Valuta i piani di onboarding

Last reviewed 2024-07-11 UTC

Cloud Identity e Google Workspace consentono di gestire le identità aziendali e controllare l'accesso ai servizi Google. Per sfruttare le funzionalità offerte da Cloud Identity e Google Workspace devi prima integrare le identità esistenti e quelle nuove Cloud Identity o Google Workspace. L'onboarding prevede i seguenti passaggi:

  • Prepara gli account Cloud Identity o Google Workspace.
  • Se hai deciso usare un provider di identità (IdP) esterno, configurare la federazione.
  • Crea account utente per le tue identità aziendali.
  • Consolidare gli account utente esistenti.

Questo documento ti aiuta a valutare l'ordine migliore in cui affrontare queste passaggi.

Seleziona un piano di onboarding

Quando selezioni un piano di onboarding, considera le seguenti decisioni critiche:

  • Seleziona un'architettura di destinazione. Cosa più importante, devi decidere se vuoi rendere Google è il tuo IdP principale o se preferisci utilizza un IdP esterno.

    Se non hai ancora deciso, consulta Panoramica delle architetture di riferimento per saperne di più sulle possibili opzioni.

  • Decidi se eseguire la migrazione degli account consumer esistenti. Se non hai hanno utilizzato Cloud Identity o Google Workspace, è possibile che i dipendenti della tua organizzazione potrebbero utilizzare account consumer per accedere ai servizi Google. Se vuoi mantenere questi account utente devi eseguirne la migrazione a Cloud Identity oppure Google Workspace.

    Per maggiori dettagli sugli account consumer, come identificarli e quale rischio che potrebbero rappresentare per la tua organizzazione, Valutare gli account utente esistenti.

Se hai deciso usa un IdP esterno ed eseguire la migrazione degli account consumer esistenti, scegliere se configurare prima la federazione o se migrare gli utenti esistenti . Prendi in considerazione i seguenti fattori:

  • La migrazione degli account consumer richiede il consenso del proprietario. Più utenti account da migrare, maggiore è il tempo necessario per ottenere il consenso di tutti i proprietari degli account interessati.

    Se devi eseguire la migrazione di 100 o più account consumer, ti consigliamo di configurare la federazione prima di eseguire la migrazione account consumer. Impostando prima la federazione, ti assicuri che tutti i nuovi identità e ciascun account utente migrato possono immediatamente vantaggi del Single Sign-On, della verifica in due passaggi e di altre funzionalità di sicurezza funzionalità offerte da Cloud Identity e Google Workspace. La configurazione della federazione ti consente quindi di migliorare rapidamente strategia di sicurezza.

    Tuttavia, per configurare prima la federazione devi configurare il provider di identità in modo che consente comunque la migrazione degli account utente esistenti. Questa configurazione può aumentare la complessità della configurazione complessiva.

  • Se devi eseguire la migrazione di meno di 100 account consumer, puoi aspettarti processo di migrazione di questi account utente essere ragionevolmente veloce. In questo caso, valuta la possibilità di eseguire la migrazione di un utente esistente prima di configurare la federazione. Completando l'account utente migrazione, puoi evitare la complessità aggiuntiva di dover configurare il tuo provider di identità in modo da consentire agli account utente esistenti di eseguire la migrazione.

    Tuttavia, un ritardo nella configurazione della federazione può rallentare il processo per migliorare il livello di sicurezza generale.

Il seguente diagramma riassume come selezionare il piano di onboarding migliore.

Selezione del piano di onboarding migliore.

Questo diagramma mostra i seguenti percorsi decisionali per la selezione di un piano di onboarding:

  • Se utilizzi Google come IdP, seleziona piano 1.
  • Se non utilizzi Google come IdP e non vuoi eseguire la migrazione degli account esistenti seleziona il piano 2.
  • Seleziona il piano 3 nel seguente scenario:
    • Non stai utilizzando Google come IdP.
    • Vuoi eseguire la migrazione di account esistenti.
    • Devi prima configurare la federazione.
  • Seleziona il piano 4 nel seguente scenario:
    • Non stai utilizzando Google come IdP.
    • Vuoi eseguire la migrazione di account esistenti.
    • Non vuoi prima configurare la federazione.

Piani di onboarding

Questa sezione illustra un insieme di piani di onboarding che corrispondono descritti nella sezione precedente.

Piano 1: nessuna federazione

Prendi in considerazione l'utilizzo di questo piano se tutte le seguenti condizioni sono vere:

Il seguente diagramma illustra la procedura e i passaggi seguiti da questo piano comporta.

