Questa pagina è stata tradotta dall'API Cloud Translation.

Valutare i piani di onboarding

Last reviewed 2024-07-11 UTC

Cloud Identity e Google Workspace ti consentono di gestire le identità aziendali e controllare l'accesso ai servizi Google. Per usufruire delle funzionalità offerte da Cloud Identity e Google Workspace, devi prima eseguire l'onboarding delle identità esistenti e nuove in Cloud Identity o Google Workspace. L'onboarding prevede i seguenti passaggi:

Prepara i tuoi account Cloud Identity o Google Workspace.
Se hai deciso di utilizzare un provider di identità (IdP) esterno, configura la federazione.
Crea account utente per le tue identità aziendali.
Consolidare gli account utente esistenti.

Questo documento ti aiuta a valutare l'ordine migliore in cui affrontare questi passaggi.

Seleziona un piano di onboarding

Quando selezioni un piano di onboarding, prendi in considerazione le seguenti decisioni fondamentali:

Seleziona un'architettura di destinazione. È importante decidere se impostare Google come tuo IdP principale o se preferisci utilizzare un IdP esterno.

Se non hai ancora deciso, consulta la panoramica delle architetture di riferimento per scoprire di più sulle possibili opzioni.
Decidere se eseguire la migrazione degli account consumer esistenti. Se non hai utilizzato Cloud Identity o Google Workspace, è possibile che i dipendenti della tua organizzazione stiano utilizzando account consumer per accedere ai servizi Google. Se vuoi conservare questi account utente e i relativi dati, devi eseguirne la migrazione a Cloud Identity o Google Workspace.

Per informazioni dettagliate sugli account consumer, su come identificarli e sui rischi che potrebbero rappresentare per la tua organizzazione, consulta Valutare gli account utente esistenti.

Se hai deciso di utilizzare un'IDP esterna e di eseguire la migrazione degli account dei consumatori esistenti, devi prendere una terza decisione: stabilire se configurare prima la federazione o eseguire prima la migrazione degli account utente esistenti. Prendi in considerazione i seguenti fattori:

La migrazione degli account consumer richiede il consenso del proprietario. Più account utente devono essere sottoposti a migrazione, più tempo potrebbe essere necessario per ottenere il consenso di tutti i proprietari degli account interessati.

Se devi eseguire la migrazione di almeno 100 account consumer, ti consigliamo di configurare la federazione prima di eseguire la migrazione degli account consumer esistenti. Se configuri prima la federazione, ti assicuri che tutte le nuove identità e ogni account utente sottoposto a migrazione possano beneficiare immediatamente del Single Sign-On, della verifica in due passaggi e di altre funzionalità di sicurezza offerte da Cloud Identity e Google Workspace. La configurazione della federazione ti consente quindi di migliorare rapidamente la tua postura di sicurezza complessiva.

Tuttavia, per configurare la federazione devi prima configurare il tuo fornitore di servizi di identità in modo che consenta comunque la migrazione degli account utente esistenti. Questa configurazione può aumentare la complessità della configurazione complessiva.
Se devi eseguire la migrazione di meno di 100 account consumer, puoi prevedere che la procedura di migrazione di questi account utente sia ragionevolmente rapida. In questo caso, valuta la possibilità di eseguire la migrazione degli account utente esistenti prima di configurare la federazione. Se completi prima la migrazione degli account utente, puoi evitare la complessità aggiuntiva di dover configurare il tuo provider di identità in modo da consentire comunque la migrazione degli account utente esistenti.

Tuttavia, ritardare la configurazione della federazione potrebbe rallentare il processo di miglioramento della tua strategia di sicurezza complessiva.

Il seguente diagramma riassume come selezionare il piano di onboarding migliore.

Selezione del piano di onboarding migliore.

Questo diagramma mostra i seguenti percorsi decisionali per selezionare un piano di onboarding:

Se utilizzi Google come provider di identità, seleziona piano 1.
Se non utilizzi Google come IdP e non vuoi eseguire la migrazione degli account esistenti, seleziona piano 2.
Seleziona il piano 3 nel seguente scenario:
- Non utilizzi Google come provider di identità.
- Vuoi eseguire la migrazione degli account esistenti.
- Vuoi configurare prima la federazione.
Seleziona il piano 4 nel seguente scenario:
- Non utilizzi Google come provider di identità.
- Vuoi eseguire la migrazione degli account esistenti.
- Non vuoi configurare prima la federazione.

Piani di onboarding

Questa sezione illustra un insieme di piani di onboarding che corrispondono agli scenari descritti nella sezione precedente.

Piano 1: nessuna federazione

Valuta la possibilità di utilizzare questo piano se tutte le seguenti condizioni sono vere:

Vuoi utilizzare Google come tuo provider di identità principale.
Potresti dover eseguire la migrazione degli account utente esistenti a Cloud Identity o Google Workspace.

Il seguente diagramma illustra la procedura e i passaggi previsti da questo piano.

Il piano senza federazione.

