Google supporta due tipi di account utente: account utente gestiti e account utente consumer. Gli account utente gestiti sono sotto il controllo completo di un amministratore di Cloud Identity o Google Workspace. Al contrario, gli account consumer sono interamente posseduti e gestiti dalle persone che li hanno creati.
Un principio fondamentale della gestione delle identità è avere un unico posto in cui gestire le identità all'interno dell'organizzazione:
Se utilizzi Google come provider di identità (IdP), Cloud Identity o Google Workspace dovrebbero essere la posizione centralizzata in cui gestire le identità. I dipendenti devono fare affidamento esclusivamente sugli account utente che gestisci in Cloud Identity o Google Workspace.
Se utilizzi un IdP esterno, quel provider dovrebbe essere la posizione centralizzata in cui gestire le identità. L'IdP esterno deve eseguire il provisioning e gestire gli account utente in Cloud Identity o Google Workspace e i dipendenti devono fare affidamento esclusivamente su questi account utente gestiti quando utilizzano i servizi Google.
Se i dipendenti utilizzano account utente di tipo consumer, la premessa di avere un unico posto per gestire le identità viene compromessa: gli account consumer non sono gestiti da Cloud Identity, Google Workspace o dall'IdP esterno. Pertanto, devi identificare gli account utente consumer che vuoi convertire in account gestiti, come spiegato nella panoramica dell'autenticazione.
Per convertire gli account consumer in account gestiti utilizzando lo strumento di trasferimento, descritto più avanti in questo documento, devi avere un'identità Cloud Identity o Google Workspace con ruolo di super amministratore.
Questo documento ti aiuta a comprendere e valutare quanto segue:
- Gli account utente esistenti che i dipendenti della tua organizzazione potrebbero utilizzare e come identificarli.
- Quali rischi potrebbero essere associati a questi account utente esistenti.
Scenario di esempio
Per illustrare i diversi insiemi di account utente che i dipendenti potrebbero utilizzare, questo documento utilizza uno scenario di esempio per un'azienda denominata Organizzazione di esempio. L'organizzazione di esempio ha sei dipendenti ed ex dipendenti che utilizzano tutti servizi Google come Documenti Google e Google Ads. L'organizzazione di esempio ora intende consolidare la propria gestione delle identità e stabilire il proprio IdP esterno come punto unico in cui gestire le identità. Ogni dipendente ha un'identità nell'IdP esterno, che corrisponde all'indirizzo email del dipendente.
Ci sono due account utente consumer, Carol e Chuck, che utilizzano un indirizzo email example.com:
- Carla ha creato un account consumer utilizzando il suo indirizzo email aziendale (
carol@example.com). - Chuck, un ex dipendente, ha creato un account consumer utilizzando il suo indirizzo email aziendale (
chuck@example.com).
Due dipendenti, Glen e Grace, hanno deciso di utilizzare gli account Gmail:
- Glen ha creato un account Gmail (
glen@gmail.com), che utilizza per accedere a documenti privati e aziendali e ad altri servizi Google. - Anche Grace utilizza un account Gmail (
grace@gmail.com), ma ha aggiunto il suo indirizzo email aziendale,grace@example.com, come indirizzo email alternativo.
Infine, due dipendenti, Mary e Mike, utilizzano già Cloud Identity:
- Maria ha un account utente Cloud Identity (
mary@example.com). - Mike è l'amministratore dell'account Cloud Identity e ha creato un utente (
admin@example.com) per se stesso.
Il seguente diagramma illustra i diversi insiemi di account utente:
Per stabilire l'IdP esterno come posizione unica in cui gestire le identità, devi collegare le identità degli account utente Google esistenti alle identità nell'IdP esterno. Il seguente diagramma aggiunge quindi un set di account che illustra le identità nell'IdP esterno.
Ricorda che se i dipendenti vogliono definire un IdP esterno come punto unico in cui gestire le identità, devono fare affidamento esclusivamente sugli account utente gestiti e che l'IdP esterno deve controllare questi account utente.
