En este documento, se describe cómo puedes crear una cuenta de Cloud Identity o de Google Workspace, y cómo puedes prepararlo para una implementación de producción.
Antes de comenzar
Para preparar tu cuenta de Cloud Identity o Google Workspace, debes hacer lo siguiente:
- Selecciona una arquitectura de destino para tu implementación de producción según nuestras arquitecturas de referencia.
- Identifica si necesitas una o más cuentas de Cloud Identity o Google Workspace adicionales para fines de producción o etapa de pruebas. Si deseas obtener detalles sobre cómo identificar la cantidad correcta de cuentas que debes usar, consulta Prácticas recomendadas para planificar cuentas y organizaciones.
- Identifica un plan de integración adecuado y completa todas las actividades que tu plan define como requisitos para consolidar tus cuentas de usuario existentes.
Para cada cuenta de Cloud Identity o Google Workspace que necesites crear, asegúrate de lo siguiente:
- Seleccionaste el nombre de dominio de DNS para usar como nombre de dominio principal. Este nombre de dominio determina el nombre de la organización de Google Cloud asociada. Puedes usar un nombre de dominio neutral como nombre de dominio principal.
- Seleccionaste cualquier nombre de dominio de DNS secundario que desees agregar a la cuenta. Asegúrate de no exceder un total de 600 dominios por cuenta.
A fin de completar el proceso de registro de una cuenta nueva de Cloud Identity o Google Workspace, también necesitas la siguiente información:
- Un número de teléfono y una dirección de correo electrónico de contacto. Google usa este número de teléfono y dirección para comunicarse contigo en caso de que haya problemas con tu cuenta
Una dirección de correo electrónico para la primera cuenta de usuario de administrador avanzado. La dirección de correo electrónico debe usar el dominio de DNS principal y no la debe usar una cuenta personal existente
Si planeas configurar la federación más adelante, selecciona una dirección de correo electrónico que se asigne a un usuario en tu proveedor de identidad externo (IdP).
Crear una nueva cuenta de Cloud Identity o de Google Workspace puede requerir una colaboración entre varios equipos y partes interesadas de tu organización. Estos pueden incluir los siguientes:
- Administradores de DNS. Para verificar los dominios de DNS principales y secundarios, necesitas acceso de administrador a ambas zonas de DNS
- Los administradores de tu IdP externo (si usas uno)
- Administradores futuros de la organización de Google Cloud
Proceso para preparar una cuenta
En el siguiente diagrama de flujo, se ilustra el proceso de preparación de tu cuenta de Cloud Identity o de Google Workspace. Como indican los dos lados del diagrama, el proceso puede requerir la colaboración de diferentes equipos.
Regístrate en Cloud Identity o en Google Workspace. Durante el proceso de registro, debes proporcionar un número de teléfono y una dirección de correo electrónico de contacto, el dominio principal que deseas usar y el nombre de usuario de la primera cuenta de usuario de administrador avanzado.
Verifica la propiedad de tu dominio principal mediante la creación de un registro TXT o CNAME en la zona de DNS correspondiente de tu servidor DNS.
Agrega dominios secundarios a la cuenta de Cloud Identity o de Google Workspace.
Verifica la propiedad de los dominios secundarios mediante la creación de registros TXT o CNAME en las zonas de DNS correspondientes de tu servidor DNS.
Protege tu cuenta mediante la configuración de parámetros de seguridad.
Crea una configuración predeterminada para las cuentas de usuario.
Protege el acceso a tu cuenta
Durante el proceso de registro, debes crear un primer usuario en tu cuenta de Cloud Identity o Google Workspace. A esta cuenta de usuario se le otorgan privilegios de administrador avanzado y tienen acceso completo a la cuenta de Cloud Identity o Google Workspace.
Necesitas privilegios de administrador avanzado para completar la configuración inicial de tu cuenta de Cloud Identity o Google Workspace. Después de completar la configuración inicial, los casos en los que necesitas privilegios de administrador avanzado son poco frecuentes, pero para garantizar la continuidad empresarial, es importante que tú y otro personal autorizado mantengan el acceso de administrador avanzado a la cuenta de Cloud Identity o Google Workspace:
Para garantizar este acceso, haz lo siguiente:
- Selecciona un grupo de administradores que deberían tener acceso de administrador avanzado a la cuenta de Cloud Identity o Google Workspace. Es mejor mantener una cantidad pequeña de usuarios.
- Crea un conjunto de cuentas de usuario de administrador avanzado dedicadas para cada administrador.
- Aplica la autenticación de Google en dos pasos para estos usuarios y pídeles que creen códigos de respaldo a fin de que conserven el acceso aunque pierdan su teléfono o llave USB.
- Indícales a los administradores que usen las cuentas de administrador avanzado solo cuando sea necesario y desalienten el uso diario de esas cuentas.
