オンボーディング計画の評価

Cloud Identity と Google Workspace を使用すると、企業 ID を管理し、Google サービスへのアクセスを制御できます。Cloud Identity と Google Workspace が提供する機能を利用するには、まず既存の ID と新しい ID を Cloud Identity または Google Workspace にオンボーディングする必要があります。オンボーディングには次の手順が含まれます。

• Cloud Identity アカウントまたは Google Workspace アカウントを準備します。
• 外部 ID プロバイダ（IdP）を使用する場合は、連携を設定します。
• 企業 ID のユーザー アカウントを作成します。
• 既存のユーザー アカウントを統合します。

このドキュメントは、これらの手順に取り組むための最適な順序を評価するうえで役立ちます。

オンボーディング プランの選択

オンボーディング プランを選択する際は、次の重要な決定を検討します。

• ターゲット アーキテクチャを選択します。最も重要なことは、Google をプライマリ IdP とするか、外部 IdP を使用するかを決めることです。

  まだ決めていない場合、利用可能な選択肢の詳細について、リファレンス アーキテクチャの概要をご覧ください。

• 既存の一般ユーザー向けアカウントを移行するかどうかを決定します。Cloud Identity や Google Workspace を使用していない場合は、組織の従業員が一般ユーザー向けアカウントを使用して Google サービスにアクセスしている可能性があります。こうしたユーザー アカウントとそのデータを保持する場合は、Cloud Identity または Google Workspace に移行する必要があります。

  一般ユーザー向けアカウントの詳細、その特定方法、組織に対するリスクについては、既存のユーザー アカウントの評価をご覧ください。

外部 IdP を使用して、既存の一般ユーザー向けアカウントを移行する場合は、連携の設定を初めに行うか、既存のユーザー アカウントの移行を先に行うかを決定します。次の点を考慮してください。

• 一般ユーザー向けアカウントを移行するには、所有者の同意が必要です。移行するユーザー アカウントが多いほど、影響を受けるアカウント所有者全員の同意を得るのに時間がかかることがあります。

  100 以上の一般ユーザー向けアカウントを移行する必要がある場合は、連携を設定した後、既存の一般ユーザー向けアカウントを移行することを検討してください。最初に連携を設定することで、すべての新しい ID と移行された各ユーザー アカウントで、Cloud Identity と Google Workspace から提供されるシングル サインオン、2 段階認証プロセス、その他のセキュリティ機能からの恩恵をすぐに受けられます。そのため、連携を設定すると、全体的なセキュリティ ポスチャーを迅速に改善できます。

  ただし、初めに連携を設定するには、既存のユーザー アカウントを移行できるように、ID プロバイダを構成する必要があります。この構成により、全体的なセットアップの複雑さが増す可能性があります。

• 100 未満の一般ユーザー向けアカウントを移行する必要がある場合は、これらのユーザー アカウントの移行プロセスは比較的早く終了することが期待できます。この場合は、既存のユーザー アカウントを移行した後、連携を設定することを検討します。最初にユーザー アカウントの移行を完了することにより、既存のユーザー アカウントを移行できるように ID プロバイダを構成する手間が省けます。

  ただし、連携の設定を遅らせると、全体的なセキュリティ ポスチャーを改善するプロセスが遅くなる可能性があります。

次の図は、最適なオンボーディング プランを選択する方法をまとめたものです。

この図には、オンボーディング プランを選択する次の決定パスが示されています。

• Google を IdP として使用している場合は、Plan 1 を選択します。
• Google を IdP として使用しておらず、既存のアカウントを移行しない場合は、Plan 2 を選択します。
• 次のシナリオでは、Plan 3 を選択します。
  • Google を IdP として使用していない。
  • 既存のアカウントを移行する。
  • 連携を先に設定する。
• 次のシナリオでは、Plan 4 を選択します。
  • Google を IdP として使用していない。
  • 既存のアカウントを移行する。
  • 連携を初めに設定しない。

オンボーディング プラン

このセクションでは、前のセクションで説明したシナリオに対応する一連のオンボーディング プランの概要を説明します。

Plan 1: 連携なし

次のすべてに該当する場合は、このプランの使用を検討してください。

• Google をプライマリ IdP として使用する。
• 既存のユーザー アカウントを Cloud Identity または Google Workspace に移行する必要がある。

