Cloud Identity e Google Workspace ti consentono di gestire le identità aziendali e controllare l'accesso ai servizi Google. Per sfruttare le funzionalità offerte da Cloud Identity e Google Workspace devi prima integrare le identità esistenti e quelle nuove Cloud Identity o Google Workspace. L'onboarding prevede i seguenti passaggi:
- Prepara gli account Cloud Identity o Google Workspace.
- Se hai deciso usare un provider di identità (IdP) esterno, configurare la federazione.
- Crea account utente per le tue identità aziendali.
- Consolidare gli account utente esistenti.
Questo documento ti aiuta a valutare l'ordine migliore in cui affrontare questi passaggi.
Seleziona un piano di onboarding
Quando selezioni un piano di onboarding, considera le seguenti decisioni critiche:
Seleziona un'architettura di destinazione. Cosa più importante, devi decidere se vuoi rendere Google è il tuo IdP principale o se preferisci utilizza un IdP esterno.
Se non hai ancora deciso, consulta Panoramica delle architetture di riferimento per saperne di più sulle possibili opzioni.
Decidere se eseguire la migrazione degli account consumer esistenti. Se non hai hanno utilizzato Cloud Identity o Google Workspace, è possibile che i dipendenti della tua organizzazione potrebbero utilizzare account consumer per accedere ai servizi Google. Se vuoi conservare questi account utente e i relativi dati, devi eseguirne la migrazione a Cloud Identity o Google Workspace.
Per maggiori dettagli sugli account consumer, su come identificarli e sul rischio che che potrebbero rappresentare per la tua organizzazione, Valutare gli account utente esistenti.
Se hai deciso di utilizzare un'IDP esterna e di eseguire la migrazione degli account dei consumatori esistenti, devi prendere una terza decisione: stabilire se configurare prima la federazione o eseguire prima la migrazione degli account utente esistenti. Prendi in considerazione i seguenti fattori:
La migrazione degli account consumer richiede il consenso del proprietario. Più utenti account da migrare, maggiore è il tempo necessario per ottenere il consenso di tutti i proprietari degli account interessati.
Se devi eseguire la migrazione di almeno 100 account consumer, ti consigliamo di configurare la federazione prima di eseguire la migrazione degli account consumer esistenti. Impostando prima la federazione, ti assicuri che tutti i nuovi identità e ciascun account utente migrato possono immediatamente vantaggi del Single Sign-On, della verifica in due passaggi e di altre funzionalità di sicurezza di Google Cloud Identity e Google Workspace. La configurazione della federazione ti consente quindi di migliorare rapidamente strategia di sicurezza.
Tuttavia, per configurare la federazione devi prima configurare il tuo fornitore di servizi di identità in modo che consenta comunque la migrazione degli account utente esistenti. Questa configurazione può aumentare la complessità della configurazione complessiva.
Se devi eseguire la migrazione di meno di 100 account consumer, puoi prevedere che la procedura di migrazione di questi account utente sia ragionevolmente rapida. In questo caso, valuta la possibilità di eseguire la migrazione degli account utente esistenti prima di configurare la federazione. Completando l'account utente migrazione, puoi evitare la complessità aggiuntiva di dover configurare il tuo provider di identità in modo da consentire agli account utente esistenti di eseguire la migrazione.
Tuttavia, ritardare la configurazione della federazione potrebbe rallentare il processo di miglioramento della tua strategia di sicurezza complessiva.
Il seguente diagramma riassume come selezionare il piano di onboarding migliore.
Questo diagramma mostra i seguenti percorsi decisionali per selezionare un piano di onboarding:
- Se utilizzi Google come IdP, seleziona piano 1.
- Se non utilizzi Google come IdP e non vuoi eseguire la migrazione degli account esistenti seleziona il piano 2.
- Seleziona il piano 3
nel seguente scenario:
- Non stai utilizzando Google come IdP.
- Vuoi eseguire la migrazione degli account esistenti.
- Devi prima configurare la federazione.
- Seleziona il piano 4 nel seguente scenario:
- Non stai utilizzando Google come IdP.
- Vuoi eseguire la migrazione degli account esistenti.
- Non vuoi configurare prima la federazione.
Piani di onboarding
Questa sezione illustra un insieme di piani di onboarding che corrispondono descritti nella sezione precedente.
Piano 1: nessuna federazione
Valuta la possibilità di utilizzare questo piano se tutte le seguenti condizioni sono vere:
- Vuoi utilizzare Google come tuo provider di identità principale.
- Potresti dover eseguire la migrazione degli account utente esistenti Cloud Identity o Google Workspace.
Il seguente diagramma illustra la procedura e i passaggi seguiti da questo piano comporta.
