemplo decide usar un IdP externo, debe distinguir entre lo siguiente:

• Cuentas de consumidor que tengan una identidad coincidente en el IdP externo.
• Cuentas de consumidor que no tienen una identidad coincidente en el IdP externo.

En las dos secciones siguientes se analizan estas dos subclases en detalle.

Cuentas de consumidor con una identidad coincidente en el IdP externo

Este conjunto de cuentas de usuario está formado por cuentas que cumplen todos los requisitos siguientes:

• Los han creado empleados.
• Usan una dirección de correo de empresa como dirección de correo principal.
• Su identidad coincide con una identidad del IdP externo.

En el ejemplo, esta descripción se ajusta a Carol.

El hecho de que estas cuentas de consumidor tengan una identidad coincidente en tu IdP externo sugiere que estas cuentas de usuario pertenecen a empleados actuales y deben conservarse. Por lo tanto, te recomendamos que migres estas cuentas a Cloud Identity o Google Workspace.

Para identificar las cuentas de consumidor que tienen una identidad coincidente en el proveedor de identidades externo, sigue estos pasos:

1. Añade todos los dominios a Cloud Identity o Google Workspace que creas que se han podido usar para registrar cuentas de consumidor. En concreto, la lista de dominios de Cloud Identity o Google Workspace debe incluir todos los dominios que admita tu sistema de correo.
2. Usa la herramienta de transferencia de usuarios no gestionados para identificar las cuentas de consumidor que usen una dirección de correo que coincida con uno de los dominios que hayas añadido a Cloud Identity o Google Workspace. La herramienta también te permite exportar la lista de usuarios afectados como un archivo CSV.
3. Compare la lista de cuentas de consumidor con las identidades de su proveedor de identidades externo y busque las cuentas de consumidor que tengan una contraparte.

Cuentas de consumidor sin una identidad coincidente en el proveedor de identidades externo

Este conjunto de cuentas de usuario está formado por cuentas que cumplen todos los requisitos siguientes:

• Los han creado empleados.
• Usan una dirección de correo de empresa como identidad.
• Su identidad no coincide con ninguna identidad del IdP externo.

En el ejemplo, esta descripción se ajusta a Chuck.

Puede haber varios motivos por los que las cuentas de consumidor no tengan una identidad coincidente en el IdP externo, entre los que se incluyen los siguientes:

• Es posible que el empleado que creó la cuenta haya dejado la empresa, por lo que la identidad correspondiente ya no existe en el proveedor de identidades externo.

• Puede que haya una discrepancia entre la dirección de correo utilizada para registrarse en la cuenta de consumidor y la identidad conocida en el IdP externo. Estos errores pueden producirse si tu sistema de correo permite variaciones en las direcciones de correo, como las siguientes:

  • Usar dominios alternativos. Por ejemplo, johndoe@example.org y johndoe@example.com podrían ser alias del mismo buzón, pero el usuario solo se conocería como johndoe@example.com en tu proveedor de identidades.
  • Usar identificadores alternativos. Por ejemplo, johndoe@example.com y john.doe@example.com también pueden hacer referencia al mismo buzón, pero tu IdP puede reconocer solo una de las grafías.
  • Usando mayúsculas y minúsculas de forma diferente. Por ejemplo, es posible que las variantes johndoe@example.com y JohnDoe@example.com no se reconozcan como el mismo usuario.

Puedes gestionar las cuentas de consumidor que no tengan una identidad coincidente en el IdP externo de las siguientes formas:

• Puedes migrar la cuenta de consumidor a Cloud Identity o Google Workspace y, a continuación, conciliar cualquier discrepancia causada por dominios, identificadores o uso de mayúsculas y minúsculas alternativos.

• Si crees que la cuenta de usuario es ilegítima o que ya no se debería usar, puedes expulsar la cuenta de consumidor obligando al propietario a cambiarle el nombre.

Puede identificar las cuentas de consumidor que no tengan una identidad coincidente en el IdP externo de la siguiente manera:

1. Añade todos los dominios a Cloud Identity o Google Workspace que creas que se han podido usar para registrar cuentas de consumidor. En concreto, la lista de dominios de Cloud Identity o Google Workspace debe incluir todos los dominios que tu sistema de correo admita como alias.
2. Usa la herramienta de transferencia de usuarios no gestionados para identificar las cuentas de consumidor que usen una dirección de correo que coincida con uno de los dominios que hayas añadido a Cloud Identity o Google Workspace. La herramienta también te permite exportar la lista de usuarios afectados como un archivo CSV.
3. Compara la lista de cuentas de consumidor con las identidades de tu IdP externo y busca las cuentas de consumidor que no tengan una contraparte.

Cuentas gestionadas sin una identidad coincidente en el IdP externo

Este conjunto de cuentas de usuario está formado por cuentas que cumplen todos los requisitos siguientes:

• Un administrador de Cloud Identity o Google Workspace las ha creado manualmente.
• Su identidad no coincide con ninguna identidad del proveedor de identidades externo.

