Valutazione degli account utente esistenti

Google supporta due tipi di account: account utente gestiti e account utente consumer. Gli account utente gestiti sono sotto il pieno controllo di un amministratore di Cloud Identity o Google Workspace. Al contrario, gli account consumer sono interamente di proprietà e gestiti dalle persone che li hanno creati.

Uno dei core della gestione delle identità è avere un unico posto per gestire le identità in tutta la tua organizzazione:

  • Se utilizzi Google come provider di identità (IdP), Cloud Identity o Google Workspace devono essere l'unica piattaforma per gestire le identità. I dipendenti devono fare affidamento esclusivamente sugli account utente che gestisci in Cloud Identity o Google Workspace.

  • Se utilizzi un IdP esterno, quel provider dovrebbe essere l'unica piattaforma per gestire le identità. L'IdP esterno deve eseguire il provisioning e gestire gli account utente in Cloud Identity o Google Workspace e i dipendenti devono fare affidamento esclusivamente su questi account utente gestiti quando utilizzano i servizi Google.

Se i dipendenti utilizzano account utente consumer, la possibilità di gestire le identità in un unico posto è compromessa: gli account consumer non sono gestiti da Cloud Identity, Google Workspace o dal tuo IdP esterno. Di conseguenza, devi identificare gli account utente consumer che vuoi convertire in account gestiti, come spiegato nella panoramica sull'autenticazione.

Questo documento ti aiuta a comprendere e valutare quanto segue:

  • Quali account utente esistenti potrebbero utilizzare i dipendenti della tua organizzazione e come identificarli.
  • Quali rischi potrebbero essere associati a questi account utente esistenti.

Scenario di esempio

Per illustrare i diversi insiemi di account utente che i dipendenti potrebbero utilizzare, questo documento utilizza uno scenario di esempio per un'azienda denominata Organizzazione di esempio. Ad esempio, l'organizzazione ha sei dipendenti ed ex dipendenti che utilizzano tutti i servizi Google, come Documenti Google e Google Ads. Ora l'organizzazione di esempio intende consolidare la propria gestione delle identità e definire il proprio IdP esterno come unico posto in cui gestire le identità. Ogni dipendente ha un'identità nell'IdP esterno, che corrisponde all'indirizzo email del dipendente.

Ci sono due account utente consumer, Carol e Chuck, che utilizzano un indirizzo email example.com:

  • Carla ha creato un account consumer utilizzando il suo indirizzo email aziendale (carol@example.com).
  • Chuck, un ex dipendente, ha creato un account consumer utilizzando il suo indirizzo email aziendale (chuck@example.com).

Due dipendenti, Glen e Grace, hanno deciso di utilizzare un account Gmail:

  • Glen ha creato un account Gmail (glen@gmail.com)), che utilizza per accedere ai documenti privati e aziendali e ad altri servizi Google.
  • Anna utilizza un account Gmail (grace@gmail.com), ma ha aggiunto il suo indirizzo email aziendale grace@example.com come indirizzo email alternativo.

Infine, due dipendenti, Mary e Mike, utilizzano già Cloud Identity:

  • Maria ha un account utente Cloud Identity (mary@example.com).
  • Mike è l'amministratore dell'account Cloud Identity e ha creato un utente (admin@example.com) per sé stesso.

Il seguente diagramma illustra i diversi set di account utente:

L'insieme degli account utente.

Per stabilire l'IdP esterno come unico punto di accesso per la gestione delle identità, devi collegare le identità degli account utente Google esistenti alle identità dell'IdP esterno. Il diagramma seguente aggiunge quindi un set di account che rappresenta le identità nell'IdP esterno.

Account utente impostato per le identità nell'IdP esterno.

Ricorda che, se i dipendenti vogliono stabilire un IdP esterno come unico punto di riferimento per la gestione delle identità, devono fare affidamento esclusivamente sugli account utente gestiti e che l'IdP esterno deve controllare questi account.