Para obtener detalles sobre cómo mantener seguros a los usuarios administradores avanzados, consulta las Prácticas recomendadas para cuentas de administrador avanzado. Para asegurarte de que tu cuenta esté protegida de forma adecuada, sigue nuestra Lista de tareas de seguridad para empresas medianas y grandes.
Configura parámetros predeterminados para cuentas de usuario
Cloud Identity y Google Workspace admiten varios parámetros de configuración que te ayudan a mantener las cuentas de usuario protegidas:
- Activa la verificación en dos pasos.
- Controla quién puede acceder a Google Workspace y a los servicios de Google
- Permite o inhabilita el acceso a apps menos seguras.
- Asigna licencias para Cloud Identity Premium o Google Workspace.
- Elegir una ubicación geográfica para tus datos y controlar el almacenamiento de datos complementario (solo para Google Workspace)
Para minimizar el esfuerzo administrativo, es mejor configurar estas opciones de modo que se apliquen de forma predeterminada a los nuevos usuarios. Puedes establecer la configuración predeterminada en los siguientes niveles:
- Global: Una configuración global se aplica a todos los usuarios, pero tiene la prioridad más baja.
- Unidad organizacional (UO): Una configuración establecida para una UO se aplica a todos los usuarios de la UO y a las UO descendentes, y anula una configuración global.
- Grupo: Una configuración de grupo se aplica a todos los miembros del grupo y anula la configuración global y de UO.
Crea una estructura de UO
Si creas una estructura de unidades organizacionativas, puedes segmentar las cuentas de usuario de tu cuenta de Cloud Identity o Google Workspace en conjuntos independientes para facilitar la administración.
Si usas Cloud Identity en combinación con un IdP externo, puede que no sea necesario crear unidades organizacionales personalizadas. En su lugar, puedes usar una combinación de opciones de configuración globales y específicas de grupos:
- Mantén todas las cuentas de usuario en la UO predeterminada.
- Para controlar quién tiene acceso a ciertos servicios de Google, crea grupos dedicados como
Google Cloud Users and Google Ads Usersen tu IdP externo. Aprovisiona estos grupos a Cloud Identity y aplícales la configuración predeterminada correcta. Luego, puedes controlar el acceso si modificas las membresías de grupos en tu IdP externo.
Si algunos o todos tus usuarios usan Google Workspace, es probable que necesites una estructura de UO personalizada, ya que algunas de las opciones de configuración de Google Workspace no se pueden aplicar por grupo. Si usas un IdP externo, es mejor que la estructura de la UO sea simple, como se muestra a continuación:
- Crea una estructura de UO básica que te permita asignar licencias de forma automática, elegir una ubicación geográfica para tus datos y controlar el almacenamiento de datos complementario. Para todas las demás opciones de configuración, te recomendamos que apliques la configuración por grupo.
- Configura tu IdP externo para que los usuarios nuevos se asignen de forma automática a la UO correcta.
- Crea grupos dedicados como
Google Cloud Users and Google Ads Usersen tu IdP externo. Aprovisiona estos grupos a Google Workspace y aplica la configuración predeterminada correcta. Luego, puedes controlar el acceso si modificas las membresías de grupos en tu IdP externo.
Impacto de la UO predeterminada en la migración de cuentas
Si identificaste las cuentas personales existentes que planeas migrar a Cloud Identity o Google Workspace, la UO predeterminada tiene una función especial. Si migras una cuenta personal a Cloud Identity o Google Workspace, esa cuenta siempre se coloca en la UO predeterminada y no forma parte de ningún grupo.
Para migrar una cuenta personal, debes iniciar una transferencia de cuenta. El propietario de la cuenta personal debe aprobar esta transferencia. Como administrador, tienes un control limitado y puedes completar la transferencia cuando el propietario da su consentimiento.
Cuando se completa la transferencia, toda la configuración aplicada a la UO predeterminada se implementa en la cuenta de usuario migrada. Asegúrate de que estas opciones de configuración otorguen un nivel de acceso básico a los servicios de Google para que no se impida el trabajo del empleado asociado.
Recomendaciones
Cuando prepares tu cuenta de Cloud Identity o Google Workspace, sigue estas prácticas recomendadas:
- Si usas un IdP externo, asegúrate de que los usuarios en Cloud Identity o Google Workspace sean un subconjunto de las identidades en tu IdP externo.
- Considera acortar la duración predeterminada de la sesión y la duración de la sesión que usa Google Cloud. Cuando uses un IdP externo, asegúrate de alinear la duración de la sesión con tu IdP.
- Exporta registros de auditoría a BigQuery para conservarlos luego del período de retención predeterminado.
- A fin de proteger tu cuenta, revisa con frecuencia nuestra lista de tareas de seguridad para empresas medianas y grandes.
¿Qué sigue?
- Obtén información sobre cómo consolidar tus cuentas de usuario existentes.