Este documento descreve como pode criar uma conta do Cloud ID ou do Google Workspace e como a pode preparar para uma implementação de produção.
Antes de começar
Para preparar a sua conta do Cloud ID ou Google Workspace, tem de fazer o seguinte:
- Selecione uma arquitetura de destino para a sua implementação de produção com base nas nossas arquiteturas de referência.
- Identifique se precisa de uma ou mais contas adicionais do Cloud Identity ou do Google Workspace para fins de produção ou de preparação. Para ver detalhes sobre a identificação do número certo de contas a usar, consulte as práticas recomendadas para o planeamento de contas e organizações.
- Identificar um plano de integração adequado e ter concluído todas as atividades que o seu plano define como pré-requisitos para consolidar as suas contas de utilizador existentes.
Para cada conta do Cloud ID ou do Google Workspace que tem de criar, certifique-se do seguinte:
- Selecionou o nome do domínio DNS para usar como o nome do domínio principal. Este nome de domínio determina o nome da organização associada Google Cloud . Pode usar um nome de domínio neutro como nome de domínio principal.
- Selecionou todos os nomes de domínio DNS secundários que quer adicionar à conta. Certifique-se de que não excede um total de 600 domínios por conta.
Para concluir o processo de inscrição numa nova conta do Cloud ID ou do Google Workspace, também precisa das seguintes informações:
- Um endereço de email e um número de telefone de contacto. A Google utiliza este número de telefone e morada para entrar em contacto consigo em caso de problemas com a sua conta.
Um endereço de email para a primeira conta de utilizador de superadministrador. O endereço de email tem de usar o domínio DNS principal e não pode ser usado por uma conta de consumidor existente.
Se planeia configurar a federação mais tarde, selecione um endereço de email que seja mapeado para um utilizador no seu fornecedor de identidade (IdP) externo.
A criação de uma nova conta do Cloud Identity ou do Google Workspace pode exigir a colaboração entre várias equipas e partes interessadas na sua organização. Estes podem incluir o seguinte:
- Administradores de DNS. Para validar domínios DNS principais e secundários, precisa de acesso administrativo a ambas as zonas DNS.
- Se usar um IdP externo, os administradores do seu IdP externo.
- Administradores futuros da organização Google Cloud .
Processo de preparação de uma conta
O fluxograma seguinte ilustra o processo de preparação da sua conta do Cloud ID ou Google Workspace. Conforme indicado nos dois lados do diagrama, o processo pode exigir a colaboração entre diferentes equipas.
Inscreva-se no Cloud ID ou no Google Workspace. Durante o processo de inscrição, tem de indicar um número de telefone e um endereço de email de contacto, o domínio principal que quer usar e o nome de utilizador da primeira conta de utilizador superadministrador.
Valide a propriedade do seu domínio principal criando um registo TXT ou CNAME na zona de DNS correspondente do seu servidor DNS.
Adicione quaisquer domínios secundários à conta do Cloud ID ou Google Workspace.
Valide a propriedade dos domínios secundários criando registos TXT ou CNAME nas zonas de DNS correspondentes do seu servidor DNS.
Proteja a sua conta configurando as definições de segurança.
Crie uma configuração predefinida para contas de utilizador.
Aceda à sua conta de forma segura
Durante o processo de inscrição, cria um primeiro utilizador na sua conta do Cloud ID ou Google Workspace. Esta conta de utilizador tem privilégios de superadministrador atribuídos e acesso total à conta do Cloud ID ou Google Workspace.
Precisa de privilégios de superadministrador para concluir a configuração inicial da sua conta do Cloud ID ou Google Workspace. Depois de concluir a configuração inicial, as ocorrências em que precisa de privilégios de superadministrador são raras. No entanto, para garantir a continuidade da empresa, é importante que você e outro pessoal autorizado mantenham o acesso de superadministrador à conta do Cloud ID ou Google Workspace:
Para garantir este acesso, faça o seguinte:
- Selecione um grupo de administradores que devem ter acesso de superadministrador à conta do Cloud ID ou do Google Workspace. É melhor manter o número de utilizadores reduzido.
- Crie um conjunto de contas de utilizador de superadministrador dedicadas para cada administrador.
- Aplique a autenticação em dois passos da Google a estes utilizadores e exija que criem códigos de segurança para que mantenham o acesso mesmo que percam o telemóvel ou a chave USB.
- Instrua os administradores a usarem as contas de superadministrador apenas quando necessário e desincentive a utilização diária dessas contas.
Para ver detalhes sobre como manter os utilizadores superadministradores seguros, consulte as práticas recomendadas para contas de superadministrador. Para se certificar de que a sua conta está devidamente protegida, siga a nossa lista de verificação de segurança para empresas médias e grandes.
