Como avaliar contas de usuário atuais

O Google é compatível com dois tipos de contas de usuário: as gerenciadas e as pessoais. As contas de usuário gerenciadas estão sob o controle total de um administrador do Cloud Identity ou do Google Workspace. Por outro lado, as contas pessoais pertencem integralmente às pessoas que as criaram e são gerenciadas por elas.

Um princípio fundamental do gerenciamento de identidades é ter um único local para gerenciar identidades em toda a organização:

• Se você usar o Google como seu provedor de identidade (IdP), o Cloud Identity ou o Google Workspace será o único local para gerenciar identidades. Os funcionários precisam confiar exclusivamente nas contas de usuário que você gerencia no Cloud Identity ou no Google Workspace.

• Se você usar um IdP externo, esse provedor precisará ser o único local para gerenciar identidades. O IdP externo precisa provisionar e gerenciar contas de usuário no Cloud Identity ou no Google Workspace, e os funcionários precisam confiar exclusivamente nessas contas de usuário gerenciadas quando usam os serviços do Google.

Se os funcionários usarem contas pessoais, a premissa de ter um local único de gerenciamento de identidades será comprometida: as contas pessoais não são gerenciadas pelo Cloud Identity, Google Workspace ou seu IdP externo. Portanto, você precisa identificar as contas de usuário do consumidor que quer converter em contas gerenciadas, conforme explicado na visão geral da autenticação.

Para converter contas pessoais em contas gerenciadas usando a ferramenta de transferência, descrita mais adiante neste documento, você precisa ter uma identidade do Cloud Identity ou do Google Workspace com um papel de superadministrador.

Neste documento, ajudamos você a entender e avaliar o seguinte:

• Quais contas de usuário atuais os funcionários da sua organização podem usar e como identificá-las
• Quais riscos podem estar associados a essas contas de usuário atuais

Exemplo de cenário

Para ilustrar os diferentes conjuntos de contas de usuário que os funcionários podem estar usando, neste documento, usamos um cenário de exemplo para uma empresa chamada organização de exemplo. A organização de exemplo tem seis funcionários e ex-funcionários que usam serviços do Google, como o Documentos Google e o Google Ads. A organização de exemplo agora pretende consolidar o gerenciamento de identidades e estabelecer o IdP externo como o único local para gerenciar identidades. Cada funcionário tem uma identidade no IdP externo, e essa identidade corresponde ao endereço de e-mail do funcionário.

Há duas contas de usuário de consumidor, Carol e Chuck, que usam um endereço de e-mail example.com:

• Ela criou uma conta pessoal usando o endereço de e-mail corporativo dela (carol@example.com).
• Chuck, um ex-funcionário, criou uma conta pessoal usando o endereço de e-mail corporativo (chuck@example.com).

Dois funcionários, Glen e Grace, decidiram usar contas do Gmail:

• Glen se inscreveu em uma conta do Gmail (glen@gmail.com), que usa para acessar documentos particulares e corporativos e outros serviços do Google.
• Grace também usa uma conta do Gmail (grace@gmail.com), mas adicionou o endereço de e-mail corporativo, grace@example.com, como um e-mail alternativo.

Por fim, dois funcionários, Maria e Mike, já estão usando o Cloud Identity:

• Maria tem uma conta de usuário do Cloud Identity (mary@example.com).
• Mike é o administrador da conta do Cloud Identity e criou um usuário (admin@example.com) para si mesmo.

O diagrama a seguir ilustra os diferentes conjuntos de contas de usuário:

Para estabelecer o IdP externo como o único local para gerenciar identidades, vincule as identidades das contas de usuário do Google atuais às identidades no IdP externo. Portanto, o diagrama a seguir adiciona um conjunto de contas que representa as identidades no IdP externo.

Lembre-se de que, se os funcionários quiserem estabelecer um IdP externo como único local para gerenciar identidades, eles precisarão confiar exclusivamente em contas de usuário gerenciadas e que o IdP externo controle essas contas de usuário.

