Mit Cloud Identity und Google Workspace können Sie Unternehmensidentitäten verwalten sowie den Zugriff auf Google-Dienste steuern. Damit Sie die Features von Cloud Identity und Google Workspace nutzen können, müssen Sie zuerst vorhandene und neue Identitäten in Cloud Identity oder Google Workspace einbinden. Das Onboarding umfasst folgende Schritte:
- Bereiten Sie Ihre Cloud Identity- oder Google Workspace-Konten vor.
- Föderation einrichten, falls Sie sich für einen externen Identitätsanbieter (Identity Provider, IdP) entschieden haben
- Nutzerkonten für die Unternehmensidentitäten erstellen
- Vorhandene Nutzerkonten konsolidieren
Mithilfe dieses Dokuments können Sie besser beurteilen, in welcher Reihenfolge Sie diese Schritte am besten angehen.
Onboardingplan auswählen
Berücksichtigen Sie bei der Auswahl eines Onboardingplans die folgenden wichtigen Entscheidungen:
Wählen Sie eine Zielarchitektur aus. Vor allem müssen Sie sich überlegen, ob Google Ihr primärer IdP sein soll oder ob Sie lieber einen externen IdP verwenden möchten.
Wenn Sie sich noch nicht entschieden haben, finden Sie unter Referenzarchitekturen weitere Informationen zu möglichen Optionen.
Legen Sie fest, ob vorhandene Privatnutzerkonten migriert werden sollen. Wenn Sie weder Cloud Identity noch Google Workspace verwendet haben, kann es sein, dass die Mitarbeiter Ihrer Organisation für den Zugriff auf Google-Dienste Privatnutzerkonten nutzen. Wenn Sie diese Nutzerkonten und die zugehörigen Daten beibehalten möchten, müssen Sie sie zu Cloud Identity oder Google Workspace migrieren.
Weitere Informationen zu Privatnutzerkonten, zu deren Identifizierung und zu den Risiken, die sie für Ihre Organisation darstellen, finden Sie unter Vorhandene Nutzerkonten bewerten.
Wenn Sie einen externen IdP verwenden und vorhandene Privatnutzerkonten migrieren möchten, müssen Sie eine dritte Entscheidung darüber treffen, ob Sie zuerst die Föderation einrichten oder zuerst vorhandene Nutzerkonten migrieren. Berücksichtigen Sie dabei folgende Faktoren:
Für die Migration von Privatnutzerkonten ist die Zustimmung des Inhabers erforderlich. Je mehr Nutzerkonten migriert werden müssen, desto länger dauert es, bis Sie die Zustimmung von allen betroffenen Kontoinhabern eingeholt haben.
Wenn Sie 100 oder mehr Privatnutzerkonten migrieren müssen, sollten Sie die Föderation vor der Migration der vorhandenen Privatnutzerkonten einrichten. Dies gewährleistet, dass alle neuen Identitäten und jedes migrierte Nutzerkonto sofort von der Einmalanmeldung (SSO), der Bestätigung in zwei Schritten und anderen Sicherheits-Features von Cloud Identity und Google Workspace profitieren können. Das Einrichten der Föderation trägt also zu einer sofortigen Verbesserung der allgemeinen Sicherheitslage bei.
Wenn Sie die Föderation zuerst einrichten, müssen Sie Ihren Identitätsanbieter allerdings so konfigurieren, dass vorhandene Nutzerkonten weiterhin migriert werden können. Diese Konfiguration kann die Einrichtung insgesamt komplexer machen.
Wenn Sie weniger als 100 Privatnutzerkonten migrieren müssen, können Sie davon ausgehen, dass die Migration dieser Nutzerkonten relativ schnell geht. In diesem Fall sollten Sie erwägen, die vorhandenen Nutzerkonten vor dem Einrichten der Föderation zu migrieren. Wenn Sie die Nutzerkonten zuerst migrieren, verringern Sie die Komplexität, da Sie Ihren Identitätsanbieter nicht mehr dafür konfigurieren müssen, dass vorhandene Nutzerkonten weiterhin migriert werden können.
Das Verzögern der Föderationseinrichtung kann jedoch dazu führen, dass sich Ihre allgemeine Sicherheitslage langsamer verbessert.
Das folgende Diagramm fasst die Auswahl des besten Onboardingplans zusammen.
Dieses Diagramm zeigt die folgenden Entscheidungspfade zur Auswahl eines Onboardingplans:
- Wenn Sie Google als IdP verwenden, wählen Sie Plan 1 aus.