Configure as predefinições para as contas de utilizador
O Cloud ID e o Google Workspace suportam várias definições que ajudam a manter as contas de utilizador seguras:
- Impor a validação em dois passos.
- Controlar quem pode aceder ao Google Workspace e aos serviços Google.
- Permitir ou não permitir o acesso a apps menos seguras.
- Atribuir licenças para o Cloud ID Premium ou o Google Workspace.
- Escolher uma localização geográfica para os seus dados e controlar o armazenamento de dados suplementar (apenas no Google Workspace).
Para minimizar o esforço administrativo, é melhor configurar estas definições para que sejam aplicadas por predefinição aos novos utilizadores. Pode configurar as definições predefinidas nos seguintes níveis:
- Global: uma definição global aplica-se a todos os utilizadores, mas tem a prioridade mais baixa.
- Unidade organizacional (UO): uma definição configurada para uma UO aplica-se a todos os utilizadores na UO e às UOs descendentes, e substitui uma definição global.
- Grupo: uma definição configurada por grupo aplica-se a todos os membros do grupo e substitui as definições globais e da UO.
Crie uma estrutura de UO
Ao criar uma estrutura de unidades organizacionais, pode segmentar as contas de utilizador da sua conta do Cloud ID ou Google Workspace em conjuntos discretos para facilitar a gestão.
Se usar o Cloud Identity em combinação com um IdP externo, pode não ser necessário criar unidades organizacionais personalizadas. Em alternativa, pode usar uma combinação de definições globais e específicas do grupo:
- Manter todas as contas de utilizador na UO predefinida.
- Para controlar quem tem autorização para aceder a determinados serviços Google, crie grupos dedicados, como
Google Cloud Users and Google Ads Users, no seu IdP externo. Aprovisione estes grupos no Cloud ID e aplique-lhes as predefinições corretas. Em seguida, pode controlar o acesso modificando as associações a grupos no seu IdP externo.
Se alguns ou todos os seus utilizadores usarem o Google Workspace, é provável que precise de uma estrutura de UO personalizada, uma vez que algumas das definições específicas do Google Workspace não podem ser aplicadas por grupo. Se usar um IdP externo, é melhor manter a estrutura da UO simples, da seguinte forma:
- Crie uma estrutura de UO básica que lhe permita atribuir licenças, escolher uma localização geográfica para os seus dados e controlar o armazenamento de dados suplementar automaticamente. Para todas as outras definições, recomendamos que aplique as definições por grupo.
- Configure o seu IdP externo para que os novos utilizadores sejam automaticamente atribuídos à UO correta.
- Crie grupos dedicados, como
Google Cloud Users and Google Ads Users, no seu IdP externo. Aprovisione estes grupos no Google Workspace e aplique-lhes as predefinições corretas. Em seguida, pode controlar o acesso modificando as associações a grupos no seu IdP externo.
Impacto da UO predefinida na migração de contas
Se identificou contas de consumidor existentes que planeia migrar para o Cloud ID ou o Google Workspace, a UO predefinida desempenha um papel especial. Se migrar uma conta de consumidor para o Cloud ID ou o Google Workspace, essa conta é sempre colocada na UO predefinida e não faz parte de nenhum grupo.
Para migrar uma conta de consumidor, tem de iniciar uma transferência de conta. Esta transferência tem de ser aprovada pelo proprietário da conta de consumidor. Como administrador, tem controlo limitado quando o proprietário pode dar consentimento e, por isso, pode concluir a transferência.
Quando a transferência estiver concluída, todas as definições aplicadas à UO predefinida entram em vigor na conta de utilizador migrada. Certifique-se de que estas definições concedem um nível de acesso base aos serviços Google para que a capacidade de trabalho do funcionário associado não seja impedida.
Práticas recomendadas
Quando estiver a preparar a sua conta do Cloud ID ou Google Workspace, siga estas práticas recomendadas:
- Se usar um IdP externo, certifique-se de que os utilizadores no Cloud ID ou no Google Workspace são um subconjunto das identidades no seu IdP externo.
- Considere reduzir a duração da sessão predefinida e a duração da sessão usada por Google Cloud. Quando usar um IdP externo, certifique-se de que alinha a duração da sessão com o seu IdP.
- Exporte registos de auditoria para o BigQuery para os reter para além do período de retenção predefinido.
- Para ajudar a manter a sua conta segura, reveja periodicamente a nossa lista de verificação de segurança para empresas médias e grandes.
O que se segue?
- Leia sobre como consolidar as suas contas de utilizador existentes.