Évaluer les plans d'intégration

Cloud Identity et G Suite vous permettent de gérer les identités d'entreprise et de contrôler l'accès aux services Google. Pour exploiter les fonctionnalités fournies par Cloud Identity et G Suite, vous devez d'abord intégrer des identités existantes et nouvelles à Cloud Identity ou G Suite. Pour ce faire, procédez comme suit :

  • Préparez vos comptes Cloud Identity ou G Suite.
  • Si vous avez décidé d'utiliser un fournisseur d'identité externe (IdP), configurez la fédération.
  • Créez des comptes utilisateur pour vos identités d'entreprise.
  • Regroupez les comptes utilisateur existants.

Ce document vous aide à déterminer le meilleur ordre d'approche de ces étapes.

Sélectionner un plan d'intégration

Lorsque vous sélectionnez un plan d'intégration, tenez compte des décisions critiques suivantes :

Si vous avez décidé d'utiliser un fournisseur d'identité externe et de migrer les comptes personnels existants, vous devez prendre une troisième décision : décider si vous souhaitez commencer par configurer la fédération ou par migrer les comptes utilisateur existants. Tenez compte des facteurs suivants :

  • La migration des comptes personnels nécessite le consentement de leurs propriétaires. Plus vous devez migrer de comptes utilisateur, plus le délai d'obtention du consentement de tous les propriétaires de comptes concernés peut être long.

    Si vous devez migrer au moins 100 comptes personnels, envisagez de configurer la fédération avant de migrer les comptes personnels existants. En configurant d'abord la fédération, vous vous assurez que toutes les nouvelles identités ainsi que tous les comptes utilisateur migrés peuvent bénéficier immédiatement de l'authentification unique, de la validation en deux étapes et des autres fonctionnalités de sécurité offertes par Cloud Identity et G Suite. La configuration de la fédération vous permet donc d'améliorer rapidement votre stratégie de sécurité globale.

    Toutefois, pour configurer la fédération, vous devez d'abord configurer votre fournisseur d'identité de sorte qu'il permette toujours de migrer les comptes utilisateur existants. Cette configuration peut augmenter la complexité de votre configuration globale.

  • Si vous devez migrer moins de 100 comptes personnels, le processus de migration de ces comptes utilisateur sera relativement rapide. Dans ce cas, envisagez de migrer les comptes utilisateur existants avant de configurer la fédération. En effectuant d'abord la migration des comptes utilisateur, vous évitez de devoir configurer votre fournisseur d'identité de sorte qu'il permette toujours de migrer les comptes utilisateur existants, ce qui simplifie le processus.

    Toutefois, le fait de retarder la configuration de la fédération peut ralentir le processus d'amélioration de votre stratégie de sécurité globale.

Le schéma suivant résume le processus de sélection du plan d'intégration le plus adapté.

Sélectionner le plan d'intégration le plus adapté

Ce schéma montre les décisions à prendre pour sélectionner un plan d'intégration :

  • Si vous utilisez Google comme fournisseur d'identité, sélectionnez le plan 1.
  • Si vous n'utilisez pas Google en tant que fournisseur d'identité et que vous ne souhaitez pas migrer de comptes existants, sélectionnez le plan 2.
  • Sélectionnez le plan 3 dans le cas suivant :
    • Vous n'utilisez pas Google comme fournisseur d'identité.
    • Vous souhaitez migrer des comptes existants.
    • Vous souhaitez commencer par configurer la fédération.
  • Sélectionnez le plan 4 dans le cas suivant :
    • Vous n'utilisez pas Google comme fournisseur d'identité.
    • Vous souhaitez migrer des comptes existants.
    • Vous ne souhaitez pas commencer par configurer la fédération.

Plans d'intégration

Cette section décrit un ensemble de plans d'intégration correspondant aux cas présentés dans la section précédente.

Plan 1 : aucune fédération

Envisagez d'utiliser ce plan si toutes les conditions suivantes sont remplies :

Le schéma suivant illustre le processus et les étapes de ce plan.

Plan

  1. Configurez les comptes Cloud Identity ou G Suite requis.

    Pour déterminer le nombre approprié de comptes Cloud Identity ou G Suite à utiliser, consultez la page Bonnes pratiques pour planifier des comptes et des organisations. Pour en savoir plus sur la création des comptes et sur les utilisateurs susceptibles de devoir participer, consultez la page Préparer votre compte Cloud Identity ou G Suite.

