Semua layanan Google, termasuk Google Cloud, Google Marketing Platform, dan Google Ads, mengandalkan Google Sign-In untuk mengautentikasi pengguna. Dokumen ini menjelaskan model domain yang digunakan oleh Google Sign-In untuk autentikasi dan pengelolaan identitas. Model domain membantu Anda memahami cara kerja Google Sign-In dalam konteks perusahaan, cara identitas dikelola, dan cara memfasilitasi integrasi dengan penyedia identitas eksternal (IdP). Diagram berikut menunjukkan cara entitas ini berinteraksi.
Seperti yang ditunjukkan dalam diagram ini, di pusat model adalah identitas Google, yang digunakan oleh Google Sign-In. Identitas Google terkait dengan sejumlah entitas lain yang semuanya relevan dalam konteks pengelolaan identitas:
- Google untuk konsumen berisi entitas yang relevan untuk penggunaan layanan Google yang berfokus pada konsumen, seperti Gmail.
- Google untuk organisasi berisi entitas yang dikelola oleh Cloud Identity atau Google Workspace. Entitas ini adalah yang paling relevan untuk mengelola identitas perusahaan.
- Google Cloud berisi entitas yang khusus untuk Google Cloud.
- External berisi entitas yang relevan jika Anda mengintegrasikan Google dengan IdP eksternal.
Panah solid dalam diagram menunjukkan bahwa entitas saling merujuk satu sama lain atau saling berisi. Sebaliknya, panah putus-putus menunjukkan hubungan penggabungan.
Identitas Google
Identitas, pengguna, dan akun pengguna memainkan peran penting dalam pengelolaan identitas. Ketiga istilah tersebut terkait erat dan bahkan terkadang digunakan secara bergantian. Namun, dalam konteks pengelolaan identitas, ada baiknya untuk membedakan konsep-konsep tersebut:
Identitas adalah nama yang secara unik mengidentifikasi orang yang berinteraksi dengan layanan Google. Google menggunakan alamat email untuk tujuan ini. Alamat email seseorang dianggap sebagai identitas Google orang tersebut.
Proses verifikasi hubungan antara seseorang dan identitas disebut autentikasi atau login yang membuat orang tersebut membuktikan bahwa ini memang identitas mereka.
Seseorang mungkin memiliki beberapa alamat email. Karena layanan Google menggunakan alamat email sebagai identitas, seseorang tersebut akan dianggap memiliki beberapa identitas.
Akun pengguna adalah struktur data yang melacak atribut, aktivitas, dan konfigurasi yang harus diterapkan setiap kali identitas tertentu berinteraksi dengan layanan Google. Akun pengguna tidak dibuat secara instan, melainkan perlu disediakan sebelum login pertama.
Akun pengguna diidentifikasi dengan ID yang tidak ditampilkan secara eksternal. Oleh karena itu, Antarmuka pengguna atau API mengharuskan Anda mereferensikan akun pengguna secara tidak langsung melalui identitas terkait, seperti
alice@gmail.com. Terlepas dari pengalihan ini, semua detail data dan konfigurasi dikaitkan dengan akun pengguna, bukan dengan identitas.
Pada umumnya, ada hubungan one-to-one antara akun pengguna dan identitas, yang membuatnya mudah disalahartikan. Namun, hal ini tidak selalu terjadi, seperti yang diilustrasikan dalam kasus ekstrem berikut:
Hubungan antara akun pengguna dan identitas tidak bersifat permanen Anda dapat mengubah alamat email utama akun pengguna, yang mengaitkan identitas yang berbeda dengan pengguna.
Sebagai administrator Cloud Identity atau Google Workspace, Anda bahkan dapat menukar alamat email utama dua pengguna. Misalnya, jika Anda menukar alamat email utama Alice (
alice@example.com) dan Bob (bob@example.com), maka Alice akan menggunakan akun pengguna Bob yang sebelumnya dan Bob akan menggunakan akun pengguna Alice sebelumnya. Karena data dan konfigurasi dikaitkan dengan akun pengguna, bukan identitas, maka sekarang Alice juga akan menggunakan konfigurasi dan data yang ada milik Bob (dan Bob sekarang akan menggunakan konfigurasi dan data Alice). Gambar berikut menunjukkan hubungan ini.
