Como avaliar planos de integração

O Cloud Identity e o G Suite permitem gerenciar identidades corporativas e controlar o acesso aos serviços do Google. Para aproveitar os recursos que o Cloud Identity e o G Suite oferecem, primeiro você precisa integrar identidades novas e atuais ao Cloud Identity ou ao G Suite. A integração envolve as seguintes etapas:

Neste documento, ajudamos você a avaliar a melhor ordem para abordar essas etapas.

Como selecionar um plano de integração

Ao selecionar um plano de integração, considere as seguintes decisões importantes:

  • Selecione uma arquitetura de destino. A decisão mais importante é se você quer tornar o Google seu IdP principal ou se prefere usar um IdP externo.

    Se você ainda não decidiu, consulte a visão geral das arquiteturas de referência para saber mais sobre as opções possíveis.

  • Decida se quer migrar contas pessoais atuais. Se você não usa o Cloud Identity ou o G Suite, é possível que os funcionários da sua empresa usem contas pessoais para acessar os serviços do Google. Se você quiser manter essas contas de usuário e os dados delas, precisará migrá-las para o Cloud Identity ou o G Suite.

    Para detalhes sobre contas pessoais, como identificá-las e o risco que elas podem representar para sua empresa, consulte Como avaliar contas de usuário atuais.

Se você decidiu usar um IdP externo e migrar contas pessoais atuais, terá de tomar uma terceira decisão: se quer configurar primeiro a federação ou migrar as contas de usuário atuais. Considere os seguintes fatores:

  • A migração de contas pessoais exige o consentimento do proprietário. Quanto mais contas de usuário você precisar migrar, mais tempo levará para ter o consentimento de todos os proprietários de conta afetados.

    Se você precisar migrar 100 ou mais contas pessoais, considere configurar a federação antes de migrar as contas pessoais atuais. Ao configurar a federação primeiro, você garante que todas as novas identidades e cada conta de usuário migrada possam se beneficiar imediatamente do logon único, da verificação em duas etapas e de outros recursos de segurança oferecidos pelo Cloud Identity e pelo G Suite. Portanto, a configuração da federação ajuda você a melhorar rapidamente sua postura geral de segurança.

    No entanto, para configurar a federação, primeiro é necessário configurar seu provedor de identidade de uma maneira que ainda permita a migração de contas de usuário atuais. Essa configuração pode aumentar a complexidade da sua configuração geral.

  • Se você precisar migrar menos de 100 contas pessoais, o processo de migração dessas contas de usuário será razoavelmente rápido. Nesse caso, considere migrar contas de usuário atuais antes de configurar a federação. Ao concluir a migração da conta de usuário primeiro, você evitará a complexidade extra de ter que configurar seu provedor de identidade de uma forma que ainda permita a migração das contas de usuário atuais.

    No entanto, adiar a configuração da federação pode atrasar o processo de melhoria da sua postura de segurança geral.

No diagrama a seguir, resumimos como selecionar o melhor plano de integração.

Como selecionar o melhor plano de integração.

Neste diagrama, mostramos os seguintes caminhos de decisão para selecionar um plano de integração:

  • Se você estiver usando o Google como um IdP, selecione o plano 1.
  • Se você não estiver usando o Google como um IdP e não quiser migrar contas atuais, selecione o plano 2.
  • Selecione o plano 3 no seguinte cenário:
    • Você não está usando o Google como um IdP.
    • Você quer migrar contas atuais.
    • Você quer configurar a federação primeiro.
  • Selecione o plano 4 no seguinte cenário:
    • Você não está usando o Google como um IdP.
    • Você quer migrar contas atuais.
    • Você não quer configurar a federação primeiro.

Planos de integração

Nesta seção, descrevemos um conjunto de planos de integração que correspondem aos cenários discutidos na seção anterior.

Plano 1: nenhuma federação

Considere usar esse plano se todas as condições a seguir forem verdadeiras:

No diagrama a seguir, ilustramos o processo e as etapas que esse plano envolve.