  2. Si certaines des identités que vous souhaitez intégrer possèdent déjà des comptes personnels, ne créez pas de comptes utilisateur dans Cloud Identity ou G Suite pour ces identités, car cela entraînerait un conflit.

    Pour réduire le risque de créer accidentellement des comptes en conflit, commencez par créer des comptes utilisateur pour un petit ensemble initial d'identités. Pour créer ces comptes utilisateur, nous vous recommandons d'utiliser la console d'administration plutôt que l'API ou le transfert groupé, car la console d'administration vous avertit de la création imminente d'un compte en conflit.

  3. Commencez le processus de regroupement de vos comptes utilisateur existants. Pour en savoir plus sur la procédure à suivre et sur les utilisateurs susceptibles de devoir participer, consultez la page Présentation du regroupement de comptes.

  4. Enfin, créez des comptes utilisateur pour toutes les identités restantes que vous devez intégrer. Vous pouvez créer des comptes manuellement à l'aide de la console d'administration ou, si vous intégrez un grand nombre d'identités, envisagez les solutions suivantes :

Plan 2 : fédération sans regroupement de comptes utilisateur

Envisagez d'utiliser ce plan si toutes les conditions suivantes sont remplies :

Le schéma suivant illustre le processus et les étapes de ce plan.

Fédération sans regroupement de comptes utilisateur

  1. Configurez les comptes Cloud Identity ou G Suite requis.

    Pour déterminer le nombre approprié de comptes Cloud Identity ou G Suite à utiliser, consultez la page Bonnes pratiques pour planifier des comptes et des organisations. Pour en savoir plus sur la création des comptes et sur les utilisateurs susceptibles de devoir participer à ce processus, consultez la page Préparer votre compte Cloud Identity ou G Suite.

  2. Configurez la fédération avec votre fournisseur d'identité externe. En règle générale, cela signifie que vous devez configurer le provisionnement automatique des comptes utilisateur et l'authentification unique.

    Lorsque vous configurez la fédération, tenez compte des recommandations de la page Bonnes pratiques pour fédérer Google Cloud avec un fournisseur d'identité externe.

  3. Utilisez votre fournisseur d'identité externe pour créer des comptes utilisateur dans Cloud Identity ou G Suite pour toutes les identités que vous devez intégrer.

  4. Assurez-vous que les identités de Cloud Identity ou G Suite sont un sous-ensemble des identités de votre fournisseur d'identité externe. Pour en savoir plus, consultez la page Rapprocher des comptes utilisateur gérés orphelins.

Plan 3 : fédération avec regroupement de comptes utilisateur

Envisagez d'utiliser ce plan si toutes les conditions suivantes sont remplies :

Ce plan vous permet de déployer rapidement l'authentification unique. Tous les comptes utilisateur que vous créez dans Cloud Identity ou G Suite peuvent immédiatement utiliser l'authentification unique, tout comme les comptes utilisateur existants après leur migration. Cette intégration avec un fournisseur d'identité externe vous permet de minimiser l'administration du compte utilisateur. Votre fournisseur d'identité peut gérer à la fois l'intégration et la suppression des identités.

Par rapport au plan de fédération différée décrit dans la section suivante, ce plan augmente le risque de comptes en conflit ou d'utilisateurs bloqués. Il nécessite donc une attention particulière lors de la configuration de la fédération.

Le schéma suivant illustre le processus et les étapes de ce plan.

Fédération avec regroupement de comptes utilisateur

  1. Configurez les comptes Cloud Identity ou G Suite requis.

    Pour déterminer le nombre approprié de comptes Cloud Identity ou G Suite à utiliser, consultez la page Bonnes pratiques pour planifier des comptes et des organisations. Pour en savoir plus sur la création des comptes et sur les utilisateurs susceptibles de devoir participer à ce processus, consultez la page Préparer votre compte Cloud Identity ou G Suite.

  2. Configurez la fédération avec votre fournisseur d'identité externe. En règle générale, cela signifie que vous devez configurer le provisionnement automatique des comptes utilisateur et l'authentification unique.

    Étant donné que certaines des identités que vous souhaitez intégrer possèdent des comptes personnels existants que vous devez encore migrer, assurez-vous d'empêcher votre fournisseur d'identité externe d'interférer avec votre capacité à regrouper les comptes personnels existants.

    Pour en savoir plus sur la façon de configurer votre fournisseur d'identité externe de manière sécurisée pour le regroupement des comptes, consultez la page Évaluer l'impact du regroupement des comptes utilisateur sur la fédération.

