O Cloud ID e o Google Workspace permitem-lhe gerir identidades empresariais e controlar o acesso aos serviços Google. Para tirar partido das funcionalidades que o Cloud ID e o Google Workspace oferecem, primeiro tem de integrar identidades existentes e novas no Cloud ID ou no Google Workspace. A integração envolve os seguintes passos:
- Prepare as suas contas do Cloud ID ou Google Workspace.
- Se decidiu usar um fornecedor de identidade (IdP) externo, configure a federação.
- Crie contas de utilizador para as suas identidades empresariais.
- Consolidar contas de utilizador existentes.
Este documento ajuda a avaliar a melhor ordem para abordar estes passos.
Selecione um plano de integração
Quando seleciona um plano de integração, considere as seguintes decisões importantes:
Selecione uma arquitetura de destino. Mais importante ainda, tem de decidir se quer que a Google seja o seu IdP principal ou se prefere usar um IdP externo.
Se ainda não se decidiu, consulte a vista geral das arquiteturas de referência para saber mais sobre as opções possíveis.
Decida se quer migrar as contas de consumidor existentes. Se não tem usado o Cloud ID ou o Google Workspace, é possível que os funcionários da sua organização estejam a usar contas de consumidor para aceder aos serviços Google. Se quiser manter estas contas de utilizador e os respetivos dados, tem de migrá-las para o Cloud ID ou o Google Workspace.
Para ver detalhes sobre as contas de consumidor, como identificá-las e que risco podem representar para a sua organização, consulte o artigo Avaliar as contas de utilizador existentes.
Se decidiu usar um IdP externo e migrar as contas de consumidor existentes, tem de tomar uma terceira decisão: configurar primeiro a federação ou migrar primeiro as contas de utilizador existentes. Tenha em atenção os seguintes fatores:
A migração de contas de consumidor requer o consentimento do proprietário. Quanto mais contas de utilizador tiver de migrar, mais tempo pode demorar a obter o consentimento de todos os proprietários de contas afetados.
Se precisar de migrar 100 ou mais contas de consumidor, considere configurar a federação antes de migrar as contas de consumidor existentes. Ao configurar primeiro a federação, garante que todas as novas identidades e cada conta de utilizador migrada podem beneficiar imediatamente do início de sessão único, da validação em dois passos e de outras funcionalidades de segurança oferecidas pelo Cloud Identity e pelo Google Workspace. Por conseguinte, a configuração da federação ajuda a melhorar rapidamente a sua postura de segurança geral.
No entanto, a configuração da federação requer que configure primeiro o seu fornecedor de identidade de forma a permitir a migração das contas de utilizador existentes. Esta configuração pode aumentar a complexidade da configuração geral.
Se precisar de migrar menos de 100 contas de consumidor, pode esperar que o processo de migração destas contas de utilizador seja razoavelmente rápido. Neste caso, considere migrar as contas de utilizador existentes antes de configurar a federação. Ao concluir primeiro a migração das contas de utilizador, pode evitar a complexidade adicional de ter de configurar o seu fornecedor de identidade de uma forma que permita a migração das contas de utilizador existentes.
No entanto, atrasar a configuração da federação pode abrandar o processo de melhoria da sua postura de segurança geral.
O diagrama seguinte resume como selecionar o melhor plano de integração.
Este diagrama mostra os seguintes caminhos de decisão para selecionar um plano de integração:
- Se estiver a usar o Google como IdP, selecione o plano 1.
- Se não estiver a usar o Google como IdP e não quiser migrar as contas existentes, selecione o plano 2.
- Selecione o plano 3
no seguinte cenário:
- Não está a usar a Google como IdP.
- Quer migrar contas existentes.
- Quer configurar a federação primeiro.
- Selecione o plano 4 no seguinte cenário:
- Não está a usar a Google como IdP.
- Quer migrar contas existentes.
- Não quer configurar a federação primeiro.
Planos de integração
Esta secção descreve um conjunto de planos de integração que correspondem aos cenários abordados na secção anterior.
Plano 1: sem federação
Pondere usar este plano se todas as seguintes afirmações forem verdadeiras:
- Quer usar a Google como o seu IdP principal.
- Pode ter de migrar as contas de utilizador existentes para o Cloud Identity ou o Google Workspace.
O diagrama seguinte ilustra o processo e os passos envolvidos neste plano.
Configure as contas do Cloud ID ou Google Workspace necessárias.
