Google 支持两种类型的用户账号:受管用户账号和消费者用户账号。受管用户账号完全由 Cloud Identity 或 Google Workspace 管理员控制。相比之下,消费者账号完全由创建账号的个人拥有和管理。
身份管理的核心原则是在同一位置管理整个组织中的身份:
如果您使用 Google 作为身份提供商 (IdP),则应该使用 Cloud Identity 或 Google Workspace 来管理身份。员工仅应使用您在 Cloud Identity 或 Google Workspace 中管理的用户账号。
如果您使用外部 IdP,则应使用该提供商管理身份。外部 IdP 需要在 Cloud Identity 或 Google Workspace 中预配和管理用户账号,员工仅应通过这些受管用户账号来使用 Google 服务。
如果员工使用消费者用户账号,则无法在同一位置管理身份,因为消费者账号不受 Cloud Identity、Google Workspace 或外部 IdP 管理。因此,您必须按照身份验证概览中的说明识别要转换为受管账号的消费者用户账号。
如需使用转移工具将消费者账号转换为受管理的账号(如本文档后文中所述),您必须拥有 Cloud Identity 或 Google Workspace 身份并拥有 Super Admin 角色。
本文档可帮助您了解和评估以下内容:
- 您单位的员工正在使用哪些现有用户账号,以及如何识别这些账号。
- 哪些风险可能与这些现有用户账号有关。
示例场景
为说明员工可能使用的不同用户账号组,本文档使用一家名为 Example Organization 的公司作为示例场景。Example Organization 的六名现有和前员工均使用 Google 文档和 Google Ads 等 Google 服务。Example Organization 目前打算整合其身份管理任务,并将其外部 IdP 设置为管理身份的单一位置。每位员工在外部 IdP 中都有一个身份,且该身份与员工的电子邮件地址匹配。
有两个使用 example.com 电子邮件地址的消费者用户账号:
- Carol 使用其公司电子邮件地址 (
carol@example.com) 创建了一个消费者账号。 - 前员工 Chuck 使用其公司电子邮件地址 (
chuck@example.com) 创建了一个消费者账号。
有两位员工 Glen 和 Grace 决定使用 Gmail 账号:
- Glen 注册了一个 Gmail 账号 (
glen@gmail.com)),他使用该账号访问私人和公司文档以及其他 Google 服务。 - Grace 也使用 Gmail 账号 (
grace@gmail.com),但她将公司电子邮件地址grace@example.com添加为备用邮箱。
剩下两名员工 Mary 和 Mike 已经在使用 Cloud Identity:
- Mary 拥有 Cloud Identity 用户账号 (
mary@example.com)。 - Mike 是 Cloud Identity 账号管理员,他为自己创建了一个用户 (
admin@example.com)。
下图展示了不同的用户账号组:
如需将外部 IdP 设置为管理身份的单一位置,您必须将现有 Google 用户账号的身份与外部 IdP 中的身份进行关联。因此,下图添加了一个账号组,用于描述外部 IdP 中的身份。
上文已经提过,如果员工希望将外部 IdP 设置为管理身份的单一位置,则必须完全使用受管用户账号,并且外部 IdP 必须控制这些用户账号。
目前,只有 Mary 符合这些要求。她使用 Cloud Identity 用户(受管用户账号),其用户账号的身份与外部 IdP 中的身份匹配。所有其他员工要么使用的是消费者账号,要么其账号的身份与外部 IdP 中的身份不匹配。对于这些用户来说,未满足要求所带来的风险和影响各不相同。每个用户代表一组不同的用户账号,可能需要进一步调查。
需要调查的用户账号组
以下部分调查了可能存在问题的用户账号组。
消费者账号
这组用户账号由满足以下任一条件的账号组成:
- 由员工使用许多 Google 服务提供的注册功能创建。
- 使用公司电子邮件地址作为其身份。
在示例场景中,此说明符合 Carol 和 Chuck。
用于商业目的并且使用公司电子邮件地址的消费者账号可能会为您的公司带来风险,例如:
您无法控制消费者账号的生命周期。前员工可能会继续使用该用户账号访问公司资源或产生公司费用。
即使您撤消了对所有资源的访问权限,该账号仍可能会带来社会工程学风险。由于用户账号使用了看似可信的身份(如
chuck@example.com),因此前员工有可能说服在职员工或企业合作伙伴再次为其授予对资源的访问权限。同样,前员工也可能使用该用户账号执行不符合您的组织政策的活动,给公司声誉带来影响。
您无法对该账号强制执行安全政策,如 MFA 验证或密码复杂度规则。
您无法限制用于存储 Google 文档和 Google 云端硬盘数据的地理位置,这可能会带来违规风险。
您无法限制此用户账号可以访问哪些 Google 服务。
如果 ExampleOrganization 决定使用 Google 作为其 IdP,那么处理消费者账号的最佳方式是将其迁移到 Cloud Identity 或 Google Workspace 或强制要求所有者重命名用户账号以逐出这些消费者账号。
如果 Example Organization 决定使用外部 IdP,则需要根据以下情况来进一步处理:
- 在外部 IdP 中拥有匹配身份的消费者账号。
- 在外部 IdP 中没有匹配身份的消费者账号。
以下两个部分详细介绍了这两个子类。
在外部 IdP 中拥有匹配身份的消费者账号
这组用户账号由满足以下所有条件的账号组成:
- 由员工创建。
- 将公司电子邮件地址用作主电子邮件地址。
- 身份与外部 IdP 中的身份匹配。
在示例场景中,此说明符合 Carol。
这些消费者账号在您的外部 IdP 中拥有匹配身份这一事实表明,这些用户账号属于在职员工,应予以保留。因此,您应该考虑将这些账号迁移到 Cloud Identity 或 Google Workspace。
您可以识别在外部 IdP 中拥有匹配身份的消费者账号,如下所述:
- 将您怀疑可能已用于注册消费者账号的所有域名添加到 Cloud Identity 或 Google Workspace。具体而言,Cloud Identity 或 Google Workspace 中的域名列表应包含您的电子邮件系统支持的所有域名。
- 使用非受管用户转移工具,识别使用的电子邮件地址与您添加到 Cloud Identity 或 Google Workspace 的某个域名匹配的消费者账号。 您还可以使用该工具将受影响的用户列表导出为 CSV 文件。
- 将消费者账号列表与外部 IdP 中的身份进行比较,找到拥有对应身份的消费者账号。
在外部 IdP 中没有匹配身份的消费者账号
这组用户账号由满足以下所有条件的账号组成:
- 由员工创建。
- 使用公司电子邮件地址作为其身份。
- 身份与外部 IdP 中的所有身份均不匹配。
在示例场景中,此说明符合 Chuck。
消费者账号在外部 IdP 中没有匹配身份的原因有很多,如下所述:
- 创建账号的员工可能已离职,因此外部 IdP 中不再存在相应的身份。
用于注册消费者账号的电子邮件地址可能与外部 IdP 中已知的身份不匹配。 如果您的电子邮件系统允许使用以下电子邮件地址的变体形式,则可能会出现此类不匹配的情况:
- 使用备用网域,例如
johndoe@example.org和johndoe@example.com可能是同一邮箱的别名,但在 IdP 中该用户可能仅存在johndoe@example.com这一个身份。 - 使用备用句柄,例如
johndoe@example.com和john.doe@example.com可能也指同一个邮箱,但 IdP 可能只会识别一种拼写。 - 使用不同的大小写。例如,变体形式
johndoe@example.com和JohnDoe@example.com可能不会被识别为同一用户。
- 使用备用网域,例如
您可以通过以下方式处理在外部 IdP 中没有匹配身份的消费者账号:
您可以将消费者账号迁移到 Cloud Identity 或 Google Workspace,然后协调由备用域名、句柄或大小写引起的任何不匹配问题。
如果您认为某个用户账号不合规定或不应再使用,则可以强制所有者重命名该账号以删除消费者账号。
您可以识别在外部 IdP 中没有匹配身份的消费者账号,如下所述:
- 将您怀疑可能已用于注册消费者账号的所有域名添加到 Cloud Identity 或 Google Workspace。具体而言,Cloud Identity 或 Google Workspace 中的域名列表应包含您的电子邮件系统支持作为别名的所有域名。