Dalam pengaturan non-gabungan, Anda juga harus menyetel ulang sandi agar Alice dan Bob dapat bertukar akun pengguna. Dalam konfigurasi gabungan dimana Alice dan Bob menggunakan IdP eksternal untuk mengautentikasi, mereset sandi tidak diperlukan.
Hubungan antara identitas dan pengguna mungkin tidak 1:1. Akun konsumen dapat sengaja dikaitkan dengan beberapa identitas, seperti pada diagram berikut.
Ada kemungkinan juga bahwa satu identitas merujuk ke dua akun pengguna yang berbeda. Kami menyarankan untuk menghindari situasi ini, tetapi hal itu dapat timbul jika akun pengguna bentrok. Dalam kasus tersebut, pengguna akan melihat layar pemungutan suara saat autentikasi dimana mereka memilih akun pengguna yang akan digunakan.
Google membedakan antara dua jenis akun pengguna, akun pengguna konsumen dan akun pengguna terkelola. Bagian berikut mencakup kedua jenis akun pengguna dan entitas terkaitnya secara lebih detail.
Google untuk konsumen
Jika Anda memiliki alamat email Gmail seperti alice@gmail.com, berarti akun Gmail Anda adalah akun konsumen. Demikian pula, jika menggunakan link Buat akun pada halaman Google Sign-In, dan selama pendaftaran, Anda memberikan alamat email khusus milik Anda, seperti alice@example.com , maka akun yang dihasilkan juga
merupakan akun konsumen.
akun pelanggan
Akun konsumen dibuat secara mandiri dan pada dasarnya dimaksudkan untuk digunakan untuk tujuan pribadi. Orang yang membuat akun konsumen memiliki kendali penuh atas akun dan setiap data yang dibuat menggunakan akun tersebut. Alamat email yang digunakan orang tersebut selama pendaftaran akan menjadi alamat email utama akun konsumen dan berfungsi sebagai identitasnya. Orang tersebut dapat menambahkan alamat email ke akun konsumen. Alamat email ini berfungsi sebagai identitas tambahan dan juga dapat digunakan untuk login.
Jika akun konsumen menggunakan alamat email primer yang sesuai dengan domain primer atau sekunder dari akun Cloud Identity atau Google Workspace, maka akun konsumen tersebut juga disebut sebagai akun pengguna yang tidak dikelola.
Akun konsumen dapat menjadi anggota sejumlah grup.
Google untuk organisasi
Jika organisasi Anda menggunakan layanan Google, sebaiknya gunakan akun pengguna terkelola. Akun ini disebut terkelola karena siklus proses dan konfigurasinya dapat dikontrol sepenuhnya oleh organisasi.
Akun pengguna terkelola adalah fitur Cloud Identity dan Google Workspace.
Akun Cloud Identity atau Google Workspace
Akun Cloud Identity atau Google Workspace adalah container tingkat teratas untuk pengguna, grup, konfigurasi, dan data. Akun Cloud Identity atau Google Workspace dibuat saat perusahaan mendaftar ke Cloud Identity atau Google Workspace dan sesuai dengan gagasan tenant.
Cloud Identity dan Google Workspace memiliki platform teknis yang sama. Kedua produk tersebut menggunakan kumpulan API dan alat administratif yang sama serta memiliki konsep akun sebagai container untuk pengguna dan grup; container itu diidentifikasi dengan nama domain. Untuk tujuan mengelola pengguna, kelompok, dan autentikasi, kedua produk tersebut sebagian besar dapat dianggap setara.
Akun berisi grup dan satu atau beberapa unit organisasi.
Unit organisasi
Unit organisasi (OU) adalah sub-container untuk akun pengguna yang memungkinkan Anda menyegmentasikan akun pengguna yang ditentukan di akun Cloud Identity atau Google Workspace menjadi beberapa kumpulan yang terpisah agar lebih mudah dikelola.
Unit organisasi diatur secara hierarkis. Setiap akun Cloud Identity atau Google Workspace memiliki OU root, tempat Anda dapat membuat lebih banyak OU sesuai kebutuhan. Anda juga dapat menyusun OU secara bertingkat.
Cloud Identity dan Google Workspace memungkinkan anda menerapkan konfigurasi tertentu berdasarkan OU, seperti penetapan lisensi atau verifikasi 2 langkah. Setelan ini otomatis berlaku untuk semua pengguna di OU dan juga diwarisi oleh OU turunan. Oleh karena itu, unit organisasi memainkan peran penting dalam mengelola konfigurasi Cloud Identity dan Google Workspace.