Al momento, solo Mary soddisfa questi requisiti. Utilizza un utente Cloud Identity, che è un account utente gestito, e la sua identità corrisponde a quella dell'IdP esterno. Tutti gli altri dipendenti utilizzano account consumer oppure l'identità dei loro account non corrisponde a quella dell'IdP esterno. I rischi e le implicazioni del mancato rispetto dei requisiti sono diversi per ciascuno di questi utenti. Ciascun utente rappresenta un insieme diverso di account utente che potrebbero richiedere ulteriori indagini.

Insiemi di account utente da esaminare

Le seguenti sezioni esaminano insiemi di account utente potenzialmente problematici.

Account consumer

Questo insieme di account utente comprende account per i quali è vera una delle seguenti condizioni:

  • Sono stati creati dai dipendenti utilizzando la funzionalità Registrati offerta da molti servizi Google.
  • Usano un indirizzo email aziendale come loro identità.

Nello scenario di esempio, questa descrizione si adatta a Carol e Chuck.

Un account consumer utilizzato per scopi aziendali e che utilizza un indirizzo email aziendale può costituire un rischio per la tua attività, ad esempio:

  • Non puoi controllare il ciclo di vita dell'account consumer. Un dipendente che lascia l'azienda potrebbe continuare a utilizzare l'account utente per accedere alle risorse aziendali o per generare spese aziendali.

    Anche se revochi l'accesso a tutte le risorse, l'account potrebbe comunque porre un rischio di ingegneria sociale. Poiché l'account utente utilizza un'identità apparentemente affidabile come chuck@example.com, l'ex dipendente potrebbe essere in grado di convincere gli attuali dipendenti o partner commerciali a concedere nuovamente l'accesso alle risorse.

    Allo stesso modo, un ex dipendente potrebbe utilizzare l'account utente per eseguire attività non in linea con le norme della tua organizzazione, il che potrebbe mettere a rischio la reputazione dell'azienda.

  • Non puoi applicare criteri di sicurezza quali la verifica MFA o le regole di complessità della password nell'account.

  • Non puoi limitare i dati in cui vengono archiviati i documenti di Drive e la posizione geografica, che potrebbe comportare un rischio di conformità.

  • Non puoi limitare i servizi Google accessibili con questo account utente.

Se ExampleOrganization decide di utilizzare Google come IdP, il modo migliore per gestire gli account consumer è eseguirne la migrazione in Cloud Identity o Google Workspace o eliminarli forzando i proprietari a rinominare l'account utente.

Se ExampleOrganization decide di utilizzare un IdP esterno, deve distinguere ulteriormente le seguenti informazioni:

  • Account consumer che hanno un'identità corrispondente nell'IdP esterno.
  • Gli account consumer che non hanno un'identità corrispondente nell'IdP esterno.

Le due sezioni seguenti esaminano in dettaglio le due sottoclassi.

Account consumer con un'identità corrispondente nell'IdP esterno

Questo insieme di account utente è composto da account che corrispondono a tutti i seguenti elementi:

  • Sono stati creati da dipendenti.
  • Utilizzano un indirizzo email aziendale come indirizzo principale.
  • La loro identità corrisponde a un'identità dell'IdP esterno.

Nell'esempio di esempio, questa descrizione si riferisce a Carol.

Account con un'identità corrispondente nell'IdP esterno.

Il fatto che questi account consumer abbiano un'identità corrispondente nel tuo IdP esterno suggerisce che tali account appartengono a dipendenti attuali e devono essere conservati. Ti consigliamo pertanto di eseguire la migrazione di questi account a Cloud Identity o Google Workspace.

Puoi identificare gli account consumer con identità corrispondente nell'IdP esterno nel modo seguente:

  1. Aggiungere tutti i domini a Cloud Identity o Google Workspace che sospetti possano essere stati utilizzati per la registrazione di account consumer. In particolare, l'elenco dei domini in Cloud Identity o Google Workspace deve includere tutti i domini supportati dal tuo sistema email.
  2. Utilizza lo strumento di trasferimento per gli utenti non gestiti per identificare gli account consumer che utilizzano un indirizzo email che corrisponde a uno dei domini che hai aggiunto a Cloud Identity o Google Workspace. Lo strumento ti consente inoltre di esportare l'elenco degli utenti interessati come file CSV.
  3. Confronta l'elenco di account consumer con le identità del tuo IdP esterno e trova gli account consumer che hanno una controparte.

