评估现有用户帐号

Google 支持两种类型的用户帐号:受管用户帐号消费者用户帐号。 受管用户帐号完全由 Cloud IdentityG Suite 管理员控制。相比之下,消费者帐号完全由创建帐号的人拥有和管理。

身份管理的核心原则是在同一位置管理整个组织中的身份:

  • 如果您使用 Google 作为身份提供商 (IdP),则应该使用 Cloud Identity 或 G Suite 来管理身份。员工只能使用您在 Cloud Identity 或 G Suite 中管理的用户帐号。

  • 如果您使用外部 IdP,则应使用该提供商管理身份。外部 IdP 需要在 Cloud Identity 或 G Suite 中预配和管理用户帐号,员工应完全通过这些受管用户帐号使用 Google 服务。

如果员工使用消费者用户帐号,则无法在同一位置管理身份,因为消费者帐号不受 Cloud Identity、G Suite 或外部 IdP 管理。因此,您必须按照身份验证概览中的说明识别要转换为受管帐号的消费者用户帐号。

本文档可帮助您了解和评估以下内容:

  • 您单位的员工正在使用哪些现有用户帐号,以及如何识别这些帐号。
  • 哪些风险可能与这些现有用户帐号有关。

示例场景

为说明员工可能使用的不同用户帐号组,本文档使用一家名为 Example Organization 的公司作为示例场景。Example Organization 的六名现有和前员工均使用 Google 文档和 Google Ads 等 Google 服务。Example Organization 目前打算整合其身份管理任务,并将其外部 IdP 设置为管理身份的单一位置。每位员工在外部 IdP 中都有一个身份,且该身份与员工的电子邮件地址匹配。

有两个使用 example.com 电子邮件地址的消费者用户帐号:

  • Carol 使用其公司电子邮件地址 (carol@example.com) 创建了一个消费者帐号。
  • 前员工 Chuck 使用其公司电子邮件地址 (chuck@example.com) 创建了一个消费者帐号。

有两位员工 Glen 和 Grace 决定使用 Gmail 帐号:

  • Glen 注册了一个 Gmail 帐号 (glen@gmail.com)),他使用该帐号访问私人和公司文档以及其他 Google 服务。
  • Grace 也使用 Gmail 帐号 (grace@gmail.com),但她将公司电子邮件地址 grace@example.com 添加为辅助电子邮件地址。

剩下两名员工 Mary 和 Mike 已经在使用 Cloud Identity:

  • Mary 拥有 Cloud Identity 用户帐号 (mary@example.com)。
  • Mike 是 Cloud Identity 帐号管理员,他为自己创建了一个用户 (admin@example.com)。

下图展示了不同的用户帐号组:

用户帐号组。

如需将外部 IdP 设置为管理身份的单一位置,您必须将现有 Google 用户帐号的身份与外部 IdP 中的身份进行关联。因此,下图添加了一个帐号组,用于描述外部 IdP 中的身份。

外部 IdP 中身份的用户帐号组。

上文已经提过,如果员工希望将外部 IdP 设置为管理身份的单一位置,则必须完全使用受管用户帐号,并且外部 IdP 必须控制这些用户帐号。

目前,只有 Mary 符合这些要求。她使用 Cloud Identity 用户(受管用户帐号),其用户帐号的身份与外部 IdP 中的身份匹配。所有其他员工要么使用的是消费者帐号,要么其帐号的身份与外部 IdP 中的身份不匹配。对于这些用户来说,未满足要求所带来的风险和影响各不相同。每个用户代表一组不同的用户帐号,可能需要进一步调查。

需要调查的用户帐号组

以下部分调查了可能存在问题的用户帐号组。

消费者帐号

这组用户帐号由满足以下任一条件的帐号组成:

  • 由员工使用许多 Google 服务提供的注册功能创建。
  • 使用公司电子邮件地址作为其身份。

在示例场景中,此说明符合 Carol 和 Chuck。

用于商业目的并且使用公司电子邮件地址的消费者帐号可能会为您的公司带来风险,例如:

  • 您无法控制消费者帐号的生命周期。前员工可能会继续使用该用户帐号访问公司资源或产生公司费用。

    即使您撤消了对所有资源的访问权限,该帐号仍可能会带来社会工程学风险。由于用户帐号使用了看似可信的身份(如 chuck@example.com),因此前员工有可能说服在职员工或企业合作伙伴再次为其授予对资源的访问权限。