- Wenn Sie Google nicht als IdP verwenden und vorhandene Konten nicht migrieren möchten, wählen Sie Plan 2 aus.
- Wählen Sie im folgenden Szenario Plan 3 aus:
- Sie verwenden Google nicht als IdP.
- Sie möchten vorhandene Konten migrieren.
- Sie möchten die Föderation zuerst einrichten.
- Wählen Sie im folgenden Szenario Plan 4 aus:
- Sie verwenden Google nicht als IdP.
- Sie möchten vorhandene Konten migrieren.
- Sie möchten die Föderation nicht zuerst einrichten.
Onboardingpläne
In diesem Abschnitt wird eine Reihe von Onboardingplänen beschrieben, die den im vorherigen Abschnitt beschriebenen Szenarien entsprechen.
Plan 1: Keine Föderation
Ziehen Sie diesen Plan in Betracht, wenn die folgenden Bedingungen erfüllt sind:
- Sie möchten Google als primären IdP verwenden.
- Sie müssen eventuell vorhandene Nutzerkonten zu Cloud Identity oder Google Workspace migrieren.
Das folgende Diagramm veranschaulicht den Vorgang und die dafür erforderlichen Schritte.
Richten Sie die erforderlichen Cloud Identity- oder Google Workspace-Konten ein.
Informationen zum Ermitteln der erforderlichen Anzahl an Cloud Identity- oder Google Workspace-Konten finden Sie unter Best Practices für die Planung von Konten und Organisationen. Ausführliche Informationen zum Erstellen der Konten und zu den dafür eventuell erforderlichen Verantwortlichen erhalten Sie unter Cloud Identity- oder Google Workspace-Konten vorbereiten.
Wenn einige der Identitäten, die eingebunden werden sollen, bereits Privatnutzerkonten haben, dürfen Sie für diese Identitäten keine Nutzerkonten in Cloud Identity oder Google Workspace erstellen. Dies würde zu Konflikten zwischen den Konten führen.
Um das Risiko für in Konflikt stehende Konten zu minimieren, sollten Sie zuerst nur Nutzerkonten für einen kleinen, anfänglichen Satz von Identitäten erstellen. Wir empfehlen Ihnen, diese Nutzerkonten über die Admin-Konsole und nicht die API oder den Massen-Upload zu erstellen, da Sie die Admin-Konsole vor der drohenden Erstellung eines in Konflikt stehenden Kontos warnt.
Beginnen Sie mit der Konsolidierung Ihrer vorhandenen Nutzerkonten. Wie Sie dabei vorgehen und welche Beteiligte möglicherweise einbezogen werden müssen, erfahren Sie unter Vorhandene Nutzerkonten konsolidieren.
Erstellen Sie zum Schluss Nutzerkonten für alle verbleibenden Identitäten, die Sie einbinden müssen. Sie können Konten manuell über die Admin-Konsole erstellen. Wenn Sie eine große Anzahl von Identitäten einbinden, sollten Sie die folgenden Alternativen in Betracht ziehen:
- Erstellen Sie Nutzer in Batches mithilfe einer CSV-Datei.
- Automatisieren Sie das Erstellen von Nutzern und Gruppen mithilfe von Open-Source-Tools wie Google Apps Manager (GAM).
- Verwenden Sie die Directory API.
Plan 2: Föderation ohne Konsolidierung von Nutzerkonten
Ziehen Sie diesen Plan in Betracht, wenn die folgenden Bedingungen erfüllt sind:
- Sie möchten einen externen IdP verwenden.
- Sie müssen keine vorhandenen Nutzerkonten migrieren.
Das folgende Diagramm veranschaulicht den Vorgang und die dafür erforderlichen Schritte.
Richten Sie die erforderlichen Cloud Identity- oder Google Workspace-Konten ein.
Informationen zum Ermitteln der erforderlichen Anzahl an Cloud Identity- oder Google Workspace-Konten finden Sie unter Best Practices für die Planung von Konten und Organisationen. Ausführliche Informationen zum Erstellen der Konten und zu den dafür eventuell erforderlichen Verantwortlichen erhalten Sie unter Cloud Identity- oder Google Workspace-Konten vorbereiten.
Richten Sie die Föderation bei Ihrem externen IdP ein. Dazu müssen Sie in der Regel die automatische Bereitstellung von Nutzerkonten konfigurieren und die Einmalanmeldung einrichten.