Configura gli account Cloud Identity o Google Workspace richiesti.

Per determinare il numero corretto di account Cloud Identity o Google Workspace da utilizzare, consulta le Best practice per la pianificazione di account e organizzazioni. Per informazioni dettagliate su come creare gli account e su quali stakeholder potrebbero dover essere coinvolti, consulta Preparare gli account Cloud Identity o Google Workspace.
Se alcune delle identità che vuoi eseguire l'onboarding hanno già account consumer, non creare account utente in Cloud Identity o Google Workspace per queste identità, perché verrebbe creato un account in conflitto.

Per ridurre al minimo il rischio di creare inavvertitamente account in conflitto, inizia creando account utente solo per un piccolo insieme iniziale di identità. Ti consigliamo di utilizzare la Console di amministrazione per creare questi account anziché l'API o il caricamento collettivo, perché la Console di amministrazione ti avviserà di un'imminente creazione di un account in conflitto.
Avvia la procedura di consolidamento degli account utente esistenti. Per dettagli su come eseguire questa operazione e su quali stakeholder potrebbero dover essere coinvolti, consulta Consolidare gli account utente esistenti.

Nota: puoi eseguire i passaggi 2 e 3 in qualsiasi ordine o in parallelo.
Infine, crea gli account utente per tutte le identità rimanenti che devi eseguire l'onboarding. Puoi creare gli account manualmente utilizzando la Console di amministrazione oppure, se stai eseguendo l'onboarding di un numero elevato di identità, valuta le seguenti alternative:
- Crea gli utenti in batch utilizzando un file CSV.
- Automatizza la creazione di utenti e gruppi utilizzando strumenti open source come Google Apps Manager (GAM).
- Utilizza l'API Directory.

Piano 2: federazione senza consolidamento degli account utente

Valuta la possibilità di utilizzare questo piano se tutte le seguenti condizioni sono vere:

Vuoi utilizzare un provider di identità esterno.
Non è necessario eseguire la migrazione degli account utente esistenti.

Il seguente diagramma illustra la procedura e i passaggi previsti da questo piano.

Federazione senza consolidamento degli account utente.

Configura gli account Cloud Identity o Google Workspace richiesti.

Per determinare il numero corretto di account Cloud Identity o Google Workspace da utilizzare, consulta le Best practice per la pianificazione di account e organizzazioni. Per informazioni dettagliate su come creare gli account e su quali stakeholder potrebbero dover essere coinvolti in questa procedura, consulta Preparare gli account Cloud Identity o Google Workspace.
Configura la federazione con il tuo IdP esterno. In genere, questo significa configurare il provisioning automatico degli account utente e impostare l'accesso singolo.

Quando configuri la federazione, tieni conto dei suggerimenti riportati in Best practice per la federazione di Google Cloud con un provider di identità esterno.
Utilizza il tuo IdP esterno per creare account utente in Cloud Identity o Google Workspace per tutte le identità di cui devi eseguire l'onboarding.
Assicurati che le identità in Cloud Identity o Google Workspace siano un sottoinsieme delle identità nel tuo provider di identità esterno. Per maggiori dettagli, consulta Riconciliare gli account utente gestiti orfani.

Piano 3: federazione con consolidamento degli account utente

Valuta la possibilità di utilizzare questo piano se tutte le seguenti condizioni sono vere:

Vuoi utilizzare un provider di identità esterno.
Devi eseguire la migrazione degli account utente esistenti a Cloud Identity o Google Workspace, ma vuoi prima configurare la federazione.

Questo piano ti consente di iniziare a utilizzare Single Sign-On rapidamente. Tutti i nuovi account utente che crei in Cloud Identity o Google Workspace possono utilizzare immediatamente l'accesso singolo, così come gli account utente esistenti dopo la migrazione. Questa integrazione con un IdP esterno ti consente di ridurre al minimo la gestione degli account utente: il tuo IdP può gestire sia l'onboarding sia l'offboarding delle identità.

Rispetto al piano di federazione differita spiegato nella sezione successiva, questo piano aumenta il rischio di account in conflitto o utenti esclusi. Questo piano richiede quindi un'attenta verifica prilikom konfigurowania federacji.

Il seguente diagramma illustra la procedura e i passaggi previsti da questo piano.

Federazione con consolidamento degli account utente.

Configura gli account Cloud Identity o Google Workspace richiesti.

Per determinare il numero corretto di account Cloud Identity o Google Workspace da utilizzare, consulta le Best practice per la pianificazione di account e organizzazioni. Per informazioni dettagliate su come creare gli account e su quali stakeholder potrebbero dover essere coinvolti in questa procedura, consulta Preparare gli account Cloud Identity o Google Workspace.
Configura la federazione con il tuo IdP esterno. In genere, questo significa che configuri il provisioning automatico degli account utente e la configurazione del singolo accesso.

Poiché alcune delle identità che vuoi eseguire l'onboarding hanno account consumer esistenti di cui devi ancora eseguire la migrazione, assicurati di impedire al tuo provider di identità esterno di interferire con la tua capacità di consolidare gli account consumer esistenti.

