Valutazione dei piani di onboarding

Cloud Identity e Google Workspace ti consentono di gestire le identità aziendali e controllare l'accesso ai servizi Google. Per sfruttare le funzionalità fornite da Cloud Identity e Google Workspace, devi prima inserire identità nuove ed esistenti in Cloud Identity o Google Workspace. L'onboarding prevede i seguenti passaggi:

• Preparare gli account Cloud Identity o Google Workspace.
• Se hai deciso di utilizzare un provider di identità (IdP) esterno, imposta la federazione.
• Crea account utente per le identità aziendali.
• Raggruppare gli account utente esistenti.

Questo documento ti aiuta a valutare l'ordine migliore in cui affrontare questi passaggi.

Selezionare un piano di onboarding

Quando selezioni un piano di onboarding, prendi in considerazione le seguenti decisioni fondamentali:

• Seleziona un'architettura di destinazione. Soprattutto, devi decidere se vuoi impostare Google come IdP principale o se preferisci utilizzare un IdP esterno.

  Se non hai ancora deciso, consulta la panoramica delle architetture di riferimento per scoprire di più sulle possibili opzioni.

• Decidi se eseguire la migrazione degli account consumer esistenti. Se non hai mai utilizzato Cloud Identity o Google Workspace, è possibile che i dipendenti della tua organizzazione utilizzino account consumer per accedere ai servizi Google. Se vuoi conservare questi account utente e i loro dati, devi eseguirne la migrazione a Cloud Identity o Google Workspace.

  Per maggiori dettagli sugli account consumer, su come identificarli e sul rischio che potrebbero rappresentare per la tua organizzazione, vedi Valutazione degli account utente esistenti.

Se hai deciso di utilizzare un IdP esterno e di eseguire la migrazione di account consumer esistenti, devi prendere una terza decisione: decidere se configurare prima la federazione o se eseguire prima la migrazione degli account utente esistenti. Tieni presente i seguenti fattori:

• La migrazione degli account consumer richiede il consenso del proprietario. Maggiore è il numero di account utente di cui devi eseguire la migrazione, più lungo sarà il tempo necessario per ottenere il consenso di tutti i proprietari di account interessati.

  Se devi eseguire la migrazione di 100 o più account consumer, ti consigliamo di configurare la federazione prima di eseguire la migrazione degli account consumer esistenti. Configurando prima la federazione, fai in modo che tutte le nuove identità e ogni account utente di cui è stata eseguita la migrazione possano beneficiare immediatamente del Single Sign-On, della verifica in due passaggi e di altre funzionalità di sicurezza offerte da Cloud Identity e Google Workspace. Pertanto, la configurazione della federazione consente di migliorare rapidamente la strategia di sicurezza complessiva.

  Tuttavia, per impostare la federazione è necessario innanzitutto configurare il provider di identità in modo da consentire comunque la migrazione degli account utente esistenti. Questa configurazione può aumentare la complessità della configurazione complessiva.

• Se devi eseguire la migrazione di meno di 100 account consumer, il processo di migrazione di questi account utente dovrebbe essere ragionevolmente rapido. In questo caso, valuta la possibilità di eseguire la migrazione degli account utente esistenti prima di configurare la federazione. Completando prima la migrazione degli account utente, puoi evitare l'ulteriore complessità di dover configurare il tuo provider di identità in modo da consentire comunque la migrazione degli account utente esistenti.

  Tuttavia, un ritardo nella configurazione della federazione potrebbe rallentare il processo di miglioramento della strategia di sicurezza complessiva.

Il seguente diagramma riassume come selezionare il piano di onboarding migliore.

Questo diagramma mostra i seguenti percorsi decisionali per selezionare un piano di onboarding:

• Se utilizzi Google come IdP, seleziona piano 1.
• Se non utilizzi Google come IdP e non vuoi eseguire la migrazione degli account esistenti, seleziona il piano 2.
• Seleziona il piano 3 nel seguente scenario:
  • Non stai utilizzando Google come IdP.
  • Vuoi eseguire la migrazione degli account esistenti.
  • Prima di tutto devi configurare la federazione.
• Seleziona il piano 4 nel seguente scenario:
  • Non stai utilizzando Google come IdP.
  • Vuoi eseguire la migrazione degli account esistenti.
  • Non devi prima configurare la federazione.

Piani di onboarding

Questa sezione illustra una serie di piani di onboarding che corrispondono agli scenari discussi nella sezione precedente.

Piano 1: nessuna federazione

Ti consigliamo di utilizzare questo piano se tutte le seguenti condizioni sono vere:

• Vuoi utilizzare Google come IdP principale.
• Potresti dover eseguire la migrazione degli account utente esistenti a Cloud Identity o Google Workspace.

Il seguente diagramma illustra la procedura e i passaggi previsti dal piano.

