Arquitecturas de referencia

En este documento se presentan arquitecturas típicas que puede usar como referencia para gestionar identidades corporativas. Dos principios fundamentales de la gestión de la identidad corporativa son los siguientes:

• Una fuente de identidades autorizada que es el único sistema que usas para crear, gestionar y eliminar identidades de tus empleados. Las identidades gestionadas en el sistema de origen autorizado se pueden propagar a otros sistemas.

• Un proveedor de identidades (IdP) central que es el único sistema de autenticación y que proporciona una experiencia de inicio de sesión único a tus empleados en todas las aplicaciones.

Cuando uses Google Cloud u otros servicios de Google, debes decidir qué sistema utilizar como proveedor de identidades y qué sistema utilizar como fuente autorizada.

Usar Google como proveedor de identidades

Si usas Cloud Identity Premium o Google Workspace, puedes convertir Google en tu IdP principal. Google ofrece una gran selección de integraciones listas para usar para aplicaciones de terceros populares. Además, puedes usar protocolos estándar como SAML, OAuth y OpenID Connect para integrar tus aplicaciones personalizadas.

Google como proveedor de identidades y fuente oficial

Puedes usar Cloud Identity Premium o Google Workspace como proveedor de identidades y como fuente autoritativa, como se muestra en el siguiente diagrama.

• Usas Cloud Identity Premium o Google Workspace para gestionar usuarios y grupos.
• Todos los servicios de Google usan Cloud Identity Premium o Google Workspace como proveedor de identidades.
• Configuras aplicaciones corporativas y otros servicios de SaaS para que usen Google como proveedor de identidades.

Experiencia de usuario

En esta configuración, la experiencia de inicio de sesión de un empleado es la siguiente:

1. Cuando un empleado solicita un recurso protegido o acceso a una aplicación corporativa, se le redirige a la pantalla de inicio de sesión de Google, donde se le pide su dirección de correo y su contraseña.
2. Si la verificación en dos pasos está habilitada, se le pedirá al empleado que proporcione un segundo factor, como una llave USB o un código.
3. Cuando se autentica al empleado, se le redirige al recurso protegido.

Ventajas

Usar Google como proveedor de identidades y fuente autorizada tiene las siguientes ventajas:

• Puedes aprovechar al máximo las funciones de autenticación multifactor y gestión de dispositivos móviles de Google.
• No necesitas un proveedor de identidades adicional, lo que puede suponer un ahorro.

Cuándo usar esta arquitectura

Te recomendamos que uses Google como proveedor de identidades y fuente oficial en los siguientes casos:

• Ya usas Google Workspace como solución de colaboración y productividad.
• No tienes ninguna infraestructura local ni ningún proveedor de identidades con los que tengas que integrar tu cuenta o quieres mantenerla separada de todos tus recursos de Google (en Google Cloud, en Google Ads, etc.).
• No es necesario integrar un sistema de información de recursos humanos (SIRH) para gestionar identidades.

Google como proveedor de identidades con un sistema de información de recursos humanos como fuente autorizada

Si usas un sistema de información de recursos humanos (SIRH) para gestionar el proceso de incorporación y baja de tus empleados, puedes seguir usando Google como proveedor de identidades. Cloud Identity y Google Workspace proporcionan APIs que permiten a los sistemas de información de recursos humanos y a otros sistemas controlar la gestión de usuarios y grupos, tal como se muestra en el siguiente diagrama.

• Utilizas tu sistema de información de recursos humanos para gestionar usuarios y, opcionalmente, grupos. El sistema de información de recursos humanos sigue siendo la única fuente fiable para la gestión de identidades y aprovisiona automáticamente a los usuarios para Cloud Identity o Google Workspace.
• Todos los servicios de Google usan Cloud Identity Premium o Google Workspace como proveedor de identidades.
• Configuras aplicaciones corporativas y otros servicios de SaaS para que usen Google como proveedor de identidades.

Experiencia de usuario

Para un empleado, la experiencia de usuario de inicio de sesión es equivalente a usar Google como proveedor de identidades y fuente autorizada.

Ventajas

Usar Google como proveedor de identidades y fuente autorizada tiene las siguientes ventajas:

• Puedes minimizar la sobrecarga administrativa reutilizando tus flujos de trabajo del SIREH.
• Puedes aprovechar al máximo las funciones de autenticación multifactor y gestión de dispositivos móviles de Google.
• No necesitas un proveedor de identidades adicional, lo que puede suponer un ahorro.