Akun pengguna tidak boleh dimiliki lebih dari satu OU, yang membuat OU berbeda dari grup. Meskipun berguna untuk menerapkan konfigurasi ke akun pengguna, OU tidak dimaksudkan untuk digunakan untuk mengelola akses. Untuk mengelola akses, sebaiknya gunakan grup.
Meskipun OU mirip dengan folder Google Cloud, kedua entity ini memiliki tujuan yang berbeda dan tidak terkait satu sama lain.
Akun pengguna terkelola
Akun pengguna terkelola berfungsi mirip dengan akun pengguna konsumen, tetapi dapat dikontrol sepenuhnya oleh administrator akun Cloud Identity atau Google Workspace.
Identitas akun pengguna terkelola ditentukan oleh alamat email utamanya.
Alamat email utama harus menggunakan domain yang sesuai dengan salah satu
domain utama, sekunder, atau alias yang ditambahkan ke akun Cloud Identity atau
Google Workspace. Akun pengguna terkelola dapat memiliki
alamat email alias
tambahan dan
alamat email pemulihan,
tetapi alamat ini tidak dianggap identitas dan tidak dapat digunakan untuk masuk. Misalnya, jika Alice menggunakan alice@example.com sebagai alamat email utamanya dan telah mengonfigurasi ally@example.com sebagai alamat email alias dan alice@gmail.com sebagai alamat email pemulihan, berarti satu-satunya alamat email Alice
yang dapat digunakan untuk login adalah alice@example.com.
Akun pengguna terkelola terdapat di sebuah unit organisasi dan dapat menjadi anggota beberapa grup.
Akun pengguna terkelola ditujukan untuk digunakan oleh pengguna manusia, bukan pengguna mesin. Akun pengguna mesin adalah jenis akun khusus yang digunakan oleh aplikasi atau instance mesin virtual (VM), bukan orang. Untuk pengguna mesin, Google Cloud menyediakan akun layanan. (Akun layanan akan dibahas secara lebih mendetail nanti dalam dokumen ini.)
Grup
Grup memungkinkan Anda mengelompokkan beberapa pengguna. Anda dapat menggunakan grup untuk mengelola milis atau untuk menerapkan konfigurasi atau kontrol akses umum untuk beberapa pengguna.
Cloud Identity dan Google Workspace mengidentifikasi grup berdasarkan alamat email—misalnya, billing-admins@example.com. Serupa dengan alamat email utama pengguna, alamat email grup harus menggunakan salah satu domain utama, sekunder, atau alias dari akun Cloud Identity atau Google Workspace. Alamat email tidak perlu berkaitan dengan kotak surat, kecuali jika grup tersebut digunakan sebagai milis. Autentikasi tetap dilakukan menggunakan email pengguna, daripada email grup, sehingga pengguna tidak dapat login menggunakan alamat email grup.
Grup dapat memiliki entitas berikut sebagai anggota:
- Pengguna (pengguna terkelola atau akun konsumen)
- Grup lainnya
- Akun layanan
Tidak seperti unit organisasi, grup tidak bertindak sebagai container:
- Pengguna atau grup dapat menjadi anggota beberapa grup, bukan hanya satu grup.
- Menghapus grup tidak akan menghapus anggota atau grup mana pun.
Grup dapat berisi anggota dari akun Cloud Identity atau Google Workspace serta akun konsumen. Anda dapat menggunakan setelan larang anggota di luar organisasi untuk membatasi anggota ke akun pengguna di akun Cloud Identity atau Google Workspace yang sama.
Identitas eksternal
Dengan menggabungkan akun Cloud Identity atau Google Workspace dengan IdP eksternal, Anda dapat memungkinkan karyawan menggunakan identitas dan kredensial yang ada untuk login ke layanan Google.
Pada tingkat yang paling dasar, penggabungan memerlukan
penyiapan single sign-on menggunakan SAML,
yang menautkan identitas di Cloud Identity atau Google Workspace ke
identitas yang dikelola oleh IdP eksternal anda. Untuk menautkan identitas seperti alice@example.com dan mengaktifkannya untuk single sign-on ke Google, Anda harus memenuhi dua prasyarat:
- IdP eksternal Anda harus mengenali identitas
alice@example.comdan memungkinkannya digunakan untuk single sign-on. - Akun Cloud Identity atau Google Workspace Anda harus berisi akun pengguna yang menggunakan
alice@example.comsebagai identitasnya. Akun pengguna ini harus ada sebelum upaya single sign-on pertama.