Il piano di nessuna federazione.

  1. Configura le Cloud Identity o Google Workspace richieste .

    Per determinare il numero corretto di Cloud Identity o gli account Google Workspace da utilizzare, vedi Best practice per la pianificazione di account e organizzazioni. Per dettagli su come creare gli account e su quali stakeholder potrebbero aver bisogno per partecipare, vedi Prepara gli account Cloud Identity o Google Workspace.

  2. Se alcune delle identità che vuoi integrare includono dati di , non creare account utente in Cloud Identity o Google Workspace per queste identità perché così facendo risulterebbe un account in conflitto.

    Per ridurre al minimo il rischio di creare inavvertitamente account in conflitto, inizia creando account utente solo per un piccolo insieme iniziale di identità. Me consigliamo di usare la Console di amministrazione per creare questi account di utilizzare l'API o il caricamento in batch per creare questi account utente, La Console di amministrazione ti avvisa in caso di imminente creazione di un .

  3. Inizia il processo di consolidamento degli account utente esistenti. Per i dettagli su come raggiungere questo obiettivo e su quali stakeholder coinvolti, consulta Consolidamento di account utente esistenti.

  4. Infine, crea account utente per tutte le identità rimanenti l'onboarding. Puoi creare gli account manualmente utilizzando la Console di amministrazione, o se stai eseguendo l'onboarding di un numero elevato di identità, considera quanto segue: alternative:

Piano 2: federazione senza consolidamento degli account utente

Prendi in considerazione l'utilizzo di questo piano se tutte le seguenti condizioni sono vere:

Il seguente diagramma illustra la procedura e i passaggi seguiti da questo piano comporta.

Federazione senza consolidamento degli account utente.

  1. Configura le Cloud Identity o Google Workspace richieste .

    Per determinare il numero corretto di Cloud Identity o gli account Google Workspace da utilizzare, vedi Best practice per la pianificazione di account e organizzazioni. Per dettagli su come creare gli account e su quali stakeholder potrebbero aver bisogno di partecipare al processo, vedi Prepara gli account Cloud Identity o Google Workspace.

  2. Configura la federazione con l'IdP esterno. Generalmente, questo significa configurare il provisioning automatico degli account utente e configurare un'unica l'accesso.

    Quando configuri la federazione, tieni conto dei suggerimenti Best practice per la federazione di Google Cloud con un provider di identità esterno.

  3. Utilizza il tuo IdP esterno per creare account utente in Cloud Identity o Google Workspace per tutte le identità da eseguire.

  4. Assicurati che le identità in Cloud Identity o Google Workspace sono un sottoinsieme delle identità nel tuo IdP esterno. Per maggiori dettagli, vedi Riconciliazione di account utente gestiti orfani

Piano 3: federazione con il consolidamento degli account utente

Prendi in considerazione l'utilizzo di questo piano se tutte le seguenti condizioni sono vere:

  • Vuoi utilizza un IdP esterno.
  • Devi eseguire la migrazione degli account utente esistenti a Cloud Identity oppure Google Workspace, ma prima vuoi configurare la federazione.

Questo piano ti consente di iniziare a utilizzare rapidamente Single Sign-On. Ogni nuovo account utente che crei in Cloud Identity o Google Workspace utilizzare immediatamente il Single Sign-On, così come gli account utente esistenti dopo ne hai eseguito la migrazione. Questa integrazione con un IdP esterno consente di ridurre amministratore account utente: l'IdP può gestire sia l'onboarding delle identità che offboarding.

Rispetto al piano di federazione ritardato descritto sezione successiva, questo piano aumenta il rischio o utenti bloccati. Questo piano richiede quindi un'attenta attenzione quando configuri la federazione.

Il seguente diagramma illustra la procedura e i passaggi seguiti da questo piano comporta.

Federazione con consolidamento degli account utente.

  1. Configura le Cloud Identity o Google Workspace richieste .

    Per determinare il numero corretto di Cloud Identity o gli account Google Workspace da utilizzare, vedi Best practice per la pianificazione di account e organizzazioni. Per dettagli su come creare gli account e su quali stakeholder potrebbero aver bisogno di partecipare al processo, vedi Prepara gli account Cloud Identity o Google Workspace.

  2. Configura la federazione con l'IdP esterno. Generalmente, ciò significa che il provisioning automatico degli account utente e l'impostazione di l'accesso.

    Poiché alcune delle identità che vuoi integrare hanno account consumer di cui devi ancora eseguire la migrazione, assicurati di impedire all'IdP esterno di interferire con la tua capacità di consolidare e gestire account consumer esistenti.