Al momento, solo Maria soddisfa questi requisiti. Utilizza un utente Cloud Identity, ovvero un account utente gestito, e l'identità del suo account utente corrisponde a quella dell'IdP esterno. Tutti gli altri dipendenti utilizzano account consumer oppure l'identità dei loro account non corrisponde a quella nell'IdP esterno. I rischi e le implicazioni del mancato rispetto dei requisiti sono diversi per ciascuno di questi utenti. Ogni utente rappresenta un insieme diverso di account utente che potrebbero richiedere ulteriori indagini.
Set di account utente da esaminare
Le seguenti sezioni esaminano gli insiemi di account utente potenzialmente problematici.
Account consumer
Questo insieme di account utente è composto da account per i quali si verifica una delle seguenti condizioni:
- Sono stati creati dai dipendenti utilizzando la funzionalità Registrati offerta da molti servizi Google.
- Utilizzano un indirizzo email aziendale come identità.
Nello scenario di esempio, questa descrizione si adatta a Carol e Chuck.
Un account consumer che viene utilizzato per scopi aziendali e che utilizza un indirizzo email aziendale può rappresentare un rischio per la tua azienda, ad esempio:
Non puoi controllare il ciclo di vita dell'account consumer. Un dipendente che lascia l'azienda può continuare a utilizzare l'account utente per accedere alle risorse aziendali o per generare spese aziendali.
Anche se revochi l'accesso a tutte le risorse, l'account potrebbe comunque rappresentare un rischio di ingegneria sociale. Poiché l'account utente utilizza un'identità apparentemente affidabile come
chuck@example.com, l'ex dipendente potrebbe essere in grado di convincere gli attuali dipendenti o partner commerciali a concedere nuovamente l'accesso alle risorse.Analogamente, un ex dipendente potrebbe utilizzare l'account utente per svolgere attività non in linea con i criteri della tua organizzazione, il che potrebbe mettere a rischio la reputazione della tua azienda.
Non puoi applicare criteri di sicurezza come la verifica MFA o le regole di complessità della password all'account.
Non puoi limitare la posizione geografica in cui sono archiviati i dati di Documenti e Drive, il che potrebbe rappresentare un rischio di conformità.
Non puoi limitare i servizi Google accessibili utilizzando questo account utente.
Se ExampleOrganization decide di utilizzare Google come IdP, il modo migliore per gestire gli account consumer è migrarli a Cloud Identity o Google Workspace oppure eliminarli costringendo i proprietari a rinominare l'account utente.
Se ExampleOrganization decide di utilizzare un IdP esterno, deve fare un'ulteriore distinzione tra i seguenti elementi:
- Account consumer con un'identità corrispondente nell'IdP esterno.
- Account consumer che non hanno un'identità corrispondente nell'IdP esterno.
Nelle due sezioni seguenti vengono esaminate in dettaglio queste due sottoclassi.
Account consumer con un'identità corrispondente nell'IdP esterno
Questo insieme di account utente è costituito da account che corrispondono a tutti i seguenti requisiti:
- Sono stati creati dai dipendenti.
- Utilizzano un indirizzo email aziendale come indirizzo email principale.
- La loro identità corrisponde a un'identità nell'IdP esterno.
Nello scenario di esempio, questa descrizione è adatta a Carla.
Il fatto che questi account consumer abbiano un'identità corrispondente nel tuo IdP esterno suggerisce che questi account utente appartengono ai dipendenti attuali e dovrebbero essere conservati. Dovresti quindi valutare la migrazione di questi account a Cloud Identity o Google Workspace.
Puoi identificare gli account consumer con identità corrispondente nell'IdP esterno nel seguente modo:
- Aggiungi a Cloud Identity o Google Workspace tutti i domini che sospetti possano essere stati utilizzati per registrazioni di account consumer. In particolare, l'elenco dei domini in Cloud Identity o Google Workspace deve includere tutti i domini supportati dal tuo sistema email.
- Utilizza lo strumento di trasferimento per gli utenti non gestiti per identificare gli account consumer che utilizzano un indirizzo email corrispondente a uno dei domini che hai aggiunto a Cloud Identity o Google Workspace. Lo strumento ti consente anche di esportare l'elenco degli utenti interessati come file CSV.
