Onboardingpläne bewerten

Mit Cloud Identity und der G Suite können Sie Unternehmensidentitäten verwalten und den Zugriff auf Google-Dienste steuern. Damit Sie die Features von Cloud Identity und der G Suite nutzen können, müssen Sie zuerst vorhandene und neue Identitäten in Cloud Identity oder in die G Suite einbinden. Das Onboarding umfasst folgende Schritte:

  • Cloud Identity- oder G Suite-Konten vorbereiten
  • Föderation einrichten, falls Sie sich für einen externen Identitätsanbieter (Identity Provider, IdP) entschieden haben
  • Nutzerkonten für die Unternehmensidentitäten erstellen
  • Vorhandene Nutzerkonten konsolidieren

Mithilfe dieses Dokuments können Sie besser beurteilen, in welcher Reihenfolge Sie diese Schritte am besten angehen.

Onboardingplan auswählen

Berücksichtigen Sie bei der Auswahl eines Onboardingplans die folgenden wichtigen Entscheidungen:

  • Wählen Sie eine Zielarchitektur aus. Vor allem müssen Sie sich überlegen, ob Google Ihr primärer IdP sein soll oder ob Sie lieber einen externen IdP verwenden möchten.

    Wenn Sie sich noch nicht entschieden haben, finden Sie unter Referenzarchitekturen weitere Informationen zu möglichen Optionen.

  • Legen Sie fest, ob vorhandene Privatnutzerkonten migriert werden sollen. Wenn Sie Cloud Identity oder die G Suite bisher nicht verwendet haben, greifen Mitarbeiter Ihrer Organisation möglicherweise über Privatnutzerkonten auf Google-Dienste zu. Wenn Sie diese Nutzerkonten und ihre Daten beibehalten möchten, müssen Sie sie zu Cloud Identity oder zur G Suite migrieren.

    Weitere Informationen zu Privatnutzerkonten, zu deren Identifizierung und zu den Risiken, die sie für Ihre Organisation darstellen, finden Sie unter Vorhandene Nutzerkonten bewerten.

Wenn Sie einen externen IdP verwenden und vorhandene Privatnutzerkonten migrieren möchten, müssen Sie eine dritte Entscheidung darüber treffen, ob Sie zuerst die Föderation einrichten oder zuerst vorhandene Nutzerkonten migrieren. Berücksichtigen Sie dabei folgende Faktoren:

  • Für die Migration von Privatnutzerkonten ist die Zustimmung des Inhabers erforderlich. Je mehr Nutzerkonten migriert werden müssen, desto länger dauert es, bis Sie die Zustimmung von allen betroffenen Kontoinhabern eingeholt haben.

    Wenn Sie 100 oder mehr Privatnutzerkonten migrieren müssen, sollten Sie die Föderation vor der Migration der vorhandenen Privatnutzerkonten einrichten. So sorgen Sie dafür, dass alle neuen Identitäten und jedes migrierte Nutzerkonto sofort von der Einmalanmeldung (SSO), der Bestätigung in zwei Schritten und anderen Sicherheitsfunktionen von Cloud Identity und der G Suite profitieren können. Das Einrichten der Föderation trägt also dazu bei, dass Ihre allgemeine Sicherheitslage schnell verbessert wird.

    Wenn Sie die Föderation zuerst einrichten, müssen Sie Ihren Identitätsanbieter allerdings so konfigurieren, dass vorhandene Nutzerkonten weiterhin migriert werden können. Diese Konfiguration kann die Einrichtung insgesamt komplexer machen.

  • Wenn Sie weniger als 100 Privatnutzerkonten migrieren müssen, können Sie davon ausgehen, dass die Migration dieser Nutzerkonten relativ schnell geht. In diesem Fall sollten Sie erwägen, die vorhandenen Nutzerkonten vor dem Einrichten der Föderation zu migrieren. Wenn Sie die Nutzerkonten zuerst migrieren, verringern Sie die Komplexität, da Sie Ihren Identitätsanbieter nicht mehr dafür konfigurieren müssen, dass vorhandene Nutzerkonten weiterhin migriert werden können.

    Das Verzögern der Föderationseinrichtung kann jedoch dazu führen, dass sich Ihre allgemeine Sicherheitslage langsamer verbessert.

