Menilai rencana orientasi

Dengan Cloud Identity dan Google Workspace, Anda dapat mengelola identitas perusahaan dan mengontrol akses ke layanan Google. Untuk memanfaatkan fitur yang disediakan Cloud Identity dan Google Workspace, Anda harus mengaktivasi identitas lama dan baru ke Cloud Identity atau Google Workspace terlebih dahulu. Orientasi mencakup langkah-langkah berikut:

• Siapkan akun Cloud Identity atau Google Workspace Anda.
• Jika Anda telah memutuskan untuk menggunakan penyedia identitas (IdP) eksternal, siapkan penggabungan.
• Buat akun pengguna untuk identitas perusahaan Anda.
• Menggabungkan akun pengguna yang ada.

Dokumen ini membantu Anda menilai urutan terbaik untuk mendekati langkah-langkah ini.

Memilih rencana orientasi

Saat Anda memilih rencana orientasi, pertimbangkan keputusan penting berikut:

• Pilih arsitektur target. Yang terpenting, Anda harus memutuskan apakah ingin menjadikan Google IdP utama atau apakah lebih suka menggunakan IdP eksternal ini.

  Jika belum memutuskan, lihat ringkasan arsitektur referensi untuk mempelajari lebih lanjut opsi yang memungkinkan.

• Tentukan apakah akan memigrasikan akun konsumen yang ada. Jika Anda belum menggunakan Cloud Identity atau Google Workspace, mungkin karyawan organisasi Anda mungkin menggunakan akun konsumen untuk mengakses layanan Google. Jika ingin mempertahankan akun pengguna ini beserta datanya, Anda harus memigrasikannya ke Cloud Identity atau Google Workspace.

  Untuk mengetahui detail tentang akun konsumen, cara mengidentifikasinya, dan risiko yang mungkin ditimbulkan bagi organisasi Anda, lihat Menilai akun pengguna yang ada.

Jika Anda memutuskan untuk menggunakan IdP eksternal dan untuk memigrasikan akun konsumen yang sudah ada, Anda memiliki keputusan ketiga untuk membuat keputusan apakah akan menyiapkan penggabungan terlebih dahulu atau migrasikan akun pengguna yang ada terlebih dahulu. Pertimbangkan faktor-faktor berikut:

• Migrasi akun konsumen memerlukan izin pemiliknya. Makin banyak akun pengguna yang harus dimigrasikan, makin lama waktu yang dibutuhkan untuk mendapatkan izin dari semua pemilik akun yang terpengaruh.

  Jika Anda perlu memigrasikan 100 akun konsumen atau lebih untuk melakukan migrasi, pertimbangkan untuk menyiapkan penggabungan sebelum memigrasikan akun konsumen yang ada. Dengan menyiapkan penggabungan terlebih dahulu, Anda memastikan bahwa semua identitas baru dan setiap akun pengguna yang dimigrasikan dapat langsung mendapatkan manfaat dari single sign-on, verifikasi dua langkah, dan fitur keamanan lainnya yang ditawarkan oleh Cloud Identity dan Google Ruang Kerja. Oleh karena itu, menyiapkan penggabungan dapat membantu Anda meningkatkan postur keamanan secara keseluruhan dengan cepat.

  Namun, menyiapkan penggabungan terlebih dahulu mengharuskan Anda mengonfigurasi penyedia identitas dengan cara yang tetap memungkinkan akun pengguna yang ada dimigrasikan. Konfigurasi ini dapat meningkatkan kompleksitas penyiapan Anda secara keseluruhan.

• Jika perlu memigrasikan kurang dari 100 akun konsumen, Anda dapat mengharapkan proses migrasi akun pengguna ini cukup cepat. Dalam hal ini, pertimbangkan untuk memigrasikan akun pengguna yang ada sebelum menyiapkan penggabungan. Dengan menyelesaikan migrasi akun pengguna terlebih dahulu, Anda dapat menghindari kerumitan tambahan karena harus mengonfigurasi penyedia identitas dengan cara yang masih memungkinkan akun pengguna yang ada untuk dimigrasikan.

  Namun, menunda penyiapan penggabungan dapat memperlambat proses peningkatan postur keamanan Anda secara keseluruhan.