    同样,前员工也可能使用该用户帐号执行不符合您的组织政策的活动,给公司声誉带来影响。

  • 您无法对该帐号强制执行安全政策,如 MFA 验证或密码复杂度规则。

  • 您无法限制用于存储 Google 文档和 Google 云端硬盘数据的地理位置,这可能会带来违规风险。

  • 您无法限制此用户帐号可以访问哪些 Google 服务。

如果 Example Organization 决定使用 Google 作为其 IdP,那么处理消费者帐号的最佳方式是将其迁移到 Cloud Identity 或 G Suite 或强制要求所有者重命名用户帐号以删除这些帐号

如果 Example Organization 决定使用外部 IdP,则需要根据以下情况来进一步处理:

  • 在外部 IdP 中拥有匹配身份的消费者帐号。
  • 在外部 IdP 中没有匹配身份的消费者帐号。

以下两个部分详细介绍了这两个子类。

在外部 IdP 中拥有匹配身份的消费者帐号

这组用户帐号由满足以下所有条件的帐号组成:

  • 由员工创建。
  • 将公司电子邮件地址用作主电子邮件地址。
  • 身份与外部 IdP 中的身份匹配。

在示例场景中,此说明符合 Carol。

在外部 IdP 中拥有匹配身份的帐号。

这些消费者帐号在您的外部 IdP 中拥有匹配的身份这一事实表明,这些用户帐号属于在职员工,因此应予以保留。因此,您应该考虑将这些帐号迁移到 Cloud Identity 或 G Suite

您可以识别在外部 IdP 中拥有匹配身份的消费者帐号,如下所述:

  1. 将您怀疑可能已用于注册消费者帐号的所有网域添加到 Cloud Identity 或 G Suite。具体而言,Cloud Identity 或 G Suite 中的网域列表应包含您的电子邮件系统支持的所有网域。
  2. 使用非受管用户转移工具,识别使用的电子邮件地址与您添加到 Cloud Identity 或 G Suite 的某个网域匹配的消费者帐号。
  3. 将消费者帐号列表与外部 IdP 中的身份进行比较,找到拥有对应身份的消费者帐号。

在外部 IdP 中没有匹配身份的消费者帐号

这组用户帐号由满足以下所有条件的帐号组成:

  • 由员工创建。
  • 使用公司电子邮件地址作为其身份。
  • 身份与外部 IdP 中的所有身份均不匹配。

在示例场景中,此说明符合 Chuck。

在外部 IdP 中没有匹配身份的帐号。

消费者帐号在外部 IdP 中没有匹配身份的原因有很多,如下所述:

  • 创建帐号的员工可能已离职,因此外部 IdP 中不再存在相应的身份。
  • 用于注册消费者帐号的电子邮件地址可能与外部 IdP 中已知的身份不匹配。 如果您的电子邮件系统允许使用以下电子邮件地址的变体形式,则可能会出现此类不匹配的情况:

    • 使用备用网域,例如 johndoe@example.orgjohndoe@example.com 可能是同一邮箱的别名,但在 IdP 中该用户可能仅存在 johndoe@example.com 这一个身份。
    • 使用备用句柄,例如 johndoe@example.comjohn.doe@example.com 可能也指同一个邮箱,但 IdP 可能只会识别一种拼写。
    • 使用不同的大小写。例如,变体形式 johndoe@example.comJohnDoe@example.com 可能不会被识别为同一用户。

您可以通过以下方式处理在外部 IdP 中没有匹配身份的消费者帐号:

您可以识别在外部 IdP 中没有匹配身份的消费者帐号,如下所述:

  1. 将您怀疑可能已用于注册消费者帐号的所有网域添加到 Cloud Identity 或 G Suite。具体而言,Cloud Identity 或 G Suite 中的网域列表应包含您的电子邮件系统支持作为别名的所有网域。
  2. 使用非受管用户转移工具,识别使用的电子邮件地址与您添加到 Cloud Identity 或 G Suite 的某个网域匹配的消费者帐号。
  3. 将消费者帐号列表与外部 IdP 中的身份进行比较,找到缺少对应身份的消费者帐号。

