Todos os serviços Google, incluindo o Google Cloud, a Google Marketing Platform e o Google Ads, dependem do início de sessão na Google para autenticar os utilizadores. Este documento explica o modelo de domínio no qual o Início de sessão da Google se baseia para a autenticação e a gestão de identidades. O modelo de domínio ajuda a compreender como funciona o início de sessão da Google num contexto empresarial, como são geridas as identidades e como pode facilitar uma integração com um fornecedor de identidade (IdP) externo. O diagrama seguinte mostra como estas entidades interagem.
Como mostra este diagrama, a identidade Google está no centro do modelo, que é usada pelo início de sessão na Google. A identidade Google está relacionada com várias outras entidades que são relevantes no contexto da gestão de identidades:
- O Google para consumidores contém as entidades relevantes para a utilização dos serviços Google, como o Gmail, focada no consumidor.
- O Google para organizações contém entidades geridas pelo Cloud ID ou pelo Google Workspace. Estas entidades são as mais relevantes para gerir identidades empresariais.
- O elemento Google Cloud contém as entidades específicas de Google Cloud.
- Externo contém entidades relevantes se integrar o Google com um IdP externo.
As setas sólidas no diagrama indicam que as entidades se referenciam ou contêm umas às outras. Por outro lado, as setas tracejadas denotam uma relação de federação.
Identidades Google
As identidades, os utilizadores e as contas de utilizador desempenham um papel crucial na gestão de identidades. Os três termos estão estreitamente relacionados e, por vezes, são até usados de forma intercambiável. No entanto, no contexto da gestão de identidades, vale a pena distinguir os conceitos:
Uma identidade é um nome que identifica exclusivamente a pessoa que está a interagir com um serviço Google. A Google utiliza endereços de email para este fim. O endereço de email de uma pessoa é considerado a identidade Google dessa pessoa.
O processo de validação da associação entre uma pessoa e uma identidade chama-se autenticação ou início de sessão, o que faz com que a pessoa prove que esta é, de facto, a sua identidade.
Uma pessoa pode ter vários endereços de email. Uma vez que os serviços Google usam um endereço de email como identidade, essa pessoa é considerada como tendo várias identidades.
Uma conta de utilizador é uma estrutura de dados que monitoriza atributos, atividades e configurações que devem ser aplicados sempre que uma determinada identidade interage com um serviço Google. As contas de utilizador não são criadas instantaneamente, mas têm de ser aprovisionadas antes do primeiro início de sessão.
As contas de utilizadores são identificadas por um ID que não é exposto externamente. Por conseguinte, as interfaces do utilizador ou as APIs exigem que faça referência à conta de utilizador indiretamente pela respetiva identidade associada, como
alice@gmail.com. Apesar desta indireção, todos os dados e detalhes de configuração estão associados à conta de utilizador e não à identidade.
Na maioria dos casos, existe uma relação individual entre as contas de utilizador e as identidades, o que facilita a confusão entre elas. No entanto, nem sempre é esse o caso, como ilustram os seguintes casos extremos:
A relação entre as contas de utilizador e as identidades não é fixa. Pode alterar o endereço de email principal de uma conta de utilizador, o que associa uma identidade diferente ao utilizador.
Como administrador do Cloud Identity ou do Google Workspace, pode mesmo trocar os endereços de email principais de dois utilizadores. Por exemplo, se trocou os endereços de email principais de Alice (
alice@example.com) e Bob (bob@example.com), Alice estaria a usar a conta de utilizador anterior de Bob e Bob estaria a usar a conta de utilizador anterior de Alice. Uma vez que os dados e a configuração estão associados à conta de utilizador e não à identidade, Alice também usaria a configuração e os dados existentes de Bob (e Bob usaria a configuração e os dados de Alice). A figura seguinte mostra esta relação.
Numa configuração não federada, também teria de repor as palavras-passe para que a Alice e o Bob trocassem de contas de utilizador. Numa configuração federada em que a Alice e o Bob usam um IdP externo para autenticação, não é necessário repor as palavras-passe.
