Évaluer les plans d'intégration

Cloud Identity et Google Workspace vous permettent de gérer les identités d'entreprise et de contrôler l'accès aux services Google. Pour exploiter les fonctionnalités fournies par Cloud Identity et Google Workspace, vous devez d'abord intégrer des identités existantes et nouvelles à Cloud Identity ou Google Workspace. Pour ce faire, procédez comme suit :

• Préparez vos comptes Cloud Identity ou Google Workspace.
• Si vous avez décidé d'utiliser un fournisseur d'identité externe (IdP), configurez la fédération.
• Créez des comptes utilisateur pour vos identités d'entreprise.
• Regroupez les comptes utilisateur existants.

Ce document vous aide à déterminer le meilleur ordre d'approche de ces étapes.

Sélectionner un plan d'intégration

Lorsque vous sélectionnez un plan d'intégration, tenez compte des décisions critiques suivantes :

• Sélectionnez une architecture cible. Plus important encore, vous devez décider si vous souhaitez définir Google comme fournisseur d'identité principal ou si vous préférez utiliser un fournisseur d'identité externe.

  Si vous ne l'avez pas encore fait, consultez la présentation des architectures de référence pour en savoir plus sur les différentes options possibles.

• Décidez si vous souhaitez migrer ou non les comptes personnels existants. Si vous n'utilisez pas Cloud Identity ni Google Workspace, il est possible que les employés de votre organisation se servent des comptes personnels pour accéder aux services Google. Si vous souhaitez conserver ces comptes utilisateur et leurs données, vous devez les migrer vers Cloud Identity ou Google Workspace.

  Pour en savoir plus sur les comptes personnels, leur identification et les risques qu'ils peuvent représenter pour votre organisation, consultez la page Évaluer les comptes utilisateur existants.

Si vous avez décidé d'utiliser un fournisseur d'identité externe et de migrer les comptes personnels existants, vous devez prendre une troisième décision : décider si vous souhaitez commencer par configurer la fédération ou par migrer les comptes utilisateur existants. Tenez compte des facteurs suivants :

• La migration des comptes personnels nécessite le consentement de leurs propriétaires. Plus vous devez migrer de comptes utilisateur, plus le délai d'obtention du consentement de tous les propriétaires de comptes concernés peut être long.

  Si vous devez migrer au moins 100 comptes personnels, envisagez de configurer la fédération avant de migrer les comptes personnels existants. En configurant d'abord la fédération, vous vous assurez que toutes les nouvelles identités ainsi que tous les comptes utilisateur migrés peuvent bénéficier immédiatement de l'authentification unique, de la validation en deux étapes et des autres fonctionnalités de sécurité offertes par Cloud Identity et Google Workspace. La configuration de la fédération vous permet donc d'améliorer rapidement votre stratégie de sécurité globale.

  Toutefois, pour configurer la fédération, vous devez d'abord configurer votre fournisseur d'identité de sorte qu'il permette toujours de migrer les comptes utilisateur existants. Cette configuration peut augmenter la complexité de votre configuration globale.

• Si vous devez migrer moins de 100 comptes personnels, le processus de migration de ces comptes utilisateur sera relativement rapide. Dans ce cas, envisagez de migrer les comptes utilisateur existants avant de configurer la fédération. En effectuant d'abord la migration des comptes utilisateur, vous évitez de devoir configurer votre fournisseur d'identité de sorte qu'il permette toujours de migrer les comptes utilisateur existants, ce qui simplifie le processus.

  Toutefois, le fait de retarder la configuration de la fédération peut ralentir le processus d'amélioration de votre stratégie de sécurité globale.

Le schéma suivant résume le processus de sélection du plan d'intégration le plus adapté.

Ce schéma montre les décisions à prendre pour sélectionner un plan d'intégration :

• Si vous utilisez Google comme fournisseur d'identité, sélectionnez le plan 1.
• Si vous n'utilisez pas Google en tant que fournisseur d'identité et que vous ne souhaitez pas migrer de comptes existants, sélectionnez le plan 2.
• Sélectionnez le plan 3 dans le cas suivant :
  • Vous n'utilisez pas Google comme fournisseur d'identité.
  • Vous souhaitez migrer des comptes existants.
  • Vous souhaitez commencer par configurer la fédération.
• Sélectionnez le plan 4 dans le cas suivant :
  • Vous n'utilisez pas Google comme fournisseur d'identité.
  • Vous souhaitez migrer des comptes existants.
  • Vous ne souhaitez pas commencer par configurer la fédération.

Plans d'intégration

Cette section décrit un ensemble de plans d'intégration correspondant aux cas présentés dans la section précédente.

Plan 1 : aucune fédération

Envisagez d'utiliser ce plan si toutes les conditions suivantes sont remplies :

• Vous souhaitez utiliser Google comme fournisseur d'identité principal.
• Vous devrez peut-être migrer les comptes utilisateur existants vers Cloud Identity ou Google Workspace.

Le schéma suivant illustre le processus et les étapes de ce plan.

