Architetture di riferimento

Last reviewed 2024-07-11 UTC

Questo documento presenta architetture tipiche che puoi utilizzare come riferimento per la gestione delle identità aziendali. Due principi fondamentali della gestione dell'identità aziendale sono i seguenti:

  • Un'origine attendibile per le identità, ovvero l'unico sistema che utilizzi per creare, gestire ed eliminare le identità dei tuoi dipendenti. Le identità gestite nel sistema di origine autorevole potrebbero essere propagate ad altri sistemi.

  • Un identity provider (IdP) centrale che è l'unico sistema di autenticazione e che offre ai dipendenti un'esperienza di Single Sign-On che copre tutte le applicazioni.

Quando utilizzi Google Cloud o altri servizi Google, devi decidere quale sistema utilizzare come provider di identità e quale come fonte attendibile.

Utilizzare Google come IdP

Utilizzando Cloud Identity Premium o Google Workspace, puoi impostare Google come tuo IdP principale. Google offre una vasta selezione di integrazioni pronte all'uso per le applicazioni di terze parti più diffuse e puoi utilizzare protocolli standard come SAML, OAuth e OpenID Connect per integrare le tue applicazioni personalizzate.

Google come IdP e fonte autorevole

Puoi utilizzare Cloud Identity Premium o Google Workspace sia come IDE sia come origine attendibile, come nel seguente diagramma.

Google come IdP e fonte autorevole.

  • Utilizzi Cloud Identity Premium o Google Workspace per gestire utenti e gruppi.
  • Tutti i servizi Google utilizzano Cloud Identity Premium o Google Workspace come provider di identità.
  • Configura le applicazioni aziendali e altri servizi SaaS in modo da utilizzare Google come IdP.

Esperienza utente

In questa configurazione, l'esperienza utente di accesso per un dipendente è la seguente:

  1. Dopo aver richiesto una risorsa protetta o l'accesso a un'applicazione aziendale, il dipendente viene reindirizzato alla schermata di accesso di Google, dove gli viene chiesto di inserire il suo indirizzo email e la sua password.
  2. Se la verifica in due passaggi è attivata, al dipendente viene chiesto di fornire un secondo fattore, ad esempio un codice o una chiave USB.
  3. Una volta autenticato, il dipendente viene reindirizzato alla risorsa protetta.

Vantaggi

L'utilizzo di Google come provider di identità e come fonte attendibile presenta i seguenti vantaggi:

Quando utilizzare questa architettura

Valuta la possibilità di utilizzare Google come IdP e come fonte attendibile nei seguenti scenari:

  • Utilizzi già Google Workspace come soluzione di collaborazione e produttività.
  • Non esiste un'infrastruttura on-premise o un provider di identità con cui devi integrarti o che vuoi mantenere separato da tutte le tue risorse su Google (in Google Cloud, in Google Ads e così via).
  • Per gestire le identità non è necessaria l'integrazione con un sistema informativo per le risorse umane (HRIS).

Google come IdP con un sistema HR come fonte attendibile

Se utilizzi un sistema di informazione sulle risorse umane (HRIS) per gestire la procedura di onboarding e di offboarding per i tuoi dipendenti, puoi comunque utilizzare Google come IDP. Cloud Identity e Google Workspace forniscono API che consentono ai sistemi HRIS e ad altri sistemi di assumere il controllo della gestione di utenti e gruppi, come mostrato nel seguente diagramma.

Google come IdP con un sistema HR come fonte autorevole.

  • Utilizza il tuo sistema di gestione delle risorse umane esistente per gestire gli utenti e, facoltativamente, i gruppi. Il sistema HR rimane la singola fonte attendibile per la gestione delle identità e esegue automaticamente il provisioning degli utenti per Cloud Identity o Google Workspace.
  • Tutti i servizi Google utilizzano Cloud Identity Premium o Google Workspace come provider di identità.
  • Configura le applicazioni aziendali e altri servizi SaaS in modo da utilizzare Google come IdP.

Esperienza utente

Per un dipendente, l'esperienza utente di accesso è equivalente all'utilizzo di Google come IdP e come fonte autorevole.