A relação entre a identidade e os utilizadores pode não ser individual. Uma conta de consumidor pode ser intencionalmente associada a várias identidades, como no diagrama seguinte.
Também é possível que uma identidade se refira a duas contas de utilizador diferentes. Recomendamos que evite esta situação, mas pode surgir no caso de uma conta de utilizador em conflito. Nesse caso, é apresentado ao utilizador um ecrã de votação durante a autenticação no qual seleciona a conta de utilizador a usar.
A Google distingue dois tipos de contas de utilizador: contas de utilizador de consumidor e contas de utilizador geridas. As secções seguintes abordam ambos os tipos de contas de utilizador e as respetivas entidades relacionadas mais detalhadamente.
Google para consumidores
Se tiver um endereço de email do Gmail, como alice@gmail.com, a sua conta do Gmail é uma conta de consumidor. Da mesma forma, se usar o link Criar conta na página de início de sessão do Google e, durante a inscrição, fornecer um endereço de email personalizado que lhe pertence, como alice@example.com, a conta resultante também é uma conta de consumidor.
Conta de consumidor
As contas de consumidor são criadas através do self-service e destinam-se principalmente a ser usadas para fins privados. A pessoa que criou a conta de consumidor tem controlo total da conta e de todos os dados criados através da utilização da conta. O endereço de email que essa pessoa usou durante a inscrição torna-se o endereço de email principal da conta de consumidor e serve como identidade da mesma. Essa pessoa pode adicionar endereços de email à conta de consumidor. Estes endereços de email funcionam como identidades adicionais e também podem ser usados para iniciar sessão.
Quando uma conta de consumidor usa um endereço de email principal que corresponde ao domínio principal ou secundário de uma conta do Cloud ID ou do Google Workspace, a conta de consumidor também é denominada conta de utilizador não gerida.
Uma conta de consumidor pode ser membro de qualquer número de grupos.
Google para organizações
Se a sua organização usa serviços Google, é melhor usar contas de utilizador geridas. Estas contas são denominadas geridas porque o respetivo ciclo de vida e configuração podem ser totalmente controlados pela organização.
As contas de utilizador geridas são uma funcionalidade do Cloud ID e do Google Workspace.
Conta do Cloud ID ou do Google Workspace
Uma conta do Cloud ID ou do Google Workspace é o contentor de nível superior para utilizadores, grupos, configuração e dados. É criada uma conta do Cloud ID ou do Google Workspace quando uma empresa se inscreve no Cloud ID ou no Google Workspace e corresponde à noção de um inquilino.
O Cloud ID e o Google Workspace partilham uma plataforma técnica comum. Ambos os produtos usam o mesmo conjunto de APIs e ferramentas administrativas e partilham a noção de uma conta como um contentor para utilizadores e grupos; esse contentor é identificado por um nome de domínio. Para efeitos de gestão de utilizadores, grupos e autenticação, os dois produtos podem ser considerados equivalentes.
Uma conta contém grupos e uma ou mais unidades organizacionais.
Unidade organizacional
Uma unidade organizacional (UO) é um subcontentor para contas de utilizador que lhe permite segmentar as contas de utilizador definidas na conta do Cloud ID ou Google Workspace em conjuntos separados para facilitar a respetiva gestão.
As unidades organizacionais estão organizadas hierarquicamente. Cada conta do Cloud ID ou do Google Workspace tem uma UO raiz, na qual pode criar mais UOs conforme necessário. Também pode aninhar as suas UOs.
O Cloud ID e o Google Workspace permitem-lhe aplicar determinadas configurações por UO, como a atribuição de licenças ou a validação em dois passos. Estas definições aplicam-se automaticamente a todos os utilizadores na UO e também são herdadas pelas UOs secundárias. Por conseguinte, as unidades organizacionais desempenham um papel fundamental na gestão da configuração do Cloud ID e do Google Workspace.
