Questo documento descrive come creare un account Cloud Identity o Google Workspace e come prepararlo per un deployment in produzione.
Prima di iniziare
Per preparare il tuo account Cloud Identity o Google Workspace, devi svolgere i seguenti passaggi:
- Seleziona un'architettura di destinazione per il tuo deployment di produzione in base alle nostre architetture di riferimento.
- Scopri se hai bisogno di uno o più account Cloud Identity o Google Workspace aggiuntivi per la produzione o per l'implementazione. Per informazioni dettagliate su come identificare il numero corretto di account da utilizzare, consulta le best practice per la pianificazione di account e organizzazioni.
- Identifica un piano di onboarding adatto e assicurati di aver completato tutte le attività definite come prerequisiti dal piano per il consolidamento degli account utente esistenti.
Per ogni account Cloud Identity o Google Workspace che devi creare, assicurati di quanto segue:
- Hai selezionato il nome di dominio DNS da utilizzare come nome di dominio principale. Questo nome di dominio determina il nome dell'organizzazione Google Cloud associata. Puoi utilizzare un nome di dominio neutro come nome di dominio principale.
- Hai selezionato eventuali nomi di dominio DNS secondari che vuoi aggiungere all'account. Assicurati di non superare un totale di 600 domini per account.
Per completare la procedura di registrazione di un nuovo account Cloud Identity o Google Workspace, sono necessarie anche le seguenti informazioni:
- Un numero di telefono e un indirizzo email di contatto. Google utilizza questo numero di telefono e questo indirizzo per contattarti in caso di problemi con il tuo account.
Un indirizzo email per il primo account utente super amministratore. L'indirizzo email deve utilizzare il dominio DNS principale e non deve essere utilizzato da un account consumer esistente.
Se prevedi di configurare la federazione in un secondo momento, seleziona un indirizzo email associato a un utente nel tuo provider di identità (IdP) esterno.
La creazione di un nuovo account Cloud Identity o Google Workspace potrebbe richiedere la collaborazione di più team e stakeholder della tua organizzazione. ad esempio:
- Amministratori DNS. Per verificare i domini DNS principali e secondari, devi avere accesso amministrativo a entrambe le zone DNS.
- Se utilizzi un IdP esterno, gli amministratori del tuo IdP esterno.
- I futuri amministratori dell'organizzazione Google Cloud.
Procedura per la preparazione di un account
Il seguente diagramma di flusso illustra la procedura di preparazione del tuo account Cloud Identity o Google Workspace. Come indicano i due lati del diagramma, il processo potrebbe richiedere la collaborazione tra diversi team.
Registrati a Cloud Identity o Google Workspace. Durante la procedura di registrazione, devi fornire un numero di telefono e un indirizzo email di contatto, il dominio principale che vuoi utilizzare e il nome utente per il primo account utente super amministratore.
Verifica la proprietà del tuo dominio principale creando un record TXT o CNAME nella zona DNS corrispondente del tuo server DNS.
Aggiungi eventuali domini secondari all'account Cloud Identity o Google Workspace.
Verifica la proprietà dei domini secondari creando record TXT o CNAME nelle zone DNS corrispondenti del tuo server DNS.
Proteggi il tuo account configurando le impostazioni di sicurezza.
Crea una configurazione predefinita per gli account utente.
Garantire l'accesso sicuro al tuo account
Durante la procedura di registrazione, crei un primo utente nel tuo account Cloud Identity o Google Workspace. A questo account utente vengono assegnati i privilegi di super amministratore e ha accesso completo all'account Cloud Identity o Google Workspace.
Per completare la configurazione iniziale del tuo account Cloud Identity o Google Workspace, devi disporre dei privilegi di super amministratore. Dopo aver completato la configurazione iniziale, le occorrenze in cui sono necessari i privilegi di super amministratore saranno rare, ma per garantire la continuità aziendale è importante che tu e il resto del personale autorizzato mantengate l'accesso come super amministratore all'account Cloud Identity o Google Workspace:
Per garantire questo accesso:
- Seleziona un gruppo di amministratori che deve avere accesso come super amministratore all'account Cloud Identity o Google Workspace. È meglio mantenere ridotto il numero di utenti.
- Crea un insieme di account utente super amministratore dedicati per ogni amministratore.
- Applica l'autenticazione in due passaggi di Google per questi utenti e chiedi loro di creare codici di backup in modo da mantenere l'accesso anche se perdono il telefono o la chiave USB.
- Chiedi agli amministratori di utilizzare gli account super amministratore solo quando necessario e scoraggia l'utilizzo quotidiano di questi account.
Per informazioni dettagliate su come proteggere gli utenti super amministratore, consulta Best practice per gli account super amministratore. Per assicurarti che il tuo account sia protetto correttamente, segui il nostro elenco di controllo di sicurezza per aziende di medie e grandi dimensioni.
