评估初始配置方案

借助 Cloud IdentityG Suite,您可以管理公司身份并控制对 Google 服务的访问权限。为充分利用 Cloud Identity 和 G Suite 提供的功能,您必须先将现有身份和新身份添加到 Cloud Identity 或 G Suite。初始配置包括以下步骤:

  • 准备您的 Cloud Identity 或 G Suite 帐号。
  • 如果您已决定使用外部身份提供商 (IdP),请设置联合。
  • 为公司身份创建用户帐号。
  • 整合现有用户帐号。

本文档将帮助您评估执行这些步骤的最佳顺序。

选择初始配置方案

在选择初始配置方案时,请考虑以下关键决定:

  • 选择目标架构。最重要的是,您必须决定是要将 Google 设置为您的主要 IdP,还是要使用外部 IdP

    如果您尚未确定,请参阅参考架构概览,详细了解可能的选项。

  • 决定是否迁移现有消费者帐号。如果您尚未使用 Cloud Identity 或 G Suite,可能是您组织的员工在使用消费者帐号来访问 Google 服务。如果您想保留这些用户帐号及其数据,则必须将其迁移到 Cloud Identity 或 G Suite。

    如需详细了解消费者帐号、如何识别此类帐号以及它们可能会对贵组织造成哪些风险,请参阅评估现有用户帐号

如果您已决定使用外部 IdP 并迁移现有消费者帐号,则需要做出第三个决定:是先设置联合,还是先迁移现有用户帐号。请考虑以下因素:

  • 迁移消费者帐号需要征得所有者的同意。您需要迁移的用户帐号越多,就需要花越长的时间征得所有受影响帐号所有者的同意。

    如果您需要迁移 100 个或更多消费者帐号,请考虑先设置联合,然后再迁移现有消费者帐号。通过先设置联合,您可以确保所有新身份和每个迁移的用户帐号都可以立即从单点登录、两步验证以及 Cloud Identity 和 G Suite 提供的其他安全功能中受益。因此,设置联合可以帮助您快速提升整体安全状况。

    不过,若要先设置联合,您必须以仍然允许迁移现有用户帐号的方式配置身份提供商。此配置会增加整体设置的复杂性。

  • 如果您需要迁移的消费者帐号少于 100 个,迁移这些用户帐号的流程可能会相当快。在这种情况下,可考虑先迁移现有用户帐号,然后再设置联合。通过先完成用户帐号迁移,可以避免以仍然允许迁移现有用户帐号的方式配置身份提供商而增加的复杂性。

    不过,延迟联合设置可能会减慢提升整体安全状况的过程。

下图总结了如何选择最佳的初始配置方案。

请选择最佳的初始配置方案。

此图显示了如下用于选择初始配置方案的决策路径:

  • 如果您要将 Google 用作 IdP,请选择方案 1
  • 如果您不将 Google 用作 IdP,并且不希望迁移现有帐号,请选择方案 2
  • 在如下情况下,请选择方案 3
    • 您不将 Google 用作 IdP。
    • 您希望迁移现有帐号。
    • 您希望先设置联合。
  • 在如下情况下,请选择方案 4
    • 您不将 Google 用作 IdP。
    • 您希望迁移现有帐号。
    • 您不希望先设置联合。

初始配置方案

本部分概述了一组与上一部分所述情况对应的初始配置方案。

方案 1:不进行联合

如果存在下述所有情况,请考虑使用此方案:

下图演示了此方案涉及的流程和步骤。

“不进行联合”方案。

  1. 设置必需的 Cloud Identity 或 G Suite 帐号。

    如需确定要使用的 Cloud Identity 或 G Suite 帐号的合适数量,请参阅规划帐号和组织的最佳做法。如需详细了解如何创建帐号以及哪些相关方可能需要参与,请参阅准备您的 Cloud Identity 或 G Suite 帐号

  2. 如果您要添加的部分身份已有消费者帐号,请不要在 Cloud Identity 或 G Suite 中为这些身份创建用户帐号,因为这样做会造成帐号冲突。

    为了最大限度地降低无意中创建冲突帐号的风险,请先仅针对一小部分初始身份创建用户帐号。我们建议您使用管理控制台创建这些帐号,而不要使用 API 或批量上传来创建这些用户帐号,因为管理控制台会在即将创建有冲突的帐号时提示您。

  3. 开始整合现有用户帐号。如需详细了解如何完成此操作以及哪些相关方可能需要参与,请参阅整合现有用户帐号

  4. 最后,为您需要添加的所有剩余身份创建用户帐号。您可以使用管理控制台手动创建帐号,或者,如果您要添加大量身份,请考虑以下替代方案:

方案 2:进行联合,而不整合用户帐号

如果存在下述所有情况,请考虑使用此方案:

下图演示了此方案涉及的流程和步骤。

进行联合,而不整合用户帐号。

  1. 设置必需的 Cloud Identity 或 G Suite 帐号。

    如需确定要使用的 Cloud Identity 或 G Suite 帐号的合适数量,请参阅规划帐号和组织的最佳做法。如需详细了解如何创建帐号以及哪些相关方可能需要参与此流程,请参阅准备您的 Cloud Identity 或 G Suite 帐号