Account consumer senza identità corrispondente nell'IdP esterno

Questo insieme di account utente è composto da account che corrispondono a tutti i seguenti elementi:

  • Sono stati creati da dipendenti.
  • Usano un indirizzo email aziendale come loro identità.
  • La loro identità non corrisponde a nessuna identità nell'IdP esterno.

Nello scenario di esempio, questa descrizione si adatta a Chuck.

Account senza un'identità corrispondente nell'IdP esterno.

Possono esserci diverse cause per gli account consumer senza un'identità corrispondente nell'IdP esterno, tra cui:

  • Il dipendente che ha creato l'account potrebbe aver lasciato l'azienda, quindi l'identità corrispondente non esiste più nell'IdP esterno.
  • Potrebbe esserci una mancata corrispondenza tra l'indirizzo email utilizzato per la registrazione dell'account consumer e l'identità nota nell'IdP esterno. Possono verificarsi corrispondenze come queste se il tuo sistema email consente varianti negli indirizzi email, come:

    • Utilizzo di domini alternativi. Ad esempio, johndoe@example.org e johndoe@example.com potrebbero essere alias per la stessa casella di posta, ma l'utente potrebbe essere noto solo come johndoe@example.com nel tuo IdP.
    • Utilizzo di punti di manipolazione alternativi. Ad esempio, johndoe@example.com e john.doe@example.com potrebbero fare riferimento anche alla stessa casella di posta, ma il tuo IdP potrebbe riconoscere una sola ortografia.
    • Utilizzo di maiuscole e minuscole. Ad esempio, le varianti johndoe@example.com e JohnDoe@example.com potrebbero non essere riconosciute come lo stesso utente.

Puoi gestire gli account consumer che non hanno un'identità corrispondente nell'IdP esterno nei seguenti modi:

Puoi identificare gli account consumer senza un'identità corrispondente nell'IdP esterno nel modo seguente:

  1. Aggiungere tutti i domini a Cloud Identity o Google Workspace che sospetti possano essere stati utilizzati per la registrazione di account consumer. In particolare, l'elenco dei domini in Cloud Identity o Google Workspace deve includere tutti i domini supportati dal tuo sistema email come alias.
  2. Utilizza lo strumento di trasferimento per gli utenti non gestiti per identificare gli account consumer che utilizzano un indirizzo email che corrisponde a uno dei domini che hai aggiunto a Cloud Identity o Google Workspace. Lo strumento ti consente inoltre di esportare l'elenco degli utenti interessati come file CSV.
  3. Confronta l'elenco di account consumer con le identità del tuo IdP esterno e trova gli account consumer che non hanno una controparte.

Account gestiti senza un'identità corrispondente nell'IdP esterno

Questo insieme di account utente è composto da account che corrispondono a tutti i seguenti elementi:

  • Sono stati creati manualmente da un amministratore di Cloud Identity o Google Workspace.
  • La loro identità non corrisponde a nessuna identità nell'IdP esterno.

Nello scenario di esempio, questa descrizione si adatta a Michele che ha utilizzato l'identità admin@example.com per il suo account gestito.

Gli account creati manualmente la cui identità non corrisponde a nessuna identità dell'IdP esterno.

Le potenziali cause per gli account gestiti senza identità corrispondente nell'IdP esterno sono simili a quelle per gli account consumer senza identità corrispondente nell'IdP esterno:

  • Il dipendente per cui l'account è stato creato potrebbe aver lasciato l'azienda, quindi l'identità corrispondente non esiste più nell'IdP esterno.
  • L'indirizzo email aziendale che corrisponde all'identità nell'IdP esterno potrebbe essere stato impostato come indirizzo email alternativo o alias anziché come indirizzo email principale.
  • L'indirizzo email utilizzato per l'account utente in Cloud Identity o Google Workspace potrebbe non corrispondere all'identità nota nell'IdP esterno. Né Cloud Identity né Google Workspace verificano che l'indirizzo email utilizzato come identità esista. Pertanto, una mancata corrispondenza può verificarsi non solo a causa di domini alternativi, punti di manipolazione alternativi o di maiuscole e minuscole, ma anche a causa di un errore di battitura o di altro errore umano.