Cuándo usar esta arquitectura

Plantéate usar Google como proveedor de identidades con un sistema de información de recursos humanos como fuente autorizada en los siguientes casos:

• Tiene un SIRE u otro sistema que actúa como fuente oficial de identidades.
• Ya usas Google Workspace como solución de colaboración y productividad.
• No tienes ninguna infraestructura local ni ningún proveedor de identidades con los que tengas que integrar tu cuenta de Google o que quieras mantener separados de ella.

Usar un proveedor de identidades externo

Si tu organización ya usa un IdP, como Active Directory, Microsoft Entra ID (antes Azure AD), ForgeRock, Okta o Ping Identity, puedes integrar Google Cloud este IdP externo mediante la federación.

Al federar una cuenta de Cloud Identity o Google Workspace con un proveedor de identidades externo, puedes permitir que los empleados usen su identidad y sus credenciales para iniciar sesión en servicios de Google como Google Cloud, Google Marketing Platform y Google Ads.

IDaaS externo como IdP y fuente autoritativa

Si utilizas un proveedor de identidad como servicio (IDaaS), como ForgeRock, Okta o Ping Identity, puedes configurar la federación tal como se muestra en el siguiente diagrama.

• Cloud Identity o Google Workspace usan tu IDaaS como proveedor de identidades para el inicio de sesión único.
• La solución de IDaaS aprovisiona automáticamente usuarios y grupos para Cloud Identity o Google Workspace.
• Las aplicaciones corporativas y otros servicios de SaaS pueden seguir usando tu IDaaS como IdP.

Para obtener más información sobre cómo federar Cloud Identity o Google Workspace con Okta, consulta el artículo Aprovisionamiento de usuarios e inicio de sesión único de Okta.

Experiencia de usuario

Para un empleado, la experiencia de usuario de inicio de sesión es la siguiente:

1. Cuando solicita un recurso protegido, se redirige al empleado a la pantalla de inicio de sesión de Google, donde se le pide que introduzca su dirección de correo electrónico.
2. Inicio de sesión con Google te redirige a la página de inicio de sesión de tu IDaaS.
3. Te autenticas con tu IDaaS. En función de tu IDaaS, es posible que tengas que proporcionar un segundo factor, como un código.
4. Una vez que te hayas autenticado, se te redirigirá al recurso protegido.

Ventajas

Usar un IDaaS externo como IdP y fuente autorizada tiene las siguientes ventajas:

• Ofreces a tus empleados una experiencia de inicio de sesión único que se extiende a los servicios de Google y a otras aplicaciones integradas con tu IDaaS.
• Si has configurado tu IDaaS para que requiera la autenticación multifactor, esa configuración se aplicará automáticamente a Google Cloud.
• No es necesario que sincronices contraseñas ni otras credenciales con Google.
• Puedes usar la versión gratuita de Cloud Identity.

Cuándo usar esta arquitectura

Te recomendamos que uses un IDaaS externo como IdP y fuente autorizada en los siguientes casos:

• Ya utilizas un proveedor de IDaaS, como ForgeRock, Okta o Ping Identity, como IdP.

Prácticas recomendadas

Consulta nuestras prácticas recomendadas para federar Google Cloud con un proveedor de identidades externo.

Active Directory como IdP y fuente autorizada

Si usas Active Directory como fuente de información fiable para la gestión de identidades, puedes configurar la federación como se muestra en el siguiente diagrama.

• Utilizas Google Cloud Directory Sync (GCDS) para aprovisionar automáticamente usuarios y grupos de Active Directory en Cloud Identity o Google Workspace. Google Cloud Directory Sync es una herramienta gratuita proporcionada por Google que implementa el proceso de sincronización y se puede ejecutar en tu entorno local o en él. Google Cloud La sincronización es unidireccional, por lo que Active Directory sigue siendo la fuente de información veraz.
• Cloud Identity o Google Workspace usan los servicios de federación de Active Directory (AD FS) para el inicio de sesión único.
• Las aplicaciones corporativas y otros servicios de SaaS pueden seguir usando tu AD FS como IdP.

También puedes usar una variante de este patrón con Active Directory Lightweight Directory Services (AD LDS) u otro directorio LDAP con AD FS u otro proveedor de identidades compatible con SAML.

Para obtener más información sobre este método, consulta Federar Google Cloud con Active Directory.

