Referenzarchitekturen

In diesem Dokument werden typische Architekturen vorgestellt, die Sie als Referenz für die Verwaltung von Unternehmensidentitäten verwenden können. Zwei Kernprinzipien der Verwaltung der Unternehmensidentität sind:

  • Eine autoritative Quelle für Identitäten, die das einzige System ist, mit dem Sie Identitäten für Ihre Mitarbeiter erstellen, verwalten und löschen. Die im autoritativen Quellsystem verwalteten Identitäten werden möglicherweise an andere Systeme weitergegeben.

  • Ein zentraler Identitätsanbieter (Identity Provider, IdP), der das einzige System für die Authentifizierung ist und Ihren Mitarbeitern eine Einmalanmeldung (SSO) bietet, die Anwendungen umfasst.

Wenn Sie Google Cloud oder andere Google-Dienste verwenden, müssen Sie entscheiden, welches System als Identitätsanbieter und welches System als autoritative Quelle verwendet werden soll.

Google als IdP verwenden

Mit der Cloud Identity Premiumversion oder der G Suite können Sie Google als primären IdP festlegen. Google bietet eine große Auswahl an einsatzbereiten Integrationen für gängige Anwendungen von Drittanbietern. Sie können auch Standardprotokolle wie SAML, OAuth und OpenID Connect verwenden, um Ihre benutzerdefinierten Anwendungen einzubinden.

Google als IdP und autoritative Quelle

Sie können die Cloud Identity Premiumversion oder die G Suite wie im folgenden Diagramm sowohl als IdP als auch als autoritative Quelle verwenden.

Google als IdP und autoritative Quelle

  • Sie verwenden die Cloud Identity Premiumversion oder die G Suite, um Nutzer und Gruppen zu verwalten.
  • Alle Google-Dienste verwenden die Cloud Identity Premiumversion oder die G Suite als IdP.
  • Sie konfigurieren Unternehmensanwendungen und andere SaaS-Dienste für die Verwendung von Google als IdP.

In der Praxis

In dieser Konfiguration sieht die Anmeldung für einen Mitarbeiter so aus:

  1. Wenn ein Mitarbeiter eine geschützte Ressource oder den Zugriff auf eine Unternehmensanwendung anfordert, wird er zu Google Log-in weitergeleitet, wo er zur Eingabe seiner E-Mail-Adresse und seines Passworts aufgefordert wird.
  2. Wenn die Bestätigung in zwei Schritten aktiviert ist, wird der Mitarbeiter aufgefordert, einen zweiten Faktor wie einen USB-Schlüssel oder Code anzugeben.
  3. Wenn der Mitarbeiter authentifiziert wird, wird er zur geschützten Ressource zurückgeleitet.

Vorteile

Die Verwendung von Google als IdP und autoritative Quelle hat folgende Vorteile:

Einsatzmöglichkeiten für diese Architektur

Ziehen Sie in den folgenden Szenarien in Betracht, Google als IdP und autoritative Quelle zu verwenden:

  • Sie nutzen die G Suite bereits als Lösung für die Zusammenarbeit und Produktivität.
  • Es gibt keine lokale Infrastruktur oder einen IdP, die Sie einbinden müssen, oder Sie möchten sie von allen Ihren Ressourcen auf Google (in Google Cloud, in Google Ads usw.) trennen.
  • Für die Verwaltung von Identitäten ist keine Einbindung in ein Human Resources Information System (HRIS) erforderlich.