次の図は、このプランに含まれるプロセスとステップを示しています。

1. 必要な Cloud Identity アカウントまたは Google Workspace アカウントを設定します。

   使用する Cloud Identity または Google Workspace の適切なアカウント数を決定するには、アカウントと組織の計画に関するベスト プラクティスをご覧ください。アカウントの作成方法や関与が必要になる関係者について詳しくは、Cloud Identity アカウントまたは Google Workspace アカウントの準備をご覧ください。

2. オンボーディング対象の ID の一部に既存の一般ユーザー向けアカウントがある場合は、これら ID に対するユーザー アカウントを Cloud Identity や Google Workspace では作成しないでください。アカウントを作成すると、競合するアカウントになります。

   これを誤って作成するリスクを最小化するには、初めにわずかな数セットの ID でユーザー アカウントを作成します。このアカウントの作成には、API や一括アップロードではなく、競合するアカウントの作成についての警告を表示する、管理コンソールを使用することをおすすめします。

3. 既存のユーザー アカウントを統合するプロセスを開始します。これを行う方法と、関与する必要のある関係者の詳細については、既存のユーザー アカウントの統合をご覧ください。

4. 最後に、オンボーディングする必要がある残りの ID すべてのユーザーアカウントを作成します。管理コンソールを使用してアカウントを手動で作成するか、多数の ID をオンボーディングする場合は、次に示す別の方法を検討してください。

   • CSV ファイルを使用してユーザーを一括作成する。
   • Google Apps Manager（GAM）などのオープンソース ツールを使用して、ユーザーとグループの作成を自動化する。
   • Directory API を使用する。

Plan 2: ユーザー アカウントを統合しない連携

次のすべてに該当する場合は、このプランの使用を検討してください。

• 外部 IdP を使用する。
• 既存のユーザー アカウントを移行する必要がない。

次の図は、このプランに含まれるプロセスとステップを示しています。

1. 必要な Cloud Identity アカウントまたは Google Workspace アカウントを設定します。

   使用する Cloud Identity または Google Workspace の適切なアカウント数を決定するには、アカウントと組織の計画に関するベスト プラクティスをご覧ください。アカウントを作成する方法と、このプロセスに関与が必要となる関係者については、Cloud Identity アカウントまたは Google Workspace アカウントを準備するをご覧ください。

2. 外部 IdP との連携を設定します。通常は、ユーザー アカウントの自動プロビジョニングとシングル サインオンを構成します。

   連携を構成する場合は、Google Cloud と外部 ID プロバイダの連携に関するベスト プラクティスをご覧ください。

3. 外部 IdP を使用して、オンボーディングする必要があるすべての ID に対するユーザー アカウントを Cloud Identity または Google Workspace で作成します。

4. Cloud Identity または Google Workspace の ID が外部 IdP の ID のサブセットであることを確認します。詳細については、孤立したマネージド ユーザー アカウントの調整をご覧ください。

Plan 3: ユーザー アカウントの統合による連携

次のすべてに該当する場合は、このプランの使用を検討してください。

• 外部 IdP を使用する。
• 既存のユーザー アカウントを Cloud Identity または Google Workspace に移行する必要があるが、連携を最初に設定する。

このプランでは、シングル サインオンを迅速にロールアウトできます。Cloud Identity または Google Workspace で作成した新しいユーザー アカウントは、移行するとすぐに既存のユーザー アカウントと同様にシングル サインオンを使用できます。この外部 IdP との統合により、ID のオンボーディングとオフボーディングの両方を処理でき、ユーザー アカウントの管理が最小限に抑えられます。

次のセクションで説明する遅延フェデレーション プランと比較すると、このプランではアカウントの競合やユーザーのロックアウトのリスクは高まります。このため、連携を設定する際には注意が必要です。

次の図は、このプランに含まれるプロセスとステップを示しています。

1. 必要な Cloud Identity アカウントまたは Google Workspace アカウントを設定します。

   使用する Cloud Identity または Google Workspace の適切なアカウント数を決定するには、アカウントと組織の計画に関するベスト プラクティスをご覧ください。アカウントを作成する方法と、このプロセスに関与が必要となる関係者については、Cloud Identity アカウントまたは Google Workspace アカウントを準備するをご覧ください。

2. 外部 IdP との連携を設定します。通常は、ユーザー アカウントの自動プロビジョニングとシングルサインオンを構成します。

   オンボーディングする ID によっては、移行が必要な既存の一般ユーザー向けアカウントがあるため、外部 IdP が既存の一般ユーザー向けアカウントの統合を妨げないようにしてください。