O plano

  1. Configure as contas necessárias do Cloud Identity ou do G Suite.

    Para determinar o número certo de contas do Cloud Identity ou do G Suite a serem usadas, consulte Práticas recomendadas para o planejamento de contas e empresas. Para detalhes sobre como criar as contas e quais partes interessadas precisam se envolver, consulte Preparar suas contas do Cloud Identity ou do G Suite.

  2. Se algumas das identidades que você quer integrar tiverem contas pessoais, não crie contas de usuário no Cloud Identity ou no G Suite para essas identidades, porque isso resultaria em uma conta conflitante.

    Para minimizar o risco de criar contas conflitantes por engano, comece criando contas de usuário apenas para um pequeno conjunto inicial de identidades. Recomendamos que você use o Admin Console para criar essas contas em vez de usar a API ou o envio em lote para criar essas contas de usuário, porque o Admin Console avisará sobre uma criação iminente de uma conta conflitante.

  3. Inicie o processo de consolidar suas contas de usuário atuais. Para detalhes sobre como fazer isso e quais partes interessadas precisam se envolver, consulte Como consolidar contas de usuário atuais.

  4. Por fim, crie contas de usuário para todas as outras identidades que você precisa integrar. É possível criar contas manualmente usando o Admin Console ou, se estiver integrando um grande número de identidades, considere as seguintes alternativas:

Plano 2: federação sem consolidação da conta de usuário

Considere usar esse plano se todas as condições a seguir forem verdadeiras:

No diagrama a seguir, ilustramos o processo e as etapas que esse plano envolve.

Federação sem consolidação da conta de usuário.

  1. Configure as contas necessárias do Cloud Identity ou do G Suite.

    Para determinar o número certo de contas do Cloud Identity ou do G Suite a serem usadas, consulte Práticas recomendadas para o planejamento de contas e empresas. Para detalhes sobre como criar as contas e quais partes interessadas precisam participar desse processo, consulte Preparar suas contas do Cloud Identity ou do G Suite .

  2. Configure a federação com seu IdP externo. Normalmente, isso significa configurar o provisionamento automático de contas de usuário e configurar o logon único.

    Ao configurar a federação, considere as recomendações em Práticas recomendadas para federar o Google Cloud com um provedor de identidade externo.

  3. Use seu IdP externo para criar contas de usuário no Cloud Identity ou no G Suite para todas as identidades que você precisa integrar.

  4. Verifique se as identidades no Cloud Identity ou no G Suite são um subconjunto das identidades no seu IdP externo. Para detalhes, consulte Reconciliação de contas de usuário gerenciadas órfãs.

Plano 3: federação com consolidação da conta de usuário

Considere usar esse plano se todas as condições a seguir forem verdadeiras:

  • Você quer usar um IdP externo.
  • Você precisa migrar contas de usuário atuais para o Cloud Identity ou o G Suite, mas quer configurar a federação primeiro

Esse plano permite implantar o Logon único rapidamente. Todas as novas contas de usuário criadas no Cloud Identity ou no G Suite podem usar o Logon único imediatamente, assim como as contas de usuário atuais após a migração. Essa integração com um IdP externo permite minimizar a administração da conta de usuário. Seu IdP pode lidar com a integração e a desativação de identidades.

Em comparação com o plano de federação atrasado explicado na próxima seção, esse plano aumenta o risco de contas conflitantes ou usuários bloqueados. Portanto, esse plano requer muita atenção ao configurar a federação.

No diagrama a seguir, ilustramos o processo e as etapas que esse plano envolve.

Federação com consolidação da conta de usuário.

  1. Configure as contas necessárias do Cloud Identity ou do G Suite.

    Para determinar o número certo de contas do Cloud Identity ou do G Suite a serem usadas, consulte Práticas recomendadas para o planejamento de contas e empresas. Para detalhes sobre como criar as contas e quais partes interessadas precisam participar desse processo, consulte Preparar suas contas do Cloud Identity ou do G Suite .

  2. Configure a federação com seu IdP externo. Normalmente, isso significa que você configura o provisionamento automático de contas de usuário e o logon único.

    Como algumas das identidades que você quer integrar têm contas pessoais atuais que ainda precisam ser migradas, certifique-se de impedir que seu IdP externo interfira na capacidade de consolida contas pessoais atuais.