Google als IdP mit einem HRIS als autoritative Quelle

Wenn Sie ein HRIS wie SAP Workday verwenden, um den Onboarding- und Offboarding-Prozess für Ihre Mitarbeiter zu verwalten, können Sie Google trotzdem als IdP verwenden. Cloud Identity und die G Suite implementieren den gemeinsamen SCIM-Standard (System for Cross-Domain Identity Management), mit dem die Verwaltung von Nutzern und Gruppen durch HRIS und andere Systeme gesteuert wird, wie im folgenden Diagramm dargestellt:

Google als IdP mit einem HRIS als autoritative Quelle

  • Sie verwenden Ihr vorhandenes HRIS, um Nutzer und optional Gruppen zu verwalten. Das HRIS bleibt die zentrale "Source of Truth" für die Identitätsverwaltung und stellt Nutzer automatisch für Cloud Identity oder die G Suite bereit.
  • Alle Google-Dienste verwenden die Cloud Identity Premiumversion und die G Suite als IdP.
  • Sie konfigurieren Unternehmensanwendungen und andere SaaS-Dienste für die Verwendung von Google als IdP.

In der Praxis

Für einen Mitarbeiter entspricht die Anmeldung der Verwendung von Google als IdP und autoritative Quelle.

Vorteile

Die Verwendung von Google als IdP und autoritative Quelle hat folgende Vorteile:

  • Sie können den Verwaltungsaufwand minimieren, indem Sie Ihre vorhandenen HRIS-Workflows wiederverwenden.
  • Sie können die Multi-Faktor-Authentifizierung und die Mobilgeräteverwaltung von Google in vollem Umfang nutzen.
  • Sie benötigen keinen zusätzlichen IdP, wodurch Sie Geld sparen können.

Einsatzmöglichkeiten für diese Architektur

Ziehen Sie in den folgenden Szenarien in Betracht, Google als IdP mit einem HRIS als autoritative Quelle zu verwenden:

  • Sie haben ein vorhandenes HRIS oder ein anderes System, das als autoritative Quelle für Identitäten dient.
  • Sie nutzen die G Suite bereits als Lösung für die Zusammenarbeit und Produktivität.
  • Es gibt keine lokale Infrastruktur oder keinen IdP, die Sie einbinden müssen oder die Sie von Ihrem Google-Konto getrennt halten möchten.

Externen IdP verwenden

Wenn Ihre Organisation bereits einen IdP wie Active Directory, Azure AD, Okta oder Ping Identity verwendet, können Sie Google Cloud über einen Verbund in diesen externen IdP einbinden.

Wenn Sie ein Cloud Identity- oder G Suite-Konto mit einem externen IdP verbinden, können sich Ihre Mitarbeiter mit ihrer vorhandenen Identität und ihren Anmeldedaten in Google-Diensten wie Google Cloud, der Google Marketing Platform und Google Ads anmelden.

Externe IDaaS als IdP und autoritative Quelle

Wenn Sie eine Identity as a Service (IDaaS) wie Okta verwenden, können Sie den Verbund wie im folgenden Diagramm einrichten.

Externe IDaaS als IdP und autoritative Quelle

  • Cloud Identity oder die G Suite verwenden Ihren IDaaS als IdP für die Einmalanmeldung.
  • IDaaS stellt automatisch Nutzer und Gruppen für Cloud Identity oder die G Suite bereit.
  • Vorhandene Unternehmensanwendungen und andere SaaS-Dienste können weiterhin als IdP mit Ihrem IDaaS verbunden werden.

In der Praxis

Für einen Mitarbeiter sieht die Anmeldung so aus:

  1. Wenn ein Mitarbeiter eine geschützte Ressource anfordert, wird er zu Google Log-in weitergeleitet, wo er seine E-Mail-Adresse und sein Passwort eingeben muss.
  2. Google Log-in leitet ihn auf die Anmeldeseite Ihres IDaaS weiter.
  3. Er authentifiziert sich bei Ihrem IDaaS. Je nach IDaaS muss er möglicherweise einen zweiten Faktor wie einen Code angeben.
  4. Nach der Authentifizierung wird er zur geschützten Ressource zurückgeleitet.