Vantaggi

L'utilizzo di Google come IdP e come fonte attendibile presenta i seguenti vantaggi:

Quando utilizzare questa architettura

Valuta la possibilità di utilizzare Google come tuo IdP con un sistema HR come fonte attendibile nei seguenti scenari:

  • Hai già un sistema HRIS o un altro sistema che funge da fonte autorevole per le identità.
  • Utilizzi già Google Workspace come soluzione di collaborazione e produttività.
  • Non esiste un'infrastruttura on-premise o un provider di identità con cui devi integrarti o che vuoi mantenere separato dalla tua proprietà Google.

Utilizzare un provider di identità esterno

Se la tua organizzazione utilizza già un IdP come Active Directory, Azure AD, ForgeRock, Okta o Ping Identity, puoi integrare Google Cloud con questo IdP esterno utilizzando la federazione.

Federando un account Cloud Identity o Google Workspace con un provider di identità esterno, puoi consentire ai dipendenti di utilizzare le loro credenziali e la loro identità esistenti per accedere ai servizi Google come Google Cloud, Google Marketing Platform e Google Ads.

IDaaS esterno come IdP e come fonte attendibile

Se utilizzi un provider di identità come servizio (IDaaS) come ForgeRock, Okta o Ping Identity, puoi configurare la federazione come illustrato nel seguente diagramma.

IDaaS esterno come IdP e come origine attendibile.

  • Cloud Identity o Google Workspace utilizza il tuo IDaaS come IdP per il Single Sign-On.
  • L'IDaaS esegue automaticamente il provisioning di utenti e gruppi per Cloud Identity o Google Workspace.
  • Le applicazioni aziendali esistenti e altri servizi SaaS possono continuare a utilizzare il tuo IDaaS come IdP.

Per scoprire di più sulla federazione di Cloud Identity o Google Workspace con Okta, consulta Provisioning degli utenti e Single Sign-On di Okta.

Esperienza utente

Per un dipendente, l'esperienza utente di accesso è la seguente:

  1. Dopo aver richiesto una risorsa protetta, il dipendente viene reindirizzato alla schermata di Accedi con Google, dove gli viene chiesto il suo indirizzo email.
  2. Accedi con Google ti reindirizza alla pagina di accesso del tuo IDaaS.
  3. Esegui l'autenticazione con il tuo IDaaS. A seconda del tuo IDaaS, potresti dover fornire un secondo fattore, ad esempio un codice.
  4. Una volta autenticato, il sistema ti reindirizzerà alla risorsa protetta.

Vantaggi

L'utilizzo di un IDaaS esterno come IdP e come origine attendibile presenta i seguenti vantaggi:

  • Attiva un'esperienza di Single Sign-On per i tuoi dipendenti che si estende ai servizi Google e ad altre applicazioni integrate con il tuo IDaaS.
  • Se hai configurato il tuo IDaaS in modo da richiedere l'autenticazione a più fattori, la configurazione viene applicata automaticamente a Google Cloud.
  • Non è necessario sincronizzare password o altre credenziali con Google.
  • Puoi utilizzare la versione gratuita di Cloud Identity.

Quando utilizzare questa architettura

Valuta la possibilità di utilizzare un IDaaS esterno come provider di identità e come fonte attendibile nei seguenti scenari:

  • Utilizzi già un provider IDaaS come ForgeRock, Okta o Ping Identity come IdP.

Best practice

Consulta le nostre best practice per la federazione di Google Cloud con un provider di identità esterno.

Active Directory come IdP e come origine attendibile

Se utilizzi Active Directory come origine attendibile per la gestione delle identità, puoi configurare la federazione come illustrato nel seguente diagramma.

Active Directory come IdP e come origine attendibile.

  • Utilizzi Google Cloud Directory Sync (GCDS) per eseguire automaticamente il provisioning di utenti e gruppi da Active Directory per Cloud Identity o Google Workspace. Google Cloud Directory Sync è uno strumento gratuito fornito da Google che implementa il processo di sincronizzazione e può essere eseguito su Google Cloud o nel tuo ambiente on-premise. La sincronizzazione è unidirezionale, in modo che Active Directory rimanga la fonte attendibile.
  • Cloud Identity o Google Workspace utilizza Active Directory Federation Services (AD FS) per il Single Sign-On.
  • Le applicazioni aziendali esistenti e altri servizi SaaS possono continuare a utilizzare AD FS come IdP.

