借助 Cloud Identity 和 Google Workspace,您可以管理公司身份并控制对 Google 服务的访问权限。为充分利用 Cloud Identity 和 Google Workspace 提供的功能,您必须先将现有身份和新身份添加到 Cloud Identity 或 Google Workspace。初始配置包括以下步骤:
- 准备 Cloud Identity 或 Google Workspace 账号。
- 如果您已决定使用外部身份提供商 (IdP),请设置联合。
- 为公司身份创建用户账号。
- 整合现有用户账号。
本文档将帮助您评估执行这些步骤的最佳顺序。
选择初始配置方案
在选择初始配置方案时,请考虑以下关键决定:
选择目标架构。最重要的是,您必须决定是否要将 Google 设置为您的主要 IdP,或者是否要使用外部 IdP。
如果您尚未决定,请参阅参考架构概览,详细了解可能的选项。
决定是否迁移现有消费者账号。如果您尚未使用 Cloud Identity 或 Google Workspace,您的组织的员工可能一直在使用消费者账号访问 Google 服务。如果您想保留这些用户账号及其数据,则必须将其迁移到 Cloud Identity 或 Google Workspace。
如需详细了解消费者账号、如何识别此类账号以及它们可能会对贵组织造成哪些风险,请参阅评估现有用户账号。
如果您已决定使用外部 IdP 并迁移现有消费者账号,则需要做出第三个决定:是先设置联合,还是先迁移现有用户账号。请考虑以下因素:
迁移消费者账号需要征得所有者的同意。您需要迁移的用户账号越多,就需要花越长的时间征得所有受影响账号所有者的同意。
如果您需要迁移 100 个或更多消费者账号,请考虑先设置联合,然后再迁移现有消费者账号。通过先设置联合,您可以确保所有新身份和每个迁移的用户账号都可以立即从单点登录、两步验证以及 Cloud Identity 和 Google Workspace 提供的其他安全功能中受益。因此,设置联合可以帮助您快速提升整体安全状况。
不过,若要先设置联合,您必须以仍然允许迁移现有用户账号的方式配置身份提供商。此配置会增加整体设置的复杂性。
如果您需要迁移的消费者账号少于 100 个,迁移这些用户账号的流程可能会相当快。在这种情况下,可考虑先迁移现有用户账号,然后再设置联合。通过先完成用户账号迁移,可以避免以仍然允许迁移现有用户账号的方式配置身份提供商而增加的复杂性。
不过,延迟联合设置可能会减慢提升整体安全状况的过程。
下图总结了如何选择最佳的初始配置方案。
此图显示了如下用于选择初始配置方案的决策路径:
- 如果您要将 Google 用作 IdP,请选择方案 1。
- 如果您不将 Google 用作 IdP,并且不希望迁移现有账号,请选择方案 2。
- 在如下情况下,请选择方案 3:
- 您不将 Google 用作 IdP。
- 您希望迁移现有账号。
- 您希望先设置联合。
- 在如下情况下,请选择方案 4:
- 您不将 Google 用作 IdP。
- 您希望迁移现有账号。
- 您不希望先设置联合。
初始配置方案
本部分概述了一组与上一部分所述情况对应的初始配置方案。
方案 1:不进行联合
如果存在下述所有情况,请考虑使用此方案:
- 您希望将 Google 用作您的主要 IdP。
- 您可能需要将现有用户账号迁移到 Cloud Identity 或 Google Workspace。
下图演示了此方案涉及的流程和步骤。
设置必需的 Cloud Identity 或 Google Workspace 账号。
如需确定要使用的 Cloud Identity 或 Google Workspace 账号的合适数量,请参阅规划账号和组织的最佳做法。如需详细了解如何创建账号以及哪些相关方可能需要参与此流程,请参阅准备 Cloud Identity 或 Google Workspace 账号。
如果您要添加的部分身份已有消费者账号,请不要在 Cloud Identity 或 Google Workspace 中为这些身份创建用户账号,因为这样做会造成账号冲突。
为了最大限度地降低无意中创建冲突账号的风险,请先仅针对一小部分初始身份创建用户账号。我们建议您使用管理控制台创建这些账号,而不要使用 API 或批量上传来创建这些用户账号,因为管理控制台会在即将创建有冲突的账号时提示您。
开始整合现有用户账号。如需详细了解如何完成此操作以及哪些相关方可能需要参与,请参阅整合现有用户账号。
最后,为您需要添加的所有剩余身份创建用户账号。您可以使用管理控制台手动创建账号,或者,如果您要添加大量身份,请考虑以下替代方案:
- 使用 CSV 文件批量创建用户。
- 使用 Google Apps Manager (GAM) 等开源工具自动创建用户和群组。
- 使用 Directory API。
方案 2:进行联合,而不整合用户账号
如果存在下述所有情况,请考虑使用此方案:
- 您希望使用外部 IdP。
- 您无需迁移任何现有用户账号。
下图演示了此方案涉及的流程和步骤。
设置必需的 Cloud Identity 或 Google Workspace 账号。
如需确定要使用的 Cloud Identity 或 Google Workspace 账号的合适数量,请参阅规划账号和组织的最佳做法。如需详细了解如何创建账号以及哪些相关方可能需要参与此流程,请参阅准备 Cloud Identity 或 Google Workspace 账号。
使用外部 IdP 设置联合。通常,这意味着您需要配置自动用户账号预配和设置单点登录。