- Confronta l'elenco degli account consumer con le identità del tuo IdP esterno e trova gli account consumer che hanno una controparte.
Account consumer senza un'identità corrispondente nell'IdP esterno
Questo insieme di account utente è costituito da account che corrispondono a tutti i seguenti requisiti:
- Sono stati creati dai dipendenti.
- Utilizzano un indirizzo email aziendale come identità.
- La loro identità non corrisponde ad alcuna identità nell'IdP esterno.
Nello scenario di esempio, la descrizione è adatta a Chuck.
Gli account consumer senza un'identità corrispondente nell'IdP esterno possono avere diverse cause, tra cui:
- Il dipendente che ha creato l'account potrebbe aver lasciato l'azienda, quindi l'identità corrispondente non esiste più nell'IdP esterno.
Potrebbe esserci una mancata corrispondenza tra l'indirizzo email utilizzato per la registrazione dell'account consumer e l'identità nota nell'IdP esterno. Se il tuo sistema email consente varianti degli indirizzi email, potrebbero verificarsi discrepanze di questo tipo, ad esempio:
- Uso di domini alternativi. Ad esempio,
johndoe@example.orgejohndoe@example.compotrebbero essere alias per la stessa casella di posta, ma l'utente potrebbe essere noto solo comejohndoe@example.comnel tuo IdP. - Utilizzando gli handle alternativi. Ad esempio,
johndoe@example.comejohn.doe@example.compotrebbero fare riferimento anche alla stessa casella di posta, ma il tuo IdP potrebbe riconoscere solo una delle due caselle. - Utilizzare lettere maiuscole e minuscole diverse. Ad esempio, le varianti
johndoe@example.comeJohnDoe@example.compotrebbero non essere riconosciute come lo stesso utente.
- Uso di domini alternativi. Ad esempio,
Puoi gestire gli account consumer che non hanno un'identità corrispondente nell'IdP esterno nei seguenti modi:
Puoi eseguire la migrazione dell'account consumer a Cloud Identity o Google Workspace e poi reconcile eventuali mancate corrispondenze causate da domini alternativi, handle o maiuscole/minuscole.
Se ritieni che l'account utente sia illegittimo o non debba più essere utilizzato, puoi evitare l'account consumer costringendo il proprietario a rinominarlo.
Puoi identificare gli account consumer senza un'identità corrispondente nell'IdP esterno in questo modo:
- Aggiungi a Cloud Identity o Google Workspace tutti i domini che sospetti possano essere stati utilizzati per registrazioni di account consumer. In particolare, l'elenco dei domini in Cloud Identity o Google Workspace deve includere tutti i domini supportati dal tuo sistema email come alias.
- Utilizza lo strumento di trasferimento per gli utenti non gestiti per identificare gli account consumer che utilizzano un indirizzo email corrispondente a uno dei domini che hai aggiunto a Cloud Identity o Google Workspace. Lo strumento ti consente anche di esportare l'elenco degli utenti interessati come file CSV.
- Confronta l'elenco degli account consumer con le identità del tuo IdP esterno e trova gli account consumer privi di una controparte.
Account gestiti senza un'identità corrispondente nell'IdP esterno
Questo insieme di account utente è costituito da account che corrispondono a tutti i seguenti requisiti:
- Sono stati creati manualmente da un amministratore di Cloud Identity o Google Workspace.
- La loro identità non corrisponde ad alcuna identità nell'IdP esterno.
Nello scenario di esempio, questa descrizione si adatta a Michele, che ha utilizzato l'identità
admin@example.com per il suo account gestito.
Le cause potenziali degli account gestiti senza un'identità corrispondente nell'IdP esterno sono simili a quelle degli account consumer senza un'identità corrispondente nell'IdP esterno:
- Il dipendente per cui è stato creato l'account potrebbe aver lasciato l'azienda, quindi l'identità corrispondente non esiste più nell'IdP esterno.
- L'indirizzo email aziendale che corrisponde all'identità dell'IdP esterno potrebbe essere stato impostato come indirizzo email alternativo o alias anziché come indirizzo email principale.