Configura le Cloud Identity o Google Workspace richieste .
Per determinare il numero corretto di account Cloud Identity o Google Workspace da utilizzare, consulta le Best practice per la pianificazione di account e organizzazioni. Per informazioni dettagliate su come creare gli account e su quali stakeholder potrebbero dover essere coinvolti, consulta Preparare gli account Cloud Identity o Google Workspace.
Se alcune delle identità che vuoi integrare includono dati di , non creare account utente in Cloud Identity o Google Workspace per queste identità perché così facendo risulterebbe un account in conflitto.
Per ridurre al minimo il rischio di creare inavvertitamente account in conflitto, inizia creando account utente solo per un piccolo insieme iniziale di identità. Ti consigliamo di utilizzare la Console di amministrazione per creare questi account anziché l'API o il caricamento collettivo, perché la Console di amministrazione ti avviserà di un'imminente creazione di un account in conflitto.
Inizia il processo di consolidamento degli account utente esistenti. Per dettagli su come eseguire questa operazione e su quali stakeholder potrebbero essere coinvolti, consulta Consolidare gli account utente esistenti.
Infine, crea account utente per tutte le identità rimanenti l'onboarding. Puoi creare gli account manualmente utilizzando la Console di amministrazione, o se stai eseguendo l'onboarding di un numero elevato di identità, considera quanto segue: alternative:
- Crea gli utenti collettivamente utilizzando un file CSV.
- Automatizza la creazione di utenti e gruppi utilizzando strumenti open source come come Google Apps Manager (GAM).
- Utilizza l'API Directory.
Piano 2: federazione senza consolidamento degli account utente
Prendi in considerazione l'utilizzo di questo piano se tutte le seguenti condizioni sono vere:
- Vuoi utilizzare un provider di identità esterno.
- Non è necessario eseguire la migrazione degli account utente esistenti.
Il seguente diagramma illustra la procedura e i passaggi previsti da questo piano.
Configura le Cloud Identity o Google Workspace richieste .
Per determinare il numero corretto di Cloud Identity o gli account Google Workspace da utilizzare, vedi Best practice per la pianificazione di account e organizzazioni. Per dettagli su come creare gli account e su quali stakeholder potrebbero aver bisogno di partecipare al processo, vedi Prepara gli account Cloud Identity o Google Workspace.
Configura la federazione con l'IdP esterno. In genere, questo significa configurare il provisioning automatico degli account utente e impostare l'accesso singolo.
Quando configuri la federazione, tieni conto dei consigli riportati in Best practice per la federazione di Google Cloud con un provider di identità esterno.
Utilizza il tuo IdP esterno per creare account utente in Cloud Identity o Google Workspace per tutte le identità da eseguire.
Assicurati che le identità in Cloud Identity o Google Workspace sono un sottoinsieme delle identità nel tuo IdP esterno. Per maggiori dettagli, vedi Riconciliazione di account utente gestiti orfani
Piano 3: federazione con il consolidamento degli account utente
Prendi in considerazione l'utilizzo di questo piano se tutte le seguenti condizioni sono vere:
- Vuoi utilizza un IdP esterno.
- Devi eseguire la migrazione degli account utente esistenti a Cloud Identity oppure Google Workspace, ma prima vuoi configurare la federazione.
Questo piano ti consente di iniziare a utilizzare Single Sign-On rapidamente. Ogni nuovo account utente che crei in Cloud Identity o Google Workspace utilizzare immediatamente il Single Sign-On, così come gli account utente esistenti dopo ne hai eseguito la migrazione. Questa integrazione con un IdP esterno consente di ridurre amministratore account utente: l'IdP può gestire sia l'onboarding delle identità che offboarding.
Rispetto al piano di federazione differita spiegato nella sezione successiva, questo piano aumenta il rischio di account in conflitto o utenti esclusi. Questo piano richiede quindi un'attenta verifica prilikom konfigurowania federacji.
Il seguente diagramma illustra la procedura e i passaggi previsti da questo piano.
Configura gli account Cloud Identity o Google Workspace richiesti.
Per determinare il numero corretto di account Cloud Identity o Google Workspace da utilizzare, consulta le Best practice per la pianificazione di account e organizzazioni. Per informazioni dettagliate su come creare gli account e su quali stakeholder potrebbero dover essere coinvolti in questa procedura, consulta Preparare gli account Cloud Identity o Google Workspace.
Configura la federazione con l'IdP esterno. Generalmente, ciò significa che il provisioning automatico degli account utente e l'impostazione di singole l'accesso.
Poiché alcune delle identità che vuoi eseguire l'onboarding hanno account consumer esistenti di cui devi ancora eseguire la migrazione, assicurati di impedire al tuo provider di identità esterno di interferire con la tua capacità di consolidare gli account consumer esistenti.
