Neste documento, descrevemos como criar uma conta do Cloud Identity ou do Google Workspace e como prepará-la para uma implantação de produção.
Antes de começar
Para preparar sua conta do Cloud Identity ou do Google Workspace, faça o seguinte:
- Selecione uma arquitetura de destino para sua implantação de produção com base em nossas arquiteturas de referência.
- Identifique se você precisa de uma ou mais contas extras do Cloud Identity ou do Google Workspace para fins de produção ou preparação. Para detalhes sobre como identificar o número certo de contas a serem usadas, consulte Práticas recomendadas para o planejamento de contas e organizações.
- Identifique um plano de integração adequado e conclua todas as atividades definidas como pré-requisitos para consolidar suas contas de usuário atuais.
Para cada conta do Cloud Identity ou do Google Workspace que você precisa criar, verifique se:
- você selecionou o nome de domínio DNS a ser usado como o nome de domínio principal. Esse nome de domínio determina o nome da organização associada do Google Cloud; é possível usar um nome de domínio neutro como o nome de domínio principal;
- você selecionou todos os nomes de domínio DNS secundários que quer adicionar à conta. Verifique se você não excedeu um total de 600 domínios por conta.
Para concluir o processo de inscrição em uma nova conta do Cloud Identity ou do Google Workspace, você também precisa das seguintes informações:
- Um número de telefone e um endereço de e-mail de contato. O Google usa esse número de telefone e endereço para entrar em contato com você em caso de problemas com sua conta.
Um endereço de e-mail para a primeira conta de usuário de superadministrador. O endereço de e-mail precisa usar o domínio DNS principal e não pode ser usado por uma conta de consumidor atual.
Se você planeja configurar a federação posteriormente, selecione um endereço de e-mail que seja mapeado para um usuário no seu provedor de identidade externo (IdP).
A criação de uma nova conta do Cloud Identity ou do Google Workspace pode exigir a colaboração entre várias equipes e partes interessadas na sua organização. Eles podem incluir o seguinte:
- Administradores de DNS. Para verificar domínios DNS primários e secundários, você precisa ter acesso administrativo às duas zonas DNS.
- Se você usar um IdP externo, os administradores do IdP externo.
- Futuros administradores da organização do Google Cloud.
Processo para preparar uma conta
O fluxograma a seguir ilustra o processo de preparação da sua conta do Cloud Identity ou do Google Workspace. Como os dois lados do diagrama indicam, o processo pode exigir a colaboração entre equipes diferentes.
Inscreva-se no Cloud Identity ou no Google Workspace. Durante o processo de inscrição, você precisa fornecer um número de telefone e um endereço de e-mail de contato, o domínio principal que quer usar e o nome de usuário da primeira conta de usuário de superadministrador.
Verifique a propriedade do seu domínio principal criando um registro TXT ou CNAME na zona DNS correspondente do seu servidor DNS.
Adicione domínios secundários à conta do Cloud Identity ou do Google Workspace.
Verifique a propriedade dos domínios secundários criando registros TXT ou CNAME nas zonas DNS correspondentes do seu servidor DNS.
Proteja sua conta definindo as configurações de segurança.
Crie uma configuração padrão para contas de usuário.
Acesso seguro à sua conta
Durante o processo de inscrição, você cria um primeiro usuário na sua conta do Cloud Identity ou do Google Workspace. Essa conta de usuário recebe privilégios de superadministrador e tem acesso total à conta do Cloud Identity ou do Google Workspace.
Você precisa de privilégios de superadministrador para concluir a configuração inicial da sua conta do Cloud Identity ou do Google Workspace. Depois de concluir a configuração inicial, os casos em que você precisa de privilégios de superadministrador serão raros. Mas para garantir a continuidade dos negócios, é importante que você e outras pessoas autorizadas mantenham o acesso de superadministrador à conta do Cloud Identity ou do Google Workspace:
Para garantir esse acesso, faça o seguinte:
- Selecione um grupo de administradores que precisam ter acesso de superadministrador à conta do Cloud Identity ou do Google Workspace. É melhor manter o número de usuários pequeno.
- Crie um conjunto de contas de usuário de superadministrador dedicadas para cada administrador.
- Aplique a autenticação em duas etapas do Google para esses usuários e exija que eles criem códigos alternativos para que eles mantenham o acesso mesmo que percam o smartphone ou a chave USB.
- Instrua os administradores a usar as contas de superadministrador somente quando necessário e desestimule o uso diário delas.
Para detalhes sobre como manter os usuários superadministradores seguros, consulte Práticas recomendadas para contas de superadministrador. E para garantir que sua conta esteja protegida corretamente, siga nossa Lista de verificação de segurança para empresas de médio e grande porte.