Das folgende Diagramm fasst die Auswahl des besten Onboardingplans zusammen.

Diagramm: Auswahl des besten Onboardingplans

Dieses Diagramm zeigt die folgenden Entscheidungspfade zur Auswahl eines Onboardingplans:

  • Wenn Sie Google als IdP verwenden, wählen Sie Plan 1 aus.
  • Wenn Sie Google nicht als IdP verwenden und vorhandene Konten nicht migrieren möchten, wählen Sie Plan 2 aus.
  • Wählen Sie im folgenden Szenario Plan 3 aus:
    • Sie verwenden Google nicht als IdP.
    • Sie möchten vorhandene Konten migrieren.
    • Sie möchten die Föderation zuerst einrichten.
  • Wählen Sie im folgenden Szenario Plan 4 aus:
    • Sie verwenden Google nicht als IdP.
    • Sie möchten vorhandene Konten migrieren.
    • Sie möchten die Föderation nicht zuerst einrichten.

Onboardingpläne

In diesem Abschnitt wird eine Reihe von Onboardingplänen beschrieben, die den im vorherigen Abschnitt beschriebenen Szenarien entsprechen.

Plan 1: Keine Föderation

Ziehen Sie diesen Plan in Betracht, wenn die folgenden Bedingungen erfüllt sind:

Das folgende Diagramm veranschaulicht den Prozess und die Schritte dieses Plans.

Diagramm: Plan

  1. Richten Sie die erforderlichen Cloud Identity- oder G Suite-Konten ein.

    Informationen zum Ermitteln der richtigen Anzahl von Cloud Identity- oder G Suite-Konten finden Sie unter Best Practices für die Planung von Konten und Organisationen. Wie Sie die Konten erstellen und welche Beteiligte möglicherweise einbezogen werden müssen, erfahren Sie unter Cloud Identity- oder G Suite-Konten vorbereiten.

  2. Wenn einige der einzubindenden Identitäten bereits Privatnutzerkonten haben, dürfen Sie keine Nutzerkonten für diese Identitäten in Cloud Identity oder der G Suite erstellen, da Sie sonst in Konflikt stehende Konten erhalten würden.

    Damit das Risiko minimiert wird, dass versehentlich in Konflikt stehende Konten erstellt werden, sollten Sie zuerst nur Nutzerkonten für einen kleinen, anfänglichen Satz von Identitäten erstellen. Wir empfehlen Ihnen, diese Nutzerkonten über die Admin-Konsole und nicht die API oder den Massen-Upload zu erstellen, da Sie die Admin-Konsole vor der drohenden Erstellung eines in Konflikt stehenden Kontos warnt.

  3. Beginnen Sie mit der Konsolidierung Ihrer vorhandenen Nutzerkonten. Wie Sie dabei vorgehen und welche Beteiligte möglicherweise einbezogen werden müssen, erfahren Sie unter Vorhandene Nutzerkonten konsolidieren.

  4. Erstellen Sie zum Schluss Nutzerkonten für alle verbleibenden Identitäten, die Sie einbinden müssen. Sie können Konten manuell über die Admin-Konsole erstellen. Wenn Sie eine große Anzahl von Identitäten einbinden, sollten Sie die folgenden Alternativen in Betracht ziehen:

Plan 2: Föderation ohne Konsolidierung von Nutzerkonten

Ziehen Sie diesen Plan in Betracht, wenn die folgenden Bedingungen erfüllt sind:

Das folgende Diagramm veranschaulicht den Prozess und die Schritte dieses Plans.

Diagramm: Föderation ohne Konsolidierung von Nutzerkonten

  1. Richten Sie die erforderlichen Cloud Identity- oder G Suite-Konten ein.

    Informationen zum Ermitteln der richtigen Anzahl von Cloud Identity- oder G Suite-Konten finden Sie unter Best Practices für die Planung von Konten und Organisationen. Wie Sie die Konten erstellen und welche Beteiligte möglicherweise einbezogen werden müssen, erfahren Sie unter Cloud Identity- oder G Suite-Konten vorbereiten.

  2. Richten Sie die Föderation mit Ihrem externen IdP ein. Dazu müssen Sie in der Regel die automatische Bereitstellung von Nutzerkonten konfigurieren und die Einmalanmeldung einrichten.

