Cloud Identity y Google Workspace te permiten administrar las identidades empresariales y controlar el acceso a los servicios de Google. Para aprovechar las funciones que proporcionan Cloud Identity y Google Workspace, primero debes integrar las identidades existentes y nuevas en Cloud Identity o Google Workspace. La integración implica los siguientes pasos:
- Prepara tus cuentas de Cloud Identity o Google Workspace.
- Configurar la federación si decidiste usar un proveedor de identidad externo (IdP)
- Crear cuentas de usuario para tus identidades empresariales
- Consolidar las cuentas de usuario existentes
En este documento, encontrarás ayuda para evaluar el mejor orden en el cual abordar estos pasos.
Selecciona un plan de integración
Cuando selecciones un plan de integración, ten en cuenta las siguientes decisiones críticas:
Selecciona una arquitectura de destino. Lo más importante es que tienes que decidir si quieres que Google sea tu IdP principal o si prefieres usar un IdP externo.
Si aún no lo decidiste, consulta la descripción general de arquitecturas de referencia para obtener más información sobre las opciones posibles.
Decide si deseas migrar las cuentas personales existentes. Si no usaste Cloud Identity o Google Workspace, es posible que los empleados de tu organización usen cuentas personales para acceder a los servicios de Google. Si deseas conservar estas cuentas de usuario y sus datos, debes migrarlas a Cloud Identity o a Google Workspace.
Para obtener detalles sobre las cuentas personales, cómo identificarlas y el riesgo que podrían representar para la organización, consulta Evalúa las cuentas de usuario existentes.
Si decidiste usar un IdP externo y migrar las cuentas personales existentes, debes decidir qué hacer primero, si configurar la federación o migrar las cuentas de usuario existentes. Ten en cuenta los siguientes factores:
La migración de cuentas personales requiere el consentimiento del propietario. Cuantas más cuentas de usuario tengas que migrar, más tiempo te llevará obtener el consentimiento de todos los propietarios de las cuentas afectadas.
Si necesitas migrar 100 cuentas personales o más, considera configurar la federación antes de migrar las cuentas personales existentes. Si configuras la federación primero, te aseguras de que todas las identidades nuevas y las cuentas de usuario migradas se puedan aprovechar de inmediato desde el inicio de sesión único, la verificación en dos pasos y otras funciones de seguridad que ofrecen Cloud Identity y Google Workspace. Por lo tanto, configurar la federación te ayuda a mejorar con rapidez tu posición de seguridad general.
Sin embargo, la configuración de la federación en primer lugar requiere que configures tu proveedor de identidad de una manera que permita que se migren las cuentas de usuario existentes. Esta configuración puede aumentar la complejidad de tu configuración general.
Si necesitas migrar menos de 100 cuentas personales, puedes suponer que el proceso de migración de estas cuentas de usuario sea rápido. En este caso, considera migrar las cuentas de usuario existentes antes de configurar la federación. Si completas la migración de la cuenta de usuario primero, puedes evitar tener que configurar el proveedor de identidad de una forma que permita la migración de las cuentas de usuario existentes, lo que supondría una complejidad adicional.
Sin embargo, el retraso de la configuración de la federación podría ralentizar el proceso de mejora de la posición de seguridad general.
En el siguiente diagrama, se resume cómo seleccionar el mejor plan de integración.
En este diagrama, se muestran rutas de decisión para seleccionar un plan de integración:
- Si usas Google como IdP, selecciona el plan 1.
- Si no usas Google como IdP y no deseas migrar las cuentas existentes, selecciona el plan 2.
- Selecciona el plan 3 en el siguiente caso:
- No usas Google como IdP.
- Deseas migrar cuentas existentes.
- Primero quieres configurar la federación.
- Selecciona el plan 4 en el siguiente caso:
- No usas Google como IdP.
- Deseas migrar cuentas existentes.
- No quieres configurar la federación primero.
Planes de integración
En esta sección, se describe un conjunto de planes de integración que corresponden a las situaciones que se analizaron en la sección anterior.
Plan 1: Sin federación
Considera usar este plan si se cumplen todas las siguientes condiciones:
- Quieres usar Google como tu IdP principal.
- Es posible que debas migrar cuentas de usuario existentes a Cloud Identity o Google Workspace.
En el siguiente diagrama, se ilustran el proceso y los pasos que implica este plan.
Configura las cuentas de Cloud Identity o Google Workspace obligatorias.
A fin de determinar la cantidad correcta de cuentas de Cloud Identity o de Google Workspace que debes usar, consulta las prácticas recomendadas para planificar las cuentas y las organizaciones. Para obtener detalles sobre cómo crear las cuentas y sobre qué partes interesadas quizá deban involucrarse, consulta Prepara tus cuentas de Cloud Identity o Google Workspace.
