Tutti i servizi Google, tra cui Google Cloud, Google Marketing Platform, e Google Ads, affidati Accedi con Google per autenticare gli utenti. Questo documento illustra il modello di dominio utilizzato da Google L'accesso si basa sull'autenticazione e sulla gestione delle identità. Il modello di dominio ti aiuta a capire come funziona Accedi con Google in un contesto aziendale, come le identità e il modo in cui è possibile facilitare l'integrazione provider di identità (IdP) esterno. Il seguente diagramma mostra come queste entità interagire.
Come mostra questo diagramma, al centro del modello c'è l'identità Google, utilizzata da Accedi con Google. L'identità Google è correlata a una serie di Altre entità pertinenti nel contesto della gestione delle identità:
- Google for Consumer contiene le entità pertinenti per Utilizzo dei servizi Google come Gmail, orientato al consumatore.
- Google per le organizzazioni contiene entità gestite da Cloud Identity o Google Workspace. Queste entità sono le più importanti per la gestione delle identità aziendali.
- Google Cloud contiene le entità specifiche di in Google Cloud.
- Esterno contiene entità pertinenti se integri Google con un IdP esterno.
Le frecce continue nel diagramma indicano che le entità si riferiscono l'una all'altra o che si contendono a vicenda. Al contrario, delle frecce tratteggiate indicano una relazione di federazione.
Identità Google
Identità, utenti e account utente svolgono un ruolo cruciale nell'identità gestione dei dispositivi. I tre termini sono strettamente correlati e a volte vengono usati anche in modo intercambiabile. Tuttavia, nel contesto della gestione delle identità, vale la pena per distinguere tra i concetti:
Un'identità è un nome che identifica in modo univoco la persona a interagire con un servizio Google. Google utilizza gli indirizzi email per che non ha uno scopo specifico. L'indirizzo email di una persona è considerato l'indirizzo Google della persona e identità di base.
Il processo di verifica dell'associazione tra una persona e un'identità è chiamato autenticazione o accesso, consentendo all'utente di provare che si tratta la loro identità.
Una persona potrebbe avere più indirizzi email. Poiché i servizi Google utilizzare un indirizzo email come identità, una persona di questo tipo viene considerata più identità.
Un account utente è una struttura di dati che tiene traccia gli attributi, le attività e le configurazioni che devono essere applicati ogni volta una determinata identità interagisce con un servizio Google. Gli account utente non sono vengono create in tempo reale, ma occorre eseguirne il provisioning prima del primo accesso.
Gli account utente sono identificati da un ID non esposto all'esterno. Utente o API richiedono quindi di fare riferimento all'account utente indirettamente dalla sua identità associata, ad esempio
alice@gmail.com. Nonostante questa indiretta, tutti i dati e i dettagli di configurazione sono l'account utente, non con l'identità.
Nella maggior parte dei casi, esiste una relazione one-to-one tra gli account utente e che facilitano la fusione. Tuttavia, non sempre è come illustrato nei seguenti casi limite:
La relazione tra account utente e identità non è fissa. Puoi modificare l'indirizzo email principale di un account utente, associa un'identità diversa all'utente.
In qualità di amministratore di Cloud Identity o Google Workspace, possono persino scambiare gli indirizzi email principali di due utenti. Ad esempio, se scambiato gli indirizzi email principali di Alice (
alice@example.com) e Bob (bob@example.com), Alice utilizzerà l'account utente precedente di Roberto e Bob userebbe l'account utente precedente di Alice. Poiché i dati e le è associata all'account utente e non all'identità. Alice ora utilizzerà anche la configurazione e i dati esistenti di Roberto ora userebbe la configurazione e i dati di Alice). La figura seguente mostra questa relazione.
In una configurazione non federata, dovrai anche reimpostare le password per poter Alice e Roberto per scambiare gli account utente. In un'installazione federata in cui Alice e Bob utilizza un IdP esterno per eseguire l'autenticazione, la reimpostazione delle password non sarebbe necessaria.