1. Configurez les comptes Cloud Identity ou Google Workspace requis.

   Pour déterminer le nombre approprié de comptes Cloud Identity ou Google Workspace à utiliser, consultez la section Bonnes pratiques pour planifier des comptes et des organisations. Pour en savoir plus sur la création des comptes et sur les personnes qui devront peut-être intervenir, consultez Préparer vos comptes Cloud Identity ou Google Workspace.

2. Si certaines des identités que vous souhaitez intégrer disposent de comptes personnels existants, ne leur créez pas de comptes utilisateur dans Cloud Identity ni Google Workspace, car cela entraînerait un conflit de comptes.

   Pour réduire le risque de créer accidentellement des comptes en conflit, commencez par créer des comptes utilisateur pour un petit ensemble initial d'identités. Pour créer ces comptes utilisateur, nous vous recommandons d'utiliser la console d'administration plutôt que l'API ou le transfert groupé, car la console d'administration vous avertit de la création imminente d'un compte en conflit.

3. Commencez le processus de regroupement de vos comptes utilisateur existants. Pour en savoir plus sur la procédure à suivre et sur les utilisateurs susceptibles de devoir participer, consultez la page Présentation du regroupement de comptes.

4. Enfin, créez des comptes utilisateur pour toutes les identités restantes que vous devez intégrer. Vous pouvez créer des comptes manuellement à l'aide de la console d'administration ou, si vous intégrez un grand nombre d'identités, envisagez les solutions suivantes :

   • Créez des utilisateurs par lots à l'aide d'un fichier CSV.
   • Automatisez la création d'utilisateurs et de groupes à l'aide d'outils Open Source tels que Google Apps Manager (GAM).
   • Utilisez l'API Directory.

Plan 2 : fédération sans regroupement de comptes utilisateur

Envisagez d'utiliser ce plan si toutes les conditions suivantes sont remplies :

• Vous souhaitez utiliser un fournisseur d'identité externe.
• Vous n'avez pas besoin de migrer de comptes utilisateur existants.

Le schéma suivant illustre le processus et les étapes de ce plan.

1. Configurez les comptes Cloud Identity ou Google Workspace requis.

   Pour déterminer le nombre approprié de comptes Cloud Identity ou Google Workspace à utiliser, consultez la section Bonnes pratiques pour planifier des comptes et des organisations. Pour en savoir plus sur la création des comptes et sur les personnes qui devront peut-être intervenir dans ce processus, consultez la section Préparer vos comptes Cloud Identity ou Google Workspace.

2. Configurez la fédération avec votre fournisseur d'identité externe. En règle générale, cela signifie que vous devez configurer le provisionnement automatique des comptes utilisateur et l'authentification unique.

   Lorsque vous configurez la fédération, tenez compte des recommandations de la page Bonnes pratiques pour fédérer Google Cloud avec un fournisseur d'identité externe.

3. Utilisez votre fournisseur d'identité externe pour créer des comptes utilisateur dans Cloud Identity ou Google Workspace pour toutes les identités à intégrer.

4. Assurez-vous que les identités dans Cloud Identity ou Google Workspace constituent un sous-ensemble des identités de votre fournisseur d'identité externe. Pour en savoir plus, consultez la page Rapprocher des comptes utilisateur gérés orphelins.

Plan 3 : fédération avec regroupement de comptes utilisateur

Envisagez d'utiliser ce plan si toutes les conditions suivantes sont remplies :

• Vous souhaitez utiliser un fournisseur d'identité externe.
• Vous devez migrer des comptes utilisateur existants vers Cloud Identity ou Google Workspace, mais souhaitez d'abord configurer la fédération.

Ce plan vous permet de déployer rapidement l'authentification unique. Les comptes utilisateur que vous créez dans Cloud Identity ou Google Workspace peuvent immédiatement utiliser l'authentification unique, de même que les comptes utilisateur existants après leur migration. Cette intégration avec un fournisseur d'identité externe vous permet de minimiser l'administration du compte utilisateur. Votre fournisseur d'identité peut gérer à la fois l'intégration et la suppression des identités.

Par rapport au plan de fédération différée décrit dans la section suivante, ce plan augmente le risque de comptes en conflit ou d'utilisateurs bloqués. Il nécessite donc une attention particulière lors de la configuration de la fédération.

Le schéma suivant illustre le processus et les étapes de ce plan.

1. Configurez les comptes Cloud Identity ou Google Workspace requis.

   Pour déterminer le nombre approprié de comptes Cloud Identity ou Google Workspace à utiliser, consultez la section Bonnes pratiques pour planifier des comptes et des organisations. Pour en savoir plus sur la création des comptes et sur les personnes qui devront peut-être intervenir dans ce processus, consultez la section Préparer vos comptes Cloud Identity ou Google Workspace.

2. Configurez la fédération avec votre fournisseur d'identité externe. En règle générale, cela signifie que vous devez configurer le provisionnement automatique des comptes utilisateur et l'authentification unique.

   Étant donné que certaines des identités que vous souhaitez intégrer possèdent des comptes personnels existants que vous devez encore migrer, assurez-vous d'empêcher votre fournisseur d'identité externe d'interférer avec votre capacité à regrouper les comptes personnels existants.