Para determinar o número certo de contas do Cloud ID ou do Google Workspace a usar, consulte as práticas recomendadas para planear contas e organizações. Para ver detalhes sobre como criar as contas e que partes interessadas podem ter de participar, consulte o artigo Prepare as suas contas do Cloud ID ou Google Workspace.
Se algumas das identidades que quer incorporar tiverem contas de consumidor existentes, não crie contas de utilizador no Cloud Identity nem no Google Workspace para estas identidades, uma vez que isso resultaria numa conta em conflito.
Para minimizar o risco de criar inadvertidamente contas em conflito, comece por criar contas de utilizador apenas para um pequeno conjunto inicial de identidades. Recomendamos que use a consola do administrador para criar estas contas em vez de usar a API ou o carregamento em lote para criar estas contas de utilizador, porque a consola do administrador avisa sobre a criação iminente de uma conta em conflito.
Inicie o processo de consolidação das suas contas de utilizador existentes. Para ver detalhes sobre como o fazer e que partes interessadas podem ter de participar, consulte o artigo Consolidar contas de utilizador existentes.
Por fim, crie contas de utilizador para todas as identidades restantes que tem de integrar. Pode criar contas manualmente através da consola do administrador ou, se estiver a integrar um grande número de identidades, considere as seguintes alternativas:
- Crie utilizadores em lotes através de um ficheiro CSV.
- Automatize a criação de utilizadores e grupos através de ferramentas de código aberto, como o Google Apps Manager (GAM).
- Use a API Directory.
Plano 2: federação sem consolidação de contas de utilizador
Pondere usar este plano se todas as seguintes afirmações forem verdadeiras:
- Quer usar um IdP externo.
- Não tem de migrar nenhuma conta de utilizador existente.
O diagrama seguinte ilustra o processo e os passos envolvidos neste plano.
Configure as contas do Cloud ID ou Google Workspace necessárias.
Para determinar o número certo de contas do Cloud ID ou do Google Workspace a usar, consulte as práticas recomendadas para planear contas e organizações. Para ver detalhes sobre como criar as contas e que partes interessadas podem ter de participar neste processo, consulte o artigo Prepare as suas contas do Cloud ID ou Google Workspace.
Configure a federação com o seu IdP externo. Normalmente, isto significa configurar o aprovisionamento automático de contas de utilizador e configurar o início de sessão único.
Quando configurar a federação, tenha em conta as recomendações nas Práticas recomendadas para federar Google Cloud com um fornecedor de identidade externo.
Use o seu IdP externo para criar contas de utilizador no Cloud Identity ou no Google Workspace para todas as identidades que precisa de integrar.
Certifique-se de que as identidades no Cloud ID ou Google Workspace são um subconjunto das identidades no seu IdP externo. Para obter detalhes, consulte o artigo Reconciliar contas de utilizadores geridas órfãs.
Plano 3: federação com consolidação de contas de utilizador
Pondere usar este plano se todas as seguintes afirmações forem verdadeiras:
- Quer usar um IdP externo.
- Precisa de migrar as contas de utilizador existentes para o Cloud ID ou o Google Workspace, mas quer configurar a federação primeiro.
Este plano permite-lhe começar a usar o Início de sessão único rapidamente. Todas as novas contas de utilizador que criar no Cloud ID ou no Google Workspace podem usar imediatamente o início de sessão único, tal como as contas de utilizador existentes depois de as migrar. Esta integração com um IdP externo permite-lhe minimizar a administração de contas de utilizador. O seu IdP pode processar a integração e a desativação de identidades.
Em comparação com o plano de federação atrasada explicado na secção seguinte, este plano aumenta o risco de contas em conflito ou utilizadores bloqueados. Por conseguinte, este plano requer atenção quando configura a federação.
O diagrama seguinte ilustra o processo e os passos envolvidos neste plano.
Configure as contas do Cloud ID ou Google Workspace necessárias.
Para determinar o número certo de contas do Cloud ID ou do Google Workspace a usar, consulte as práticas recomendadas para planear contas e organizações. Para ver detalhes sobre como criar as contas e que partes interessadas podem ter de participar neste processo, consulte o artigo Prepare as suas contas do Cloud ID ou Google Workspace.
Configure a federação com o seu IdP externo. Normalmente, isto significa que configura o aprovisionamento automático de contas de utilizador e a configuração do início de sessão único.
Uma vez que algumas das identidades que quer incorporar têm contas de consumidor existentes que ainda tem de migrar, certifique-se de que impede que o seu IdP externo interfira com a sua capacidade de consolidar as contas de consumidor existentes.
