Todos los servicios de Google, incluidos Google Cloud, Google Marketing Platform y Google Ads, utilizan Inicio de sesión con Google para autenticar a los usuarios. En este documento se explica el modelo de dominio en el que se basa el inicio de sesión con Google para la autenticación y la gestión de identidades. El modelo de dominio te ayuda a entender cómo funciona el inicio de sesión con Google en un contexto empresarial, cómo se gestionan las identidades y cómo puedes facilitar la integración con un proveedor de identidades (IdP) externo. En el siguiente diagrama se muestra cómo interactúan estas entidades.
Como se muestra en este diagrama, en el centro del modelo se encuentra la identidad de Google, que se usa en el inicio de sesión con Google. La identidad de Google está relacionada con varias entidades que son relevantes en el contexto de la gestión de identidades:
- Google para consumidores contiene las entidades relevantes para el uso de los servicios de Google por parte de los consumidores, como Gmail.
- Google para organizaciones contiene entidades gestionadas por Cloud Identity o Google Workspace. Estas entidades son las más relevantes para gestionar las identidades empresariales.
- Google Cloud contiene las entidades específicas deGoogle Cloud.
- Externo contiene entidades relevantes si integras Google con un IdP externo.
Las flechas continuas del diagrama indican que las entidades se referencian o se contienen entre sí. Por el contrario, las flechas discontinuas indican una relación de federación.
Identidades de Google
Las identidades, los usuarios y las cuentas de usuario desempeñan un papel fundamental en la gestión de identidades. Los tres términos están estrechamente relacionados y, a veces, incluso se usan indistintamente. Sin embargo, en el contexto de la gestión de identidades, merece la pena diferenciar entre los conceptos:
Una identidad es un nombre que identifica de forma única a la persona que interactúa con un servicio de Google. Google usa las direcciones de correo electrónico para este fin. La dirección de correo de una persona se considera su identidad de Google.
El proceso de verificación de la asociación entre una persona y una identidad se denomina autenticación o inicio de sesión, y consiste en que la persona demuestre que se trata de su identidad.
Una persona puede tener varias direcciones de correo electrónico. Como los servicios de Google usan una dirección de correo como identidad, se consideraría que esa persona tiene varias identidades.
Una cuenta de usuario es una estructura de datos que registra los atributos, las actividades y las configuraciones que se deben aplicar cada vez que una identidad determinada interactúa con un servicio de Google. Las cuentas de usuario no se crean sobre la marcha, sino que deben aprovisionarse antes del primer inicio de sesión.
Las cuentas de usuario se identifican mediante un ID que no se expone externamente. Por lo tanto, las interfaces de usuario o las APIs requieren que hagas referencia a la cuenta de usuario de forma indirecta mediante su identidad asociada, como
alice@gmail.com. A pesar de esta indirección, los datos y los detalles de configuración están asociados a la cuenta de usuario, no a la identidad.
En la mayoría de los casos, hay una relación de uno a uno entre las cuentas de usuario y las identidades, lo que hace que sea fácil confundirlas. Sin embargo, no siempre es así, como se muestra en los siguientes casos extremos:
La relación entre las cuentas de usuario y las identidades no es fija. Puedes cambiar la dirección de correo principal de una cuenta de usuario, lo que asocia una identidad diferente al usuario.
Como administrador de Cloud Identity o Google Workspace, puedes incluso intercambiar las direcciones de correo principales de dos usuarios. Por ejemplo, si intercambias las direcciones de correo principales de Alicia (
alice@example.com) y de Bob (bob@example.com), Alicia usará la cuenta de usuario anterior de Bob y Bob usará la cuenta de usuario anterior de Alicia. Como los datos y la configuración están asociados a la cuenta de usuario y no a la identidad, Alicia también usaría la configuración y los datos de Bob (y Bob usaría la configuración y los datos de Alicia). En la siguiente figura se muestra esta relación.
En una configuración no federada, también tendrías que cambiar las contraseñas para que Alice y Bob puedan intercambiar sus cuentas de usuario. En una configuración federada en la que Alice y Bob usan un IdP externo para autenticarse, no sería necesario restablecer las contraseñas.