    Per maggiori dettagli su come configurare l'IdP esterno in un modo che per il consolidamento degli account, consulta Valutazione dell'impatto del consolidamento degli account utente sulla federazione.

    Quando configuri la federazione, tieni conto dei suggerimenti Best practice per la federazione di Google Cloud con un provider di identità esterno.

  3. Utilizza il tuo IdP esterno per creare account utente in Cloud Identity o Google Workspace per l'insieme iniziale di identità di cui hai bisogno per l'onboarding.

    Fai attenzione a creare account utente solo per identità che non dispongono di account utente esistente.

  4. Inizia il processo di consolidamento degli account utente esistenti. Per i dettagli su come raggiungere questo obiettivo e su quali stakeholder coinvolti, consulta Consolidamento di account utente esistenti.

  5. Per rendere sicura la configurazione per il consolidamento degli account, rimuovi eventuali che hai applicato alla configurazione della federazione. Poiché a questo punto è già stata eseguita la migrazione di tutti gli account esistenti, questa configurazione speciale non è più necessaria.

  6. Utilizza il tuo IdP esterno per creare account utente in Cloud Identity o Google Workspace per tutte le identità rimanenti fare l'onboarding.

Piano 4: ritardi nella federazione

Prendi in considerazione l'utilizzo di questo piano se tutte le seguenti condizioni sono vere:

  • Vuoi utilizza un IdP esterno.
  • Devi eseguire la migrazione degli account utente esistenti a Cloud Identity oppure Google Workspace prima di configurare la federazione.

Questo piano è in pratica una combinazione di nessuna federazione e nessuna federazione senza il consolidamento degli account utente, come spiegato in precedenza. Un vantaggio chiave di questo piano rispetto alla federazione con il consolidamento degli account utente riduce il rischio account in conflitto o utenti bloccati. Tuttavia, poiché il tuo piano consiste nell'utilizzare un IdP esterno per l'autenticazione, l'approccio ha i seguenti svantaggi:

  • Non puoi attivare il Single Sign-On prima che tutti gli utenti pertinenti siano stati di cui è stata eseguita la migrazione. A seconda del numero di account non gestiti con cui devi gestire e la velocità con cui gli utenti reagiscono alle tue richieste di trasferimento dell'account, la migrazione può richiedere giorni o settimane.

  • Durante la migrazione, dovrai creare nuovi account utente in Cloud Identity o Google Workspace, oltre alla creazione nel tuo IdP esterno. Analogamente, per i dipendenti che lasciano l'azienda, è necessario disattivare o eliminare i propri account utente in Cloud Identity oppure in Google Workspace e nell'IdP esterno. Questo ridondante aumenta l'impegno generale e può introdurre incoerenze.

Il seguente diagramma illustra la procedura e i passaggi seguiti da questo piano comporta.

Ritardo nella federazione.

  1. Configura le Cloud Identity o Google Workspace richieste .

    Per determinare il numero corretto di Cloud Identity o gli account Google Workspace da utilizzare, vedi Best practice per la pianificazione di account e organizzazioni. Per dettagli su come creare gli account e su quali stakeholder potrebbero aver bisogno per partecipare, vedi Prepara gli account Cloud Identity o Google Workspace. Se alcune delle identità che vuoi integrare includono dati di di fatturazione, non creare account utente in Cloud Identity o Google Workspace per queste identità, perché ciò risulterebbe negli account in conflitto.

  2. Inizia creando account utente solo per un piccolo insieme iniziale di le identità di altro tipo. Ti consigliamo di usare la Console di amministrazione per creare questi anziché utilizzare l'API o il caricamento in gruppo perché la Console di amministrazione ti avvisa in merito a un'imminente creazione di un account in conflitto.

  3. Inizia il processo di consolidamento degli account utente esistenti. Per i dettagli su come raggiungere questo obiettivo e su quali stakeholder coinvolti, consulta Consolidamento di account utente esistenti.

  4. Configura la federazione con l'IdP esterno. In genere, questo significa configurare il provisioning automatico degli account utente e configurare un'unica l'accesso.

    Quando configuri la federazione, tieni conto dei suggerimenti Best practice per la federazione di Google Cloud con un provider di identità esterno.

    Poiché a questo punto è già stata eseguita la migrazione di tutti gli account esistenti, non è necessario applicare alcuna configurazione speciale per rendere sicura la federazione consolidamento degli account.

  5. Utilizza il tuo IdP esterno per creare account utente in Cloud Identity o Google Workspace per tutte le identità da integrare.

Passaggi successivi