- 使用非受管用户转移工具,识别使用的电子邮件地址与您添加到 Cloud Identity 或 Google Workspace 的某个域名匹配的消费者账号。 您还可以使用该工具将受影响的用户列表导出为 CSV 文件。
- 将消费者账号列表与外部 IdP 中的身份进行比较,找到缺少对应身份的消费者账号。
在外部 IdP 中没有匹配身份的受管账号
这组用户账号由满足以下所有条件的账号组成:
- 由 Cloud Identity 或 Google Workspace 管理员手动创建。
- 身份与外部 IdP 中的所有身份均不匹配。
在示例场景中,此说明符合 Mike,该员工为其受管账号使用身份 admin@example.com。
受管账号在外部 IdP 中没有匹配身份与消费者账号在外部 IdP 中没有匹配身份的潜在原因类似:
- 为其创建账号的员工可能已离职,因此外部 IdP 中不再存在相应的身份。
- 与外部 IdP 中的身份匹配的公司电子邮件地址可能已被设置为备用邮箱或别名,而非主电子邮件地址。
- 在 Cloud Identity 或 Google Workspace 中用于用户账号的电子邮件地址可能与外部 IdP 中已知的身份不匹配。Cloud Identity 和 Google Workspace 均未验证用作身份的电子邮件地址是否存在。因此,导致出现不匹配的因素不仅包括备用域名、备用句柄或大小写不同,还包括拼写错误或其他人为错误。
无论出于何种原因,在外部 IdP 中没有匹配身份的受管账号都会带来风险,因为它们可能会在无意中被重复使用以及引发名称抢注问题。 我们建议您协调这些账号。
您可以识别在外部 IdP 中没有匹配身份的消费者账号,如下所述:
- 使用管理控制台或 Directory API,导出 Cloud Identity 或 Google Workspace 中的用户账号列表。
- 将账号列表与外部 IdP 中的身份进行比较,找到缺少对应身份的账号。
用于公司用途的 Gmail 账号
这组用户账号由满足以下条件的账号组成:
- 由员工创建。
- 使用
gmail.com电子邮件地址作为其身份。 - 身份与外部 IdP 中的所有身份均不匹配。
在示例场景中,此说明符合 Grace 和 Glen。
用于公司用途的 Gmail 账号带来的风险与在外部 IdP 中没有匹配身份的消费者账号类似:
- 您无法控制消费者账号的生命周期。前员工可能会继续使用该用户账号访问公司资源或产生公司费用。
- 您无法对该账号强制执行安全政策,如 MFA 验证或密码复杂度规则。
因此,处理 Gmail 账号的最佳方法是撤消这些用户账号对所有公司资源的访问权限,并为受影响的员工提供新的受管用户账号。
由于 Gmail 账号使用 gmail.com 作为其网域,因此与您的组织没有明确的关联关系。缺少明确的关联关系意味着除了清理现有的访问权限控制政策之外,没有系统化的方法来识别用于公司用途的 Gmail 账号。
将公司电子邮件地址用作辅助电子邮件地址的 Gmail 账号
这组用户账号由满足以下所有条件的账号组成:
- 由员工创建。
- 使用
gmail.com电子邮件地址作为其身份。 - 将公司电子邮件地址用作备用邮箱。
- 身份与外部 IdP 中的所有身份均不匹配。
在示例场景中,此说明符合 Grace。
从风险的角度来看,将公司电子邮件地址用作备用邮箱的 Gmail 账号等同于在外部 IdP 中没有匹配身份的消费者账号。 由于这些账号使用看似可信的公司电子邮件地址作为其辅助身份,因此可能带来社会工程学风险。
如果您想保留访问权限以及与 Gmail 账号相关联的一些数据,可以请所有者从用户账号中移除 Gmail,以便您可以将其迁移到 Cloud Identity 或 Google Workspace。
处理将公司电子邮件地址用作备用邮箱的 Gmail 账号的最佳方法是对其进行清理。 清理账号时,您可以使用同一公司电子邮件地址创建受管用户账号,强制账号所有者放弃该公司电子邮件地址。此外,我们建议您撤消此类账号对所有公司资源的访问权限,并为受影响的员工提供新的受管用户账号。
后续步骤
- 详细了解 Google Cloud 上不同类型的用户账号。
- 了解消费者账号迁移过程如何实现。
- 查看联合 Google Cloud 与外部身份提供商的最佳做法。