    Beachten Sie beim Konfigurieren der Föderation die Empfehlungen unter Best Practices für die Verbindung von Google Cloud mit einem externen Identitätsanbieter.

  3. Verwenden Sie Ihren externen IdP, um Nutzerkonten in Cloud Identity oder der G Suite für alle Identitäten zu erstellen, die Sie einbinden müssen.

  4. Achten Sie darauf, dass die Identitäten in Cloud Identity oder der G Suite eine Teilmenge der Identitäten in Ihrem externen IdP sind. Weitere Informationen finden Sie unter Verwaiste verwaltete Nutzerkonten abgleichen.

Plan 3: Föderation mit Konsolidierung von Nutzerkonten

Ziehen Sie diesen Plan in Betracht, wenn die folgenden Bedingungen erfüllt sind:

  • Sie möchten einen externen IdP verwenden.
  • Sie müssen vorhandene Nutzerkonten zu Cloud Identity oder zur G Suite migrieren, möchten aber die Föderation zuerst einrichten.

Mit diesem Plan können Sie ein schnelles Rollout der Einmalanmeldung ausführen. Alle neuen Nutzerkonten, die Sie in Cloud Identity oder der G Suite erstellen, können die Einmalanmeldung sofort verwenden, ebenso wie vorhandene Nutzerkonten nach ihrer Migration. Durch diese Einbindung eines externen IdP können Sie den Verwaltungsaufwand für Nutzerkonten minimieren, da Ihr IdP sowohl das Onboarding als auch das Offboarding von Identitäten übernehmen kann.

Im Vergleich zum Plan "Verzögerte Föderation", der im nächsten Abschnitt erläutert wird, erhöht dieser Plan das Risiko, am Ende in Konflikt stehende Konten zu erhalten oder Nutzer auszusperren. Dieser Plan erfordert daher beim Einrichten der Föderation besondere Aufmerksamkeit.

Das folgende Diagramm veranschaulicht den Prozess und die Schritte dieses Plans.

Diagramm: Föderation mit Konsolidierung von Nutzerkonten

  1. Richten Sie die erforderlichen Cloud Identity- oder G Suite-Konten ein.

    Informationen zum Ermitteln der richtigen Anzahl von Cloud Identity- oder G Suite-Konten finden Sie unter Best Practices für die Planung von Konten und Organisationen. Wie Sie die Konten erstellen und welche Beteiligte möglicherweise einbezogen werden müssen, erfahren Sie unter Cloud Identity- oder G Suite-Konten vorbereiten.

  2. Richten Sie die Föderation mit Ihrem externen IdP ein. Dazu müssen Sie in der Regel die automatische Bereitstellung von Nutzerkonten konfigurieren und die Einmalanmeldung einrichten.

    Da einige der einzubindenden Identitäten bereits Privatnutzerkonten haben, die noch zu migrieren sind, müssen Sie dafür sorgen, dass Ihre Konsolidierung vorhandener Privatnutzerkonten vonseiten des IdP nicht behindert wird.

    Wie Sie Ihren externen IdP für eine sichere Konsolidierung der Konten konfigurieren, erfahren Sie unter Auswirkungen der Konsolidierung von Nutzerkonten auf die Föderation analysieren.

    Beachten Sie beim Konfigurieren der Föderation die Empfehlungen unter Best Practices für die Verbindung von Google Cloud mit einem externen Identitätsanbieter.

  3. Verwenden Sie Ihren externen IdP, um Nutzerkonten in Cloud Identity oder der G Suite für den anfänglichen Satz von Identitäten zu erstellen, die Sie einbinden müssen.

    Achten Sie darauf, Nutzerkonten nur für Identitäten zu erstellen, die noch kein Nutzerkonto haben.

  4. Beginnen Sie mit der Konsolidierung Ihrer vorhandenen Nutzerkonten. Wie Sie dabei vorgehen und welche Beteiligte möglicherweise einbezogen werden müssen, erfahren Sie unter Vorhandene Nutzerkonten konsolidieren.

  5. Entfernen Sie alle speziellen Konfigurationseinstellungen, die Sie auf die Föderationseinrichtung angewendet haben, um die Einrichtung für die Kontokonsolidierung abzusichern. Diese speziellen Konfigurationseinstellungen sind nicht mehr erforderlich, da alle vorhandenen Konten bereits migriert sind.

