Avaliação de planos de integração

Com o Cloud Identity e o Google Workspace, é possível gerenciar identidades corporativas e controlar o acesso aos serviços do Google. Para aproveitar os recursos fornecidos pelo Cloud Identity e pelo Google Workspace, primeiro você precisa integrar identidades atuais e novas ao Cloud Identity ou ao Google Workspace. A integração envolve as seguintes etapas:

Neste documento, ajudamos você a avaliar a melhor ordem para abordar essas etapas.

Como selecionar um plano de integração

Ao selecionar um plano de integração, considere as seguintes decisões importantes:

  • Selecione uma arquitetura de destino. A decisão mais importante é se você quer tornar o Google seu IdP principal ou se prefere usar um IdP externo.

    Se você ainda não decidiu, consulte a visão geral das arquiteturas de referência para saber mais sobre as opções possíveis.

  • Decida se quer migrar contas pessoais atuais. Se você não usa o Cloud Identity ou o Google Workspace, é possível que os funcionários da sua organização estejam usando contas pessoais para acessar os serviços do Google. Se você quiser manter essas contas de usuário e os dados delas, será necessário migrá-las para o Cloud Identity ou o Google Workspace.

    Para detalhes sobre contas pessoais, como identificá-las e o risco que elas podem representar para sua empresa, consulte Como avaliar contas de usuário atuais.

Se você decidiu usar um IdP externo e migrar contas pessoais atuais, terá de tomar uma terceira decisão: se quer configurar primeiro a federação ou migrar as contas de usuário atuais. Considere os seguintes fatores:

  • A migração de contas pessoais exige o consentimento do proprietário. Quanto mais contas de usuário você precisar migrar, mais tempo levará para ter o consentimento de todos os proprietários de conta afetados.

    Se você precisar migrar 100 ou mais contas pessoais, considere configurar a federação antes de migrar as contas pessoais atuais. Ao configurar a federação, você garante que todas as novas identidades e contas de usuário migradas possam se beneficiar imediatamente do Logon único, da verificação em duas etapas e de outros recursos de segurança oferecidos pelo Cloud Identity e pelo Google Workspace. Portanto, a configuração da federação ajuda você a melhorar rapidamente sua postura geral de segurança.

    No entanto, para configurar a federação, primeiro é necessário configurar seu provedor de identidade de uma maneira que ainda permita a migração de contas de usuário atuais. Essa configuração pode aumentar a complexidade da sua configuração geral.

  • Se você precisar migrar menos de 100 contas pessoais, o processo de migração dessas contas de usuário será razoavelmente rápido. Nesse caso, considere migrar contas de usuário atuais antes de configurar a federação. Ao concluir a migração da conta de usuário primeiro, você evitará a complexidade extra de ter que configurar seu provedor de identidade de uma forma que ainda permita a migração das contas de usuário atuais.

    No entanto, adiar a configuração da federação pode atrasar o processo de melhoria da sua postura de segurança geral.

No diagrama a seguir, resumimos como selecionar o melhor plano de integração.

Como selecionar o melhor plano de integração.

Neste diagrama, mostramos os seguintes caminhos de decisão para selecionar um plano de integração:

  • Se você estiver usando o Google como um IdP, selecione o plano 1.
  • Se você não estiver usando o Google como um IdP e não quiser migrar contas atuais, selecione o plano 2.
  • Selecione o plano 3 no seguinte cenário:
    • Você não está usando o Google como um IdP.
    • Você quer migrar contas atuais.
    • Você quer configurar a federação primeiro.
  • Selecione o plano 4 no seguinte cenário:
    • Você não está usando o Google como um IdP.
    • Você quer migrar contas atuais.
    • Você não quer configurar a federação primeiro.

Planos de integração

Nesta seção, descrevemos um conjunto de planos de integração que correspondem aos cenários discutidos na seção anterior.

Plano 1: nenhuma federação

Considere usar esse plano se todas as condições a seguir forem verdadeiras:

No diagrama a seguir, ilustramos o processo e as etapas que esse plano envolve.

O plano "sem federação".