在外部 IdP 中没有匹配身份的受管帐号

这组用户帐号由满足以下所有条件的帐号组成:

  • 由 Cloud Identity 或 G Suite 管理员手动创建。
  • 身份与外部 IdP 中的所有身份均不匹配。

在示例场景中,此说明符合 Mike,该员工为其受管帐号使用身份 admin@example.com

手动创建的帐号,其身份与外部 IdP 中的所有身份均不匹配。

受管帐号在外部 IdP 中没有匹配身份与消费者帐号在外部 IdP 中没有匹配身份的潜在原因类似:

  • 为其创建帐号的员工可能已离职,因此外部 IdP 中不再存在相应的身份。
  • 与外部 IdP 中的身份匹配的公司电子邮件地址可能已被设置为辅助电子邮件地址或别名,而非主电子邮件地址。
  • 在 Cloud Identity 或 G Suite 中用于用户帐号的电子邮件地址可能与外部 IdP 中已知的身份不匹配。Cloud Identity 和 G Suite 均未验证用作身份的电子邮件地址是否存在。因此,导致出现不匹配的因素不仅包括备用网域、备用句柄或大小写不同,还包括拼写错误或其他人为错误。

无论出于何种原因,在外部 IdP 中没有匹配身份的受管帐号都会带来风险,因为它们可能会在无意中被重复使用以及引发名称抢注问题。 我们建议您协调这些帐号

您可以识别在外部 IdP 中没有匹配身份的消费者帐号,如下所述:

  1. 使用管理控制台Directory API,导出 Cloud Identity 或 G Suite 中的用户帐号列表。
  2. 将帐号列表与外部 IdP 中的身份进行比较,找到缺少对应身份的帐号。

用于公司用途的 Gmail 帐号

这组用户帐号由满足以下条件的帐号组成:

  • 由员工创建。
  • 使用 gmail.com 电子邮件地址作为其身份。
  • 身份与外部 IdP 中的所有身份均不匹配。

在示例场景中,此说明符合 Grace 和 Glen。

员工创建的 Gmail 帐号,其身份与外部 IdP 中的所有身份均不匹配。

用于公司用途的 Gmail 帐号带来的风险与在外部 IdP 中没有匹配身份的消费者帐号类似:

  • 您无法控制消费者帐号的生命周期。前员工可能会继续使用该用户帐号访问公司资源或产生公司费用。
  • 您无法对该帐号强制执行安全政策,如 MFA 验证或密码复杂度规则。

因此,处理 Gmail 帐号的最佳方法是撤消这些用户帐号对所有公司资源的访问权限,并为受影响的员工提供新的受管用户帐号。

由于 Gmail 帐号使用 gmail.com 作为其网域,因此与您的组织没有明确的关联关系。缺少明确的关联关系意味着除了清理现有的访问权限控制政策之外,没有系统化的方法来识别用于公司用途的 Gmail 帐号。

将公司电子邮件地址用作辅助电子邮件地址的 Gmail 帐号

这组用户帐号由满足以下所有条件的帐号组成:

  • 由员工创建。
  • 使用 gmail.com 电子邮件地址作为其身份。
  • 将公司电子邮件地址用作辅助电子邮件地址
  • 身份与外部 IdP 中的所有身份均不匹配。

在示例场景中,此说明符合 Grace。

将公司电子邮件地址用作辅助电子邮件地址的 Gmail 帐号。

从风险的角度来看,将公司电子邮件地址用作辅助电子邮件地址的 Gmail 帐号等同于在外部 IdP 中没有匹配身份的消费者帐号。 由于这些帐号使用看似可信的公司电子邮件地址作为其辅助身份,因此可能带来社会工程学风险。

处理将公司电子邮件地址用作辅助电子邮件地址的 Gmail 帐号的最佳方法是对其进行清理。 清理帐号时,您可以使用同一公司电子邮件地址创建受管用户帐号,强制帐号所有者放弃该公司电子邮件地址。此外,我们建议您撤消此类帐号对所有公司资源的访问权限,并为受影响的员工提供新的受管用户帐号。

如果您需要系统化地识别使用公司电子邮件地址作为辅助电子邮件地址的 Gmail 帐号,请联系我们的支持团队

后续步骤