Beachten Sie beim Konfigurieren der Föderation die Empfehlungen unter Best Practices für die Föderation von Google Cloud mit einem externen Identitätsanbieter.
Verwenden Sie Ihren externen IdP, um Nutzerkonten in Cloud Identity oder Google Workspace für alle Identitäten zu erstellen, die Sie einbinden müssen.
Sorgen Sie dafür, dass die Identitäten in Cloud Identity oder Google Workspace eine Teilmenge der Identitäten in Ihrem externen IdP sind. Weitere Informationen finden Sie unter Verwaiste verwaltete Nutzerkonten abgleichen.
Plan 3: Föderation mit Konsolidierung von Nutzerkonten
Ziehen Sie diesen Plan in Betracht, wenn die folgenden Bedingungen erfüllt sind:
- Sie möchten einen externen IdP verwenden.
- Sie müssen vorhandene Nutzerkonten zu Cloud Identity oder Google Workspace migrieren, aber zuerst die Föderation einrichten.
Mit diesem Plan können Sie ein schnelles Rollout der Einmalanmeldung (SSO) ausführen. Neue Nutzerkonten, die Sie in Cloud Identity oder Google Workspace erstellen, können dann die Einmalanmeldung (SSO) sofort anwenden, ebenso wie vorhandene Nutzerkonten nach der Migration. Durch diese Einbindung eines externen IdP lässt sich der Verwaltungsaufwand für Nutzerkonten minimieren, da Ihr IdP sowohl das Onboarding als auch das Offboarding von Identitäten übernimmt.
Im Vergleich zum Plan „Verzögerte Föderation“, der im nächsten Abschnitt erläutert wird, erhöht dieser Plan das Risiko, am Ende in Konflikt stehende Konten zu erhalten oder Nutzer auszusperren. Dieser Plan erfordert daher beim Einrichten der Föderation besondere Aufmerksamkeit.
Das folgende Diagramm veranschaulicht den Vorgang und die dafür erforderlichen Schritte.
Richten Sie die erforderlichen Cloud Identity- oder Google Workspace-Konten ein.
Informationen zum Ermitteln der erforderlichen Anzahl an Cloud Identity- oder Google Workspace-Konten finden Sie unter Best Practices für die Planung von Konten und Organisationen. Ausführliche Informationen zum Erstellen der Konten und zu den dafür eventuell erforderlichen Verantwortlichen erhalten Sie unter Cloud Identity- oder Google Workspace-Konten vorbereiten.
Richten Sie die Föderation bei Ihrem externen IdP ein. Dazu müssen Sie in der Regel die automatische Bereitstellung von Nutzerkonten konfigurieren und die Einmalanmeldung einrichten.
Da einige der einzubindenden Identitäten bereits Privatnutzerkonten haben, die noch zu migrieren sind, müssen Sie dafür sorgen, dass Ihre Konsolidierung vorhandener Privatnutzerkonten vonseiten des IdP nicht behindert wird.
Wie Sie Ihren externen IdP für eine sichere Konsolidierung der Konten konfigurieren, erfahren Sie unter Auswirkungen der Konsolidierung von Nutzerkonten auf die Föderation analysieren.
Beachten Sie beim Konfigurieren der Föderation die Empfehlungen unter Best Practices für die Föderation von Google Cloud mit einem externen Identitätsanbieter.
Verwenden Sie Ihren externen IdP, um Nutzerkonten in Cloud Identity oder Google Workspace für den anfänglichen Satz von Identitäten zu erstellen, die Sie einbinden müssen.
Achten Sie darauf, Nutzerkonten nur für Identitäten zu erstellen, die noch kein Nutzerkonto haben.
Beginnen Sie mit der Konsolidierung Ihrer vorhandenen Nutzerkonten. Wie Sie dabei vorgehen und welche Beteiligte möglicherweise einbezogen werden müssen, erfahren Sie unter Vorhandene Nutzerkonten konsolidieren.
Entfernen Sie alle speziellen Konfigurationseinstellungen, die Sie auf die Föderationseinrichtung angewendet haben, um die Einrichtung für die Kontokonsolidierung abzusichern. Diese speziellen Konfigurationseinstellungen sind nicht mehr erforderlich, da hier alle vorhandenen Konten bereits migriert sind.
Verwenden Sie Ihren externen IdP, um Nutzerkonten in Cloud Identity oder Google Workspace für alle verbleibenden Identitäten zu erstellen, die Sie einbinden müssen.