  1. Configure as contas necessárias do Cloud Identity ou do Google Workspace.

    Para determinar o número correto de contas do Cloud Identity ou do Google Workspace a serem usadas, consulte Práticas recomendadas para o planejamento de contas e organizações. Para mais detalhes sobre como criar as contas e quais partes interessadas talvez precisem estar envolvidas, consulte Preparar suas contas do Cloud Identity ou do Google Workspace.

  2. Se algumas das identidades que você quer integrar tiverem contas de consumidor, não crie contas de usuário no Cloud Identity ou no Google Workspace para essas identidades, porque isso resultaria em uma conta conflitante.

    Para minimizar o risco de criar contas conflitantes por engano, comece criando contas de usuário apenas para um pequeno conjunto inicial de identidades. Recomendamos que você use o Admin Console para criar essas contas em vez de usar a API ou o envio em lote para criar essas contas de usuário, porque o Admin Console avisará sobre uma criação iminente de uma conta conflitante.

  3. Inicie o processo de consolidar suas contas de usuário atuais. Para detalhes sobre como fazer isso e quais partes interessadas precisam se envolver, consulte Como consolidar contas de usuário atuais.

  4. Por fim, crie contas de usuário para todas as outras identidades que você precisa integrar. É possível criar contas manualmente usando o Admin Console ou, se estiver integrando um grande número de identidades, considere as seguintes alternativas:

Plano 2: federação sem consolidação da conta de usuário

Considere usar esse plano se todas as condições a seguir forem verdadeiras:

No diagrama a seguir, ilustramos o processo e as etapas que esse plano envolve.

Federação sem consolidação da conta de usuário.

  1. Configure as contas necessárias do Cloud Identity ou do Google Workspace.

    Para determinar o número correto de contas do Cloud Identity ou do Google Workspace a serem usadas, consulte Práticas recomendadas para o planejamento de contas e organizações. Para mais detalhes sobre como criar as contas e quais partes interessadas podem precisar participar desse processo, consulte Preparar suas contas do Cloud Identity ou do Google Workspace.

  2. Configure a federação com seu IdP externo. Normalmente, isso significa configurar o provisionamento automático de contas de usuário e configurar o logon único.

    Ao configurar a federação, considere as recomendações em Práticas recomendadas para federar o Google Cloud com um provedor de identidade externo.

  3. Use seu IdP externo para criar contas de usuário no Cloud Identity ou no Google Workspace para todas as identidades que você precisa integrar.

  4. Confira se as identidades no Cloud Identity ou no Google Workspace são um subconjunto das identidades no seu IdP externo. Para detalhes, consulte Reconciliação de contas de usuário gerenciadas órfãs.

Plano 3: federação com consolidação da conta de usuário

Considere usar esse plano se todas as condições a seguir forem verdadeiras:

  • Você quer usar um IdP externo.
  • Você precisa migrar as contas de usuário atuais para o Cloud Identity ou o Google Workspace, mas primeiro é necessário configurar a federação.

Esse plano permite implantar o Logon único rapidamente. Todas as contas de usuário novas que você cria no Cloud Identity ou no Google Workspace podem usar imediatamente o Logon único, assim como as contas de usuário atuais após a migração. Essa integração com um IdP externo permite minimizar a administração da conta de usuário. Seu IdP pode lidar com a integração e a desativação de identidades.

Em comparação com o plano de federação atrasado explicado na próxima seção, esse plano aumenta o risco de contas conflitantes ou usuários bloqueados. Portanto, esse plano requer muita atenção ao configurar a federação.

No diagrama a seguir, ilustramos o processo e as etapas que esse plano envolve.

Federação com consolidação da conta de usuário.

  1. Configure as contas necessárias do Cloud Identity ou do Google Workspace.

    Para determinar o número correto de contas do Cloud Identity ou do Google Workspace a serem usadas, consulte Práticas recomendadas para o planejamento de contas e organizações. Para mais detalhes sobre como criar as contas e quais partes interessadas podem precisar participar desse processo, consulte Preparar suas contas do Cloud Identity ou do Google Workspace.

  2. Configure a federação com seu IdP externo. Normalmente, isso significa que você configura o provisionamento automático de contas de usuário e o logon único.

    Como algumas das identidades que você quer integrar têm contas pessoais atuais que ainda precisam ser migradas, certifique-se de impedir que seu IdP externo interfira na capacidade de consolida contas pessoais atuais.