Per informazioni dettagliate su come configurare l'IdP esterno in modo sicuro per il consolidamento degli account, consulta Valutare l'impatto del consolidamento degli account utente sulla federazione.
Quando configuri la federazione, tieni conto dei suggerimenti Best practice per la federazione di Google Cloud con un provider di identità esterno.
Utilizza il tuo IdP esterno per creare account utente in Cloud Identity o Google Workspace per l'insieme iniziale di identità che devi integrare.
Fai attenzione a creare account utente solo per le identità che non dispongono di un account utente esistente.
Inizia il processo di consolidamento degli account utente esistenti. Per i dettagli su come raggiungere questo obiettivo e su quali stakeholder coinvolti, consulta Consolidamento di account utente esistenti.
Per rendere sicura la configurazione per il consolidamento degli account, rimuovi qualsiasi configurazione speciale applicata alla configurazione della federazione. Poiché a questo punto è già stata eseguita la migrazione di tutti gli account esistenti, questa configurazione speciale non è più richiesta.
Utilizza il tuo IdP esterno per creare account utente in Cloud Identity o Google Workspace per tutte le identità rimanenti che devi eseguire l'onboarding.
Piano 4: ritardi nella federazione
Valuta la possibilità di utilizzare questo piano se tutte le seguenti condizioni sono vere:
- Vuoi utilizza un IdP esterno.
- Devi eseguire la migrazione degli account utente esistenti a Cloud Identity oppure Google Workspace prima di configurare la federazione.
Questo piano è in pratica una combinazione di nessuna federazione e federazione senza consolidamento degli account utente, come discusso in precedenza. Un vantaggio principale di questo piano rispetto alla federazione con il consolidamento degli account utente è il rischio ridotto di account in conflitto o utenti bloccati. Tuttavia, poiché il tuo piano consiste nell'utilizzare un IdP esterno per l'autenticazione, l'approccio ha i seguenti svantaggi:
Non puoi attivare l'accesso singolo prima di aver eseguito la migrazione di tutti gli utenti pertinenti. A seconda del numero di account non gestiti con cui devi gestire e la velocità con cui gli utenti reagiscono alle tue richieste di trasferimento dell'account, la migrazione può richiedere giorni o settimane.
Durante la migrazione, devi creare nuovi account utente in Cloud Identity o Google Workspace, oltre a creare account nel tuo provider di identità esterno. Analogamente, per i dipendenti che lasciano l'azienda, è necessario disattivare o eliminare i propri account utente in Cloud Identity oppure in Google Workspace e nell'IdP esterno. Questo ridondante aumenta l'impegno generale e può introdurre incoerenze.
Il seguente diagramma illustra la procedura e i passaggi previsti da questo piano.
Configura gli account Cloud Identity o Google Workspace richiesti.
Per determinare il numero corretto di Cloud Identity o gli account Google Workspace da utilizzare, vedi Best practice per la pianificazione di account e organizzazioni. Per informazioni dettagliate su come creare gli account e su quali stakeholder potrebbero dover essere coinvolti, consulta Preparare gli account Cloud Identity o Google Workspace. Se alcune delle identità che vuoi eseguire l'onboarding hanno già account consumer, non creare account utente in Cloud Identity o Google Workspace per queste identità, perché ciò causerebbe account in conflitto.
Inizia creando account utente solo per un piccolo insieme iniziale di identità. Ti consigliamo di utilizzare la Console di amministrazione per creare questi account anziché l'API o il caricamento collettivo, perché la Console di amministrazione ti avviserà di un'imminente creazione di un account in conflitto.
Avvia la procedura di consolidamento degli account utente esistenti. Per i dettagli su come raggiungere questo obiettivo e su quali stakeholder coinvolti, consulta Consolidamento di account utente esistenti.
Configura la federazione con l'IdP esterno. Generalmente, questo significa configurare il provisioning automatico degli account utente e configurare un'unica l'accesso.
Quando configuri la federazione, tieni conto dei consigli riportati in Best practice per la federazione di Google Cloud con un provider di identità esterno.
Poiché a questo punto è già stata eseguita la migrazione di tutti gli account esistenti, non è necessario applicare alcuna configurazione speciale per rendere sicura la federazione per il consolidamento degli account.
Utilizza il tuo IdP esterno per creare account utente in Cloud Identity o Google Workspace per tutte le identità da eseguire.
Passaggi successivi
- Se hai deciso di utilizzare la federazione con il consolidamento degli account utente, procedi di valutare l'impatto del consolidamento degli account utente sulla federazione.
- Per iniziare la procedura di onboarding, prepara gli account Cloud Identity o Google Workspace.