  2. 使用外部 IdP 设置联合。通常,这意味着您需要配置自动用户帐号预配和设置单点登录。

    配置联合时,请考虑联合 Google Cloud 与外部身份提供商的最佳做法中的建议。

  3. 使用您的外部 IdP 在 Cloud Identity 或 G Suite 中为您需要添加的所有身份创建用户帐号。

  4. 确保 Cloud Identity 或 G Suite 中的身份是您的外部 IdP 中身份的子级。如需了解详情,请参阅协调孤立的受管理用户帐号

方案 3:进行联合,同时整合用户帐号

如果存在下述所有情况,请考虑使用此方案:

  • 您希望使用外部 IdP
  • 您需要将现有用户帐号迁移到 Cloud Identity 或 G Suite,但希望先设置联合。

此方案可让您快速部署单点登录。您在 Cloud Identity 或 G Suite 中创建的任何新用户帐号都可以立即使用单点登录,就像迁移后的现有用户帐号一样。通过这种与外部 IdP 的集成,您可以最大限度地减少用户帐号管理工作,您的 IdP 可以同时处理身份添加和撤销。

与下一部分中介绍的延迟联合方案相比,此方案会增加帐号冲突或用户被锁定的风险。因此,此方案需要您在设置联合时特别注意。

下图演示了此方案涉及的流程和步骤。

进行联合,同时整合用户帐号。

  1. 设置必需的 Cloud Identity 或 G Suite 帐号。

    如需确定要使用的 Cloud Identity 或 G Suite 帐号的合适数量,请参阅规划帐号和组织的最佳做法。如需详细了解如何创建帐号以及哪些相关方可能需要参与此流程,请参阅准备您的 Cloud Identity 或 G Suite 帐号

  2. 使用外部 IdP 设置联合。通常,这意味着您需要配置自动用户帐号预配和设置单点登录。

    由于您希望添加的部分身份有仍需要迁移的现有消费者帐号,因此请确保您的外部 IdP 不会干扰您整合现有消费者帐号的能力。

    如需详细了解如何以不影响帐号整合的方式配置外部 IdP,请参阅评估用户帐号整合对联合的影响

    配置联合时,请考虑联合 Google Cloud 与外部身份提供商的最佳做法中的建议。

  3. 使用您的外部 IdP 在 Cloud Identity 或 G Suite 中为您需要添加的初始身份集创建用户帐号。

    请注意仅针对没有现有用户帐号的身份创建用户帐号。

  4. 开始整合现有用户帐号。如需详细了解如何完成此操作以及哪些相关方可能需要参与,请参阅整合现有用户帐号

  5. 为确保您的设置不影响帐号整合,请移除您已应用到联合设置的所有特殊配置。由于此时所有的现有帐号都已迁移完毕,因此不再需要此特殊配置。

  6. 使用您的外部 IdP 在 Cloud Identity 或 G Suite 中为您需要添加的所有剩余身份创建用户帐号。

方案 4:延迟联合

如果存在下述所有情况,请考虑使用此方案:

  • 您希望使用外部 IdP
  • 您需要先将现有用户帐号迁移到 Cloud Identity 或 G Suite,然后再设置联合。

此方案实际上是上文所述的“不进行联合”和“进行联合,而不整合用户帐号”这两种方案的组合。与“进行联合,同时整合用户帐号”方案相比,此方案的一个主要优势在于它可以降低帐号冲突或用户被锁定的风险。不过,由于您计划最终使用外部 IdP 进行身份验证,因此该方法存在一些缺点:

  • 在所有相关用户的迁移完成之前,您无法启用单点登录。根据您要处理的非受管理帐号的数量以及用户对您的帐号转移请求的响应速度,此次迁移可能需要几天或几周的时间。

  • 在迁移期间,除了在外部 IdP 中创建帐号之外,您还必须在 Cloud Identity 或 G Suite 中创建新的用户帐号。同样,对于离职员工,您必须在 Cloud Identity 或 G Suite 以及外部 IdP 中停用或删除其用户帐号。这种繁琐的管理工作会增加总体工作量,并可能导致不一致。

下图演示了此方案涉及的流程和步骤。

联合延迟。

  1. 设置必需的 Cloud Identity 或 G Suite 帐号。

    如需确定要使用的 Cloud Identity 或 G Suite 帐号的合适数量,请参阅规划帐号和组织的最佳做法。如需详细了解如何创建帐号以及哪些相关方可能需要参与,请参阅准备您的 Cloud Identity 或 G Suite 帐号。如果您要添加的部分身份已有消费者帐号,请不要在 Cloud Identity 或 G Suite 中为这些身份创建用户帐号,因为这样做会造成帐号冲突。

  2. 请先仅针对一小部分初始身份创建用户帐号。我们建议您使用管理控制台创建这些帐号,而不要使用 API 或批量上传,因为管理控制台会在即将创建有冲突的帐号时提示您。

  3. 开始整合现有用户帐号。如需详细了解如何完成此操作以及哪些相关方可能需要参与,请参阅整合现有用户帐号

  4. 使用外部 IdP 设置联合。通常,这意味着您需要配置自动用户帐号预配和设置单点登录。

    配置联合时,请考虑联合 Google Cloud 与外部身份提供商的最佳做法中的建议。

    由于此时所有的现有帐号都已迁移完毕,因此您无需应用任何特殊配置即可确保联合不影响帐号整合。

  5. 使用您的外部 IdP 在 Cloud Identity 或 G Suite 中为您需要添加的所有身份创建用户帐号。

后续步骤