本文档介绍了如何创建 Cloud Identity 或 Google Workspace 账号以及如何准备此账号以用于生产部署。
准备工作
如需准备 Cloud Identity 或 Google Workspace 账号,您必须执行以下操作:
- 根据我们的参考架构为生产部署选择一个目标架构。
- 确定您是否需要一个或多个额外 Cloud Identity 或 Google Workspace 账号用于生产或预演用途。如需详细了解如何确定要使用的账号数量,请参阅规划账号和组织的最佳做法。
- 确定合适的初始配置方案,并确认已完成方案中定义为整合现有用户账号所需前提条件的所有活动。
对于您必须创建的每个 Cloud Identity 或 Google Workspace 账号,请务必确保以下各项:
- 您已选择要用作主域名的 DNS 域名。此域名决定关联的 Google Cloud 组织的名称。您可以将中性域名用作主域名。
- 您已选择要添加到该账号的任何辅助 DNS 域名。确保每个账号的域名总数不超过 600 个。
如需完成新的 Cloud Identity 或 Google Workspace 账号的注册流程,您还需要以下信息:
- 联系人电话号码和电子邮件地址。如果您的账号出现问题,Google 会使用此电话号码和地址与您联系。
第一个超级用户账号的电子邮件地址。该电子邮件地址必须使用主 DNS 域名,并且不能已被现有消费者账号使用。
如果您计划以后设置联合,请选择与外部身份提供商 (IdP) 中的用户对应的电子邮件地址。
创建新的 Cloud Identity 或 Google Workspace 账号可能需要您的组织中的多个团队和相关人员进行协作,其中可能包括:
- DNS 管理员。要验证主 DNS 域名和辅助 DNS 域名,您需要同时拥有两个 DNS 区域的管理员权限。
- 外部 IdP 的管理员(如果您使用外部 IdP)。
- Google Cloud 组织的未来管理员。
账号准备过程
以下流程图说明了 Cloud Identity 或 Google Workspace 账号的准备过程。如该图的两边所示,这个过程可能需要不同的团队进行协作。
注册 Cloud Identity 或 Google Workspace。在注册过程中,您必须提供联系人电话号码和电子邮件地址、要使用的主域名以及第一个超级用户账号的用户名。
通过在您的 DNS 服务器的相应 DNS 区域中创建 TXT 或 CNAME 记录来验证主域名的所有权。
将任何辅助域名添加到 Cloud Identity 或 Google Workspace 账号。
通过在您的 DNS 服务器的相应 DNS 区域中创建 TXT 或 CNAME 记录来验证辅助域名的所有权。
通过配置安全设置来保护您的账号。
为用户账号创建默认配置。
保护对账号的访问权限
在注册过程中,您将在 Cloud Identity 或 Google Workspace 账号中创建第一个用户。此用户账号会分配有超级用户权限,并且拥有对 Cloud Identity 或 Google Workspace 账号的完整访问权限。
您需要超级用户权限才能完成 Cloud Identity 或 Google Workspace 账号的初始配置。完成初始配置后,您需要超级用户权限的情况极少,但为了确保业务连续性,您和其他已获授权的人员必须保留对 Cloud Identity 或 Google Workspace 账号的超级用户访问权限:
为确保拥有此访问权限,请执行以下操作:
- 选择一组应该拥有 Cloud Identity 或 Google Workspace 账号的超级用户访问权限的管理员。这类用户最好保持较少的人数。
- 为每位管理员创建一组专用超级用户账号。
- 对这些用户强制执行 Google 两步身份验证,并要求他们创建备用验证码,以便这些用户在丢失手机或 USB 密钥的情况下也可以访问。
- 告知管理员仅在必要时使用超级用户账号,不建议在日常使用这些账号。
如需详细了解如何确保超级用户的安全,请参阅超级用户账号最佳做法。为确保您的账号受到妥当保护,请按照适用于大中型企业的安全核对清单操作。
为用户账号配置默认设置
Cloud Identity 和 Google Workspace 支持多项有助于确保用户账号安全的设置:
- 强制执行两步验证。
- 控制谁可以访问 Google Workspace 和 Google 服务。
- 允许或禁止访问安全性较低的应用。
- 分配 Cloud Identity 专业版或 Google Workspace 的许可。
- 为您的数据选择地理位置并控制补充的数据存储空间(仅限 Google Workspace)。
为了最大限度减少管理工作量,最好配置这些设置,以便它们会默认应用到新用户。您可以在以下级别配置默认设置:
- 全局:全局设置会应用到所有用户,但优先级最低。
- 组织单元 (OU):为组织单元配置的设置会应用到该组织单元中的所有用户和下级组织单元,并覆盖全局设置。
- 群组:按群组配置的设置会应用到群组的所有成员,并覆盖组织单元设置和全局设置。
创建组织部门结构
通过创建组织单元的结构,您可以将 Cloud Identity 或 Google Workspace 账号的用户账号细分为独立的分组,以更便于管理。
如果您将 Cloud Identity 和外部 IdP 搭配使用,则可能不需要创建自定义组织单元。您可以改为搭配使用特定于全局和特定于群组的设置:
- 将所有用户账号保留在默认组织单元中。
- 若要控制允许哪些人访问特定 Google 服务,请在外部 IdP 中创建专用群组(例如
Google Cloud Users and Google Ads Users)。将这些群组预配到 Cloud Identity,并为其应用正确的默认设置。然后,您可以通过在外部 IdP 中修改群组成员资格来控制访问权限。
如果您的部分或所有用户使用 Google Workspace,您可能需要自定义组织单元结构,因为一些特定于 Google Workspace 的设置无法按群组应用。如果您使用外部 IdP,最好使组织单元结构保持简单,如下所示:
- 创建基本的组织单元结构,这种结构可以让您自动分配许可,选择数据存储的地理位置并控制补充的数据存储空间。对于其他所有设置,我们建议您按群组应用设置。
- 配置您的外部 IdP,以便将新用户自动分配到正确的组织单元。
- 在外部 IdP 中创建专用群组(例如
Google Cloud Users and Google Ads Users)。将这些群组预配到 Google Workspace,并为其应用正确的默认设置。然后,您可以通过在外部 IdP 中修改群组成员资格来控制访问权限。
默认组织单元对账号迁移的影响
如果您已确定了计划要迁移到 Cloud Identity 或 Google Workspace 的现有消费者账号,则默认组织部门会发挥特殊作用。如果您将消费者账号迁移到 Cloud Identity 或 Google Workspace,则该账号将始终归入默认组织单元而不是任何群组。
如需迁移消费者账号,您必须启动账号转移。这种转移必须获得该消费者账号的所有者的批准。作为管理员,您可以有限地控制所有者表示同意,以及之后您可以完成转移的时间。
转移完成后,应用于默认组织单元的所有设置会在迁移后的用户账号中生效。请确保这些设置授予对 Google 服务的基本访问权限级别,以免关联员工的工作能力受到影响。
最佳做法
在准备 Cloud Identity 或 Google Workspace 账号时,请遵循以下最佳做法:
- 如果您使用外部 IdP,请确保 Cloud Identity 或 Google Workspace 中的用户是您的外部 IdP 中的部分身份。
- 请考虑缩短默认会话长度和 Google Cloud 使用的会话长度。使用外部 IdP 时,请确保会话长度与您的 IdP 保持一致。
- 将审核日志导出到 BigQuery,以便在默认保留期限过后继续保留这些日志。
- 为确保您的账号安全,请定期查看我们的适用于大中型企业的安全核对清单。
后续步骤
- 了解如何整合现有用户账号。