    Lorsque vous configurez la fédération, tenez compte des recommandations de la page Bonnes pratiques pour fédérer Google Cloud avec un fournisseur d'identité externe.

  3. Utilisez votre fournisseur d'identité externe pour créer des comptes utilisateur dans Cloud Identity ou G Suite pour l'ensemble initial d'identités que vous devez intégrer.

    Veillez à ne créer de comptes utilisateur que pour les identités qui n'en possèdent pas déjà.

  4. Commencez le processus de regroupement de vos comptes utilisateur existants. Pour en savoir plus sur la procédure à suivre et sur les utilisateurs susceptibles de devoir participer, consultez la page Présentation du regroupement de comptes.

  5. Pour sécuriser votre configuration en vue du regroupement de comptes, supprimez toute configuration particulière que vous avez appliquée à la configuration de votre fédération. Étant donné qu'à ce stade, tous les comptes existants sont déjà migrés, aucune configuration particulière n'est nécessaire.

  6. Utilisez votre fournisseur d'identité externe pour créer des comptes utilisateur dans Cloud Identity ou G Suite pour toutes les identités restantes que vous devez intégrer.

Plan 4 : fédération différée

Envisagez d'utiliser ce plan si toutes les conditions suivantes sont remplies :

Ce plan représente dans les faits une combinaison des plans sans fédération et avec fédération sans regroupement des comptes utilisateur, comme indiqué précédemment. L'un des principaux avantages de ce plan par rapport à la fédération avec le regroupement des comptes utilisateur est le risque plus faible de comptes en conflit ou d'utilisateurs bloqués. Toutefois, comme votre plan consiste à utiliser à terme un fournisseur d'identité externe pour l'authentification, l'approche présente les inconvénients suivants :

  • Vous ne pouvez pas activer l'authentification unique avant la fin de la migration de tous les utilisateurs pertinents. Selon le nombre de comptes non gérés dont vous disposez et la rapidité avec laquelle les utilisateurs répondent aux demandes de transfert de compte, cette migration peut prendre plusieurs jours, voire plusieurs semaines.

  • Au cours de la migration, vous devez créer des comptes utilisateur dans Cloud Identity ou G Suite en plus de créer des comptes dans votre fournisseur d'identité externe. De même, vous devez désactiver ou supprimer les comptes utilisateur des employés qui quittent l'entreprise dans Cloud Identity ou G Suite, ainsi que dans le fournisseur d'identité externe. Cette administration redondante augmente l'effort global et peut entraîner des incohérences.

Le schéma suivant illustre le processus et les étapes de ce plan.

Fédération différée

  1. Configurez les comptes Cloud Identity ou G Suite requis.

    Pour déterminer le nombre approprié de comptes Cloud Identity ou G Suite à utiliser, consultez la page Bonnes pratiques pour planifier des comptes et des organisations. Pour en savoir plus sur la création des comptes et sur les utilisateurs susceptibles de devoir participer, consultez la page Préparer votre compte Cloud Identity ou G Suite. Si certaines des identités que vous souhaitez intégrer possèdent déjà des comptes personnels, ne créez pas de comptes utilisateur dans Cloud Identity ou G Suite pour ces identités, car cela entraînerait des conflits entre les comptes.

  2. Commencez par créer des comptes utilisateur pour un petit ensemble initial d'identités. Pour créer ces comptes utilisateur, nous vous recommandons d'utiliser la console d'administration plutôt que l'API ou le transfert groupé, car la console d'administration vous avertit de la création imminente d'un compte en conflit.

  3. Commencez le processus de regroupement de vos comptes utilisateur existants. Pour en savoir plus sur la procédure à suivre et sur les utilisateurs susceptibles de devoir participer, consultez la page Présentation du regroupement de comptes.

  4. Configurez la fédération avec votre fournisseur d'identité externe. En règle générale, cela signifie que vous devez configurer le provisionnement automatique des comptes utilisateur et l'authentification unique.

    Lorsque vous configurez la fédération, tenez compte des recommandations de la page Bonnes pratiques pour fédérer Google Cloud avec un fournisseur d'identité externe.

    Étant donné qu'à ce stade, tous les comptes existants sont déjà migrés, vous n'avez pas besoin d'appliquer de configuration particulière pour sécuriser la fédération en vue du regroupement des comptes.

  5. Utilisez votre fournisseur d'identité externe pour créer des comptes utilisateur dans Cloud Identity ou G Suite pour toutes les identités que vous devez intégrer.

Étapes suivantes