Evalúa cuentas de usuario existentes

Google admite dos tipos de cuentas de usuario, las cuentas de usuario administradas y las cuentas de usuario personales. Las cuentas de usuario administradas están bajo el control total de un administrador de Cloud Identity o G Suite. Por el contrario, las personas que crean las cuentas personales tienen la propiedad y la administración total de ellas.

Un principio fundamental de la administración de identidades es tener un solo lugar para administrar las identidades en toda la organización:

  • Si usas Google como tu proveedor de identidad (IdP), Cloud Identity o G Suite deben ser el único lugar para administrar las identidades. Los empleados deben depender en exclusivo de las cuentas de usuario que administras en Cloud Identity o G Suite.

  • Si usas un IdP externo, ese proveedor debe ser el único lugar para administrar las identidades. El IdP externo debe aprovisionar y administrar cuentas de usuario en Cloud Identity o G Suite, y los empleados deben depender en exclusivo de estas cuentas de usuario administradas cuando usan los servicios de Google.

Si los empleados usan cuentas de usuario personales, se compromete el fundamento de tener un solo lugar para administrar identidades: Cloud Identity, G Suite o el IdP externo no administran estas cuentas. Por lo tanto, debes identificar las cuentas de usuario personales que deseas convertir en cuentas administradas, como se explica en la descripción general de autenticación.

Con este documento, podrás comprender y evaluar lo siguiente:

  • Qué cuentas de usuario existentes usan los empleados de tu organización y cómo identificar esas cuentas.
  • Qué riesgos pueden asociarse a estas cuentas de usuario existentes.

Situación de ejemplo

En este documento, se usa una situación de ejemplo para una empresa llamada Organización de ejemplo a fin de ilustrar los diferentes conjuntos de cuentas de usuario que los empleados podrían usar. Organización de ejemplo tiene seis empleados y exempleados que han usado los servicios de Google, como Documentos de Google y Google Ads. Organización de ejemplo ahora desea consolidar la administración de identidades y establecer el IdP externo como el único lugar para administrar identidades. Cada empleado tiene una identidad en el IdP externo y esa identidad coincide con la dirección de correo electrónico del empleado.

Hay dos cuentas de usuario personales, Carol y Chuck, que usan una dirección de correo electrónico example.com:

  • Carol creó una cuenta personal con su dirección de correo electrónico empresarial (carol@example.com).
  • Chuck, un exempleado, creó una cuenta personal con su dirección de correo electrónico empresarial (chuck@example.com).

Dos empleados, Glen y Grace, decidieron usar las cuentas de Gmail:

  • Glen se registró en una cuenta de Gmail (glen@gmail.com), que usa para acceder a documentos privados y empresariales y a otros servicios de Google.
  • Grace también usa una cuenta de Gmail (grace@gmail.com), pero agregó su dirección de correo electrónico empresarial, grace@example.com, como dirección de correo electrónico alternativa.

Por último, dos empleados, Mary y Mike, ya usan Cloud Identity:

  • Mary tiene una cuenta de usuario de Cloud Identity (mary@example.com).
  • Mike es el administrador de la cuenta de Cloud Identity y creó un usuario (admin@example.com) para sí mismo.

En el siguiente diagrama, se ilustran los diferentes conjuntos de cuentas de usuario:

Los conjuntos de cuentas de usuario.

Si quieres establecer el IdP externo como el único lugar para administrar identidades, debes vincular las identidades de las cuentas de usuario de Google existentes a las identidades en el IdP externo. Por lo tanto, en el siguiente diagrama, se agrega un conjunto de cuentas que representa las identidades en el IdP externo.

Conjunto de cuentas de usuario para identidades en el IdP externo.

Recuerda que si los empleados desean establecer un IdP externo como el único lugar para administrar las identidades, deben depender en exclusivo de las cuentas de usuario administradas, y que el IdP externo debe controlar esas cuentas de usuario.