Atualmente, apenas Maria atende a esses requisitos. Ela tem um usuário do Cloud Identity, que é uma conta gerenciada, e a identidade da conta de usuário corresponde à identidade no IdP externo. Todos os outros funcionários usam contas pessoais ou a identidade das contas não corresponde à identidade no IdP externo. Os riscos e as implicações de não atender aos requisitos são diferentes para cada um desses usuários. Cada usuário representa um conjunto diferente de contas que podem exigir uma investigação mais detalhada.

Conjuntos de contas de usuário para investigar

Nas seções a seguir, veremos conjuntos potencialmente problemáticos de contas de usuário.

Contas pessoais

Esse conjunto de contas de usuário consiste em contas para as quais uma das seguintes condições é verdadeira:

• Elas foram criadas por funcionários usando o recurso Inscrever-se oferecido por muitos serviços do Google.
• Elas usam um endereço de e-mail corporativo como identidade.

No cenário de exemplo, essa descrição é adequada para a Carol e o Chuck.

Uma conta pessoal que é usada para fins comerciais e que usa um endereço de e-mail corporativo pode representar um dos seguintes riscos para sua empresa:

• Não poder controlar o ciclo de vida da conta pessoal. Um funcionário que sai da empresa pode continuar usando a conta de usuário para acessar recursos corporativos ou gerar despesas.

  Mesmo se você revogar o acesso a todos os recursos, a conta ainda poderá representar um risco de engenharia social. Como a conta de usuário usa uma identidade que parece confiável, como chuck@example.com, o ex-funcionário pode convencer os funcionários atuais ou parceiros de negócios a conceder acesso aos recursos novamente.

  Da mesma forma, um ex-funcionário pode usar a conta de usuário para realizar atividades que não estão de acordo com as políticas da sua organização, o que pode colocar a reputação da sua empresa em risco.

• Não poder aplicar políticas de segurança como verificação de MFA ou regras de complexidade de senha na conta.

• Não poder restringir os dados de localização geográfica do Documentos e do Drive armazenados, o que pode ser um risco de conformidade.

• Não poder restringir quais serviços do Google podem ser acessados usando essa conta de usuário.

Se a organização de exemplo decidir usar o Google como IdP, a melhor maneira de lidar com contas pessoais é migrá-las para o Cloud Identity ou o Google Workspace ou removê-las forçando os proprietários a renomear a conta de usuário.

Se a organização de exemplo decidir usar um IdP externo, eles precisarão distinguir ainda mais:

• as contas pessoais que têm uma identidade correspondente no IdP externo;
• as contas pessoais que não têm uma identidade correspondente no IdP externo.

As duas seções a seguir analisam essas duas subclasses com detalhes.

Contas pessoais com uma identidade correspondente no IdP externo

Esse conjunto de contas de usuário consiste em contas que correspondam a todos os itens a seguir:

• Elas foram criadas por funcionários.
• Eles usam um endereço de e-mail corporativo como o endereço de e-mail principal.
• A identidade deles corresponde a uma identidade no IdP externo.

No cenário de exemplo, essa descrição é adequada para a Carol.

O fato de que essas contas pessoais têm uma identidade correspondente no seu IdP externo sugere que elas pertencem aos funcionários atuais e precisam ser mantidas. Portanto, considere migrar essas contas para o Cloud Identity ou o Google Workspace.

É possível identificar contas pessoais com identidade correspondente no IdP externo da seguinte maneira:

1. Adicione todos os domínios ao Cloud Identity ou ao Google Workspace que possam ter sido usados para inscrições de contas pessoais. Especificamente, a lista de domínios no Cloud Identity ou no Google Workspace precisa incluir todos os domínios compatíveis com seu sistema de e-mail.
2. Use a Ferramenta de transferência de usuários não gerenciados para identificar contas pessoais com um endereço de e-mail correspondente a um dos domínios que você adicionou ao Cloud Identity ou ao Google Workspace. Também é possível exportar a lista de usuários afetados como um arquivo CSV.
3. Compare a lista de contas pessoais com as identidades no seu IdP externo e encontre contas pessoais que tenham uma contrapartida.