Plan 4: Verzögerte Föderation
Ziehen Sie diesen Plan in Betracht, wenn die folgenden Bedingungen erfüllt sind:
- Sie möchten einen externen IdP verwenden.
- Sie müssen vorhandene Nutzerkonten zu Cloud Identity oder Google Workspace migrieren, bevor Sie die Föderation einrichten.
In diesem Plan werden praktisch die oben erläuterten Pläne für „Keine Föderation“ und „Föderation ohne Konsolidierung von Nutzerkonten“ kombiniert. Ein wesentlicher Vorteil dieses Plans gegenüber der Föderation mit Konsolidierung von Nutzerkonten ist das geringere Risiko, am Ende in Konflikt stehende Konten zu erhalten oder Nutzer auszusperren. Der Ansatz hat jedoch auch folgende Nachteile, da Sie planen, letztendlich einen externen IdP zur Authentifizierung zu verwenden:
Sie können die Einmalanmeldung erst aktivieren, nachdem alle relevanten Nutzer migriert wurden. Je nachdem, mit wie vielen nicht verwalteten Konten Sie es zu tun haben und wie schnell Nutzer auf Ihre Anfragen zur Kontenübertragung reagieren, kann diese Migration Tage oder Wochen dauern.
Bei der Migration müssen Sie neue Nutzerkonten nicht nur in Cloud Identity oder Google Workspace erstellen, sondern auch bei Ihrem externen IdP. Analog ist es erforderlich, Nutzerkonten für ausscheidende Mitarbeiter sowohl in Cloud Identity und Google Workspace als auch beim externen IdP zu deaktivieren oder zu löschen. Diese redundanten Verwaltungsschritte erhöhen den Gesamtaufwand und können zu Inkonsistenzen führen.
Das folgende Diagramm veranschaulicht den Vorgang und die dafür erforderlichen Schritte.
Richten Sie die erforderlichen Cloud Identity- oder Google Workspace-Konten ein.
Informationen zum Ermitteln der erforderlichen Anzahl an Cloud Identity- oder Google Workspace-Konten finden Sie unter Best Practices für die Planung von Konten und Organisationen. Ausführliche Informationen zum Erstellen der Konten und zu den dafür eventuell erforderlichen Verantwortlichen erhalten Sie unter Cloud Identity- oder Google Workspace-Konten vorbereiten. Wenn einige der Identitäten, die eingebunden werden sollen, bereits Privatnutzerkonten haben, dürfen Sie keine Nutzerkonten für diese Identitäten in Cloud Identity oder Google Workspace erstellen. Dies würde zu Konflikten zwischen Konten führen.
Erstellen Sie zuerst nur Nutzerkonten für einen kleinen, anfänglichen Satz von Identitäten. Wir empfehlen Ihnen, diese Konten über die Admin-Konsole und nicht die API oder den Massen-Upload zu erstellen, da Sie die Admin-Konsole vor der drohenden Erstellung eines in Konflikt stehenden Kontos warnt.
Beginnen Sie mit der Konsolidierung Ihrer vorhandenen Nutzerkonten. Wie Sie dabei vorgehen und welche Beteiligte möglicherweise einbezogen werden müssen, erfahren Sie unter Vorhandene Nutzerkonten konsolidieren.
Richten Sie die Föderation bei Ihrem externen IdP ein. Dazu müssen Sie in der Regel die automatische Bereitstellung von Nutzerkonten konfigurieren und die Einmalanmeldung einrichten.
Beachten Sie beim Konfigurieren der Föderation die Empfehlungen unter Best Practices für die Föderation von Google Cloud mit einem externen Identitätsanbieter.
Da alle vorhandenen Konten hier bereits migriert sind, müssen Sie keine speziellen Konfigurationseinstellungen anwenden, um die Föderation für die Kontokonsolidierung abzusichern.
Verwenden Sie Ihren externen IdP, um Nutzerkonten in Cloud Identity oder Google Workspace für alle Identitäten zu erstellen, die Sie einbinden müssen.
Nächste Schritte
- Wenn Sie sich für die Föderation mit Konsolidierung von Nutzerkonten entschieden haben, finden Sie weitere Informationen unter Auswirkungen der Konsolidierung von Nutzerkonten auf die Föderation analysieren.
- Starten Sie das Onboarding durch Vorbereiten der Cloud der Identity- oder Google Workspace-Konten.