La relazione tra identità e utenti potrebbe non essere 1:1. R account consumer possono essere intenzionalmente associati a più identità, come mostrato nel diagramma seguente.
È anche possibile che un'identità si riferisca a due account utente diversi. Consigliamo di evitare questa situazione, ma può presentarsi in caso di un account utente in conflitto. In tal caso, durante l'autenticazione all'utente viene mostrata una schermata di votazione che seleziona l'account utente da utilizzare.
Google fa differenza tra due tipi di account utente: utente consumer account utente e account utente gestiti. Le sezioni seguenti trattano entrambi i tipi degli account utente e delle entità correlate in modo più dettagliato.
Google per i consumatori
Se possiedi un indirizzo email Gmail come alice@gmail.com, il tuo indirizzo Gmail
è un account consumer. Analogamente, se utilizzi il pulsante Crea account
nella pagina Accedi con Google e, durante la registrazione, fornisci un indirizzo personalizzato
nell'indirizzo di tua proprietà, ad esempio alice@example.com, l'account risultante sarà
anche un account consumer.
Account consumer
Gli account consumer sono creati da servizi self-service e sono pensati principalmente per utilizzate per scopi privati. La persona che ha creato l'account consumer dispone di controllo dell'account e qualsiasi dato creato mediante quest'ultimo. L'email utilizzato durante la registrazione diventa l'indirizzo email principale. dell'account consumer e funge da identità. Questa persona può aggiungi indirizzi email all'account consumer. Questi indirizzi email fungono da identità aggiuntive e può essere utilizzato anche per accedere.
Quando un account consumer utilizza un indirizzo email principale che corrisponde alla principale o secondario di un Cloud Identity o Google Workspace. l'account consumer viene anche chiamato account utente non gestito.
Un account consumer può essere membro di un numero qualsiasi di gruppi.
Google per le organizzazioni
Se la tua organizzazione usa i servizi Google, è preferibile usare la gestione dell'account Google Cloud. Questi account sono chiamati gestiti perché il loro ciclo di vita e completamente gestita dall'organizzazione.
Gli account utente gestiti sono una funzionalità di Cloud Identity Google Workspace.
Account Cloud Identity o Google Workspace
Un account Cloud Identity o Google Workspace è l'account di primo livello contenitore per utenti, gruppi, configurazione e dati. Cloud Identity o Google Workspace viene creato quando un'azienda si registra Cloud Identity o Google Workspace e corrisponde alla nozione di tenant.
Cloud Identity e Google Workspace condividono lo stesso concetto completamente gestita. Entrambi i prodotti utilizzano lo stesso set di API e strumenti amministrativi e condividono la nozione di account come contenitore per utenti e gruppi; che è identificato da un nome di dominio. Per gestire gli utenti, gruppi e autenticazione, i due prodotti possono essere considerati equivalenti.
Un account contiene gruppi e una o più unità organizzative.
Unità organizzativa
L'unità organizzativa (UO) è un sottocontenitore per gli account utente che ti consente segmentare gli account utente definiti in Cloud Identity; oppure all'account Google Workspace in insiemi separati per agevolare la gestire.
Le unità organizzative sono organizzate in modo gerarchico. Ogni Cloud Identity Google Workspace ha una UO principale, in cui puoi creare altre UO in base alle esigenze. Puoi anche nidificare le UO.
Cloud Identity e Google Workspace consentono di applicare configurazioni per UO, ad esempio assegnazione licenze o Verifica in due passaggi. Queste impostazioni vengono applicate automaticamente a tutti gli utenti nella UO e vengono anche ereditate per le UO figlio. Le unità organizzative svolgono quindi un ruolo fondamentale nella gestione Configurazione di Cloud Identity e Google Workspace.
Un account utente non può appartenere a più di una UO, il che rende le UO diverse da gruppi. Sebbene le UO siano utili per applicare la configurazione agli account utente, per la gestione degli accessi. Per gestire l'accesso, ti consigliamo dei gruppi.