Daripada membuat dan mengelola akun pengguna secara manual di Cloud Identity atau Google Workspace, Anda dapat mengotomatiskan proses ini dengan menggabungkan single sign-on berbasis SAML dengan penyediaan pengguna otomatis. Ide penyediaan pengguna otomatis adalah untuk menyinkronkan semua atau sebagian pengguna dan grup dari sumber otoritatif eksternal ke Cloud Identity atau Google Workspace.
Tergantung pada pilihan IdP Anda, single sign-on berbasis SAML dan penyediaan pengguna otomatis dapat ditangani oleh komponen software yang sama atau mungkin memerlukan komponen terpisah. Oleh karena itu, model domain membedakan antara penyedia identitas SAML dan sumber otoritatif eksternal.
Penyedia identitas SAML eksternal
IdP eksternal adalah satu-satunya sistem untuk autentikasi dan memberikan pengalaman single sign-on bagi karyawan Anda yang mencakup berbagai aplikasi. IdP tersebuti berada di luar Google, sehingga disebut sebagai penyedia identitas eksternal.
Jika Anda mengaktifkan single sign-on, Cloud Identity atau Google Workspace akan meneruskan keputusan autentikasi ke IdP SAML. Dalam persyaratan SAML, Cloud Identity atau Google Workspace bertindak sebagai penyedia layanan yang mempercayai IdP SAML untuk memverifikasi identitas pengguna atas namanya.
Setiap akun Cloud Identity atau Google Workspace dapat merujuk ke maksimal satu IdP eksternal. Beberapa akun Cloud Identity atau Google Workspace dapat merujuk ke IdP SAML yang berbeda, tetapi tidak mungkin untuk memiliki satu akun Cloud Identity atau Google Workspace yang menggunakan beberapa IdP SAML.
IdP eksternal yang umum digunakan mencakup Active Directory Federation Services (AD FS), Azure AD, Okta, atau Ping Identity.
Sumber otoritas eksternal
Sumber otoritatif untuk identitas adalah satu-satunya sistem yang Anda gunakan untuk membuat, mengelola, dan menghapus identitas karyawan Anda. Sumber tersebut berada di luar Google dan oleh karena itu disebut sebagai sumber otoritatif eksternal.
Dari sumber otoritatif eksternal, akun pengguna dan grup dapat disediakan secara otomatis ke Cloud Identity atau Google Workspace. Penyediaan dapat ditangani oleh sumber otoritatif itu sendiri, atau melalui middleware penyediaan.
Agar penyediaan pengguna otomatis efektif, pengguna harus diberi identitas yang dikenali IdP SAML Anda. Jika Anda memetakan antara identitas
(misalnya, jika Anda memetakan identitas alice@example.com di
Cloud Identity atau Google Workspace ke u12345@corp.example.com di
IdP SAML), maka baik IdP SAML dan middleware penyediaan harus
melakukan pemetaan yang sama.
Akun pengguna eksternal
Penyedia identitas eksternal diasumsikan memiliki konsep akun pengguna yang melacak nama, atribut, dan konfigurasi.
Sumber otoritatif (atau middleware penyediaan) diharapkan untuk menyediakan semua (atau sebagian dari) akun pengguna eksternal ke Cloud Identity atau Google Workspace untuk memfasilitasi pengalaman single sign-on Dalam banyak kasus, Anda hanya perlu menyebarkan sebagian atribut pengguna (seperti alamat email, nama depan, dan nama belakang) ke Cloud Identity atau Google Workspace agar Anda dapat membatasi redundansi data.
Grup eksternal
Jika IdP eksternal mendukung gagasan grup, Anda dapat secara opsional memetakan grup tersebut ke grup di Cloud Identity atau Google Workspace.
Grup pemetaan dan penyediaan otomatis bersifat opsional dan tidak diperlukan untuk single sign-on, tetapi kedua langkah tersebut dapat berguna jika Anda ingin menggunakan kembali grup yang ada untuk mengontrol akses di Google Workspace atau Google Cloud.
Google Cloud
Seperti layanan Google lainnya, Google Cloud mengandalkan Google Sign-In untuk mengautentikasi pengguna. Google Cloud juga terintegrasi erat dengan Google Workspace dan Cloud Identity agar Anda dapat mengelola resource secara efisien.