En este momento, solo Mary cumple con estos requisitos. Usa un usuario de Cloud Identity, que es una cuenta de usuario administrada, y la identidad de la cuenta de usuario coincide con su identidad en el IdP externo. Todos los demás empleados usan cuentas personales o la identidad de sus cuentas no coincide con su identidad en el IdP externo. Los riesgos y las consecuencias de no cumplir con los requisitos son diferentes para cada uno de estos usuarios. Cada usuario representa un conjunto diferente de cuentas de usuario que puede requerir más investigación.

Conjuntos de cuentas de usuario para investigar

En las siguientes secciones, se analizan conjuntos de cuentas de usuario que posiblemente presenten problemas.

Cuentas personales

Este conjunto de cuentas de usuario consta de cuentas en las que se cumple una de las siguientes condiciones:

  • Las crearon empleados mediante la función Registrarse que ofrecen muchos servicios de Google.
  • Usan una dirección de correo electrónico empresarial como su identidad.

En la situación de ejemplo, esta descripción se ajusta a Carol y Chuck.

Una cuenta personal que se usa con fines empresariales y que usa una dirección de correo electrónico empresarial puede representar un riesgo para la empresa, por ejemplo:

  • No puedes controlar el ciclo de vida de la cuenta personal. Un empleado que abandona la empresa puede seguir usando la cuenta de usuario para acceder a los recursos o generar gastos empresariales.

    Incluso si revocas el acceso a todos los recursos, la cuenta podría representar un riesgo de ingeniería social. Debido a que la cuenta de usuario usa una identidad que parece confiable, como chuck@example.com, es posible que el exempleado convenza a los empleados o socios comerciales actuales para que vuelvan a otorgarle acceso a los recursos.

    De manera similar, un exempleado podría usar la cuenta de usuario para realizar actividades que no cumplan con las políticas de la organización, lo que podría poner en riesgo la reputación de la empresa.

  • No puedes aplicar políticas de seguridad como la verificación de MFA o reglas de complejidad de contraseñas en la cuenta.

  • No puedes restringir los datos de ubicación geográfica de Documentos y Drive que se almacenan, lo que podría representar un riesgo de cumplimiento.

  • No puedes restringir los servicios de Google a los que se puede acceder mediante esta cuenta de usuario.

Si Organización de ejemplo decide usar Google como su IdP, la mejor manera de tratar con cuentas personales es migrarlas a Cloud Identity o G Suite o expulsarlas mediante el cambio de nombre forzoso de la cuenta de usuario por parte de los propietarios.

Si Organización de ejemplo decide usar un IdP externo, debe distinguir entre lo siguiente:

  • Cuentas personales que tienen una identidad coincidente en el IdP externo.
  • Cuentas personales que no tienen una identidad coincidente en el IdP externo.

En las siguientes dos secciones, se analizan estas dos subclases en detalle.

Cuentas personales con una identidad coincidente en el IdP externo

Este conjunto de cuentas de usuario consta de cuentas que coinciden con lo siguiente:

  • Las crearon empleados.
  • Usan una dirección de correo electrónico empresarial como dirección de correo electrónico principal.
  • Su identidad coincide con una identidad en el IdP externo.

En la situación de ejemplo, esta descripción se ajusta a Carol.

Cuentas con una identidad coincidente en el IdP externo.

El hecho de que estas cuentas personales tengan una identidad coincidente en tu IdP externo sugiere que pertenecen a los empleados actuales y se deben conservar. Por lo tanto, debes considerar migrar estas cuentas a Cloud Identity o G Suite.

Puedes identificar cuentas personales que tengan identidad coincidente en el IdP externo de la siguiente manera:

  1. Agrega todos los dominios a Cloud Identity o G Suite que consideras que se usaron para los registros de cuentas personales. En particular, la lista de dominios en Cloud Identity o G Suite debe incluir todos los dominios que admite tu sistema de correo electrónico.
  2. Usa la herramienta para transferir usuarios no administrados a fin de identificar cuentas personales que usan una dirección de correo electrónico que coincide con uno de los dominios que agregaste a Cloud Identity o G Suite.
  3. Compara la lista de cuentas personales con las identidades en tu IdP externo y busca cuentas personales que tengan una contraparte.