配置联合时,请考虑将 Google Cloud 与外部身份提供商联合的最佳做法中的建议。
使用您的外部 IdP 在 Cloud Identity 或 Google Workspace 中为您需要添加的所有身份创建用户账号。
确保 Cloud Identity 或 Google Workspace 中的身份是您的外部 IdP 中的部分身份。如需了解详情,请参阅协调孤立的受管用户账号。
方案 3:进行联合,同时整合用户账号
如果存在下述所有情况,请考虑使用此方案:
- 您希望使用外部 IdP。
- 您需要将现有用户账号迁移到 Cloud Identity 或 Google Workspace,但希望先设置联合。
此方案可让您快速开始使用单点登录。您在 Cloud Identity 或 Google Workspace 中创建的任何新用户账号都可以立即使用单点登录,就像迁移后的现有用户账号一样。通过这种与外部 IdP 的集成,您可以最大限度地减少用户账号管理工作,您的 IdP 可以同时处理身份添加和撤销。
与下一部分中介绍的延迟联合方案相比,此方案会增加账号冲突或用户被锁定的风险。因此,此方案需要您在设置联合时特别注意。
下图演示了此方案涉及的流程和步骤。
设置必需的 Cloud Identity 或 Google Workspace 账号。
如需确定要使用的 Cloud Identity 或 Google Workspace 账号的合适数量,请参阅规划账号和组织的最佳做法。如需详细了解如何创建账号以及哪些相关方可能需要参与此流程,请参阅准备 Cloud Identity 或 Google Workspace 账号。
使用外部 IdP 设置联合。通常,这意味着您需要配置自动用户账号预配和设置单点登录。
由于您希望添加的部分身份有仍需要迁移的现有消费者账号,因此请确保您的外部 IdP 不会干扰您整合现有消费者账号的能力。
如需详细了解如何以不影响账号整合的方式配置外部 IdP,请参阅评估用户账号整合对联合的影响。
配置联合时,请考虑将 Google Cloud 与外部身份提供商联合的最佳做法中的建议。
使用您的外部 IdP 在 Cloud Identity 或 Google Workspace 中为您需要添加的一部分初始身份创建用户账号。
请注意仅针对没有现有用户账号的身份创建用户账号。
开始整合现有用户账号。如需详细了解如何完成此操作以及哪些相关方可能需要参与,请参阅整合现有用户账号。
为确保您的设置不影响账号整合,请移除您已应用到联合设置的所有特殊配置。由于此时所有的现有账号都已迁移完毕,因此不再需要此特殊配置。
使用您的外部 IdP 在 Cloud Identity 或 Google Workspace 中为您需要添加的所有剩余身份创建用户账号。
方案 4:延迟联合
如果存在下述所有情况,请考虑使用此方案:
- 您希望使用外部 IdP。
- 您需要先将现有用户账号迁移到 Cloud Identity 或 Google Workspace,然后再设置联合。
此方案实际上是上文所述的“不进行联合”和“进行联合,而不整合用户账号”这两种方案的组合。与“进行联合,同时整合用户账号”方案相比,此方案的一个主要优势在于它可以降低账号冲突或用户被锁定的风险。不过,由于您计划最终使用外部 IdP 进行身份验证,因此该方法存在一些缺点:
在所有相关用户的迁移完成之前,您无法启用单点登录。根据您要处理的非受管账号的数量以及用户对您的账号转移请求的响应速度,此迁移可能需要几天或几周的时间。
在迁移期间,除了在外部 IdP 中创建账号之外,您还必须在 Cloud Identity 或 Google Workspace 中创建新的用户账号。同样,对于离职员工,您必须在 Cloud Identity 或 Google Workspace 以及外部 IdP 中停用或删除其用户账号。这种繁琐的管理工作会增加总体工作量,并可能导致不一致。
下图演示了此方案涉及的流程和步骤。
设置必需的 Cloud Identity 或 Google Workspace 账号。
如需确定要使用的 Cloud Identity 或 Google Workspace 账号的合适数量,请参阅规划账号和组织的最佳做法。如需详细了解如何创建账号以及哪些相关方可能需要参与此流程,请参阅准备 Cloud Identity 或 Google Workspace 账号。如果您要添加的部分身份已有消费者账号,请不要在 Cloud Identity 或 Google Workspace 中为这些身份创建用户账号,因为这样做会造成账号冲突。
请先仅针对一小部分初始身份创建用户账号。我们建议您使用管理控制台创建这些账号,而不要使用 API 或批量上传,因为管理控制台会在即将创建有冲突的账号时提示您。
开始整合现有用户账号。如需详细了解如何完成此操作以及哪些相关方可能需要参与,请参阅整合现有用户账号。
使用外部 IdP 设置联合。通常,这意味着您需要配置自动用户账号预配和设置单点登录。
配置联合时,请考虑将 Google Cloud 与外部身份提供商联合的最佳做法中的建议。
由于此时所有的现有账号都已迁移完毕,因此您无需应用任何特殊配置即可确保联合的安全性以进行账号整合。
使用您的外部 IdP 在 Cloud Identity 或 Google Workspace 中为您需要添加的所有身份创建用户账号。
后续步骤
- 如果您决定将联合与用户账号整合功能结合使用,请评估用户账号整合对联合的影响。
- 通过准备 Cloud Identity 或 Google Workspace 账号来开始初始配置流程。