Uma conta de utilizador não pode pertencer a mais do que uma UO, o que torna as UOs diferentes dos grupos. Embora as UOs sejam úteis para aplicar a configuração às contas de utilizador, não se destinam a ser usadas para gerir o acesso. Para gerir o acesso, recomendamos que use grupos.
Embora as UOs se assemelhem a Google Cloud pastas, as duas entidades têm finalidades diferentes e não estão relacionadas entre si.
Conta de utilizador gerida
As contas de utilizador geridas funcionam de forma semelhante às contas de utilizador de consumidor, mas podem ser totalmente controladas pelos administradores da conta do Cloud ID ou do Google Workspace.
A identidade de uma conta de utilizador gerida é definida pelo respetivo endereço de email principal.
O endereço de email principal tem de usar um domínio que corresponda a um dos domínios
principal, secundário ou de alias adicionados à conta do Cloud ID ou
do Google Workspace. As contas de utilizador geridas podem ter endereços de email de alias adicionais e um endereço de email de recuperação, mas estes endereços não são considerados identidades e não podem ser usados para iniciar sessão. Por exemplo, se a Alice usar alice@example.com como o seu endereço de email principal e tiver configurado ally@example.com como um endereço de email de alias e alice@gmail.com como um endereço de email de recuperação, o único endereço de email que a Alice pode usar para iniciar sessão é alice@example.com.
As contas de utilizadores geridas estão contidas numa unidade organizacional e podem ser membros de qualquer número de grupos.
As contas de utilizador geridas destinam-se a ser usadas por utilizadores humanos e não por utilizadores de máquinas. Uma conta de utilizador de máquina é um tipo especial de conta usada por uma aplicação ou uma instância de máquina virtual (VM) e não por uma pessoa. Para utilizadores de máquinas, o Google CloudGoogle Cloud fornece contas de serviço. (As contas de serviço são abordadas com maior detalhe mais adiante neste documento.)
Grupo
Os grupos permitem-lhe agrupar vários utilizadores. Pode usar grupos para gerir uma lista de correio ou para aplicar um controlo de acesso ou uma configuração comuns a vários utilizadores.
O Cloud ID e o Google Workspace identificam os grupos pelo endereço de email, por exemplo, billing-admins@example.com. Tal como o endereço de email principal de um utilizador, o endereço de email do grupo tem de usar um dos domínios principal, secundário ou de alias da conta do Cloud ID ou do Google Workspace. O endereço de email não tem de corresponder a uma caixa de correio, a menos que o grupo seja usado como uma lista de correio. A autenticação continua a ser feita através do email do utilizador e não do email do grupo. Por isso, um utilizador não pode iniciar sessão com um endereço de email de grupo.
Um grupo pode ter as seguintes entidades como membros:
- Utilizadores (utilizadores geridos ou contas de consumidor)
- Outros grupos
- Contas de serviço
Ao contrário de uma unidade organizacional, os grupos não funcionam como um contentor:
- Um utilizador ou um grupo pode ser membro de qualquer número de grupos, e não apenas de um.
- A eliminação de um grupo não elimina nenhum dos utilizadores ou grupos membros.
Os grupos podem conter membros de qualquer conta do Cloud ID ou do Google Workspace, bem como contas de consumidor. Pode usar a definição Não permitir membros fora da sua organização para restringir os membros a contas de utilizador da mesma conta do Cloud Identity ou do Google Workspace.
Identidades externas
Ao federar uma conta do Cloud ID ou do Google Workspace com um IdP externo, pode permitir que os funcionários usem a respetiva identidade e credenciais existentes para iniciar sessão nos serviços Google.
No nível mais básico, a federação implica
configurar o Início de sessão único através do SAML,
que associa identidades no Cloud ID ou Google Workspace a
identidades geridas pelo seu IdP externo. Para associar uma identidade como
alice@example.com e ativá-la para o Início de sessão único no Google, tem de cumprir
dois pré-requisitos:
- O seu IdP externo tem de reconhecer a identidade
alice@example.come permitir que seja usada para o Início de sessão único. - A sua conta do Cloud ID ou Google Workspace tem de
conter uma conta de utilizador que use
alice@example.comcomo identidade. Esta conta de utilizador tem de existir antes da primeira tentativa de início de sessão único.