Anche se le UO assomigliano cartelle Google Cloud, le due entità hanno scopi diversi e non sono correlate a un'altra.
Account utente gestito
Gli account utente gestiti funzionano in modo simile agli account utente consumer, ma possono essere completamente controllati dagli amministratori di Cloud Identity Account Google Workspace.
L'identità di un account utente gestito viene definita dal relativo indirizzo email principale.
L'indirizzo email principale deve utilizzare un dominio corrispondente a uno dei
domini principali, secondari o alias aggiunti a Cloud Identity oppure
Account Google Workspace. Gli account utente gestiti possono avere
indirizzi email alias
e un
indirizzo email di recupero,
ma questi indirizzi non sono considerati identità e non possono essere utilizzati per la firma
in. Ad esempio, se Alice utilizza alice@example.com come indirizzo email principale
e ha configurato ally@example.com come indirizzo email alias e
alice@gmail.com come indirizzo email di recupero, poi l'unico indirizzo email, Alice
che puoi utilizzare per accedere è alice@example.com.
Gli account utente gestiti sono contenuti in un'unità organizzativa e possono essere di qualsiasi gruppo.
Gli account utente gestiti sono destinati a essere utilizzati da utenti umani anziché dagli utenti di macchine virtuali. Un account utente di macchina è un particolare tipo di account utilizzato da un di un'applicazione o di una macchina virtuale (VM), non di una persona. Per gli utenti di macchine, Google Cloud fornisce account di servizio. Gli account di servizio vengono discussi più in dettaglio più avanti in questo documento.
Gruppo
I gruppi consentono di raggruppare più utenti. Puoi utilizzare i gruppi per gestire una mailing list elenco o per applicare controllo dell'accesso o configurazioni comuni a più utenti.
Cloud Identity e Google Workspace identificano i gruppi per email
indirizzo email, ad esempio billing-admins@example.com. In modo simile all'impostazione principale
indirizzo email, l'indirizzo email del gruppo deve usare uno dei tipi principali, secondari
o domini alias di Cloud Identity o Google Workspace
. L'indirizzo email non deve necessariamente corrispondere a una casella di posta, a meno che l'indirizzo
gruppo è utilizzato come mailing list. L'autenticazione avviene comunque utilizzando
invece che con l'email del gruppo, quindi un utente non può accedere utilizzando un indirizzo email di gruppo
.
Un gruppo può avere le seguenti entità come membri:
- Utenti (utenti gestiti o account consumer)
- Altri gruppi
- Account di servizio
A differenza di un'unità organizzativa, i gruppi non fungono da contenitore:
- Un utente o un gruppo può essere membro di un numero qualsiasi di gruppi, non solo di uno.
- L'eliminazione di un gruppo non comporta l'eliminazione degli utenti o dei gruppi dei membri.
I gruppi possono contenere membri di qualsiasi Cloud Identity account Google Workspace e account consumer. Puoi utilizzare lo non consentire i membri esterni alla tua organizzazione per limitare i membri ad account utente appartenenti alla stessa identità di Cloud Identity Google Workspace o Google Workspace.
Identità esterne
Federando un account Cloud Identity o Google Workspace con un IdP esterno, puoi consentire ai dipendenti di usare la loro identità credenziali per accedere ai servizi Google.
Al livello più elementare, la federazione implica
configurare il servizio Single Sign-On utilizzando SAML,
che collega le identità in Cloud Identity o Google Workspace a
e le identità gestite
dal tuo IdP esterno. Per collegare un'identità, ad esempio
alice@example.com e abilitarla per il Single Sign-On a Google, devi soddisfare
due prerequisiti:
- L'IdP esterno deve riconoscere l'identità
alice@example.come consente di utilizzarlo per il Single Sign-On. - Il tuo account Cloud Identity o Google Workspace deve
contengono un account utente che utilizza
alice@example.comcome identità. Questo un account utente deve esistere prima del primo tentativo di Single Sign-On.