Vorteile

Die Verwendung einer externen IDaaS als IdP und autoritativer Quelle hat folgende Vorteile:

  • Sie aktivieren eine Einmalanmeldung für Ihre Mitarbeiter, die sich auf Google-Dienste und andere Anwendungen, die in Ihre IDaaS eingebunden sind, erstreckt.
  • Wenn Sie Ihre IDaaS so konfiguriert haben, dass eine Multi-Faktor-Authentifizierung erforderlich ist, wird diese Konfiguration automatisch auf Google Cloud angewendet.
  • Sie müssen Passwörter oder andere Anmeldedaten nicht mit Google synchronisieren.
  • Sie können die kostenlose Version von Cloud Identity verwenden.

Einsatzmöglichkeiten für diese Architektur

Erwägen Sie in den folgenden Szenarien die Verwendung eines externen IDaaS als IdP und autoritative Quelle:

  • Sie verwenden bereits eine IDaaS wie Okta als IdP.

Best Practices

Weitere Informationen finden Sie in den Best Practices für die Verbindung von Google Cloud mit einem externen Identitätsanbieter.

Active Directory als IdP und autoritative Quelle

Wenn Sie Active Directory als Quelle für die Identitätsverwaltung verwenden, können Sie den Verbund wie im folgenden Diagramm einrichten.

Active Directory als IdP und autoritative Quelle

  • Mit Google Cloud Directory Sync können Sie Nutzer und Gruppen aus Active Directory automatisch für Cloud Identity oder die G Suite bereitstellen. Cloud Directory Sync ist ein von Google bereitgestelltes kostenloses Tool, das den Synchronisierungsprozess implementiert und entweder in Google Cloud oder in Ihrer lokalen Umgebung ausgeführt werden kann. Die Synchronisierung erfolgt in eine Richtung, sodass Active Directory die "Source of Truth" bleibt.
  • Cloud Identity oder die G Suite verwenden Active Directory Federation Services (AD FS) für die Einmalanmeldung.
  • Vorhandene Unternehmensanwendungen und andere SaaS-Dienste können Ihren AD FS weiterhin als IdP verwenden.

In einer Variante dieses Musters können Sie auch Active Directory Lightweight Directory Services (AD LDS) oder ein anderes LDAP-Verzeichnis mit AD FS oder einem anderen SAML-kompatiblen IdP verwenden.

Weitere Informationen zu diesem Ansatz finden Sie unter Google Cloud mit Active Directory verbinden.

In der Praxis

  1. Wenn der Mitarbeiter die geschützte Ressource anfordert, wird er zu Google Log-in weitergeleitet, wo er seine E-Mail-Adresse eingeben muss.
  2. Google Log-in leitet den Mitarbeiter auf die Anmeldeseite von AD FS weiter.
  3. Je nach Konfiguration von AD FS wird dem Mitarbeiter möglicherweise ein Anmeldebildschirm angezeigt, in dem er aufgefordert wird, seinen Active Directory-Nutzernamen und sein Passwort einzugeben. Alternativ kann AD FS versuchen, den Mitarbeiter anhand seiner Windows-Anmeldung automatisch anzumelden.
  4. Nachdem AD FS den Mitarbeiter authentifiziert hat, wird er zur geschützten Ressource zurückgeleitet.

Vorteile

Die Verwendung von Active Directory als IdP und autoritative Quelle hat folgende Vorteile:

  • Sie aktivieren eine Einmalanmeldung (SSO) für Ihre Mitarbeiter, die sich über Google-Dienste und Ihre lokale Umgebung erstreckt.
  • Wenn Sie in der Konfiguration festgelegt haben, dass für AD FS die Multi-Faktor-Authentifizierung erforderlich ist, wird diese Konfiguration automatisch für Google Cloud übernommen.
  • Sie müssen Passwörter oder andere Anmeldedaten nicht mit Google synchronisieren.
  • Sie können die kostenlose Version von Cloud Identity verwenden.
  • Da die von Cloud Directory Sync verwendeten APIs öffentlich zugänglich sind, müssen Sie keine Hybridkonnektivität zwischen Ihrem lokalen Netzwerk und Google Cloud einrichten.