Definir as configurações padrão para contas de usuário
O Cloud Identity e o Google Workspace são compatíveis com várias configurações que ajudam você a manter as contas de usuário seguras:
- Aplicação da verificação em duas etapas.
- Controle de quem pode acessar os serviços do Google e do Google Workspace.
- Permissão ou proibição do acesso a apps menos seguros.
- Atribuição de licenças do Cloud Identity Premium ou do Google Workspace.
- Escolha de uma localização geográfica para seus dados e controle do armazenamento de dados complementar (somente no do Google Workspace).
Para minimizar o esforço administrativo, é melhor definir essas configurações para que elas sejam aplicadas por padrão aos novos usuários. É possível definir as configurações padrão nos níveis a seguir:
- Global: uma configuração global se aplica a todos os usuários, mas tem a prioridade mais baixa.
- Unidade organizacional (UO): uma configuração definida para uma unidade organizacional se aplica a todos os usuários na unidade organizacional e às unidades organizacionais descendentes e modifica uma configuração global.
- Grupo: uma configuração definida por grupo se aplica a todos os membros do grupo e modifica as configurações globais e da unidade organizacional.
Criar uma estrutura de UO
Ao criar uma estrutura de unidades organizacionais, é possível segmentar as contas de usuário da sua conta do Cloud Identity ou do Google Workspace em conjuntos distintos para facilitar o gerenciamento.
Se você usar o Cloud Identity em combinação com um IdP externo, talvez não seja necessário criar unidades organizacionais personalizadas. Em vez disso, é possível usar uma combinação de configurações globais e específicas do grupo:
- Manter todas as contas de usuário na unidade organizacional padrão.
- Para controlar quem tem permissão para acessar determinados serviços do Google, crie
grupos dedicados, como
Google Cloud Users and Google Ads Users
, no seu IdP externo. Provisione esses grupos no Cloud Identity e aplique as configurações padrão corretas a eles. Em seguida, é possível controlar o acesso modificando as associações a grupos no seu IdP externo.
Se alguns ou todos os seus usuários usarem o Google Workspace, é provável que você precise de uma estrutura de unidade organizacional personalizada porque algumas das configurações específicas do Google Workspace não podem ser aplicadas por grupo. Se você usa um IdP externo, é melhor manter a estrutura da unidade organizacional simples, da seguinte maneira:
- Crie uma estrutura básica de UO que permita atribuir licenças automaticamente, escolher um local geográfico para seus dados e controlar o armazenamento de dados complementar. Para todas as outras configurações, recomendamos que você aplique as configurações por grupo.
- Configure seu IdP externo para que novos usuários sejam atribuídos automaticamente à unidade organizacional correta.
- Crie grupos dedicados, como
Google Cloud Users and Google Ads Users
, no seu IdP externo. Provisione esses grupos no Google Workspace e aplique as configurações padrão corretas a eles. Em seguida, é possível controlar o acesso modificando as associações a grupos no seu IdP externo.
Impacto da unidade organizacional padrão na migração da conta
Se você tiver identificado contas pessoais atuais que planeja migrar para o Cloud Identity ou o Google Workspace, a unidade organizacional padrão terá um papel especial. Se você migrar uma conta pessoal para o Cloud Identity ou o Google Workspace, essa conta será sempre colocada na unidade organizacional padrão e não fará parte de nenhum grupo.
Para migrar uma conta pessoal, você precisa iniciar uma transferência de conta. Essa transferência precisa ser aprovada pelo proprietário da conta pessoal. Como administrador, você tem controle limitado quando o proprietário pode dar o consentimento e, portanto, pode concluir a transferência.
Quando a transferência for concluída, todas as configurações aplicadas à unidade organizacional padrão entrarão em vigor na conta de usuário migrada. Verifique se essas configurações concedem um nível básico de acesso aos serviços do Google para que a capacidade de trabalho do funcionário associado não seja impedida.
Práticas recomendadas
Ao preparar sua conta do Cloud Identity ou do Google Workspace, siga estas práticas recomendadas:
- Se você usa um IdP externo, é melhor verificar se os usuários no Cloud Identity ou no Google Workspace são um subconjunto das identidades no IdP externo.
- Considere encurtar a duração padrão da sessão e a duração da sessão usada pelo Google Cloud. Ao usar um IdP externo, alinhe a duração da sessão com o IdP.
- Exporte registros de auditoria para o BigQuery para retê-los além do período de armazenamento padrão.
- Para ajudar a manter sua conta segura, consulte periodicamente nossa lista de verificação de segurança para empresas de médio e grande porte.
A seguir
- Leia sobre como consolidar suas contas de usuário atuais.