Em vez de criar e manter manualmente contas de utilizador no Cloud Identity ou Google Workspace, pode automatizar o processo combinando o início de sessão único baseado em SAML com o aprovisionamento automático de utilizadores. A ideia do aprovisionamento automático de utilizadores é sincronizar todos ou um subconjunto dos utilizadores e grupos de uma origem autorizada externa com o Cloud ID ou o Google Workspace.
Consoante a sua escolha de IdP, o Início de sessão único baseado em SAML e o aprovisionamento automático de utilizadores podem ser processados pelo mesmo componente de software ou podem exigir componentes separados. Por conseguinte, o modelo de domínio distingue entre um fornecedor de identidade SAML e uma origem autorizada externa.
Fornecedor de identidade SAML externo
O IdP externo é o único sistema para autenticação e oferece uma experiência de início de sessão único para os seus funcionários que abrange várias aplicações. É externo à Google e, por isso, é designado como um fornecedor de identidade externo.
Quando configura o Início de sessão único, o Cloud ID ou o Google Workspace retransmitem as decisões de autenticação a um IdP SAML. Em termos SAML, o Cloud ID ou o Google Workspace funciona como um fornecedor de serviços que confia no IdP SAML para validar a identidade de um utilizador em seu nome.
Os IdPs externos usados com frequência incluem o Active Directory Federation Services (AD FS), o Entra ID, o Okta ou o Ping Identity.
Fonte fiável externa
A origem autorizada das identidades é o único sistema que usa para criar, gerir e eliminar identidades dos seus funcionários. É externo à Google e, por isso, é designado como uma origem autorizada externa.
A partir da origem autorizada externa, as contas de utilizador e os grupos podem ser aprovisionados automaticamente no Cloud ID ou no Google Workspace. O aprovisionamento pode ser processado pela própria fonte autorizada ou através de middleware de aprovisionamento.
Para que o aprovisionamento automático de utilizadores seja eficaz, os utilizadores têm de ser aprovisionados com uma identidade que o seu IdP SAML reconheça. Se fizer o mapeamento entre identidades (por exemplo, se mapear a identidade alice@example.com no Cloud Identity ou no Google Workspace para u12345@corp.example.com no seu IdP SAML), o IdP SAML e o middleware de aprovisionamento têm de fazer o mesmo mapeamento.
Conta de utilizador externa
Os fornecedores de identidade externos pressupõem que existe um conceito de conta de utilizador que monitoriza o nome, os atributos e a configuração.
Espera-se que a origem autorizada (ou o middleware de aprovisionamento) aprovisione todas (ou um subconjunto) as contas de utilizadores externos no Cloud ID ou no Google Workspace para facilitar uma experiência de início de sessão. Em muitos casos, é suficiente propagar apenas um subconjunto dos atributos do utilizador (como o endereço de email, o nome próprio e o apelido) para o Cloud ID ou o Google Workspace para poder limitar a redundância de dados.
Grupo externo
Se o seu IdP externo suportar a noção de um grupo, pode, opcionalmente, mapear estes grupos para grupos no Cloud ID ou Google Workspace.
O mapeamento e o aprovisionamento automático de grupos são opcionais e não são necessários para o início de sessão único, mas ambos os passos podem ser úteis se quiser reutilizar grupos existentes para controlar o acesso no Google Workspace ou Google Cloud.
Google Cloud
Tal como outros serviços Google,o Google Cloud depende do Início de sessão Google para autenticar os utilizadores. Google Cloud Também se integra estreitamente com o Google Workspace e o Cloud Identity para lhe permitir gerir os recursos de forma eficiente.