Einsatzmöglichkeiten für diese Architektur

Ziehen Sie in den folgenden Szenarien Active Directory als IdP und autoritative Quelle in Betracht:

  • Sie haben eine Active Directory-Infrastruktur.
  • Sie möchten eine nahtlose Anmeldung für Windows-Nutzer ermöglichen.

Best Practices

Beachten Sie die folgenden Best Practices:

  • Active Directory und Cloud Identity verwenden unterschiedliche logische Strukturen. Machen Sie sich mit den Unterschieden vertraut und entscheiden Sie, welche Methode zur Zuordnung von Domains, Identitäten und Gruppen für Ihre Situation am besten geeignet ist. Weitere Informationen finden Sie in unserem Leitfaden zum Verbinden von Google Cloud mit Active Directory.
  • Synchronisieren Sie nicht nur Nutzer, sondern auch Gruppen. Bei diesem Ansatz können Sie Cloud IAM so einrichten, dass Sie den Zugriff auf Ressourcen in Google Cloud mithilfe von Gruppenmitgliedschaften in Active Directory steuern können.
  • Stellen Sie AD FS so bereit, dass Unternehmensnutzer darauf zugreifen können, jedoch nur im erforderlichen Umfang. Unternehmensnutzer müssen auf AD FS zugreifen können. Es ist aber nicht nötig, dass AD FS über Cloud Identity oder G Suite oder eine andere in Google Cloud bereitgestellte Anwendung aufgerufen werden kann.
  • Erwägen Sie die Aktivierung der integrierten Windows-Authentifizierung (IWA) in AD FS, damit Nutzer sich anhand ihrer Windows-Anmeldung automatisch anmelden können.
  • Wenn AD FS nicht mehr verfügbar ist, können Nutzer die Google Cloud Console oder eine andere Ressource, die Google als IdP verwendet, möglicherweise nicht verwenden. Sorgen Sie deshalb dafür, dass AD FS und die Domaincontroller, die von AD FS benötigt werden, gemäß Ihren Verfügbarkeitszielen bereitgestellt und dimensioniert werden.
  • Wenn Sie Google Cloud für die Sicherstellung der Geschäftskontinuität einsetzen, schaden Sie mit der Verwendung von lokalen AD FS unter Umständen Ihrer eigenen Absicht, Google Cloud als eigenständige Kopie Ihrer Bereitstellung zu nutzen. In diesem Fall können Sie Replikate aller relevanten Systeme in Google Cloud auf eine der folgenden Arten bereitstellen:

    • Erweitern Sie Ihre vorhandene Active Directory-Domain auf Google Cloud und stellen Sie Cloud Directory Sync für die Ausführung in Google Cloud bereit.
    • Führen Sie dedizierte AD FS-Server in Google Cloud aus. Diese Server verwenden die in Google Cloud ausgeführten Active Directory-Domaincontroller.
    • Konfigurieren Sie in Cloud Identity die Verwendung der AD FS-Server, die für die Einmalanmeldung in Google Cloud bereitgestellt werden.

Weitere Informationen finden Sie unter Best Practices für die Verbindung von Google Cloud mit einem externen Identitätsanbieter.

Azure AD als IdP mit Active Directory als autoritative Quelle

Als Microsoft Office 365- oder Azure-Kunde haben Sie Ihr lokales Active Directory unter Umständen mit Azure AD verbunden. Wenn alle Nutzerkonten, die Zugriff in Google Cloud benötigen, bereits mit Azure AD synchronisiert sind, können Sie diese Einbindung wiederverwenden. Verbinden Sie dazu Cloud Identity mit Azure AD. Dies wird im folgenden Diagramm dargestellt:

Azure AD als IdP mit Active Directory als autoritative Quelle

  • Sie verwenden Azure AD, um Nutzer und Gruppen automatisch für Cloud Identity oder die G Suite bereitzustellen. Azure AD selbst kann in ein lokales Active Directory eingebunden sein.
  • Cloud Identity oder die G Suite verwenden Azure AD für die Einmalanmeldung.
  • Vorhandene Unternehmensanwendungen und andere SaaS-Dienste können Azure D weiterhin als IdP verwenden.