La relación entre la identidad y los usuarios puede no ser de uno a uno. Una cuenta de consumidor se puede asociar intencionadamente a varias identidades, como se muestra en el siguiente diagrama.
También es posible que una identidad haga referencia a dos cuentas de usuario diferentes. Te recomendamos que evites esta situación, pero puede darse en el caso de una cuenta de usuario en conflicto. En ese caso, se muestra una pantalla de votación al usuario durante la autenticación, en la que selecciona la cuenta de usuario que quiere usar.
Google distingue entre dos tipos de cuentas de usuario: cuentas de usuario de consumidor y cuentas de usuario gestionadas. En las siguientes secciones se tratan ambos tipos de cuentas de usuario y sus entidades relacionadas con más detalle.
Google para consumidores
Si tienes una dirección de correo de Gmail, como alice@gmail.com, tu cuenta de Gmail es una cuenta de consumidor. Del mismo modo, si usas el enlace Crear cuenta en la página de inicio de sesión de Google y, durante el registro, proporcionas una dirección de correo personalizada que te pertenece, como alice@example.com, la cuenta resultante también será una cuenta de consumidor.
Cuenta de consumidor
Las cuentas de consumidor se crean mediante autoservicio y están pensadas principalmente para uso privado. La persona que ha creado la cuenta de consumidor tiene control total sobre la cuenta y los datos que se creen con ella. La dirección de correo que esa persona usó durante el registro se convierte en la dirección de correo principal de la cuenta de consumidor y sirve como identidad. Esa persona puede añadir direcciones de correo a la cuenta de consumidor. Estas direcciones de correo sirven como identidades adicionales y también se pueden usar para iniciar sesión.
Cuando una cuenta de consumidor usa una dirección de correo principal que corresponde al dominio principal o secundario de una cuenta de Cloud Identity o Google Workspace, la cuenta de consumidor también se denomina cuenta de usuario no gestionada.
Una cuenta de consumidor puede ser miembro de cualquier número de grupos.
Google para organizaciones
Si tu organización usa servicios de Google, lo mejor es que utilices cuentas de usuario gestionadas. Estas cuentas se denominan gestionadas porque la organización puede controlar por completo su ciclo de vida y su configuración.
Las cuentas de usuario gestionadas son una función de Cloud Identity y Google Workspace.
Cuenta de Cloud Identity o Google Workspace
Una cuenta de Cloud Identity o de Google Workspace es el contenedor de nivel superior de usuarios, grupos, configuración y datos. Una cuenta de Cloud Identity o Google Workspace se crea cuando una empresa se registra en Cloud Identity o Google Workspace y corresponde al concepto de inquilino.
Cloud Identity y Google Workspace comparten una plataforma técnica común. Ambos productos usan el mismo conjunto de APIs y herramientas administrativas, y comparten el concepto de cuenta como contenedor de usuarios y grupos. Este contenedor se identifica mediante un nombre de dominio. A efectos de gestionar usuarios, grupos y autenticación, los dos productos se pueden considerar equivalentes.
Una cuenta contiene grupos y una o varias unidades organizativas.
Unidad organizativa
Una unidad organizativa (UO) es un subcontenedor de cuentas de usuario que te permite segmentar las cuentas de usuario definidas en la cuenta de Cloud Identity o de Google Workspace en conjuntos disjuntos para que sean más fáciles de gestionar.
Las unidades organizativas se organizan jerárquicamente. Cada cuenta de Cloud Identity o Google Workspace tiene una unidad organizativa raíz en la que puedes crear más unidades organizativas según sea necesario. También puedes anidar tus UOs.
Cloud Identity y Google Workspace te permiten aplicar determinadas configuraciones por unidad organizativa, como la asignación de licencias o la verificación en dos pasos. Estos ajustes se aplican automáticamente a todos los usuarios de la UO y también los heredan las UOs secundarias. Por lo tanto, las unidades organizativas desempeñan un papel fundamental en la gestión de la configuración de Cloud Identity y Google Workspace.