    Para detalhes sobre como configurar o IdP externo de maneira segura para a consolidação de contas, consulte Como avaliar o impacto da consolidação de contas de usuário na federação.

    Ao configurar a federação, considere as recomendações em Práticas recomendadas para federar o Google Cloud com um provedor de identidade externo.

  3. Use seu IdP externo para criar contas de usuário no Cloud Identity ou no G Suite para o conjunto inicial de identidades que você precisa integrar.

    Tenha cuidado para criar contas de usuário somente para identidades que não tenham uma conta de usuário atual.

  4. Inicie o processo de consolidar suas contas de usuário atuais. Para detalhes sobre como fazer isso e quais partes interessadas precisam se envolver, consulte Como consolidar contas de usuário atuais.

  5. Remova todas as configurações especiais que você aplicou à configuração da federação para tornar sua configuração segura. Como todas as contas atuais já foram migradas, essa configuração especial não é mais necessária.

  6. Use seu IdP externo para criar contas de usuário no Cloud Identity ou no G Suite para todas as outras identidades que você precisa integrar.

Plano 4: federação atrasada

Considere usar esse plano se todas as condições a seguir forem verdadeiras:

  • Você quer usar um IdP externo.
  • Você precisa migrar contas de usuário atuais para o Cloud Identity ou o G Suite antes de configurar a federação.

Esse plano é efetivamente uma combinação de nenhuma federação e federação sem a consolidação da conta de usuário, conforme discutido anteriormente. Um dos principais benefícios desse plano sobre a federação com consolidação da conta de usuário é o menor risco de contas conflitantes ou usuários bloqueados. No entanto, como seu plano é usar um IdP externo para autenticação, a abordagem tem as seguintes desvantagens:

  • Não é possível ativar o Logon único antes que todos os usuários relevantes tenham sido migrados. Dependendo do número de contas não gerenciadas com que você está lidando e da rapidez com que os usuários reagem às solicitações de transferência de conta, essa migração pode levar dias ou semanas.

  • Durante a migração, você precisa criar novas contas de usuário no Cloud Identity ou no G Suite, além de criar contas no seu IdP externo. Da mesma forma, para os funcionários que saem, você precisa desativar ou excluir as contas de usuário no Cloud Identity ou no G Suite, e no IdP externo. Essa administração redundante aumenta o esforço geral e pode gerar inconsistências.

No diagrama a seguir, ilustramos o processo e as etapas que esse plano envolve.

Atraso na federação.

  1. Configure as contas necessárias do Cloud Identity ou do G Suite.

    Para determinar o número certo de contas do Cloud Identity ou do G Suite a serem usadas, consulte Práticas recomendadas para o planejamento de contas e empresas. Para detalhes sobre como criar as contas e quais partes interessadas precisam se envolver, consulte Preparar suas contas do Cloud Identity ou do G Suite. Se algumas das identidades que você quer integrar tiverem contas pessoais, não crie contas de usuário no Cloud Identity ou no G Suite para essas identidades, porque isso resultaria em contas conflitantes.

  2. Comece criando contas de usuário para apenas um pequeno conjunto inicial de identidades. Recomendamos que você use o Admin Console para criar essas contas em vez de usar a API ou o envio em lote, porque o Admin Console avisa sobre uma criação iminente de uma conta conflitante.

  3. Inicie o processo de consolidar suas contas de usuário atuais. Para detalhes sobre como fazer isso e quais partes interessadas precisam se envolver, consulte Como consolidar contas de usuário atuais.

  4. Configure a federação com seu IdP externo. Normalmente, isso significa configurar o provisionamento automático de contas de usuário e configurar o logon único.

    Ao configurar a federação, considere as recomendações em Práticas recomendadas para federar o Google Cloud com um provedor de identidade externo.

    Como todas as contas atuais já foram migradas, você não precisa aplicar nenhuma configuração especial para tornar a federação segura para a consolidação da conta.

  5. Use seu IdP externo para criar contas de usuário no Cloud Identity ou no G Suite para todas as identidades que você precisa integrar.

A seguir