  6. Verwenden Sie Ihren externen IdP, um Nutzerkonten in Cloud Identity oder der G Suite für alle verbleibenden Identitäten zu erstellen, die Sie einbinden müssen.

Plan 4: Verzögerte Föderation

Ziehen Sie diesen Plan in Betracht, wenn die folgenden Bedingungen erfüllt sind:

  • Sie möchten einen externen IdP verwenden.
  • Sie müssen vorhandene Nutzerkonten zu Cloud Identity oder zur G Suite migrieren, bevor Sie die Föderation einrichten.

In diesem Plan werden die oben erläuterten Pläne "Keine Föderation" und "Föderation ohne Konsolidierung von Nutzerkonten" praktisch kombiniert. Ein wesentlicher Vorteil dieses Plans gegenüber der Föderation mit Konsolidierung von Nutzerkonten ist das geringere Risiko, am Ende in Konflikt stehende Konten zu erhalten oder Nutzer auszusperren. Der Ansatz hat jedoch auch folgende Nachteile, da Sie planen, letztendlich einen externen IdP zur Authentifizierung zu verwenden:

  • Sie können die Einmalanmeldung erst aktivieren, nachdem alle relevanten Nutzer migriert wurden. Je nachdem, mit wie vielen nicht verwalteten Konten Sie es zu tun haben und wie schnell Nutzer auf Ihre Kontenübertragungsanfragen reagieren, kann diese Migration Tage oder Wochen dauern.

  • Während der Migration müssen Sie nicht nur in Cloud Identity oder der G Suite neue Nutzerkonten erstellen, sondern auch bei Ihrem externen IdP. Analog müssen Sie Nutzerkonten für ausscheidende Mitarbeiter sowohl in Cloud Identity und der G Suite als auch beim externen IdP deaktivieren oder löschen. Diese redundanten Verwaltungsschritte erhöhen den Gesamtaufwand und können zu Inkonsistenzen führen.

Das folgende Diagramm veranschaulicht den Prozess und die Schritte dieses Plans.

Diagramm: Verzögerte Föderation

  1. Richten Sie die erforderlichen Cloud Identity- oder G Suite-Konten ein.

    Informationen zum Ermitteln der richtigen Anzahl von Cloud Identity- oder G Suite-Konten finden Sie unter Best Practices für die Planung von Konten und Organisationen. Wie Sie die Konten erstellen und welche Beteiligte möglicherweise einbezogen werden müssen, erfahren Sie unter Cloud Identity- oder G Suite-Konten vorbereiten. Wenn einige der einzubindenden Identitäten bereits Privatnutzerkonten haben, dürfen Sie keine Nutzerkonten für diese Identitäten in Cloud Identity oder der G Suite erstellen, da Sie sonst in Konflikt stehende Konten erhalten würden.

  2. Erstellen Sie zuerst nur Nutzerkonten für einen kleinen, anfänglichen Satz von Identitäten. Wir empfehlen Ihnen, diese Konten über die Admin-Konsole und nicht die API oder den Massen-Upload zu erstellen, da Sie die Admin-Konsole vor der drohenden Erstellung eines in Konflikt stehenden Kontos warnt.

  3. Beginnen Sie mit der Konsolidierung Ihrer vorhandenen Nutzerkonten. Wie Sie dabei vorgehen und welche Beteiligte möglicherweise einbezogen werden müssen, erfahren Sie unter Vorhandene Nutzerkonten konsolidieren.

  4. Richten Sie die Föderation mit Ihrem externen IdP ein. Dazu müssen Sie in der Regel die automatische Bereitstellung von Nutzerkonten konfigurieren und die Einmalanmeldung einrichten.

    Beachten Sie beim Konfigurieren der Föderation die Empfehlungen unter Best Practices für die Verbindung von Google Cloud mit einem externen Identitätsanbieter.

    Da alle vorhandenen Konten bereits migriert sind, müssen Sie keine speziellen Konfigurationseinstellungen anwenden, um die Föderation für die Kontokonsolidierung abzusichern.

  5. Verwenden Sie Ihren externen IdP, um Nutzerkonten in Cloud Identity oder der G Suite für alle Identitäten zu erstellen, die Sie einbinden müssen.

Weitere Informationen