En el ejemplo, esta descripción se ajusta a Mike, que usó la identidad admin@example.com para su cuenta gestionada.

Las posibles causas de las cuentas gestionadas sin una identidad coincidente en el IdP externo son similares a las de las cuentas de consumidor sin una identidad coincidente en el IdP externo:

• Es posible que el empleado para el que se creó la cuenta haya dejado la empresa, por lo que la identidad correspondiente ya no existe en el proveedor de identidades externo.
• Es posible que la dirección de correo corporativa que coincide con la identidad del IdP externo se haya configurado como dirección de correo alternativa o alias en lugar de como dirección de correo principal.
• Es posible que la dirección de correo que se usa en la cuenta de usuario de Cloud Identity o Google Workspace no coincida con la identidad conocida en el proveedor de identidades externo. Ni Cloud Identity ni Google Workspace verifican que la dirección de correo utilizada como identidad exista. Por lo tanto, las discrepancias no solo se deben a dominios o identificadores alternativos o a diferencias en el uso de mayúsculas y minúsculas, sino también a errores tipográficos u otros errores humanos.

Independientemente de su causa, las cuentas gestionadas sin una identidad coincidente en el IdP externo suponen un riesgo, ya que pueden ser objeto de reutilización y acaparamiento de nombres inadvertidos. Te recomendamos que concilies estas cuentas.

Puede identificar las cuentas de consumidor que no tengan una identidad coincidente en el IdP externo de la siguiente manera:

1. Usa la consola de administración o la API Directory para exportar la lista de cuentas de usuario de Cloud Identity o Google Workspace.
2. Compara la lista de cuentas con las identidades de tu proveedor de identidades externo y busca las cuentas que no tengan una contraparte.

Cuentas de Gmail utilizadas con fines corporativos

Este conjunto de cuentas de usuario está formado por cuentas que cumplen los siguientes requisitos:

• Los han creado empleados.
• Usan una dirección de correo de gmail.com como identidad.
• Sus identidades no coinciden con ninguna identidad del proveedor de identidades externo.

En el ejemplo, esta descripción se ajusta a Grace y Glen.

Las cuentas de Gmail que se usan con fines corporativos están sujetas a riesgos similares a los de las cuentas de consumidor sin identidad coincidente en un IdP externo:

• No puedes controlar el ciclo de vida de la cuenta de consumidor. Un empleado que abandone la empresa podría seguir utilizando la cuenta de usuario para acceder a recursos corporativos o generar gastos de empresa.
• No puedes implementar políticas de seguridad obligatorias en la cuenta, como la verificación con MFA o las reglas de complejidad de la contraseña.

Por lo tanto, la mejor forma de gestionar las cuentas de Gmail es revocar el acceso de esas cuentas de usuario a todos los recursos de la empresa y proporcionar a los empleados afectados nuevas cuentas de usuario gestionadas como sustitutas.

Como las cuentas de Gmail usan gmail.com como dominio, no hay una afiliación clara con tu organización. La falta de una afiliación clara implica que no hay una forma sistemática (aparte de eliminar las políticas de control de acceso actuales) de identificar las cuentas de Gmail que se han usado con fines corporativos.

Cuentas de Gmail con una dirección de correo corporativa como correo alternativo

Este conjunto de cuentas de usuario está formado por cuentas que cumplen todos los requisitos siguientes:

• Los han creado empleados.
• Usan una dirección de correo de gmail.com como identidad.
• Usan una dirección de correo de empresa como dirección de correo alternativa.
• Sus identidades no coinciden con ninguna identidad del proveedor de identidades externo.

En el ejemplo, esta descripción se ajusta a Grace.

Desde el punto de vista del riesgo, las cuentas de Gmail que usan una dirección de correo de empresa como dirección de correo alternativa son equivalentes a las cuentas de consumidor sin una identidad coincidente en el IdP externo. Dado que estas cuentas utilizan una dirección de correo de empresa aparentemente fiable como segunda identidad, están expuestas al riesgo de ingeniería social.

Si quieres mantener los derechos de acceso y algunos de los datos asociados a la cuenta de Gmail, puedes pedirle al propietario que elimine Gmail de la cuenta de usuario para que puedas migrarla a Cloud Identity o Google Workspace.

La mejor forma de gestionar las cuentas de Gmail que usan una dirección de correo de empresa como dirección de correo alternativa es anonimizarlas. Cuando anonimizas una cuenta, obligas al propietario a renunciar a la dirección de correo corporativa creando una cuenta de usuario gestionada con esa misma dirección. Además, te recomendamos que revoques el acceso a todos los recursos de la empresa y proporciones a los empleados afectados las nuevas cuentas de usuario gestionadas como sustitutas.

Siguientes pasos

• Consulta más información sobre los distintos tipos de cuentas de usuario en Google Cloud.
• Consulta cómo funciona el proceso de migración de cuentas de consumidor.
• Consulta las prácticas recomendadas para federar Google Cloud con un proveedor de identidades externo.