Cuentas personales sin una identidad coincidente en el IdP externo

Este conjunto de cuentas de usuario consta de cuentas que coinciden con lo siguiente:

  • Las crearon empleados.
  • Usan una dirección de correo electrónico empresarial como su identidad.
  • Su identidad no coincide con ninguna identidad en el IdP externo.

En la situación de ejemplo, esta descripción se ajusta a Chuck.

Cuentas sin una identidad coincidente en el IdP externo.

Puede haber varias causas para las cuentas personales sin una identidad coincidente en el IdP externo, incluidas las siguientes:

  • Es posible que el empleado que creó la cuenta se haya ido de la empresa, por lo que la identidad correspondiente ya no existe en el IdP externo.
  • Puede haber una discrepancia entre la dirección de correo electrónico que se usó para el registro de la cuenta personal y la identidad conocida en el IdP externo. Estas discrepancias pueden ocurrir si el sistema de correo electrónico permite variaciones en las direcciones de correo electrónico, como las siguientes:

    • Uso de dominios alternativos. Por ejemplo, johndoe@example.org y johndoe@example.com pueden ser alias para el mismo buzón, pero el usuario puede conocerse solo como johndoe@example.com en el IdP.
    • Uso de controladores alternativos. Por ejemplo, johndoe@example.com y john.doe@example.com también pueden hacer referencia al mismo buzón, pero es posible que el IdP reconozca solo una forma.
    • Uso diferencial de mayúsculas y minúsculas. Por ejemplo, es posible que las variantes johndoe@example.com y JohnDoe@example.com no se reconozcan como el mismo usuario.

Puedes controlar las cuentas personales que no tienen una identidad coincidente en el IdP externo de las siguientes maneras:

Puedes identificar cuentas personales sin una identidad coincidente en el IdP externo de la siguiente manera:

  1. Agrega todos los dominios a Cloud Identity o G Suite que consideras que se usaron para los registros de cuentas personales. En particular, la lista de dominios en Cloud Identity o G Suite debe incluir todos los dominios que tu sistema de correo electrónico admite como alias.
  2. Usa la herramienta para transferir usuarios no administrados a fin de identificar cuentas personales que usan una dirección de correo electrónico que coincide con uno de los dominios que agregaste a Cloud Identity o G Suite.
  3. Compara la lista de cuentas personales con las identidades en tu IdP externo y busca cuentas personales que no tengan una contraparte.

Cuentas administradas sin una identidad coincidente en el IdP externo

Este conjunto de cuentas de usuario consta de cuentas que coinciden con lo siguiente:

  • Un administrador de Cloud Identity o G Suite las creó manualmente.
  • Su identidad no coincide con ninguna identidad en el IdP externo.

En la situación de ejemplo, esta descripción se ajusta a Mike, que usó la identidad admin@example.com para su cuenta administrada.

Cuentas creadas de forma manual cuya identidad no coincide con ninguna identidad en el IdP externo.

Las posibles causas de las cuentas administradas sin una identidad coincidente en el IdP externo son similares a las de las cuentas personales sin una identidad coincidente en el IdP externo:

  • Es posible que el empleado para el que se creó la cuenta se haya ido de la empresa, por lo que la identidad correspondiente ya no existe en el IdP externo.
  • Es posible que la dirección de correo electrónico empresarial que coincide con la identidad en el IdP externo se haya configurado como una dirección de correo electrónico alternativa o alias en lugar de como la dirección de correo electrónico principal.
  • La dirección de correo electrónico que se usa para la cuenta de usuario en Cloud Identity o G Suite podría no coincidir con la identidad conocida en el IdP externo. Ni Cloud Identity ni G Suite verifican que exista la dirección de correo electrónico que se usa como identidad. Por lo tanto, una discrepancia no solo puede ocurrir debido a dominios alternativos, controladores alternativos o diferencias de mayúsculas y minúsculas, sino también debido a un error tipográfico o de otro tipo.