Contas pessoais sem uma identidade correspondente no IdP externo

Esse conjunto de contas de usuário consiste em contas que correspondam a todos os itens a seguir:

• Elas foram criadas por funcionários.
• Elas usam um endereço de e-mail corporativo como identidade.
• A identidade não corresponde a nenhuma identidade no IdP externo.

No cenário de exemplo, essa descrição é adequada para Chuck.

Pode haver várias causas para contas pessoais sem uma identidade correspondente no IdP externo, incluindo as seguintes:

• O funcionário que criou a conta pode ter saído da empresa. Portanto, a identidade correspondente não existe mais no IdP externo.

• Pode haver uma incompatibilidade entre o endereço de e-mail usado para a inscrição da conta pessoal e a identidade conhecida no IdP externo. Incompatibilidades como essas podem ocorrer se seu sistema de e-mail permitir variações em endereços de e-mail como os seguintes:

  • O uso de domínios alternativos. Por exemplo, johndoe@example.org e johndoe@example.com podem ser alias para a mesma caixa de e-mails, mas o usuário pode ser conhecido apenas como johndoe@example.com em seu IdP.
  • O uso de identificadores alternativos. Por exemplo, johndoe@example.com e john.doe@example.com também podem se referir à mesma caixa de e-mails, mas seu IdP pode reconhecer apenas uma ortografia.
  • Usar maiúsculas e minúsculas diferentes. Por exemplo, as variantes johndoe@example.com e JohnDoe@example.com podem não ser reconhecidas como o mesmo usuário.

É possível lidar com contas pessoais que não têm uma identidade correspondente no IdP externo das seguintes maneiras:

• É possível migrar a conta pessoal para o Cloud Identity ou o Google Workspace e reconciliar as incompatibilidades causadas por domínios, identificadores ou letras maiúsculas alternadas.

• Se você acha que a conta de usuário é ilegítima ou não pode mais ser usada, é possível remover a conta pessoal forçando o proprietário a renomeá-la.

É possível identificar as contas pessoais sem uma identidade correspondente no IdP externo da seguinte maneira:

1. Adicione todos os domínios ao Cloud Identity ou ao Google Workspace que possam ter sido usados para inscrições de contas pessoais. Especificamente, a lista de domínios no Cloud Identity ou no Google Workspace precisa incluir todos os domínios compatíveis com seu sistema de e-mail como aliases.
2. Use a Ferramenta de transferência de usuários não gerenciados para identificar contas pessoais com um endereço de e-mail correspondente a um dos domínios que você adicionou ao Cloud Identity ou ao Google Workspace. Também é possível exportar a lista de usuários afetados como um arquivo CSV.
3. Compare a lista de contas pessoais com as identidades no seu IdP externo e encontre contas pessoais que não tenham uma contrapartida.

Contas gerenciadas sem uma identidade correspondente no IdP externo

Esse conjunto de contas de usuário consiste em contas que correspondam a todos os itens a seguir:

• Elas foram criadas manualmente por um administrador do Cloud Identity ou do Google Workspace.
• A identidade delas não corresponde a nenhuma identidade no IdP externo.

No cenário de exemplo, essa descrição é adequada para Mike, que usou a identidade admin@example.com da conta gerenciada.

As possíveis causas para contas gerenciadas sem uma identidade correspondente no IdP externo são semelhantes às contas pessoais sem uma identidade correspondente no IdP externo:

• O funcionário para quem a conta foi criada pode ter saído da empresa. Portanto, a identidade correspondente não existe mais no IdP externo.
• O endereço de e-mail corporativo que corresponde à identidade no IdP externo pode ter sido definido como um endereço de e-mail alternativo, ou alias em vez de endereço de e-mail principal.
• O endereço de e-mail usado para a conta de usuário no Cloud Identity ou no Google Workspace pode não corresponder à identidade conhecida no IdP externo. O Cloud Identity e o Google Workspace não verificam se o endereço de e-mail usado como identidade existe. Portanto, uma incompatibilidade pode ocorrer não só por causa de domínios alternativos, identificadores alternativos ou letras maiúsculas e minúsculas diferentes, mas também por causa de um erro de digitação ou outro erro humano.