Para ver detalhes sobre como pode configurar o seu IdP externo de uma forma segura para a consolidação de contas, consulte o artigo Avaliar o impacto da consolidação de contas de utilizador na federação.
Quando configurar a federação, tenha em conta as recomendações nas Práticas recomendadas para federar Google Cloud com um fornecedor de identidade externo.
Use o seu IdP externo para criar contas de utilizador no Cloud ID ou no Google Workspace para o conjunto inicial de identidades que precisa de integrar.
Tenha cuidado para criar contas de utilizador apenas para identidades que não tenham uma conta de utilizador existente.
Inicie o processo de consolidação das suas contas de utilizador existentes. Para ver detalhes sobre como o fazer e que partes interessadas podem ter de participar, consulte o artigo Consolidar contas de utilizador existentes.
Para tornar a configuração segura para a consolidação de contas, remova qualquer configuração especial que tenha aplicado à configuração de federação. Uma vez que todas as contas existentes já foram migradas neste momento, esta configuração especial já não é necessária.
Use o seu IdP externo para criar contas de utilizador no Cloud Identity ou no Google Workspace para todas as identidades restantes que precisa de integrar.
Plano 4: federação atrasada
Pondere usar este plano se todas as seguintes afirmações forem verdadeiras:
- Quer usar um IdP externo.
- Tem de migrar as contas de utilizador existentes para o Cloud ID ou o Google Workspace antes de configurar a federação.
Este plano é, efetivamente, uma combinação de não federação e federação sem consolidação de contas de utilizador, conforme abordado anteriormente. Uma das principais vantagens deste plano em relação à federação com a consolidação de contas de utilizador é o menor risco de contas em conflito ou utilizadores bloqueados. No entanto, uma vez que o seu plano é usar um IdP externo para autenticação, a abordagem tem as seguintes desvantagens:
Não pode ativar o início de sessão único antes de todos os utilizadores relevantes terem sido migrados. Dependendo do número de contas não geridas com que está a lidar e da rapidez com que os utilizadores reagem aos seus pedidos de transferência de contas, esta migração pode demorar dias ou semanas.
Durante a migração, tem de criar novas contas de utilizador no Cloud Identity ou no Google Workspace, além de criar contas no seu IdP externo. Da mesma forma, para os funcionários que saem da empresa, tem de desativar ou eliminar as respetivas contas de utilizador no Cloud ID ou Google Workspace e no IdP externo. Esta administração redundante aumenta o esforço geral e pode introduzir inconsistências.
O diagrama seguinte ilustra o processo e os passos envolvidos neste plano.
Configure as contas do Cloud ID ou Google Workspace necessárias.
Para determinar o número certo de contas do Cloud ID ou do Google Workspace a usar, consulte as práticas recomendadas para planear contas e organizações. Para ver detalhes sobre como criar as contas e que partes interessadas podem ter de participar, consulte o artigo Prepare as suas contas do Cloud ID ou Google Workspace. Se algumas das identidades que quer integrar tiverem contas de consumidor existentes, não crie contas de utilizador no Cloud ID nem no Google Workspace para estas identidades, uma vez que isso resultaria em contas em conflito.
Comece por criar contas de utilizador apenas para um pequeno conjunto inicial de identidades. Recomendamos que use a consola do administrador para criar estas contas em vez de usar a API ou o carregamento em lote, porque a consola do administrador avisa sobre a criação iminente de uma conta em conflito.
Inicie o processo de consolidação das suas contas de utilizador existentes. Para ver detalhes sobre como o fazer e que partes interessadas podem ter de participar, consulte o artigo Consolidar contas de utilizador existentes.
Configure a federação com o seu IdP externo. Normalmente, isto significa configurar o aprovisionamento automático de contas de utilizador e configurar o início de sessão único.
Quando configurar a federação, tenha em conta as recomendações nas Práticas recomendadas para federar Google Cloud com um fornecedor de identidade externo.
Uma vez que todas as contas existentes já foram migradas nesta fase, não tem de aplicar nenhuma configuração especial para tornar a federação segura para a consolidação de contas.
Use o seu IdP externo para criar contas de utilizador no Cloud Identity ou no Google Workspace para todas as identidades que precisa de integrar.
O que se segue?
- Se decidiu usar a federação com a consolidação de contas de utilizador, avance avaliando o impacto da consolidação de contas de utilizador na federação.
- Inicie o processo de integração preparando contas do Cloud ID ou do Google Workspace.