- L'indirizzo email utilizzato per l'account utente in Cloud Identity o Google Workspace potrebbe non corrispondere all'identità nota nell'IdP esterno. Né Cloud Identity né Google Workspace possono verificare l'esistenza dell'indirizzo email utilizzato come identità. Pertanto, le mancate corrispondenze possono verificarsi non solo a causa di domini alternativi, handle alternativi o di maiuscole e minuscole diverse, ma anche a causa di un errore ortografico o di un altro errore umano.
Indipendentemente dalla loro causa, gli account gestiti senza un'identità corrispondente nell'IdP esterno sono un rischio perché possono essere soggetti a riutilizzo involontario e mancanza di nomi. Ti consigliamo di riconciliare questi account.
Puoi identificare gli account consumer senza un'identità corrispondente nell'IdP esterno in questo modo:
- Utilizzando la Console di amministrazione o l'API Directory, esporta l'elenco degli account utente in Cloud Identity o Google Workspace.
- Confronta l'elenco degli account con le identità nel tuo IdP esterno e trova gli account privi di una controparte.
Account Gmail utilizzati per scopi aziendali
Questo insieme di account utente è costituito da account che corrispondono ai seguenti criteri:
- Sono stati creati dai dipendenti.
- Utilizzano un indirizzo email
gmail.comcome identità. - Le loro identità non corrispondono ad alcuna identità nell'IdP esterno.
Nello scenario di esempio, questa descrizione si adatta a Grace e Glen.
Gli account Gmail utilizzati per scopi aziendali sono soggetti a rischi simili a quelli degli account consumer senza identità corrispondente nell'IdP esterno:
- Non puoi controllare il ciclo di vita dell'account consumer. Un dipendente che lascia l'azienda può continuare a utilizzare l'account utente per accedere alle risorse aziendali o per generare spese aziendali.
- Non puoi applicare criteri di sicurezza come la verifica MFA o le regole di complessità della password all'account.
Il modo migliore per gestire gli account Gmail è revocare l'accesso di tali account utente a tutte le risorse aziendali e fornire ai dipendenti interessati nuovi account utente gestiti in sostituzione.
Poiché gli account Gmail utilizzano gmail.com come dominio, non è chiara
la tua organizzazione. La mancanza di una chiara affiliazione implica che non ci sia modo sistematico (a parte l'eliminazione dei criteri di controllo dell'accesso esistenti) per identificare gli account Gmail utilizzati per scopi aziendali.
Account Gmail con un indirizzo email aziendale come indirizzo email alternativo
Questo insieme di account utente è costituito da account che corrispondono a tutti i seguenti requisiti:
- Sono stati creati dai dipendenti.
- Utilizzano un indirizzo email
gmail.comcome identità. - Utilizzano un indirizzo email aziendale come indirizzo email alternativo.
- Le loro identità non corrispondono ad alcuna identità nell'IdP esterno.
Nello scenario di esempio, questa descrizione è adatta a Grace.
Dal punto di vista del rischio, gli account Gmail che utilizzano un indirizzo email aziendale come indirizzo email alternativo equivalgono agli account consumer senza un'identità corrispondente nell'IdP esterno. Poiché questi account utilizzano un indirizzo email aziendale apparentemente affidabile come seconda identità, sono soggetti al rischio dell'ingegneria sociale.
Se vuoi conservare i diritti di accesso e alcuni dei dati associati all'account Gmail, puoi chiedere al proprietario di rimuovere Gmail dall'account utente in modo da poterne eseguire la migrazione a Cloud Identity o Google Workspace.
Il modo migliore per gestire gli account Gmail che utilizzano un indirizzo email aziendale come indirizzo email alternativo è sanitizzarli. Quando elimini la sanitizzazione di un account, costringi il proprietario a rinunciare all'indirizzo email aziendale creando un account utente gestito con lo stesso indirizzo email aziendale. Inoltre, ti consigliamo di revocare l'accesso a tutte le risorse aziendali e di fornire ai dipendenti interessati i nuovi account utente gestiti in sostituzione.
Passaggi successivi
- Scopri di più sui diversi tipi di account utente su Google Cloud.
- Scopri come funziona la procedura di migrazione per gli account consumer.
- Consulta le best practice per la federazione di Google Cloud con un provider di identità esterno.