   Pour en savoir plus sur la façon de configurer votre fournisseur d'identité externe de manière sécurisée pour le regroupement des comptes, consultez la page Évaluer l'impact du regroupement des comptes utilisateur sur la fédération.

   Lorsque vous configurez la fédération, tenez compte des recommandations de la page Bonnes pratiques pour fédérer Google Cloud avec un fournisseur d'identité externe.

3. Utilisez votre fournisseur d'identité externe pour créer des comptes utilisateur dans Cloud Identity ou Google Workspace pour l'ensemble initial d'identités à intégrer.

   Veillez à ne créer de comptes utilisateur que pour les identités qui n'en possèdent pas déjà.

4. Commencez le processus de regroupement de vos comptes utilisateur existants. Pour en savoir plus sur la procédure à suivre et sur les utilisateurs susceptibles de devoir participer, consultez la page Présentation du regroupement de comptes.

5. Pour sécuriser votre configuration en vue du regroupement de comptes, supprimez toute configuration particulière que vous avez appliquée à la configuration de votre fédération. Étant donné qu'à ce stade, tous les comptes existants sont déjà migrés, aucune configuration particulière n'est nécessaire.

6. Utilisez votre fournisseur d'identité externe pour créer des comptes utilisateur dans Cloud Identity ou Google Workspace pour toutes les identités restantes à intégrer.

Plan 4 : fédération différée

Envisagez d'utiliser ce plan si toutes les conditions suivantes sont remplies :

• Vous souhaitez utiliser un fournisseur d'identité externe.
• Vous devez migrer les comptes utilisateur existants vers Cloud Identity ou Google Workspace avant de configurer la fédération.

Ce plan représente dans les faits une combinaison des plans sans fédération et avec fédération sans regroupement des comptes utilisateur, comme indiqué précédemment. L'un des principaux avantages de ce plan par rapport à la fédération avec le regroupement des comptes utilisateur est le risque plus faible de comptes en conflit ou d'utilisateurs bloqués. Toutefois, comme votre plan consiste à utiliser à terme un fournisseur d'identité externe pour l'authentification, l'approche présente les inconvénients suivants :

• Vous ne pouvez pas activer l'authentification unique avant la fin de la migration de tous les utilisateurs pertinents. Selon le nombre de comptes non gérés dont vous disposez et la rapidité avec laquelle les utilisateurs répondent aux demandes de transfert de compte, cette migration peut prendre plusieurs jours, voire plusieurs semaines.

• Pendant la migration, vous devez créer des comptes utilisateur dans Cloud Identity ou Google Workspace, en plus de créer des comptes dans votre fournisseur d'identité externe. De même, pour les employés qui quittent l'entreprise, vous devez désactiver ou supprimer leur compte utilisateur dans Cloud Identity ou Google Workspace, ainsi que dans le fournisseur d'identité externe. Cette administration redondante augmente l'effort global et peut entraîner des incohérences.

Le schéma suivant illustre le processus et les étapes de ce plan.

1. Configurez les comptes Cloud Identity ou Google Workspace requis.

   Pour déterminer le nombre approprié de comptes Cloud Identity ou Google Workspace à utiliser, consultez la section Bonnes pratiques pour planifier des comptes et des organisations. Pour en savoir plus sur la création des comptes et sur les personnes qui devront peut-être intervenir, consultez la section Préparer vos comptes Cloud Identity ou Google Workspace. Si certaines des identités que vous souhaitez intégrer disposent de comptes personnels existants, ne leur créez pas de comptes utilisateur dans Cloud Identity ni Google Workspace, car cela générerait des comptes en conflit.

2. Commencez par créer des comptes utilisateur pour un petit ensemble initial d'identités. Pour créer ces comptes utilisateur, nous vous recommandons d'utiliser la console d'administration plutôt que l'API ou le transfert groupé, car la console d'administration vous avertit de la création imminente d'un compte en conflit.

3. Commencez le processus de regroupement de vos comptes utilisateur existants. Pour en savoir plus sur la procédure à suivre et sur les utilisateurs susceptibles de devoir participer, consultez la page Présentation du regroupement de comptes.

4. Configurez la fédération avec votre fournisseur d'identité externe. En règle générale, cela signifie que vous devez configurer le provisionnement automatique des comptes utilisateur et l'authentification unique.

   Lorsque vous configurez la fédération, tenez compte des recommandations de la page Bonnes pratiques pour fédérer Google Cloud avec un fournisseur d'identité externe.

   Étant donné qu'à ce stade, tous les comptes existants sont déjà migrés, vous n'avez pas besoin d'appliquer de configuration particulière pour sécuriser la fédération en vue du regroupement des comptes.

5. Utilisez votre fournisseur d'identité externe pour créer des comptes utilisateur dans Cloud Identity ou Google Workspace pour toutes les identités à intégrer.

Étape suivante

• Si vous avez décidé d'utiliser la fédération avec le regroupement de comptes utilisateur, consultez la page Évaluer l'impact du regroupement des comptes utilisateur sur la fédération.
• Démarrez votre processus d'intégration en préparant des comptes Cloud Identity ou Google Workspace.