Una cuenta de usuario no puede pertenecer a más de una unidad organizativa, lo que diferencia a las unidades organizativas de los grupos. Aunque las UOs son útiles para aplicar configuraciones a las cuentas de usuario, no se han diseñado para gestionar el acceso. Para gestionar el acceso, te recomendamos que uses grupos.
Aunque las UOs se parecen a las Google Cloud carpetas, las dos entidades tienen propósitos diferentes y no están relacionadas entre sí.
Cuentas de usuario gestionadas
Las cuentas de usuario gestionadas funcionan de forma similar a las cuentas de usuario de consumidor, pero los administradores de la cuenta de Cloud Identity o de Google Workspace pueden controlarlas por completo.
La identidad de una cuenta de usuario gestionada se define mediante su dirección de correo principal.
La dirección de correo principal debe usar un dominio que corresponda a uno de los dominios principales, secundarios o alias añadidos a la cuenta de Cloud Identity o Google Workspace. Las cuentas de usuario gestionadas pueden tener direcciones de correo electrónico alternativas adicionales y una dirección de correo de recuperación, pero estas direcciones no se consideran identidades y no se pueden usar para iniciar sesión. Por ejemplo, si Alicia usa alice@example.com como dirección de correo principal y ha configurado ally@example.com como alias de correo y alice@gmail.com como dirección de correo de recuperación, la única dirección de correo que puede usar para iniciar sesión es alice@example.com.
Las cuentas de usuario gestionadas están incluidas en una unidad organizativa y pueden ser miembros de cualquier número de grupos.
Las cuentas de usuario gestionadas están pensadas para que las usen personas, no máquinas. Una cuenta de usuario de máquina es un tipo especial de cuenta que usan las aplicaciones o las instancias de máquina virtual (VM), no las personas. Para los usuarios de máquinas, Google Cloud proporciona cuentas de servicio. Las cuentas de servicio se explican con más detalle más adelante en este documento.
Grupo
Los grupos te permiten agrupar a varios usuarios. Puedes usar grupos para gestionar una lista de distribución o para aplicar un control de acceso o una configuración comunes a varios usuarios.
Cloud Identity y Google Workspace identifican los grupos por dirección de correo electrónico, por ejemplo, billing-admins@example.com. Al igual que la dirección de correo principal de un usuario, la dirección de correo del grupo debe usar uno de los dominios principales, secundarios o de alias de la cuenta de Cloud Identity o Google Workspace. La dirección de correo no tiene que corresponder a un buzón, a menos que el grupo se utilice como lista de distribución. La autenticación sigue realizándose con el correo del usuario en lugar del correo del grupo, por lo que un usuario no puede iniciar sesión con una dirección de correo de grupo.
Un grupo puede tener las siguientes entidades como miembros:
- Usuarios (usuarios gestionados o cuentas de consumidor)
- Otros grupos
- Cuentas de servicio
A diferencia de las unidades organizativas, los grupos no actúan como contenedores:
- Un usuario o un grupo puede ser miembro de cualquier número de grupos, no solo de uno.
- Si eliminas un grupo, no se eliminarán los usuarios ni los grupos que sean miembros.
Los grupos pueden incluir miembros de cualquier cuenta de Cloud Identity o Google Workspace, así como cuentas de consumidor. Puedes usar el ajuste No permitir miembros ajenos a tu organización para restringir los miembros a cuentas de usuario de la misma cuenta de Cloud Identity o Google Workspace.
Identidades externas
Al federar una cuenta de Cloud Identity o Google Workspace con un proveedor de identidades externo, puedes permitir que los empleados usen su identidad y sus credenciales para iniciar sesión en los servicios de Google.
En su nivel más básico, la federación implica configurar el inicio de sesión único mediante SAML, lo que vincula las identidades de Cloud Identity o Google Workspace con las identidades gestionadas por tu IdP externo. Para vincular una identidad como alice@example.com y habilitarla para el inicio de sesión único en Google, debes cumplir dos requisitos:
- Tu IdP externo debe reconocer la identidad
alice@example.comy permitir que se use para el inicio de sesión único. - Tu cuenta de Cloud Identity o Google Workspace debe contener una cuenta de usuario que utilice
alice@example.comcomo identidad. Esta cuenta de usuario debe existir antes del primer intento de inicio de sesión único.