Per informazioni dettagliate su come configurare l'IdP esterno in modo sicuro per il consolidamento degli account, consulta Valutare l'impatto del consolidamento degli account utente sulla federazione.

Quando configuri la federazione, tieni conto dei suggerimenti riportati in Best practice per la federazione di Google Cloud con un provider di identità esterno.
Utilizza il tuo IdP esterno per creare account utente in Cloud Identity o Google Workspace per l'insieme iniziale di identità che devi integrare.

Fai attenzione a creare account utente solo per le identità che non dispongono di un account utente esistente.
Avvia la procedura di consolidamento degli account utente esistenti. Per dettagli su come eseguire questa operazione e su quali stakeholder potrebbero dover essere coinvolti, consulta Consolidare gli account utente esistenti.

Nota: puoi eseguire i passaggi 3 e 4 in qualsiasi ordine o in parallelo.
Per rendere sicura la configurazione per il consolidamento degli account, rimuovi qualsiasi configurazione speciale che hai applicato alla configurazione della federazione. Poiché a questo punto è già stata eseguita la migrazione di tutti gli account esistenti, questa configurazione speciale non è più richiesta.
Utilizza il tuo IdP esterno per creare account utente in Cloud Identity o Google Workspace per tutte le identità rimanenti che devi eseguire l'onboarding.

Piano 4: federazione differita

Valuta la possibilità di utilizzare questo piano se tutte le seguenti condizioni sono vere:

Vuoi utilizzare un provider di identità esterno.
Prima di configurare la federazione, devi eseguire la migrazione degli account utente esistenti a Cloud Identity o Google Workspace.

Questo piano è in pratica una combinazione di nessuna federazione e federazione senza consolidamento degli account utente, come discusso in precedenza. Un vantaggio principale di questo piano rispetto alla federazione con il consolidamento degli account utente è il rischio ridotto di account in conflitto o utenti bloccati. Tuttavia, poiché prevedi di utilizzare un provider di identità esterno per l'autenticazione, questo approccio presenta i seguenti svantaggi:

Non puoi attivare l'accesso singolo prima di aver eseguito la migrazione di tutti gli utenti pertinenti. A seconda del numero di account non gestiti di cui disponi e della rapidità con cui gli utenti reagiscono alle tue richieste di trasferimento dell'account, questa migrazione potrebbe richiedere giorni o settimane.
Durante la migrazione, devi creare nuovi account utente in Cloud Identity o Google Workspace, oltre a creare account nel tuo provider di identità esterno. Analogamente, per i dipendenti che se ne vanno, devi disattivare o eliminare i loro account utente in Cloud Identity o Google Workspace e nell'IDP esterno. Questa amministrazione ridondante aumenta lo sforzo complessivo e può introdurre incoerenze.

Il seguente diagramma illustra la procedura e i passaggi previsti da questo piano.

Federazione ritardata.

Configura gli account Cloud Identity o Google Workspace richiesti.

Per determinare il numero corretto di account Cloud Identity o Google Workspace da utilizzare, consulta le Best practice per la pianificazione di account e organizzazioni. Per informazioni dettagliate su come creare gli account e su quali stakeholder potrebbero dover essere coinvolti, consulta Preparare gli account Cloud Identity o Google Workspace. Se alcune delle identità che vuoi eseguire l'onboarding hanno già account consumer, non creare account utente in Cloud Identity o Google Workspace per queste identità, perché ciò causerebbe account in conflitto.
Inizia creando account utente solo per un piccolo insieme iniziale di identità. Ti consigliamo di utilizzare la Console di amministrazione per creare questi account anziché l'API o il caricamento collettivo, perché la Console di amministrazione ti avviserà di un'imminente creazione di un account in conflitto.
Avvia la procedura di consolidamento degli account utente esistenti. Per dettagli su come eseguire questa operazione e su quali stakeholder potrebbero dover essere coinvolti, consulta Consolidare gli account utente esistenti.

Nota: puoi eseguire i passaggi 2 e 3 in qualsiasi ordine o in parallelo.
Configura la federazione con il tuo IdP esterno. In genere, questo significa configurare il provisioning automatico degli account utente e impostare l'accesso singolo.

Quando configuri la federazione, tieni conto dei suggerimenti riportati in Best practice per la federazione di Google Cloud con un provider di identità esterno.

Poiché a questo punto è già stata eseguita la migrazione di tutti gli account esistenti, non è necessario applicare alcuna configurazione speciale per rendere sicura la federazione per il consolidamento degli account.
Utilizza il tuo IdP esterno per creare account utente in Cloud Identity o Google Workspace per tutte le identità di cui devi eseguire l'onboarding.

Passaggi successivi

Se hai deciso di utilizzare la federazione con il consolidamento degli account utente, procedi valutando l'impatto del consolidamento degli account utente sulla federazione.
Per iniziare la procedura di onboarding, prepara gli account Cloud Identity o Google Workspace.