Configurare le impostazioni predefinite per gli account utente
Cloud Identity e Google Workspace supportano una serie di impostazioni che ti aiutano a proteggere gli account utente:
- Applicare la verifica in due passaggi.
- Controllare chi può accedere a Google Workspace e ai servizi Google.
- Consentire o negare l'accesso ad app meno sicure.
- Assegnazione di licenze per Cloud Identity Premium o Google Workspace.
- Scegliere una posizione geografica per i dati e controllare lo spazio di archiviazione dati supplementare (solo Google Workspace).
Per ridurre al minimo lo sforzo amministrativo, è meglio configurare queste impostazioni in modo che vengano applicate per impostazione predefinita ai nuovi utenti. Puoi configurare le impostazioni predefinite ai seguenti livelli:
- Globale:un'impostazione globale si applica a tutti gli utenti, ma ha la priorità più bassa.
- Unità organizzativa (UO): un'impostazione configurata per un'UO si applica a tutti gli utenti dell'UO e alle UO discendenti e sostituisce un'impostazione globale.
- Gruppo:un'impostazione configurata per gruppo si applica a tutti i membri del gruppo e sostituisce le impostazioni dell'unità organizzativa e quelle globali.
Creare una struttura delle UO
Creando una struttura di unità organizzative, puoi segmentare gli account utente del tuo account Cloud Identity o Google Workspace in insiemi distinti per semplificarne la gestione.
Se utilizzi Cloud Identity in combinazione con un IdP esterno, la creazione di unità organizzative personalizzate potrebbe non essere necessaria. In alternativa, puoi utilizzare una combinazione di impostazioni globali e specifiche per gruppo:
- Mantieni tutti gli account utente nell'OU predefinita.
- Per controllare chi può accedere a determinati servizi Google, crea gruppi dedicati come
Google Cloud Users and Google Ads Users
nel tuo fornitore di identità esterno. Esegui il provisioning di questi gruppi in Cloud Identity e applicali le impostazioni predefinite corrette. Puoi quindi controllare l'accesso modificando l'appartenenza ai gruppi nell'IdP esterno.
Se alcuni o tutti i tuoi utenti utilizzano Google Workspace, è probabile che tu debba richiedere una struttura OU personalizzata perché alcune delle impostazioni specifiche di Google Workspace non possono essere applicate per gruppo. Se utilizzi un IdP esterno, è meglio mantenere la struttura dell'OU semplice, come segue:
- Crea una struttura OU di base che ti consenta di assegnare automaticamente le licenze, scegliere una posizione geografica per i tuoi dati e controllare lo spazio di archiviazione dati supplementare. Per tutte le altre impostazioni, ti consigliamo di applicarle per gruppo.
- Configura il tuo IdP esterno in modo che i nuovi utenti vengano assegnati automaticamente all'UO corretta.
- Crea gruppi dedicati come
Google Cloud Users and Google Ads Users
nella tua IdP esterna. Esegui il provisioning di questi gruppi in Google Workspace e applica le impostazioni predefinite corrette. Puoi quindi controllare l'accesso modificando le iscrizioni ai gruppi nell'IdP esterno.
Impatto dell'OU predefinita sulla migrazione dell'account
Se hai identificato account consumer esistenti di cui prevedi di eseguire la migrazione a Cloud Identity o Google Workspace, la OU predefinita svolge un ruolo speciale. Se esegui la migrazione di un account consumer a Cloud Identity o Google Workspace, questo viene sempre inserito nell'OU predefinita e non fa parte di alcun gruppo.
Per eseguire la migrazione di un account consumer, devi avviare un trasferimento dell'account. Questo trasferimento deve essere approvato dal proprietario dell'account consumer. In qualità di amministratore, hai un controllo limitato quando il proprietario potrebbe dare il consenso e quindi puoi completare il trasferimento.
Al termine del trasferimento, tutte le impostazioni applicate all'UO predefinita vengono applicate all'account utente sottoposto a migrazione. Assicurati che queste impostazioni consentano un livello di accesso di base ai servizi Google in modo che la capacità di lavoro del dipendente associato non sia ostacolata.
Best practice
Quando prepari il tuo account Cloud Identity o Google Workspace, segui queste best practice:
- Se utilizzi un IdP esterno, assicurati che gli utenti in Cloud Identity o Google Workspace siano un sottoinsieme delle identità nel tuo IdP esterno.
- Valuta la possibilità di accorciare la durata predefinita della sessione e la durata della sessione utilizzata da Google Cloud. Quando utilizzi un IdP esterno, assicurati di allineare la durata della sessione al tuo IdP.
- Esportare i log di controllo in BigQuery per conservarli oltre il periodo di conservazione predefinito.
- Per contribuire a mantenere protetto il tuo account, consulta periodicamente il nostro elenco di controllo per la sicurezza per le imprese di medie e grandi dimensioni.
Passaggi successivi
- Scopri come consolidare gli account utente esistenti.