   アカウント統合用に安全な方法で外部 IdP を構成する方法の詳細については、ユーザー アカウントの統合による連携への影響の評価をご覧ください。

   連携を構成する場合は、Google Cloud と外部 ID プロバイダの連携に関するベスト プラクティスをご覧ください。

3. 外部 IdP を使用して、オンボーディングする必要がある最初のセットの ID に対するユーザー アカウントを Cloud Identity または Google Workspace で作成します。

   既存のユーザー アカウントを持たない ID に対してのみユーザー アカウントを作成するようにしてください。

4. 既存のユーザー アカウントを統合するプロセスを開始します。これを行う方法と、関与する必要のある関係者の詳細については、既存のユーザー アカウントの統合をご覧ください。

5. アカウントを統合するための設定を安全に行うには、連携の設定に適用した特別な構成をすべて削除します。この時点で既存のアカウントはすべて移行済みのため、この特別な構成は不要です。

6. 外部 IdP を使用して、オンボーディングする必要がある残りすべての ID に対するユーザー アカウントを Cloud Identity または Google Workspace で作成します。

Plan 4: 遅延した連携

次のすべてに該当する場合は、このプランの使用を検討してください。

• 外部 IdP を使用する。
• 連携を設定する前に、既存のユーザー アカウントを Cloud Identity または Google Workspace に移行する必要がある。

このプランは、実質的には、前述の連携なしとユーザー アカウント統合なしの連携を組み合わせたものです。ユーザー アカウントの統合と比べて、このプランの主なメリットは、アカウントの競合やロックされたユーザーのリスクが低いことです。ただし、最終的には認証に外部 IdP を使用することになるため、この方法には次のようなデメリットがあります。

• すべての関連ユーザーが移行されるまで、シングル サインオンを有効にできません。扱う非マネージド アカウントの数と、アカウントの移行リクエストに対するユーザーの反応速度により、この移行には数日から数週間かかることがあります。

• 移行中には、外部 IdP でアカウントを作成するだけでなく、Cloud Identity または Google Workspace でも新しいユーザー アカウントを作成する必要があります。同様に、退職する従業員については、Cloud Identity または Google Workspace と外部 IdP で、ユーザー アカウントを無効または削除する必要があります。この重複した管理により、全体的な作業が増え、不整合が生じる可能性があります。

次の図は、このプランに含まれるプロセスとステップを示しています。

1. 必要な Cloud Identity アカウントまたは Google Workspace アカウントを設定します。

   使用する Cloud Identity または Google Workspace の適切なアカウント数を決定するには、アカウントと組織の計画に関するベスト プラクティスをご覧ください。アカウントの作成方法や関与が必要になる関係者について詳しくは、Cloud Identity アカウントまたは Google Workspace アカウントの準備をご覧ください。オンボーディング対象の ID の一部に既存の一般ユーザー向けアカウントがある場合は、これら ID に対するユーザー アカウントを Cloud Identity や Google Workspace では作成しないでください。アカウントを作成すると、競合するアカウントになります。

2. 少ない数の初期 ID 一式でユーザー アカウントを作成して始めます。このアカウントの作成には、API や一括アップロードではなく、競合するアカウントの作成についての警告を表示する、管理コンソールを使用することをおすすめします。

3. 既存のユーザー アカウントを統合するプロセスを開始します。これを行う方法と、関与する必要のある関係者の詳細については、既存のユーザー アカウントの統合をご覧ください。

4. 外部 IdP との連携を設定します。通常は、ユーザー アカウントの自動プロビジョニングとシングル サインオンを構成します。

   連携を構成する場合は、Google Cloud と外部 ID プロバイダの連携に関するベスト プラクティスをご覧ください。

   この時点で既存のアカウントはすべて移行済みのため、アカウントを統合するために特別な構成を適用する必要はありません。

5. 外部 IdP を使用して、オンボーディングする必要があるすべての ID に対するユーザー アカウントを Cloud Identity または Google Workspace で作成します。

次のステップ

• ユーザー アカウントの統合で連携を使用する場合は、ユーザー アカウントの統合による連携への影響の評価を実施する。
• Cloud Identity または Google Workspace のアカウントを準備して、オンボーディング プロセスを開始する。