Indipendentemente dalla loro causa, gli account gestiti senza un'identità corrispondente nell'IdP esterno sono un rischio perché possono essere soggetti a riutilizzo involontario e squat di nomi. Ti consigliamo di riconciliare questi account.

Puoi identificare gli account consumer senza un'identità corrispondente nell'IdP esterno nel modo seguente:

  1. Utilizza la Console di amministrazione o l'API Directory per esportare l'elenco degli account utente in Cloud Identity o Google Workspace.
  2. Confronta l'elenco degli account con le identità del tuo IdP esterno e trova gli account per cui non è disponibile una controparte.

Account Gmail utilizzati per scopi aziendali

Questo insieme di account utente è costituito da account che corrispondono ai seguenti elementi:

  • Sono stati creati da dipendenti.
  • Usano un indirizzo email gmail.com come identità.
  • La loro identità non corrisponde a nessuna identità nell'IdP esterno.

Nello scenario di esempio, questa descrizione si adatta a Grace e Glen.

Gli account Gmail creati dai dipendenti le cui identità non corrispondono a nessuna identità nell'IdP esterno.

Gli account Gmail utilizzati per scopi aziendali sono soggetti a rischi simili rispetto a quelli degli account consumer senza corrispondenza dell'identità nell'IdP esterno:

  • Non puoi controllare il ciclo di vita dell'account consumer. Un dipendente che lascia l'azienda potrebbe continuare a utilizzare l'account utente per accedere alle risorse aziendali o per generare spese aziendali.
  • Non puoi applicare criteri di sicurezza quali la verifica MFA o le regole di complessità della password nell'account.

Il modo migliore per gestire gli account Gmail è quindi revocare l'accesso degli account utente a tutte le risorse aziendali e fornire ai dipendenti interessati nuovi account utente sostituiti.

Poiché gli account Gmail utilizzano gmail.com come dominio, non esiste una chiara affiliazione con la tua organizzazione. La mancanza di un'affiliazione chiara implica che non esiste un metodo sistematico, tranne la rimozione dei criteri di controllo dell'accesso esistenti, per identificare gli account Gmail che sono stati utilizzati per scopi aziendali.

Account Gmail con un indirizzo email aziendale come indirizzo email alternativo

Questo insieme di account utente è composto da account che corrispondono a tutti i seguenti elementi:

  • Sono stati creati da dipendenti.
  • Usano un indirizzo email gmail.com come identità.
  • Utilizzano un indirizzo email aziendale come indirizzo email alternativo.
  • La loro identità non corrisponde a nessuna identità nell'IdP esterno.

Nello scenario di esempio, questa descrizione si riferisce a Grazia.

Account Gmail con un indirizzo email aziendale come indirizzo email alternativo.

Dal punto di vista del rischio, gli account Gmail che utilizzano un indirizzo email aziendale come indirizzo email alternativo equivalgono agli account consumer senza un'identità corrispondente nell'IdP esterno. Poiché questi account utilizzano un indirizzo email aziendale apparentemente affidabile come seconda identità, sono soggetti al rischio di ingegneria sociale.

Se vuoi conservare i diritti di accesso e alcuni dati associati all'account Gmail, puoi chiedere al proprietario di rimuovere Gmail dall'account utente in modo da poterne eseguire la migrazione a Cloud Identity o Google Workspace.

Il modo migliore per gestire gli account Gmail che utilizzano un indirizzo email aziendale come indirizzo email alternativo è quello di eliminarli di nuovo. Quando elimini l'account, obbliga il proprietario a fornire l'indirizzo email aziendale creando un account utente gestito con lo stesso indirizzo email aziendale. Inoltre, ti consigliamo di revocare l'accesso a tutte le risorse aziendali e di fornire ai dipendenti interessati i nuovi account utente gestiti in sostituzione.

Passaggi successivi