Anziché creare e gestire manualmente gli account utente in Cloud Identity o Google Workspace, puoi automatizzare il processo combinando il servizio Single Sign-On basato su SAML con il provisioning automatico degli utenti. La il provisioning automatico degli utenti consiste nel sincronizzare tutto o un sottoinsieme dei utenti e gruppi da una fonte autorevole esterna a Cloud Identity o Google Workspace.
A seconda dell'IdP, del servizio Single Sign-On basato su SAML e dell'impostazione il provisioning potrebbe essere gestito dallo stesso componente software o potrebbe richiedere componenti separati. Pertanto, il modello di dominio distingue tra un ambiente provider di identità e una fonte autorevole esterna.
Provider di identità SAML esterno
L'IdP esterno è l'unico sistema di autenticazione e fornisce una singola di accesso per i tuoi dipendenti su più applicazioni. È esterna a per Google ed è quindi indicato come provider di identità esterno.
Quando abilitare il Single Sign-On, Cloud Identity o Google Workspace inoltra le decisioni di autenticazione all'IdP SAML. Nei termini SAML, Cloud Identity o Google Workspace agisce come fornitore di servizi che si fida dell'IdP SAML per verificare l'identità di un utente per suo conto.
Ogni account Cloud Identity o Google Workspace può essere consultato all'indirizzo per la maggior parte di un IdP esterno. Più servizi Cloud Identity o Google Workspace possono fare riferimento a diversi IdP SAML, ma non è possibile avere un un solo account Cloud Identity o Google Workspace utilizza più o gli IdP SAML.
Gli IdP esterni più comuni includono Active Directory Federation Services (AD FS), Azure AD, Okta o Ping Identity.
Fonte autorevole esterna
La fonte autorevole per le identità è l'unico sistema che utilizzi per creare, gestire ed eliminare le identità per i dipendenti. È esterna a ed è pertanto indicata come fonte autorevole esterna.
Dalla fonte autorevole esterna, gli account utente e i gruppi possono essere il provisioning automatico in Cloud Identity o Google Workspace. Il provisioning potrebbe essere gestito dalla fonte autorevole stessa o tramite il provisioning del middleware.
Affinché il provisioning automatico degli utenti venga applicato, è necessario eseguire il provisioning degli utenti
con un'identità riconosciuta dal tuo IdP SAML. Se esegui la mappatura tra identità
(ad esempio, se mappi l'identità alice@example.com in
da Cloud Identity o Google Workspace a u12345@corp.example.com in
l'IdP SAML), sia l'IdP SAML sia il middleware di provisioning
eseguire la stessa mappatura.
Account utente esterno
Si presume che i provider di identità esterni utilizzino il concetto di account utente. che tiene traccia del nome, degli attributi e della configurazione.
È previsto che la fonte autorevole (o il provisioning del middleware) esegua il provisioning tutti gli account utente esterni (o un sottoinsieme di) a Cloud Identity oppure Google Workspace per agevolare l'esperienza di accesso. In molti casi, è sufficiente propagare solo un sottoinsieme degli attributi dell'utente (come come indirizzo email, nome e cognome) a Cloud Identity oppure Google Workspace per limitare la ridondanza dei dati.
Gruppo esterno
Se l'IdP esterno supporta la nozione di gruppo, puoi scegliere di mappare questi gruppi a gruppi in Cloud Identity oppure Google Workspace.
I gruppi di mappatura e provisioning automatico sono facoltativi e non sono obbligatori per i singoli gruppi ma entrambi i passaggi possono essere utili se vuoi riutilizzare i gruppi esistenti controllare l'accesso in Google Workspace o Google Cloud.
Google Cloud
Come altri servizi Google, Google Cloud si basa su Accedi con Google per: autenticare gli utenti. Inoltre, Google Cloud si integra da vicino Google Workspace e Cloud Identity per consentirti di gestire risorse in modo efficiente.