Qualquer que seja a causa, as contas gerenciadas sem uma identidade correspondente no IdP externo são um risco porque podem ficar sujeitas à reutilização acidental e ao uso de nomes. Recomendamos que você reconcilie essas contas.

É possível identificar as contas pessoais sem uma identidade correspondente no IdP externo da seguinte maneira:

1. Usando o Admin Console ou a API Directory, exporte a lista de contas de usuário no Cloud Identity ou no Google Workspace.
2. Compare a lista de contas com as identidades no seu IdP externo e encontre contas que não tenham uma contrapartida.

Contas do Gmail usadas para fins corporativos

Esse conjunto de contas de usuário consiste em contas que correspondem ao seguinte:

• Elas foram criadas por funcionários.
• Elas usam um endereço de e-mail gmail.com como identidade.
• As identidades delas não correspondem a nenhuma identidade no IdP externo.

No cenário de exemplo, essa descrição é adequada para Grace e Glen.

As contas do Gmail usadas para fins corporativos estão sujeitas a riscos semelhantes às contas pessoais sem identidade correspondente no IdP externo:

• Não poder controlar o ciclo de vida da conta pessoal. Um funcionário que sai da empresa pode continuar usando a conta de usuário para acessar recursos corporativos ou gerar despesas.
• Não poder aplicar políticas de segurança como verificação de MFA ou regras de complexidade de senha na conta.

Portanto, a melhor maneira de lidar com contas do Gmail é revogar o acesso dessas contas de usuário a todos os recursos corporativos e fornecer aos funcionários afetados novas contas de usuário gerenciadas como substitutas.

Como as contas do Gmail usam gmail.com como domínio, não há afiliação clara com sua organização. A falta de uma afiliação clara indica que não há uma forma sistematizada (além de refinar as políticas de controle de acesso atuais) para identificar contas do Gmail usadas para fins corporativos.

Contas do Gmail com um endereço de e-mail corporativo como e-mail alternativo

Esse conjunto de contas de usuário consiste em contas que correspondam a todos os itens a seguir:

• Elas foram criadas por funcionários.
• Elas usam um endereço de e-mail gmail.com como identidade.
• Elas usam um endereço de e-mail corporativo como um endereço de e-mail alternativo.
• As identidades delas não correspondem a nenhuma identidade no IdP externo.

No cenário de exemplo, essa descrição é adequada para Grace.

Do ponto de vista do risco, as contas do Gmail que usam um endereço de e-mail corporativo como um e-mail alternativo são equivalentes a contas pessoais sem uma identidade correspondente no IdP externo. Como essas contas usam um endereço de e-mail corporativo confiável como a segunda identidade, elas estão sujeitas ao risco de engenharia social.

Se você quiser manter os direitos de acesso e alguns dos dados associados à conta do Gmail, peça ao proprietário para remover o Gmail da conta de usuário para que você migre-os para o Cloud Identity ou o Google Workspace.

A melhor maneira de lidar com contas do Gmail que usam um endereço de e-mail corporativo como um endereço de e-mail alternativo é limpá-las. Ao limpar uma conta, você força o proprietário a abrir mão do endereço de e-mail corporativo criando uma conta de usuário gerenciada com o mesmo endereço de e-mail corporativo. Além disso, recomendamos revogar o acesso a todos os recursos corporativos e fornecer aos funcionários afetados as novas contas de usuário gerenciadas como substitutos.

A seguir

• Saiba mais sobre os diferentes tipos de contas de usuário no Google Cloud.
• Descubra como funciona o processo de migração para contas pessoais.
• Consulte as práticas recomendadas para federar o Google Cloud com um provedor de identidade externo.