Sin importar su causa, las cuentas administradas sin una identidad coincidente en el IdP externo son un riesgo porque pueden estar sujetas a la reutilización involuntaria y la usurpación de nombres. Te recomendamos que concilies estas cuentas.

Puedes identificar cuentas personales sin una identidad coincidente en el IdP externo de la siguiente manera:

  1. Mediante la Consola del administrador o la API de Directory, exporta la lista de cuentas de usuario en Cloud Identity o G Suite.
  2. Compara la lista de cuentas con las identidades en el IdP externo y busca cuentas que no tengan una contraparte.

Cuentas de Gmail con fines empresariales

Este conjunto de cuentas de usuario consta de cuentas que coinciden con lo siguiente:

  • Las crearon empleados.
  • Usan una dirección de correo electrónico gmail.com como su identidad.
  • Sus identidades no coinciden con ninguna identidad en el IdP externo.

En la situación de ejemplo, esta descripción se ajusta a Grace y Glen.

Cuentas de Gmail creadas por empleados cuyas identidades no coinciden con ninguna en el IdP externo.

Las cuentas de Gmail que se usan con fines empresariales están sujetas a riesgos similares a los de las cuentas personales sin identidad coincidente en el IdP externo:

  • No puedes controlar el ciclo de vida de la cuenta personal. Un empleado que abandona la empresa puede seguir usando la cuenta de usuario para acceder a los recursos o generar gastos empresariales.
  • No puedes aplicar políticas de seguridad como la verificación de MFA o reglas de complejidad de contraseñas en la cuenta.

Por lo tanto, la mejor manera de manejar las cuentas de Gmail es revocar el acceso de esas cuentas de usuario a todos los recursos empresariales y proporcionarles a los empleados afectados nuevas cuentas de usuario administradas como reemplazo.

Debido a que las cuentas de Gmail usan gmail.com como su dominio, no hay una afiliación clara con tu organización. La falta de una afiliación clara implica que no existe una forma sistemática (excepto la limpieza de las políticas de control de acceso) para identificar las cuentas de Gmail que se usaron con fines empresariales.

Cuentas de Gmail con una dirección de correo electrónico empresarial como correo alternativo

Este conjunto de cuentas de usuario consta de cuentas que coinciden con lo siguiente:

  • Las crearon empleados.
  • Usan una dirección de correo electrónico gmail.com como su identidad.
  • Usan una dirección de correo electrónico empresarial como dirección de correo electrónico alternativa.
  • Sus identidades no coinciden con ninguna identidad en el IdP externo.

En la situación de ejemplo, esta descripción se ajusta a Grace.

Cuentas de Gmail con una dirección de correo electrónico empresarial como correo alternativo

Desde una perspectiva de riesgos, las cuentas de Gmail que usan una dirección de correo electrónico empresarial como correo alternativo son equivalentes a las cuentas personales sin una identidad coincidente en el IdP externo. Debido a que estas cuentas usan una dirección de correo electrónico empresarial que parece confiable, están sujetas al riesgo de la ingeniería social.

La mejor manera de administrar las cuentas de Gmail que usan una dirección de correo electrónico empresarial como correo alternativo es limpiarlas. Cuando limpias una cuenta, obligas al propietario a renunciar a la dirección de correo electrónico empresarial mediante la creación de una cuenta de usuario administrada con esa misma dirección de correo electrónico empresarial. Además, se recomienda revocar el acceso a todos los recursos empresariales y proporcionar a los empleados afectados las nuevas cuentas de usuario administradas como reemplazo.

Si necesitas ayuda para identificar de forma sistemática las cuentas de Gmail que usan una dirección de correo electrónico empresarial como correo alternativo, comunícate con nuestro equipo de asistencia.

Próximos pasos