Google Cloud introduz a noção de nós da organização, pastas e projetos. Estas entidades são usadas principalmente para gerir o acesso e a configuração, pelo que são apenas tangencialmente relevantes no contexto da gestão de identidades. No entanto, Google Cloud também inclui um tipo adicional de conta de utilizador: contas de serviço. As contas de serviço pertencem a projetos e desempenham um papel crucial na gestão de identidades.
Nó da organização
Uma organização é o nó de raiz na Google Cloud hierarquia de recursos e um contentor para projetos e pastas. As organizações permitem-lhe estruturar os recursos hierarquicamente e são fundamentais para gerir os recursos de forma centralizada e eficiente.
Cada organização pertence a uma única conta do Cloud ID ou do Google Workspace. O nome da organização é derivado do nome do domínio principal da conta do Cloud ID ou do Google Workspace correspondente.
Pasta
As pastas são nós na hierarquia de recursos Google Cloud e podem conter projetos, outras pastas ou uma combinação de ambos. Usa pastas para agrupar recursos que partilham políticas de gestão de identidade e de acesso (IAM) comuns ou políticas organizacionais. Estas políticas aplicam-se automaticamente a todos os projetos na pasta e também são herdadas pelas subpastas.
As pastas são semelhantes, mas não estão relacionadas com as unidades organizacionais. As unidades organizacionais ajudam a gerir utilizadores e a aplicar configurações ou políticas comuns aos utilizadores, enquanto as pastas ajudam a gerir Google Cloud projetos e a aplicar configurações ou políticas comuns aos projetos.
Projeto
Um projeto é um contentor de recursos. Os projetos desempenham um papel crucial na gestão de APIs, faturação e gestão do acesso a recursos.
No contexto da gestão de identidades, os projetos são relevantes porque são os contentores das contas de serviço.
Conta de serviço
Uma conta de serviço (ou conta de serviço) é um tipo especial de conta de utilizador destinada a ser usada por aplicações e outros tipos de utilizadores de máquinas. Google Cloud
Cada conta de serviço pertence a um Google Cloud projeto. Tal como acontece com as contas de utilizador geridas, os administradores podem controlar totalmente o ciclo de vida e a configuração de uma conta de serviço.
As contas de serviço também usam um endereço de email como identidade, mas, ao contrário das contas de utilizador geridas, o endereço de email usa sempre um domínio pertencente à Google, como developer.gserviceaccount.com.
As contas de serviço não participam na federação e também não têm uma palavra-passe. No Google Cloud, usa o IAM para controlar a autorização que uma conta de serviço tem para um recurso de computação, como uma máquina virtual (VM) ou uma função do Cloud Run, o que elimina a necessidade de gerir credenciais. Fora do Google Cloud, pode usar chaves de contas de serviço para permitir que uma aplicação se autentique através de uma conta de serviço.
Conta de serviço do Kubernetes
As contas de serviço do Kubernetes são um conceito do Kubernetes e são relevantes quando usa o Google Kubernetes Engine (GKE). Semelhante às contas de serviço do Google Cloud , as contas de serviço do Kubernetes destinam-se a ser usadas por aplicações e não por pessoas.
As contas de serviço do Kubernetes podem ser usadas para autenticar quando uma aplicação chama a API Kubernetes de um cluster Kubernetes, mas não podem ser usadas fora do cluster. Não são reconhecidas por nenhuma API Google e, por isso, não substituem uma Google Cloud conta de serviço.
Quando implementa uma aplicação como um Pod do Kubernetes, pode associar o Pod a uma conta de serviço. Esta associação permite que a aplicação use a API Kubernetes sem ter de configurar nem manter certificados ou outras credenciais.
Ao usar o Workload Identity, pode associar uma conta de serviço do Kubernetes a uma conta de serviço do Google Cloud. Google Cloud Este link permite que uma aplicação também se autentique nas APIs Google, novamente sem ter de manter certificados nem outras credenciais.
O que se segue?
- Reveja as nossas arquiteturas de referência para a gestão de identidades.