1. Configura gli account Cloud Identity o Google Workspace richiesti.

   Per determinare il numero corretto di account Cloud Identity o Google Workspace da utilizzare, consulta le best practice per la pianificazione di account e organizzazioni. Per maggiori dettagli su come creare gli account e su quali stakeholder potrebbero dover essere coinvolti, consulta Preparare gli account Cloud Identity o Google Workspace.

2. Se alcune delle identità che vuoi integrare dispongono di account consumer esistenti, non creare account utente in Cloud Identity o Google Workspace per queste identità, perché così facendo si verificherebbe un account in conflitto.

   Per ridurre al minimo il rischio di creare inavvertitamente account in conflitto, inizia creando account utente solo per un piccolo insieme iniziale di identità. Ti consigliamo di utilizzare la Console di amministrazione per creare questi account anziché l'API o il caricamento collettivo per creare gli account utente, poiché la Console di amministrazione ti avviserà dell'imminente creazione di un account in conflitto.

3. Avvia il processo di consolidamento degli account utente esistenti. Per i dettagli su come raggiungere questo obiettivo e su quali stakeholder potrebbero dover essere coinvolti, consulta Consolidare gli account utente esistenti.

4. Infine, crea gli account utente per tutte le identità rimanenti che devi integrare. Puoi creare gli account manualmente utilizzando la Console di amministrazione. In alternativa, se stai eseguendo l'onboarding di un numero elevato di identità, prendi in considerazione le seguenti alternative:

   • Crea gli utenti in gruppi utilizzando un file CSV.
   • Automatizza la creazione di utenti e gruppi utilizzando strumenti open source come Google Apps Manager (GAM).
   • Utilizza l'API Directory.

Piano 2: federazione senza consolidamento degli account utente

Ti consigliamo di utilizzare questo piano se tutte le seguenti condizioni sono vere:

• Vuoi utilizzare un IdP esterno.
• Non è necessario eseguire la migrazione di alcun account utente esistente.

Il seguente diagramma illustra la procedura e i passaggi previsti dal piano.

1. Configura gli account Cloud Identity o Google Workspace richiesti.

   Per determinare il numero corretto di account Cloud Identity o Google Workspace da utilizzare, consulta le best practice per la pianificazione di account e organizzazioni. Per maggiori dettagli su come creare gli account e su quali stakeholder potrebbero dover essere coinvolti in questo processo, consulta Preparare gli account Cloud Identity o Google Workspace.

2. Configura la federazione con il tuo IdP esterno. In genere, ciò significa configurare il provisioning automatico degli account utente e impostare il Single Sign-On.

   Quando configuri la federazione, tieni conto dei consigli riportati in Best practice per federare Google Cloud con un provider di identità esterno.

3. Utilizza il tuo IdP esterno per creare account utente in Cloud Identity o Google Workspace per tutte le identità che devi inizializzare.

4. Assicurati che le identità in Cloud Identity o Google Workspace siano un sottoinsieme delle identità nel tuo IdP esterno. Per maggiori dettagli, consulta Riconciliazione di account utente gestiti orfani.

Piano 3: federazione con consolidamento degli account utente

Ti consigliamo di utilizzare questo piano se tutte le seguenti condizioni sono vere:

• Vuoi utilizzare un IdP esterno.
• Devi eseguire la migrazione degli account utente esistenti a Cloud Identity o Google Workspace, ma devi prima configurare la federazione.

Questo piano consente di implementare rapidamente il Single Sign-On. Tutti i nuovi account utente che crei in Cloud Identity o Google Workspace sono immediatamente in grado di utilizzare il Single Sign-On, così come gli account utente esistenti dopo aver eseguito la migrazione. Questa integrazione con un IdP esterno consente di ridurre al minimo l'amministrazione degli account utente: l'IdP può gestire sia l'onboarding che l'offboarding delle identità.

Rispetto al piano di federazione ritardato descritto nella sezione successiva, questo piano aumenta il rischio di account in conflitto o di utenti bloccati. Questo piano richiede quindi un'attenzione attenta durante la configurazione della federazione.

Il seguente diagramma illustra la procedura e i passaggi previsti dal piano.

1. Configura gli account Cloud Identity o Google Workspace richiesti.

   Per determinare il numero corretto di account Cloud Identity o Google Workspace da utilizzare, consulta le best practice per la pianificazione di account e organizzazioni. Per maggiori dettagli su come creare gli account e su quali stakeholder potrebbero dover essere coinvolti in questo processo, consulta Preparare gli account Cloud Identity o Google Workspace.

2. Configura la federazione con il tuo IdP esterno. In genere, ciò significa che configuri il provisioning automatico degli account utente e il Single Sign-On.

   Poiché alcune delle identità che vuoi integrare dispongono di account consumer esistenti di cui devi ancora eseguire la migrazione, assicurati di impedire al tuo IdP esterno di interferire con la tua capacità di consolidare gli account consumer esistenti.