Diagram berikut merangkum cara memilih rencana orientasi terbaik.

Diagram ini menunjukkan jalur keputusan berikut untuk memilih rencana orientasi:

• Jika Anda menggunakan Google sebagai IdP, pilih paket 1.
• Jika Anda tidak menggunakan Google sebagai IdP, dan tidak ingin memigrasikan akun yang ada, pilih rencana 2.
• Pilih rencana 3 dalam skenario berikut:
  • Anda tidak menggunakan Google sebagai IdP.
  • Anda ingin memigrasikan akun yang sudah ada.
  • Anda ingin menyiapkan penggabungan terlebih dahulu.
• Pilih rencana 4 dalam skenario berikut:
  • Anda tidak menggunakan Google sebagai IdP.
  • Anda ingin memigrasikan akun yang sudah ada.
  • Anda tidak ingin menyiapkan penggabungan terlebih dahulu.

Rencana orientasi

Bagian ini menguraikan serangkaian rencana orientasi yang sesuai dengan skenario yang dibahas di bagian sebelumnya.

Paket 1: Tanpa federasi

Pertimbangkan untuk menggunakan rencana ini jika semua hal berikut terpenuhi:

• Anda ingin menggunakan Google sebagai IdP utama.
• Anda mungkin perlu memigrasikan akun pengguna yang ada ke Cloud Identity atau Google Workspace.

Diagram berikut menggambarkan proses dan langkah-langkah yang terlibat dalam rencana ini.

1. Siapkan akun Cloud Identity atau Google Workspace yang diperlukan.

   Untuk menentukan jumlah akun Cloud Identity atau Google Workspace yang tepat untuk digunakan, lihat Praktik terbaik untuk akun dan organisasi perencanaan. Untuk mengetahui detail tentang cara membuat akun dan pemangku kepentingan mana yang perlu terlibat, lihat Menyiapkan akun Cloud Identity atau Google Workspace.

2. Jika beberapa identitas yang ingin Anda aktivasi sudah memiliki akun konsumen, jangan buat akun pengguna di Cloud Identity atau Google Workspace untuk identitas ini karena akan menyebabkan akun bentrok.

   Untuk meminimalkan risiko pembuatan akun bentrok secara tidak sengaja, mulailah dengan membuat akun pengguna hanya untuk sejumlah kecil identitas awal. Sebaiknya gunakan Konsol Admin untuk membuat akun ini, bukan menggunakan API atau upload banyak untuk membuat akun pengguna ini, karena Konsol Admin akan memperingatkan Anda tentang pembuatan akun bentrok akun.

3. Mulai proses konsolidasi akun pengguna Anda yang ada. Untuk mengetahui detail tentang cara melakukannya dan pemangku kepentingan mana yang perlu dilibatkan, lihat Menggabungkan akun pengguna yang ada.

4. Terakhir, buat akun pengguna untuk semua identitas yang tersisa yang perlu Anda aktivasi. Anda dapat membuat akun secara manual menggunakan Konsol Admin, atau jika Anda menggunakan sejumlah besar identitas, pertimbangkan alternatif berikut:

   • Buat pengguna dalam batch menggunakan file CSV.
   • Otomatiskan pembuatan pengguna dan grup menggunakan alat open source seperti Google Apps Manager (GAM).
   • Gunakan Directory API.

Paket 2: Federasi tanpa konsolidasi akun pengguna

Pertimbangkan untuk menggunakan rencana ini jika semua hal berikut terpenuhi:

• Anda ingin menggunakan IdP eksternal.
• Anda tidak perlu memigrasikan akun pengguna yang ada.

Diagram berikut menggambarkan proses dan langkah-langkah yang terlibat dalam rencana ini.

1. Siapkan akun Cloud Identity atau Google Workspace yang diperlukan.

   Untuk menentukan jumlah akun Cloud Identity atau Google Workspace yang tepat untuk digunakan, lihat Praktik terbaik untuk akun dan organisasi perencanaan. Untuk mengetahui detail tentang cara membuat akun dan pemangku kepentingan mana yang perlu terlibat dalam proses ini, lihat Menyiapkan akun Cloud Identity atau Google Workspace.

