Dokumen ini menjelaskan cara membuat akun Cloud Identity atau Google Workspace serta cara menyiapkannya untuk deployment produksi singkat ini.
Sebelum memulai
Untuk menyiapkan akun Cloud Identity atau Google Workspace, Anda harus melakukan hal berikut:
- Pilih arsitektur target untuk deployment produksi Anda berdasarkan arsitektur referensi kami.
- Identifikasi apakah Anda memerlukan satu atau beberapa akun Cloud Identity atau Google Workspace tambahan untuk tujuan produksi atau staging. Untuk mengetahui detail tentang mengidentifikasi jumlah akun yang tepat untuk digunakan, lihat Praktik terbaik untuk merencanakan akun dan organisasi.
- Identifikasi rencana orientasi yang sesuai dan telah menyelesaikan semua aktivitas yang ditetapkan rencana Anda sebagai prasyarat untuk menggabungkan akun pengguna yang ada.
Untuk setiap akun Cloud Identity atau Google Workspace yang harus Anda buat, pastikan hal-hal berikut:
- Anda telah memilih nama domain DNS untuk digunakan sebagai nama domain primer. Nama domain ini menentukan nama dari organisasi Google Cloud yang terkait. Anda dapat menggunakan nama domain netral sebagai nama domain primer.
- Anda telah memilih nama domain DNS sekunder yang ingin ditambahkan ke akun. Pastikan Anda tidak melebihi total 600 domain per akun.
Untuk menyelesaikan proses pendaftaran akun Cloud Identity atau Google Workspace baru, Anda juga memerlukan informasi berikut:
- Nomor telepon kontak dan alamat email. Google menggunakan nomor telepon dan alamat ini untuk menghubungi Anda jika ada masalah dengan akun Anda.
Alamat email untuk akun pengguna admin super pertama. Alamat email harus menggunakan domain DNS primer dan tidak boleh digunakan oleh akun konsumen yang sudah ada.
Jika Anda berencana untuk menyiapkan penggabungan nanti, pilih alamat email yang dipetakan ke pengguna di penyedia identitas (IdP) eksternal.
Pembuatan akun Cloud Identity atau Google Workspace baru mungkin memerlukan kolaborasi antara beberapa tim dan pemangku kepentingan di organisasi Anda. Hal ini dapat mencakup:
- Administrator DNS. Untuk memverifikasi domain DNS primer dan sekunder, Anda memerlukan akses administratif ke kedua zona DNS.
- Jika Anda menggunakan IdP eksternal, administrator dari IdP eksternal Anda.
- Administrator masa depan organisasi Google Cloud.
Proses penyiapan akun
Diagram alir berikut menggambarkan proses penyiapan akun Cloud Identity atau Google Workspace. Seperti yang ditunjukkan oleh kedua sisi diagram, proses ini mungkin memerlukan kolaborasi antara tim yang berbeda.
Mendaftar ke Cloud Identity atau Google Workspace. Selama proses pendaftaran, Anda harus memberikan nomor telepon kontak dan alamat email, domain primer yang ingin digunakan, serta nama pengguna untuk akun pengguna admin super pertama.
Verifikasi kepemilikan domain primer dengan membuat data TXT atau CNAME di zona DNS yang sesuai dari server DNS Anda.
Tambahkan domain sekunder apa pun ke akun Cloud Identity atau Google Workspace.
Verifikasi kepemilikan domain sekunder dengan membuat data TXT atau CNAME di zona DNS yang sesuai dari server DNS Anda.
Lindungi akun Anda dengan mengonfigurasi setelan keamanan.
Buat konfigurasi default untuk akun pengguna.
Mengamankan akses ke akun Anda
Selama proses pendaftaran, Anda membuat pengguna pertama di akun Cloud Identity atau Google Workspace. Akun pengguna ini diberi hak istimewa admin super dan memiliki akses penuh ke akun Cloud Identity atau Google Workspace.
Anda memerlukan hak istimewa admin super untuk menyelesaikan konfigurasi awal akun Cloud Identity atau Google Workspace Anda. Setelah Anda menyelesaikan konfigurasi awal, kejadian yang memerlukan hak istimewa admin super akan jarang terjadi. Namun, untuk memastikan kelangsungan bisnis, penting bagi Anda dan personel resmi lainnya untuk harus mempertahankan akses admin super ke akun Cloud Identity atau Google Workspace:
Untuk memastikan akses ini, lakukan hal berikut:
- Pilih grup administrator yang harus memiliki akses admin super ke akun Cloud Identity atau Google Workspace. Sebaiknya menjaga jumlah pengguna tetap kecil.
- Buat kumpulan akun pengguna admin super khusus untuk setiap administrator.
- Terapkan autentikasi 2 langkah Google untuk pengguna berikut dan minta mereka untuk membuat kode cadangan sehingga mereka mempertahankan akses meskipun kehilangan ponsel atau kunci USB.
- Minta administrator untuk menggunakan akun admin super hanya jika diperlukan, dan cegah penggunaan setiap hari dari akun tersebut.
Untuk mengetahui detail tentang cara menjaga keamanan pengguna admin super, lihat Praktik terbaik akun administrator super. Dan untuk memastikan akun Anda diamankan dengan benar, ikuti Checklist keamanan untuk bisnis menengah dan besar kami.