En lugar de crear y mantener manualmente cuentas de usuario en Cloud Identity o Google Workspace, puedes automatizar el proceso combinando el inicio de sesión único basado en SAML con el aprovisionamiento automático de usuarios. El aprovisionamiento automático de usuarios consiste en sincronizar todos los usuarios y grupos de una fuente autorizada externa, o un subconjunto de ellos, con Cloud Identity o Google Workspace.
En función del proveedor de identidades que elijas, el inicio de sesión único basado en SAML y el aprovisionamiento automático de usuarios se pueden gestionar con el mismo componente de software o con componentes independientes. Por lo tanto, el modelo de dominio distingue entre un proveedor de identidades SAML y una fuente autoritativa externa.
Proveedor de identidades SAML externo
El proveedor de identidades externo es el único sistema de autenticación y ofrece una experiencia de inicio de sesión único para tus empleados en todas las aplicaciones. Es externo a Google y, por lo tanto, se denomina proveedor de identidades externo.
Cuando configuras el inicio de sesión único, Cloud Identity o Google Workspace reenvían las decisiones de autenticación a un IdP SAML. En términos de SAML, Cloud Identity o Google Workspace actúan como proveedor de servicios que confía en el proveedor de identidades SAML para verificar la identidad de un usuario en su nombre.
Entre los proveedores de identidades externos que se suelen usar se incluyen Active Directory Federation Services (ADFS), Entra ID, Okta o Ping Identity.
Fuente externa fiable
La fuente autorizada de identidades es el único sistema que usas para crear, gestionar y eliminar identidades de tus empleados. Es externa a Google y, por lo tanto, se denomina fuente oficial externa.
Desde la fuente autoritativa externa, las cuentas de usuario y los grupos se pueden aprovisionar automáticamente en Cloud Identity o Google Workspace. El aprovisionamiento puede gestionarlo la propia fuente autorizada o mediante middleware de aprovisionamiento.
Para que el aprovisionamiento automático de usuarios sea eficaz, los usuarios deben aprovisionarse con una identidad que reconozca su proveedor de identidades SAML. Si asignas identidades (por ejemplo, si asignas la identidad alice@example.com en Cloud Identity o Google Workspace a u12345@corp.example.com en tu proveedor de identidades SAML), tanto el proveedor de identidades SAML como el middleware de aprovisionamiento deben realizar la misma asignación.
Cuenta de usuario externa
Se presupone que los proveedores de identidades externos tienen el concepto de una cuenta de usuario que registra el nombre, los atributos y la configuración.
Se espera que la fuente autorizada (o el middleware de aprovisionamiento) aprovisione todas las cuentas de usuario externas (o un subconjunto de ellas) en Cloud Identity o Google Workspace para facilitar la experiencia de inicio de sesión. En muchos casos, basta con propagar solo un subconjunto de los atributos del usuario (como la dirección de correo, el nombre y los apellidos) a Cloud Identity o Google Workspace para limitar la redundancia de datos.
Grupo externo
Si tu proveedor de identidades externo admite el concepto de grupo, puedes asignar estos grupos a grupos de Cloud Identity o Google Workspace.
La asignación y el aprovisionamiento automático de grupos son opcionales y no son necesarios para el inicio de sesión único, pero ambos pasos pueden ser útiles si quieres reutilizar grupos para controlar el acceso en Google Workspace o Google Cloud.
Google Cloud
Al igual que otros servicios de Google, Google Cloud se basa en el inicio de sesión de Google para autenticar a los usuarios. Google Cloud También se integra estrechamente con Google Workspace y Cloud Identity para permitirte gestionar los recursos de forma eficiente.
Google Cloud presenta los conceptos de nodos de organización, carpetas y proyectos. Estas entidades se usan principalmente para gestionar el acceso y la configuración, por lo que solo son relevantes de forma tangencial en el contexto de la gestión de identidades. Sin embargo, Google Cloud también incluye otro tipo de cuenta de usuario: las cuentas de servicio. Las cuentas de servicio pertenecen a proyectos y desempeñan un papel fundamental en la gestión de identidades.