Per una variante di questo pattern, puoi anche utilizzare Active Directory Lightweight Directory Services (AD LDS) o un'altra directory LDAP con AD FS o un altro IdP conforme a SAML.

Per ulteriori informazioni su questo approccio, consulta Eseguire la federazione di Google Cloud con Active Directory.

Esperienza utente

  1. Dopo aver richiesto la risorsa protetta, il dipendente viene reindirizzato alla schermata di accesso a Google, dove gli viene chiesto il suo indirizzo email.
  2. Accedi con Google reindirizza il dipendente alla pagina di accesso di AD FS.
  3. A seconda della configurazione di AD FS, il dipendente potrebbe visualizzare una schermata di accesso che richiede il nome utente e la password di Active Directory. In alternativa, AD FS potrebbe tentare di far accedere automaticamente il dipendente in base al suo accesso a Windows.
  4. Una volta autenticato il dipendente, AD FS lo reindirizza nuovamente alla risorsa protetta.

Vantaggi

L'utilizzo di Active Directory come IdP e come origine attendibile presenta i seguenti vantaggi:

  • Attiva un'esperienza di accesso Single Sign-On per i tuoi dipendenti che si estende ai servizi Google e al tuo ambiente on-premise.
  • Se hai configurato AD FS in modo che richieda l'autenticazione a più fattori, questa configurazione viene applicata automaticamente a Google Cloud.
  • Non è necessario sincronizzare password o altre credenziali con Google.
  • Puoi utilizzare la versione gratuita di Cloud Identity.
  • Poiché le API utilizzate da GCDS sono pubblicamente accessibili, non è necessario configurare la connettività ibrida tra la rete on-premise e Google Cloud.

Quando utilizzare questa architettura

Valuta la possibilità di utilizzare Active Directory come IdP e come origine attendibile nei seguenti scenari:

  • Hai già un'infrastruttura Active Directory.
  • Vuoi offrire un'esperienza di accesso senza problemi agli utenti Windows.

Best practice

Tieni presente queste best practice:

  • Active Directory e Cloud Identity utilizzano una struttura logica diversa. Assicurati di comprendere le differenze e valuta quale metodo di mappatura di domini, identità e gruppi si adatta meglio alla tua situazione. Per maggiori informazioni, consulta la nostra guida alla federazione di Google Cloud con Active Directory.
  • Sincronizzare i gruppi oltre agli utenti. Con questo approccio, puoi configurare IAM in modo da utilizzare le iscrizioni ai gruppi in Active Directory per controllare chi ha accesso a quali risorse in Google Cloud.
  • Esegui il deployment ed esponi AD FS in modo che gli utenti aziendali possano accedervi, ma non esponilo più del necessario. Sebbene gli utenti aziendali debbano essere in grado di accedere ad AD FS, non è necessario che AD FS sia raggiungibile da Cloud Identity o Google Workspace o da qualsiasi applicazione di cui è stato eseguito il deployment su Google Cloud.
  • Valuta la possibilità di attivare l'autenticazione integrata di Windows (IWA) in AD FS per consentire agli utenti di accedere automaticamente in base al loro accesso a Windows.
  • Se AD FS non è disponibile, gli utenti potrebbero non essere in grado di utilizzare la console Google Cloud o qualsiasi altra risorsa che utilizza Google come IdP. Assicurati quindi che AD FS e i controller di dominio su cui si basa siano di dimensioni adeguate e siano dipiattaforma in modo da soddisfare i tuoi obiettivi di disponibilità.

  • Se utilizzi Google Cloud per garantire la continuità aziendale, l'utilizzo di un AD FS on-premise potrebbe minare l'intenzione di utilizzare Google Cloud come copia indipendente del tuo deployment. In questo caso, valuta la possibilità di eseguire il deployment di repliche di tutti i sistemi pertinenti su Google Cloud in uno dei seguenti modi:

    • Estendi il tuo dominio Active Directory esistente su Google Cloud ed esegui il deployment di GCDS in modo che venga eseguito su Google Cloud.
    • Esegui server AD FS dedicati su Google Cloud. Questi server utilizzano i domain controller Active Directory in esecuzione su Google Cloud.
    • Configura Cloud Identity in modo da utilizzare i server AD FS di cui è stato eseguito il deployment su Google Cloud per il Single Sign-On.