Mengonfigurasi setelan default untuk akun pengguna
Cloud Identity dan Google Workspace mendukung sejumlah setelan yang membantu Anda menjaga keamanan akun pengguna:
- Menerapkan verifikasi 2 langkah.
- Mengontrol siapa saja yang dapat mengakses Google Workspace dan layanan Google.
- Mengizinkan atau melarang akses ke aplikasi yang kurang aman.
- Menetapkan lisensi untuk Cloud Identity Premium atau Google Workspace.
- Memilih lokasi geografis untuk data Anda dan mengontrol penyimpanan data tambahan (khusus Google Workspace).
Untuk meminimalkan upaya administratif, sebaiknya konfigurasikan setelan ini sehingga setelan tersebut diterapkan secara default kepada pengguna baru. Anda dapat mengonfigurasi setelan default pada tingkat berikut:
- Global: Setelan global berlaku untuk semua pengguna, tetapi memiliki prioritas terendah.
- Unit organisasi (OU): Setelan yang dikonfigurasi untuk OU berlaku untuk semua pengguna di OU dan untuk OU turunan, serta menggantikan setelan global.
- Grup: Setelan yang dikonfigurasi menurut grup berlaku untuk semua anggota grup dan menggantikan setelan global serta OU.
Membuat struktur OU
Dengan membuat struktur unit organisasi, Anda dapat menyegmentasikan akun pengguna akun Cloud Identity atau Google Workspace ke dalam set terpisah agar lebih mudah dikelola.
Jika Anda menggunakan Cloud Identity bersama dengan IdP eksternal, pembuatan unit organisasi kustom mungkin tidak diperlukan. Sebagai gantinya, Anda dapat menggunakan kombinasi setelan global dan khusus grup:
- Menyimpan semua akun pengguna di OU default.
- Untuk mengontrol siapa yang diizinkan mengakses layanan Google tertentu, buat
grup khusus seperti
Google Cloud Users and Google Ads Users
di IdP eksternal Anda. Sediakan grup ini ke Cloud Identity dan terapkan setelan default yang tepat untuk grup tersebut. Anda dapat mengontrol akses dengan mengubah keanggotaan grup di IdP eksternal.
Jika beberapa atau semua pengguna menggunakan Google Workspace, Anda mungkin memerlukan struktur OU kustom karena beberapa setelan khusus Google Workspace tidak dapat diterapkan berdasarkan grup. Jika Anda menggunakan IdP eksternal, sebaiknya buat struktur OU sederhana, seperti berikut:
- Buat struktur OU dasar yang secara otomatis memungkinkan Anda untuk menetapkan lisensi, memilih lokasi geografis untuk data Anda, dan mengontrol penyimpanan data tambahan. Untuk semua setelan lainnya, sebaiknya terapkan setelan berdasarkan grup.
- Konfigurasikan IdP eksternal Anda sehingga pengguna baru otomatis ditugaskan ke OU yang tepat.
- Buat grup khusus seperti
Google Cloud Users and Google Ads Users
di IdP eksternal. Sediakan grup ini ke Google Workspace dan terapkan setelan default yang tepat untuk grup tersebut. Selanjutnya Anda dapat mengontrol akses dengan mengubah keanggotaan grup di IdP eksternal.
Dampak OU default terhadap migrasi akun
Jika Anda telah mengidentifikasi akun konsumen yang sudah ada dan berencana untuk bermigrasi ke Cloud Identity atau Google Workspace, OU default akan memainkan peran khusus. Jika Anda memigrasikan akun konsumen ke Cloud Identity atau Google Workspace, akun tersebut selalu ditempatkan ke OU default dan tidak menjadi bagian dari semua grup.
Untuk memigrasikan akun konsumen, Anda harus memulai transfer akun. Transfer ini harus disetujui oleh pemilik akun konsumen. Sebagai administrator, Anda memiliki kontrol terbatas kapan pemilik mungkin memberikan izin sehingga Anda dapat menyelesaikan transfer.
Setelah transfer selesai, semua setelan yang diterapkan ke OU default akan berlaku pada akun pengguna yang dimigrasikan. Pastikan setelan ini memberikan akses tingkat dasar ke layanan Google sehingga kemampuan karyawan terkait untuk bekerja tidak terhalang.
Praktik terbaik
Saat Anda menyiapkan akun Cloud Identity atau Google Workspace, ikuti praktik terbaik berikut:
- Jika Anda menggunakan IdP eksternal, maka pastikan pengguna di Cloud Identity atau Google Workspace adalah subkumpulan identitas di IdP eksternal Anda.
- Pertimbangkan untuk mempersingkat durasi sesi default dan durasi sesi yang digunakan oleh Google Cloud. Saat menggunakan IdP eksternal, pastikan Anda menyelaraskan durasi sesi dengan IdP Anda.
- Ekspor log audit ke BigQuery untuk mempertahankannya di luar periode retensi default.
- Untuk membantu menjaga keamanan akun Anda, tinjau checklist keamanan untuk bisnis menengah dan besar kami secara berkala.
Langkah berikutnya
- Baca cara menyatukan akun pengguna yang ada.