Si algunas de las identidades que deseas incorporar tienen cuentas personales existentes, no crees cuentas de usuario en Cloud Identity o Google Workspace para estas identidades, ya que esto provocaría una cuenta en conflicto.
Si quieres minimizar el riesgo de crear cuentas en conflicto sin querer, primero crea cuentas de usuario para un conjunto inicial pequeño de identidades. Se recomienda usar la Consola del administrador para crear estas cuentas en lugar de usar la API o la carga por lotes, ya que la Consola del administrador advierte sobre la creación inminente de una cuenta en conflicto.
Comienza el proceso de consolidar las cuentas de usuario existentes. Para obtener detalles sobre cómo lograrlo y qué partes interesadas deberían participar, consulta Consolida cuentas de usuario existentes.
Por último, crea cuentas de usuario para todas las identidades restantes que necesites integrar. Puede crear cuentas de forma manual mediante la Consola del administrador o, si estás integrando una gran cantidad de identidades, considera las siguientes alternativas:
- Crea usuarios en lotes mediante un archivo CSV.
- Automatiza la creación de usuarios y grupos mediante herramientas de código abierto, como Google Apps Manager (GAM).
- Usa la API de Directory.
Plan 2: Federación sin consolidación de la cuenta de usuario
Considera usar este plan si se cumplen todas las siguientes condiciones:
- Deseas usar un IdP externo.
- No es necesario migrar ninguna cuenta de usuario existente.
En el siguiente diagrama, se ilustran el proceso y los pasos que implica este plan.
Configura las cuentas de Cloud Identity o Google Workspace obligatorias.
A fin de determinar la cantidad correcta de cuentas de Cloud Identity o de Google Workspace que debes usar, consulta las prácticas recomendadas para planificar las cuentas y las organizaciones. Para obtener detalles sobre cómo crear las cuentas y sobre qué partes interesadas quizá deban involucrarse en este proceso, consulta Prepara tus cuentas de Cloud Identity o Google Workspace.
Configura la federación con el IdP externo. Por lo general, esto significa configurar el aprovisionamiento automático de cuentas de usuario y el inicio de sesión único.
Cuando configures la federación, ten en cuenta las recomendaciones de las Prácticas recomendadas para federar Google Cloud con un proveedor de identidad externo.
Usa tu IdP externo a fin de crear cuentas de usuario en Cloud Identity o Google Workspace para todas las identidades que necesites incorporar.
Asegúrate de que las identidades en Cloud Identity o Google Workspace sean un subconjunto de las identidades en tu IdP externo. Para obtener más información, consulta Concilia cuentas de usuario administradas y huérfanas.
Plan 3: Federación con consolidación de cuentas de usuario
Considera usar este plan si se cumplen todas las siguientes condiciones:
- Deseas usar un IdP externo.
- Debes migrar las cuentas de usuario existentes a Cloud Identity o Google Workspace, pero primero quieres configurar la federación.
Este plan te permite comenzar a usar el inicio de sesión único con rapidez. Todas las cuentas de usuario nuevas que crees en Cloud Identity o Google Workspace pueden usar el inicio de sesión único de manera inmediata, al igual que las cuentas de usuario existentes después de que las hayas migrado. Esta integración con un IdP externo te permite minimizar la administración de la cuenta de usuario. El IdP puede controlar tanto la integración como la desvinculación de identidades.
En comparación con el plan de federación retrasado que se explica en la siguiente sección, este plan aumenta el riesgo de cuentas en conflicto o usuarios bloqueados. Por lo tanto, este plan requiere mucha atención cuando configuras la federación.
En el siguiente diagrama, se ilustran el proceso y los pasos que implica este plan.
Configura las cuentas de Cloud Identity o Google Workspace obligatorias.
A fin de determinar la cantidad correcta de cuentas de Cloud Identity o de Google Workspace que debes usar, consulta las prácticas recomendadas para planificar las cuentas y las organizaciones. Para obtener detalles sobre cómo crear las cuentas y sobre qué partes interesadas quizá deban involucrarse en este proceso, consulta Prepara tus cuentas de Cloud Identity o Google Workspace.
Configura la federación con el IdP externo. Por lo general, esto significa que configuras el aprovisionamiento automático de cuentas de usuario y el inicio de sesión único.
Debido a que algunas de las identidades que deseas integrar tienen cuentas personales existentes que aún debes migrar, asegúrate de evitar que el IdP externo interfiera en tu capacidad de consolidar cuentas personales existentes.