2. Siapkan penggabungan dengan IdP eksternal. Biasanya, Anda perlu mengonfigurasi penyediaan akun pengguna otomatis dan menyiapkan single sign-on.

   Saat Anda mengonfigurasi penggabungan, pertimbangkan rekomendasi di Praktik terbaik untuk menggabungkan Google Cloud dengan penyedia identitas eksternal.

3. Gunakan IdP eksternal untuk membuat akun pengguna di Cloud Identity atau Google Workspace bagi semua identitas yang perlu Anda aktivasi.

4. Pastikan bahwa identitas di Cloud Identity atau Google Workspace adalah subkumpulan identitas di IdP eksternal Anda. Untuk mengetahui detailnya, lihat Merekonsiliasi akun pengguna terkelola yang usang.

Rencana 3: Federasi dengan konsolidasi akun pengguna

Pertimbangkan untuk menggunakan rencana ini jika semua hal berikut terpenuhi:

• Anda ingin menggunakan IdP eksternal.
• Anda perlu memigrasikan akun pengguna yang ada ke Cloud Identity atau Google Workspace, tetapi ingin menyiapkan penggabungan terlebih dahulu.

Dengan rencana ini, Anda dapat meluncurkan single sign-on dengan cepat. Setiap akun pengguna baru yang Anda buat di Cloud Identity atau Google Workspace akan langsung dapat menggunakan Single Sign-On, begitu juga akun pengguna yang sudah ada setelah Anda memigrasikannya. Integrasi dengan IdP eksternal ini memungkinkan Anda meminimalkan administrasi akun pengguna—IdP Anda dapat menangani orientasi dan offboarding identitas.

Dibandingkan dengan paket gabungan tertunda yang dijelaskan di bagian berikutnya, rencana ini meningkatkan risiko akun yang bentrok atau pengguna yang terkunci. Oleh karena itu, rencana ini memerlukan perhatian yang cermat saat Anda menyiapkan penggabungan.

Diagram berikut menggambarkan proses dan langkah-langkah yang terlibat dalam rencana ini.

1. Siapkan akun Cloud Identity atau Google Workspace yang diperlukan.

   Untuk menentukan jumlah akun Cloud Identity atau Google Workspace yang tepat untuk digunakan, lihat Praktik terbaik untuk akun dan organisasi perencanaan. Untuk mengetahui detail tentang cara membuat akun dan pemangku kepentingan mana yang perlu terlibat dalam proses ini, lihat Menyiapkan akun Cloud Identity atau Google Workspace.

2. Siapkan penggabungan dengan IdP eksternal. Biasanya, Anda harus mengonfigurasi penyediaan akun pengguna otomatis dan menyiapkan single sign-on.

   Karena beberapa identitas yang ingin Anda aktifkan memiliki akun konsumen yang sudah ada dan masih perlu dimigrasikan, pastikan Anda mencegah IdP eksternal mengganggu kemampuan Anda untuk menggabungkan akun konsumen yang ada.

   Untuk mengetahui detail tentang cara mengonfigurasi IdP eksternal dengan cara yang aman untuk konsolidasi akun, lihat Menilai dampak konsolidasi akun pengguna terhadap penggabungan.

   Saat Anda mengonfigurasi penggabungan, pertimbangkan rekomendasi di Praktik terbaik untuk menggabungkan Google Cloud dengan penyedia identitas eksternal.

3. Gunakan IdP eksternal Anda untuk membuat akun pengguna di Cloud Identity atau Google Workspace untuk kumpulan identitas awal yang perlu diaktivasi.

   Hati-hati membuat akun pengguna hanya untuk identitas yang tidak memiliki akun pengguna yang ada.

4. Mulai proses konsolidasi akun pengguna Anda yang ada. Untuk mengetahui detail tentang cara melakukannya dan pemangku kepentingan mana yang perlu dilibatkan, lihat Menggabungkan akun pengguna yang ada.

5. Agar penyiapan Anda aman untuk konsolidasi akun, hapus konfigurasi khusus yang telah Anda terapkan ke penyiapan federasi. Karena semua akun yang ada telah dimigrasikan pada tahap ini, konfigurasi khusus ini tidak lagi diperlukan.