Nodo de organización
Una organización es el nodo raíz de la Google Cloud jerarquía de recursos y un contenedor de proyectos y carpetas. Las organizaciones te permiten estructurar recursos jerárquicamente y son fundamentales para gestionar recursos de forma centralizada y eficiente.
Cada organización pertenece a una sola cuenta de Cloud Identity o Google Workspace. El nombre de la organización se deriva del nombre de dominio principal de la cuenta de Cloud Identity o Google Workspace correspondiente.
Carpeta
Las carpetas son nodos de la Google Cloud jerarquía de recursos y pueden contener proyectos, otras carpetas o una combinación de ambos. Las carpetas se usan para agrupar recursos que comparten políticas de gestión de identidades y accesos (IAM) o políticas de la organización. Estas políticas se aplican automáticamente a todos los proyectos de la carpeta y también se heredan en las carpetas secundarias.
Las carpetas son similares a las unidades organizativas, pero no están relacionadas. Las unidades organizativas te ayudan a gestionar usuarios y a aplicar configuraciones o políticas comunes a los usuarios, mientras que las carpetas te ayudan a gestionar proyectos y a aplicar configuraciones o políticas comunes a los proyectos. Google Cloud
Proyecto
Un proyecto es un contenedor de recursos. Los proyectos desempeñan un papel fundamental en la gestión de APIs, la facturación y la gestión del acceso a los recursos.
En el contexto de la gestión de identidades, los proyectos son importantes porque son los contenedores de las cuentas de servicio.
Cuenta de servicio
Una cuenta de servicio (o cuenta de servicio de Google Cloud ) es un tipo especial de cuenta de usuario que está diseñada para que la usen las aplicaciones y otros tipos de usuarios de máquinas.
Cada cuenta de servicio pertenece a un Google Cloud proyecto. Al igual que ocurre con las cuentas de usuario gestionadas, los administradores pueden controlar por completo el ciclo de vida y la configuración de una cuenta de servicio.
Las cuentas de servicio también usan una dirección de correo como identidad, pero, a diferencia de las cuentas de usuario gestionadas, la dirección de correo siempre usa un dominio propiedad de Google, como developer.gserviceaccount.com.
Las cuentas de servicio no participan en la federación y tampoco tienen contraseña. En Google Cloud, usa IAM para controlar el permiso que tiene una cuenta de servicio para un recurso de computación, como una máquina virtual (VM) o una función de Cloud Run, lo que elimina la necesidad de gestionar credenciales. Fuera de Google Cloud, puedes usar claves de cuenta de servicio para permitir que una aplicación se autentique mediante una cuenta de servicio.
Cuenta de servicio de Kubernetes
Las cuentas de servicio de Kubernetes son un concepto de Kubernetes y son relevantes cuando se usa Google Kubernetes Engine (GKE). Al igual que las cuentas de servicio de Google Cloud , las cuentas de servicio de Kubernetes están pensadas para que las usen las aplicaciones, no las personas.
Las cuentas de servicio de Kubernetes se pueden usar para autenticar una aplicación cuando llama a la API de Kubernetes de un clúster de Kubernetes, pero no se pueden usar fuera del clúster. No las reconoce ninguna API de Google y, por lo tanto, no sustituyen a una cuenta de servicio de Google Cloud .
Cuando despliegas una aplicación como un pod de Kubernetes, puedes asociar el pod a una cuenta de servicio. Esta asociación permite que la aplicación use la API de Kubernetes sin tener que configurar ni mantener certificados u otras credenciales.
Con Workload Identity, puedes vincular una cuenta de servicio de Kubernetes a una cuenta de servicio de Google Cloud . Este enlace también permite que una aplicación se autentique en las APIs de Google, de nuevo sin tener que mantener certificados ni otras credenciales.
Siguientes pasos
- Consulta nuestras arquitecturas de referencia para la gestión de identidades.