Weitere Informationen zu diesem Ansatz finden Sie unter Google Cloud mit Azure Active Directory verbinden.

In der Praxis

  1. Wenn der Mitarbeiter die geschützte Ressource anfordert, wird er zu Google Log-in weitergeleitet, wo er seine E-Mail-Adresse eingeben muss.
  2. Google Log-in leitet ihn auf die Anmeldeseite von AD FS weiter.
  3. Je nachdem, wie das lokale Active Directory mit Azure AD verbunden ist, wird er möglicherweise von Azure AD zur Eingabe eines Nutzernamens und Passworts aufgefordert oder zu einem lokalen AD FS weitergeleitet.
  4. Nachdem der Mitarbeiter bei Azure AD authentifiziert wurde, wird er zur geschützten Ressource zurückgeleitet.

Vorteile

Die Verwendung von Azure AD als IdP mit Active Directory als autoritative Quelle hat mehrere Vorteile:

  • Sie aktivieren eine Einmalanmeldung für Ihre Mitarbeiter, die sich über Google-Dienste, Azure und Ihre lokale Umgebung erstreckt.
  • Wenn Sie Azure AD so konfiguriert haben, dass eine Multi-Faktor-Authentifizierung erforderlich ist, wird diese Konfiguration automatisch auf Google Cloud angewendet.
  • Sie müssen keine zusätzliche Software in Ihrer lokalen Umgebung installieren.
  • Wenn vom lokalen Active Directory mehrere Domains oder Gesamtstrukturen verwendet werden und Sie eine benutzerdefinierte Azure AD Connect-Konfiguration eingerichtet haben, um diese Struktur einem Azure AD-Mandanten zuzuordnen, können Sie die Vorteile dieser Einbindung nutzen.
  • Sie müssen Passwörter oder andere Anmeldedaten nicht mit Google synchronisieren.
  • Sie können die kostenlose Version von Cloud Identity verwenden.
  • Sie können die Cloud Console als Kachel im Office 365-Portal anzeigen lassen.
  • Da die von Azure AD verwendeten APIs öffentlich zugänglich sind, müssen Sie keine Hybridkonnektivität zwischen Azure und Google Cloud einrichten.

Einsatzmöglichkeiten für diese Architektur

Ziehen Sie die Verwendung von Azure AD als IdP mit Active Directory als autoritative Quelle in den folgenden Szenarien in Betracht:

  • Sie verwenden Azure AD bereits und haben es in eine vorhandene Active Directory-Infrastruktur eingebunden.
  • Sie möchten eine nahtlose Anmeldung für Nutzer in Azure und Google Cloud ermöglichen.

Best Practices

Wir empfehlen folgende Best Practices:

  • Informieren Sie sich über die Unterschiede, die zwischen den logischen Strukturen von Azure AD und Cloud Identity bestehen. Entscheiden Sie dann, welche Methode sich für das Zuordnen von Domains, Identitäten und Gruppen am besten für Ihre Situation eignet. Weitere Informationen finden Sie unter Google Cloud mit Azure AD verbinden.
  • Synchronisieren Sie nicht nur Nutzer, sondern auch Gruppen. Bei diesem Ansatz können Sie Cloud IAM so einrichten, dass Sie den Zugriff auf Ressourcen in Google Cloud mithilfe von Gruppenmitgliedschaften in Azure AD steuern können.
  • Wenn Sie Google Cloud für die Sicherstellung der Geschäftskontinuität einsetzen, schaden Sie mit der Verwendung von Azure AD zu Authentifizierungszwecken unter Umständen Ihrer eigenen Absicht, Google Cloud als eigenständige Kopie Ihrer Bereitstellung zu nutzen.

Weitere Informationen finden Sie unter Best Practices für die Verbindung von Google Cloud mit einem externen Identitätsanbieter.

Weitere Informationen