6. Gunakan IdP eksternal untuk membuat akun pengguna di Cloud Identity atau Google Workspace bagi semua identitas lain yang perlu Anda aktivasi.

Paket 4: Federasi tertunda

Pertimbangkan untuk menggunakan rencana ini jika semua hal berikut terpenuhi:

• Anda ingin menggunakan IdP eksternal.
• Anda perlu memigrasikan akun pengguna yang ada ke Cloud Identity atau Google Workspace sebelum menyiapkan penggabungan.

Rencana ini pada dasarnya adalah kombinasi tanpa federasi dan federasi tanpa konsolidasi akun pengguna, seperti yang telah dibahas sebelumnya. Manfaat utama dari rencana ini dibandingkan penggabungan dengan konsolidasi akun pengguna adalah risiko yang lebih rendah mengenai akun bentrok atau pengguna yang terkunci. Namun, karena rencana Anda pada akhirnya akan menggunakan IdP eksternal untuk autentikasi, pendekatan ini memiliki kelemahan berikut:

• Anda tidak dapat mengaktifkan Single Sign-On sebelum semua pengguna yang relevan dimigrasikan. Bergantung pada jumlah akun tidak terkelola yang Anda tangani dan seberapa cepat pengguna bereaksi terhadap permintaan transfer akun Anda, migrasi ini mungkin memerlukan waktu beberapa hari atau minggu.

• Selama migrasi, Anda harus membuat akun pengguna baru di Cloud Identity atau Google Workspace selain membuat akun di IdP eksternal. Demikian pula, bagi karyawan yang keluar, Anda harus menonaktifkan atau menghapus akun pengguna mereka di Cloud Identity atau Google Workspace, dan di IdP eksternal. Administrasi berlebihan ini meningkatkan upaya keseluruhan dan dapat menimbulkan inkonsistensi.

Diagram berikut menggambarkan proses dan langkah-langkah yang terlibat dalam rencana ini.

1. Siapkan akun Cloud Identity atau Google Workspace yang diperlukan.

   Untuk menentukan jumlah akun Cloud Identity atau Google Workspace yang tepat untuk digunakan, lihat Praktik terbaik untuk akun dan organisasi perencanaan. Untuk mengetahui detail tentang cara membuat akun dan pemangku kepentingan mana yang perlu terlibat, lihat Menyiapkan akun Cloud Identity atau Google Workspace. Jika beberapa identitas yang ingin Anda aktifkan memiliki akun konsumen yang sudah ada, jangan buat akun pengguna di Cloud Identity atau Google Workspace untuk identitas ini karena akan menyebabkan akun bentrok.

2. Mulailah dengan membuat akun pengguna hanya untuk sekumpulan kecil identitas. Sebaiknya gunakan Konsol Admin untuk membuat akun ini, bukan menggunakan API atau upload banyak, karena Konsol Admin akan memperingatkan Anda tentang pembuatan akun bentrok dalam waktu dekat.

3. Mulai proses konsolidasi akun pengguna Anda yang ada. Untuk mengetahui detail tentang cara melakukannya dan pemangku kepentingan mana yang perlu dilibatkan, lihat Menggabungkan akun pengguna yang ada.

4. Siapkan penggabungan dengan IdP eksternal. Biasanya, Anda perlu mengonfigurasi penyediaan akun pengguna otomatis dan menyiapkan single sign-on.

   Saat Anda mengonfigurasi penggabungan, pertimbangkan rekomendasi di Praktik terbaik untuk menggabungkan Google Cloud dengan penyedia identitas eksternal.

   Karena semua akun yang ada sudah dimigrasikan pada tahap ini, Anda tidak perlu menerapkan konfigurasi khusus untuk membuat penggabungan aman untuk konsolidasi akun.

5. Gunakan IdP eksternal untuk membuat akun pengguna di Cloud Identity atau Google Workspace bagi semua identitas yang perlu Anda aktivasi.

Langkah selanjutnya

• Jika Anda memutuskan untuk menggunakan penggabungan dengan konsolidasi akun pengguna, lanjutkan dengan menilai dampak konsolidasi akun pengguna terhadap penggabungan.
• Mulai proses orientasi Anda dengan menyiapkan akun Cloud Identity atau Google Workspace.