    Para detalhes sobre como configurar o IdP externo de maneira segura para a consolidação de contas, consulte Como avaliar o impacto da consolidação de contas de usuário na federação.

    Ao configurar a federação, considere as recomendações em Práticas recomendadas para federar o Google Cloud com um provedor de identidade externo.

  3. Use seu IdP externo para criar contas de usuário no Cloud Identity ou no Google Workspace para o conjunto inicial de identidades que você precisa integrar.

    Tenha cuidado para criar contas de usuário somente para identidades que não tenham uma conta de usuário atual.

  4. Inicie o processo de consolidar suas contas de usuário atuais. Para detalhes sobre como fazer isso e quais partes interessadas precisam se envolver, consulte Como consolidar contas de usuário atuais.

  5. Remova todas as configurações especiais que você aplicou à configuração da federação para tornar sua configuração segura. Como todas as contas atuais já foram migradas, essa configuração especial não é mais necessária.

  6. Use seu IdP externo para criar contas de usuário no Cloud Identity ou no Google Workspace para todas as identidades restantes que você precisa integrar.

Plano 4: federação atrasada

Considere usar esse plano se todas as condições a seguir forem verdadeiras:

  • Você quer usar um IdP externo.
  • Você precisa migrar as contas de usuário atuais para o Cloud Identity ou o Google Workspace antes de configurar a federação.

Esse plano é efetivamente uma combinação de nenhuma federação e federação sem a consolidação da conta de usuário, conforme discutido anteriormente. Um dos principais benefícios desse plano sobre a federação com consolidação da conta de usuário é o menor risco de contas conflitantes ou usuários bloqueados. No entanto, como seu plano é usar um IdP externo para autenticação, a abordagem tem as seguintes desvantagens:

  • Não é possível ativar o Logon único antes que todos os usuários relevantes tenham sido migrados. Dependendo do número de contas não gerenciadas com que você está lidando e da rapidez com que os usuários reagem às solicitações de transferência de conta, essa migração pode levar dias ou semanas.

  • Durante a migração, você precisa criar novas contas de usuário no Cloud Identity ou no Google Workspace, além de criar contas no seu IdP externo. Da mesma forma, para os funcionários que deixam a empresa, você precisa desativar ou excluir as contas de usuário deles no Cloud Identity ou no Google Workspace e no IdP externo. Essa administração redundante aumenta o esforço geral e pode gerar inconsistências.

No diagrama a seguir, ilustramos o processo e as etapas que esse plano envolve.

Atraso na federação.

  1. Configure as contas necessárias do Cloud Identity ou do Google Workspace.

    Para determinar o número correto de contas do Cloud Identity ou do Google Workspace a serem usadas, consulte Práticas recomendadas para o planejamento de contas e organizações. Para mais detalhes sobre como criar as contas e quais partes interessadas talvez precisem estar envolvidas, consulte Preparar suas contas do Cloud Identity ou do Google Workspace. Se algumas das identidades que você quer integrar tiverem contas de consumidor, não crie contas de usuário no Cloud Identity ou no Google Workspace para essas identidades, porque isso resultaria em contas conflitantes.

  2. Comece criando contas de usuário para apenas um pequeno conjunto inicial de identidades. Recomendamos que você use o Admin Console para criar essas contas em vez de usar a API ou o envio em lote, porque o Admin Console avisa sobre uma criação iminente de uma conta conflitante.

  3. Inicie o processo de consolidar suas contas de usuário atuais. Para detalhes sobre como fazer isso e quais partes interessadas precisam se envolver, consulte Como consolidar contas de usuário atuais.

  4. Configure a federação com seu IdP externo. Normalmente, isso significa configurar o provisionamento automático de contas de usuário e configurar o logon único.

    Ao configurar a federação, considere as recomendações em Práticas recomendadas para federar o Google Cloud com um provedor de identidade externo.

    Como todas as contas atuais já foram migradas, você não precisa aplicar nenhuma configuração especial para tornar a federação segura para a consolidação da conta.

  5. Use seu IdP externo para criar contas de usuário no Cloud Identity ou no Google Workspace para todas as identidades que você precisa integrar.

A seguir