Si quieres obtener detalles sobre cómo configurar el IdP externo de manera segura para la consolidación de la cuenta, consulta Evalúa el impacto de la consolidación de cuentas de usuario en la federación.
Cuando configures la federación, ten en cuenta las recomendaciones de las Prácticas recomendadas para federar Google Cloud con un proveedor de identidad externo.
Usa tu IdP externo a fin de crear cuentas de usuario en Cloud Identity o Google Workspace para el conjunto inicial de identidades que necesites incorporar.
Asegúrate de crear cuentas de usuario solo para identidades que no tienen una cuenta de usuario existente.
Comienza el proceso de consolidar las cuentas de usuario existentes. Para obtener detalles sobre cómo lograrlo y qué partes interesadas deberían participar, consulta Consolida cuentas de usuario existentes.
A fin de que la configuración sea segura para la consolidación de la cuenta, quita cualquier configuración especial que hayas aplicado a la configuración de la federación. Debido a que todas las cuentas existentes ya se migraron en este momento, esta configuración especial ya no es necesaria.
Usa tu IdP externo a fin de crear cuentas de usuario en Cloud Identity o Google Workspace para todas las identidades restantes que necesites incorporar.
Plan 4: Federación retrasada
Considera usar este plan si se cumplen todas las siguientes condiciones:
- Deseas usar un IdP externo.
- Debes migrar las cuentas de usuario existentes a Cloud Identity o Google Workspace antes de configurar la federación.
Este plan es, en efecto, una combinación de la falta de federación y la federación sin consolidación de la cuenta de usuario, como se analizó con anterioridad. Un beneficio clave de este plan en comparación con la federación con la consolidación de la cuenta de usuario es el menor riesgo de cuentas en conflicto o usuarios bloqueados. Sin embargo, debido a que tu plan es usar un IdP externo para la autenticación en un futuro, el enfoque tiene las siguientes desventajas:
No puedes habilitar el inicio de sesión único antes de que se migren todos los usuarios relevantes. Según la cantidad de cuentas no administradas con las que trabajes y la rapidez con la que los usuarios reaccionen a las solicitudes de transferencia de cuentas, esta migración puede tomar días o semanas.
Durante la migración, debes crear cuentas de usuario nuevas en Cloud Identity o Google Workspace, además de crear cuentas en tu IdP externo. Del mismo modo, debes inhabilitar o borrar las cuentas de usuario en Cloud Identity o Google Workspace y en el IdP externo de los usuarios que se van. Esta administración redundante aumenta el esfuerzo general y puede generar inconsistencias.
En el siguiente diagrama, se ilustran el proceso y los pasos que implica este plan.
Configura las cuentas de Cloud Identity o Google Workspace obligatorias.
A fin de determinar la cantidad correcta de cuentas de Cloud Identity o de Google Workspace que debes usar, consulta las prácticas recomendadas para planificar las cuentas y las organizaciones. Para obtener detalles sobre cómo crear las cuentas y sobre qué partes interesadas quizá deban involucrarse, consulta Prepara tus cuentas de Cloud Identity o Google Workspace. Si algunas de las identidades que deseas incorporar tienen cuentas personales existentes, no crees cuentas de usuario en Cloud Identity o Google Workspace para estas identidades, ya que esto provocaría cuentas en conflicto.
Primero crea cuentas de usuario para un conjunto inicial pequeño de identidades. Se recomienda usar la Consola del administrador para crear estas cuentas en lugar de usar la API o la carga por lotes, ya que la Consola del administrador advierte sobre la creación inminente de una cuenta en conflicto.
Comienza el proceso de consolidar las cuentas de usuario existentes. Para obtener detalles sobre cómo lograrlo y qué partes interesadas deberían participar, consulta Consolida cuentas de usuario existentes.
Configura la federación con el IdP externo. Por lo general, esto significa configurar el aprovisionamiento automático de cuentas de usuario y el inicio de sesión único.
Cuando configures la federación, ten en cuenta las recomendaciones de las Prácticas recomendadas para federar Google Cloud con un proveedor de identidad externo.
En este punto, debido a que todas las cuentas existentes ya se migraron, no es necesario aplicar ninguna configuración especial a fin de que la federación sea segura para la consolidación de la cuenta.
Usa tu IdP externo a fin de crear cuentas de usuario en Cloud Identity o Google Workspace para todas las identidades que necesites incorporar.
¿Qué sigue?
- Si decidiste usar la federación con la consolidación de la cuenta de usuario, el siguiente paso es evaluar el impacto de la consolidación de cuentas de usuario en la federación.
- Para comenzar el proceso de integración, prepara las cuentas de Cloud Identity o Google Workspace.