   Per maggiori dettagli su come configurare l'IdP esterno in modo sicuro per il consolidamento degli account, consulta Valutazione dell'impatto del consolidamento degli account utente sulla federazione.

   Quando configuri la federazione, tieni conto dei consigli riportati in Best practice per federare Google Cloud con un provider di identità esterno.

3. Utilizza il tuo IdP esterno per creare account utente in Cloud Identity o Google Workspace per l'insieme iniziale di identità che devi integrare.

   Fai attenzione a creare account utente solo per le identità che non hanno un account utente esistente.

4. Avvia il processo di consolidamento degli account utente esistenti. Per i dettagli su come raggiungere questo obiettivo e su quali stakeholder potrebbero dover essere coinvolti, consulta Consolidare gli account utente esistenti.

5. Per rendere sicura la configurazione per il consolidamento degli account, rimuovi l'eventuale configurazione speciale che hai applicato alla configurazione della federazione. Poiché a questo punto è già stata eseguita la migrazione di tutti gli account esistenti, questa configurazione speciale non è più necessaria.

6. Utilizza il tuo IdP esterno per creare account utente in Cloud Identity o Google Workspace per tutte le identità rimanenti che devi inizializzare.

Piano 4: federazione ritardata

Ti consigliamo di utilizzare questo piano se tutte le seguenti condizioni sono vere:

• Vuoi utilizzare un IdP esterno.
• Prima di configurare la federazione devi eseguire la migrazione degli account utente esistenti a Cloud Identity o Google Workspace.

Questo piano è di fatto una combinazione di nessuna federazione e federazione senza consolidamento degli account utente, come discusso in precedenza. Un vantaggio chiave di questo piano rispetto alla federazione con il consolidamento degli account utente è il rischio inferiore di account in conflitto o di utenti bloccati. Tuttavia, poiché il tuo piano prevede di utilizzare un IdP esterno per l'autenticazione, l'approccio presenta i seguenti svantaggi:

• Non puoi attivare il Single Sign-On prima che sia stata eseguita la migrazione di tutti gli utenti pertinenti. A seconda del numero di account non gestiti con cui si verificano e della velocità con cui gli utenti reagiscono alle richieste di trasferimento degli account, la migrazione potrebbe richiedere giorni o settimane.

• Durante la migrazione, devi creare nuovi account utente in Cloud Identity o Google Workspace, oltre a creare account nel tuo IdP esterno. Analogamente, per i dipendenti che lasciano l'azienda, devi disattivare o eliminare i loro account utente in Cloud Identity o Google Workspace e nell'IdP esterno. Questa amministrazione ridondante aumenta lo sforzo complessivo e può introdurre incoerenze.

Il seguente diagramma illustra la procedura e i passaggi previsti dal piano.

1. Configura gli account Cloud Identity o Google Workspace richiesti.

   Per determinare il numero corretto di account Cloud Identity o Google Workspace da utilizzare, consulta le best practice per la pianificazione di account e organizzazioni. Per maggiori dettagli su come creare gli account e su quali stakeholder potrebbero dover essere coinvolti, consulta Preparare gli account Cloud Identity o Google Workspace. Se alcune delle identità che vuoi integrare dispongono di account consumer esistenti, non creare account utente in Cloud Identity o Google Workspace per queste identità, perché così facendo si verificherebbero account in conflitto.

2. Inizia creando account utente solo per un piccolo insieme iniziale di identità. Per creare questi account ti consigliamo di utilizzare la Console di amministrazione anziché l'API o il caricamento collettivo, in quanto la Console di amministrazione ti avviserà dell'imminente creazione di un account in conflitto.

3. Avvia il processo di consolidamento degli account utente esistenti. Per i dettagli su come raggiungere questo obiettivo e su quali stakeholder potrebbero dover essere coinvolti, consulta Consolidare gli account utente esistenti.

4. Configura la federazione con il tuo IdP esterno. In genere, ciò significa configurare il provisioning automatico degli account utente e impostare il Single Sign-On.

   Quando configuri la federazione, tieni conto dei consigli riportati in Best practice per federare Google Cloud con un provider di identità esterno.

   Poiché a questo punto viene già eseguita la migrazione di tutti gli account esistenti, non devi applicare alcuna configurazione speciale per rendere sicura la federazione per il consolidamento degli account.

5. Utilizza il tuo IdP esterno per creare account utente in Cloud Identity o Google Workspace per tutte le identità che devi inizializzare.

Passaggi successivi

• Se hai deciso di utilizzare la federazione con il consolidamento degli account utente, procedi valutando l'impatto sul consolidamento degli account utente sulla federazione.
• Inizia la procedura di onboarding preparando gli account Cloud Identity o Google Workspace.