Google Cloud memperkenalkan gagasan node, folder, dan project organisasi. Entitas ini digunakan terutama untuk mengelola akses dan konfigurasi, sehingga entitas tersebut hanya relevan secara tangensial dalam konteks pengelolaan identitas. Namun, Google Cloud juga menyertakan jenis akun pengguna tambahan: akun layanan. Akun layanan dimiliki oleh project dan berperan penting dalam pengelolaan identitas
Node organisasi
Organisasi adalah node root dalam hierarki resource Google Cloud serta container untuk project dan folder. Organisasi memungkinkan Anda menyusun resource secara hierarkis serta merupakan kunci untuk mengelola resource secara terpusat dan efisien.
Setiap organisasi dimiliki oleh satu akun Cloud Identity atau Google Workspace. Nama organisasi diambil dari nama domain utama akun Cloud Identity atau Google Workspace yang sesuai.
Folder
Folder adalah node dalam hierarki resource Google Cloud dan dapat berisi project, folder lain, atau kombinasi keduanya. Anda menggunakan folder untuk mengelompokkan resource yang memiliki kebijakan Identity and Access Management (IAM) atau kebijakan organisasi. Kebijakan ini otomatis berlaku untuk semua project dalam folder dan juga diwarisi oleh folder turunan.
Folder serupa, tetapi tidak terkait, dengan unit organisasi. Unit organisasi membantu Anda mengelola pengguna dan menerapkan konfigurasi atau kebijakan umum kepada pengguna, sedangkan folder membantu Anda mengelola project Google Cloud dan menerapkan konfigurasi atau kebijakan umum ke project.
Project
Project adalah container untuk semua resource. Project memainkan peran penting untuk mengelola API, penagihan, dan mengelola akses ke resource.
Dalam konteks pengelolaan identitas, project menjadi relevan karena merupakan container untuk akun layanan.
Akun layanan
Akun layanan (atau akun layanan Google Cloud) adalah jenis akun pengguna khusus yang ditujukan untuk digunakan oleh aplikasi dan jenis pengguna mesin lainnya.
Setiap akun layanan termasuk dalam project Google Cloud. Seperti halnya akun pengguna terkelola, administrator dapat sepenuhnya mengontrol siklus proses dan konfigurasi akun layanan.
Akun layanan juga menggunakan alamat email sebagai identitas, tetapi tidak seperti
akun pengguna terkelola, alamat email selalu menggunakan domain milik Google seperti
developer.gserviceaccount.com.
Akun layanan tidak berpartisipasi dalam penggabungan dan juga tidak memiliki sandi. Di Google Cloud, Anda menggunakan IAM untuk mengontrol izin yang dimiliki akun layanan untuk resource komputasi seperti mesin virtual (VM) atau Cloud Function, yang menghapus kebutuhan untuk mengelola kredensial. Di luar Google Cloud, Anda dapat menggunakan kunci akun layanan untuk mengizinkan aplikasi melakukan autentikasi dengan menggunakan akun layanan.
Akun layanan Kubernetes
Akun layanan Kubernetes adalah konsep Kubernetes dan relevan saat Anda menggunakan Google Kubernetes Engine (GKE). Serupa dengan akun layanan Google Cloud, akun layanan Kubernetes dimaksudkan untuk digunakan oleh aplikasi, bukan manusia.
Akun layanan Kubernetes dapat digunakan untuk mengautentikasi saat aplikasi memanggil Kubernetes API dari cluster Kubernetes, tetapi akun layanan tersebut tidak dapat digunakan di luar cluster. API tersebut tidak dikenali oleh Google API mana pun, sehingga bukan merupakan pengganti untuk akun layanan Google Cloud.
Saat mendeploy aplikasi sebagai Pod Kubernetes, Anda dapat mengaitkan Pod dengan akun layanan. Pengaitan ini memungkinkan aplikasi menggunakan Kubernetes API tanpa harus mengonfigurasi atau mengelola sertifikat atau kredensial lainnya.
Dengan menggunakan Workload Identity, Anda dapat menautkan akun layanan Kubernetes ke akun layanan Google Cloud. Link ini memungkinkan aplikasi juga melakukan autentikasi ke Google API, sekali lagi tanpa harus mengelola sertifikat atau kredensial lainnya.