Per saperne di più, consulta Best practice per la federazione di Google Cloud con un provider di identità esterno.

Azure AD come IdP con Active Directory come origine attendibile

Se sei un cliente Microsoft Office 365 o Azure, potresti aver collegato la tua Active Directory on-premise ad Azure AD. Se tutti gli account utente che potenzialmente hanno bisogno di accedere a Google Cloud sono già sincronizzati con Azure AD, puoi riutilizzare questa integrazione federando Cloud Identity con Azure AD, come mostrato nel seguente diagramma.

Azure AD come IdP con Active Directory come origine attendibile.

  • Utilizzi Azure AD per eseguire il provisioning automatico di utenti e gruppi in Cloud Identity o Google Workspace. Azure AD stesso potrebbe essere integrato con un Active Directory on-premise.
  • Cloud Identity o Google Workspace utilizzano Azure AD per l'accesso singolo.
  • Le applicazioni aziendali esistenti e altri servizi SaaS possono continuare a utilizzare Azure AD come provider di identità.

Per informazioni più dettagliate su questo approccio, consulta Eseguire la federazione di Google Cloud con Azure Active Directory.

Esperienza utente

  1. Dopo aver richiesto la risorsa protetta, il dipendente viene reindirizzato alla schermata di accesso a Google, dove gli viene chiesto il suo indirizzo email.
  2. Accedi con Google li reindirizza alla pagina di accesso di AD FS.
  3. A seconda di come Active Directory on-premise è connessa ad Azure AD, Azure AD potrebbe richiedere un nome utente e una password oppure reindirizzare l'utente ad un AD FS on-premise.
  4. Una volta autenticato il dipendente con Azure AD, viene reindirizzato nuovamente alla risorsa protetta.

Vantaggi

L'utilizzo di Azure AD come IdP con Active Directory come origine attendibile offre diversi vantaggi:

  • Attiva un'esperienza di Single Sign-On per i tuoi dipendenti che si estende ai servizi Google, ad Azure e al tuo ambiente on-premise.
  • Se hai configurato Azure AD in modo che richieda l'autenticazione a più fattori, questa configurazione viene applicata automaticamente a Google Cloud.
  • Non è necessario installare alcun software aggiuntivo on-premise.
  • Se la tua Active Directory on-premise utilizza più foreste o domini e hai configurato una configurazione personalizzata di Azure AD Connect per mappare questa struttura a un tenant Azure AD, puoi sfruttare questa integrazione.
  • Non è necessario sincronizzare password o altre credenziali con Google.
  • Puoi utilizzare la versione gratuita di Cloud Identity.
  • Puoi visualizzare la console Google Cloud come riquadro nel portale di Office 365.
  • Poiché le API utilizzate da Azure AD sono accessibili pubblicamente, non è necessario configurare la connettività ibrida tra Azure e Google Cloud.

Quando utilizzare questa architettura

Valuta la possibilità di utilizzare Azure AD come IdP con Active Directory come origine attendibile nei seguenti scenari:

  • Utilizzi già Azure AD e lo hai integrato con un'infrastruttura Active Directory esistente.
  • Vuoi offrire un'esperienza di accesso senza problemi agli utenti su Azure e Google Cloud.

Best practice

Segui queste best practice:

  • Poiché Azure AD e Cloud Identity utilizzano una struttura logica diversa, assicurati di comprendere le differenze. Valuta quale metodo di mappatura di domini, identità e gruppi è più adatto alla tua situazione. Per informazioni più dettagliate, consulta Eseguire la federazione di Google Cloud con Azure AD.
  • Sincronizzare i gruppi oltre agli utenti. Con questo approccio, puoi configurare IAM in modo da utilizzare le iscrizioni ai gruppi in Azure AD per controllare chi ha accesso a quali risorse in Google Cloud.
  • Se utilizzi Google Cloud per garantire la continuità aziendale, l'utilizzo di Azure AD per l'autenticazione potrebbe minare lo scopo di utilizzare Google Cloud come copia indipendente del tuo deployment.

Per saperne di più, consulta Best practice per la federazione di Google Cloud con un provider di identità esterno.

Passaggi successivi