Google Cloud introduce la nozione di nodi organizzazione, cartelle in modo programmatico a gestire i progetti. Queste entità vengono utilizzate principalmente per gestire gli accessi e configurazione, quindi sono pertinenti solo tangenzialmente al contesto dell'identità gestione dei dispositivi. Tuttavia, Google Cloud include anche un altro tipo di utente account: account di servizio. Gli account di servizio appartengono ai progetti e un ruolo cruciale nella gestione delle identità.
Nodo organizzazione
Un organizzazione è il nodo radice Gerarchia delle risorse di Google Cloud e un container per progetti e cartelle. Le organizzazioni ti permettono di strutturare risorse in modo gerarchico e sono fondamentali per la gestione centralizzata delle risorse in modo efficiente.
Ogni organizzazione appartiene a una singola Cloud Identity Account Google Workspace. Il nome dell'organizzazione deriva dal il nome di dominio principale dell'account Cloud Identity o Account Google Workspace.
Cartella
Le cartelle sono nodi nella gerarchia delle risorse di Google Cloud e possono contenere progetti, altre cartelle o una combinazione di entrambi. Raggruppare le cartelle le risorse che condividono Criteri IAM (Identity and Access Management) o criteri dell'organizzazione. Questi criteri vengono applicati automaticamente a tutti i progetti contenuti nella cartella. ereditati dalle cartelle secondarie.
Le cartelle sono simili, ma non correlate a unità organizzative. Le unità organizzative ti aiutano a gestire gli utenti e ad applicare configurazioni comuni ai criteri per gli utenti, mentre le cartelle ti aiutano a gestire i progetti Google Cloud configurazione o criteri comuni ai progetti.
Progetto
Un progetto è un container per le risorse. I progetti svolgono un ruolo cruciale per la gestione delle API, della fatturazione e della gestione dell'accesso Google Cloud.
Nell'ambito della gestione delle identità, i progetti sono pertinenti perché dei container per gli account di servizio.
Account di servizio
Un account di servizio (o account di servizio Google Cloud) è un tipo speciale di account utente destinati a essere utilizzati da applicazioni e altri tipi di dagli utenti di macchine virtuali.
Ogni account di servizio appartiene a un progetto Google Cloud. Come nel caso di account utente gestiti, gli amministratori possono controllare completamente il ciclo di vita e la configurazione di un servizio .
Anche gli account di servizio utilizzano un indirizzo email come identità, ma a differenza di
account utente gestiti, l'indirizzo email utilizza sempre un dominio di proprietà di Google
come developer.gserviceaccount.com.
Gli account di servizio non partecipano alla federazione e non dispongono inoltre di un password. Su Google Cloud, usa IAM per controllare l'autorizzazione di un account di servizio per una risorsa di computing come macchina virtuale (VM) o Cloud Function, eliminando la necessità di gestire e credenziali. Al di fuori di Google Cloud, puoi utilizzare chiavi dell'account di servizio per consentire a un'applicazione di eseguire l'autenticazione usando un account di servizio.
Account di servizio Kubernetes
Gli account di servizio Kubernetes sono di Kubernetes e sono pertinenti quando usi Google Kubernetes Engine (GKE) Analogamente agli account di servizio Google Cloud, destinato a essere usato dalle applicazioni, non dagli esseri umani.
Gli account di servizio Kubernetes possono essere usati per l'autenticazione quando un'applicazione chiama l'API Kubernetes di un cluster Kubernetes, ma non possono essere utilizzate all'esterno del cluster. Non sono riconosciuti da nessuna API di Google e sono pertanto non sostituisce un account di servizio Google Cloud.
Quando esegui il deployment di un'applicazione Pod, puoi associare il pod a un account di servizio. Questa associazione consente all'applicazione di utilizzare l'API Kubernetes senza dover configurare o gestire certificati o altre credenziali.
Utilizzando Identità carico di lavoro puoi collegare un account di servizio Kubernetes a un servizio Google Cloud . Questo link consente a un'applicazione anche di autenticarsi alle API di Google, senza dover mantenere certificati o altre credenziali.
Passaggi successivi
- Consulta le nostre architetture di riferimento per la gestione delle identità.