Experiencia de usuario

1. Cuando solicita el recurso protegido, se redirige al empleado a la pantalla de inicio de sesión de Google, donde se le pide su dirección de correo.
2. Inicio de sesión con Google redirige al empleado a la página de inicio de sesión de AD FS.
3. En función de la configuración de AD FS, es posible que el empleado vea una pantalla de inicio de sesión en la que se le pida su nombre de usuario y contraseña de Active Directory. También es posible que AD FS intente iniciar sesión automáticamente para el empleado en función de su inicio de sesión de Windows.
4. Una vez que AD FS haya autenticado al empleado, se le redirigirá al recurso protegido.

Ventajas

Usar Active Directory como IdP y fuente autorizada tiene las siguientes ventajas:

• Ofreces a tus empleados una experiencia de inicio de sesión único que se extiende a los servicios de Google y a tu entorno local.
• Si has configurado AD FS para que requiera la autenticación multifactor, esa configuración se aplicará automáticamente a Google Cloud.
• No es necesario que sincronices contraseñas ni otras credenciales con Google.
• Puedes usar la versión gratuita de Cloud Identity.
• Como las APIs que usa GCDS son de acceso público, no es necesario configurar la conectividad híbrida entre tu red local y Google Cloud.

Cuándo usar esta arquitectura

Considera la posibilidad de usar Active Directory como IdP y fuente autorizada en los siguientes casos:

• Tienes una infraestructura de Active Directory.
• Quieres ofrecer una experiencia de inicio de sesión fluida a los usuarios de Windows.

Prácticas recomendadas

Te recomendamos que sigas estas prácticas recomendadas:

• Active Directory y Cloud Identity usan una estructura lógica diferente. Asegúrate de que conoces las diferencias y evalúa qué método de asignación de dominios, identidades y grupos se adapta mejor a tu situación. Para obtener más información, consulta nuestra guía sobre la federación Google Cloud con Active Directory.
• Sincronizar grupos además de usuarios. Con este método, puedes configurar IAM para usar las pertenencias a grupos de Active Directory y controlar quién tiene acceso a qué recursos deGoogle Cloud.
• Implementa y expón AD FS para que los usuarios de la empresa puedan acceder a él, pero no lo expongas más de lo necesario. Aunque los usuarios de la empresa deben poder acceder a AD FS, no es necesario que se pueda acceder a AD FS desde Cloud Identity o Google Workspace, ni desde ninguna aplicación implementada en Google Cloud.
• Considera la posibilidad de habilitar la autenticación integrada de Windows (IWA) en AD FS para permitir que los usuarios inicien sesión automáticamente en función de su inicio de sesión de Windows.
• Si AD FS deja de estar disponible, es posible que los usuarios no puedan usar la consolaGoogle Cloud ni ningún otro recurso que utilice Google como IdP. Por lo tanto, asegúrate de que AD FS y los controladores de dominio en los que se basa AD FS estén desplegados y dimensionados para cumplir tus objetivos de disponibilidad.

• Si usas Google Cloud para garantizar la continuidad del negocio, depender de un AD FS local puede menoscabar el objetivo de usarGoogle Cloud como copia independiente de tu implementación. En este caso, considere la posibilidad de implementar réplicas de todos los sistemas pertinentes en Google Cloudde una de las siguientes formas:

  • Amplía tu dominio de Active Directory a Google Cloud y despliega GCDS para que se ejecute en Google Cloud.
  • Ejecuta servidores de AD FS dedicados en Google Cloud. Estos servidores usan los controladores de dominio de Active Directory que se ejecutan enGoogle Cloud.
  • Configura Cloud Identity para que use los servidores de AD FS implementados en Google Cloud para el inicio de sesión único.

Para obtener más información, consulta las prácticas recomendadas para federar Google Cloud con un proveedor de identidades externo.

Azure AD como proveedor de identidades con Active Directory como fuente autorizada

Si eres cliente de Microsoft Office 365 o Azure, es posible que hayas conectado tu servicio Active Directory local a Azure AD. Si todas las cuentas de usuario que podrían necesitar acceso a Google Cloud ya se están sincronizando con Azure AD, puedes reutilizar esta integración federando Cloud Identity con Azure AD, como se muestra en el siguiente diagrama.

• Usa Azure AD para aprovisionar automáticamente usuarios y grupos en Cloud Identity o Google Workspace. Azure AD puede estar integrado con un Active Directory local.
• Cloud Identity o Google Workspace usan Azure AD para el inicio de sesión único.
• Las aplicaciones corporativas y otros servicios SaaS pueden seguir usando Azure AD como proveedor de identidades.

Para obtener información más detallada sobre este método, consulta Federación Google Cloud con Azure Active Directory.

Experiencia de usuario

1. Cuando solicita el recurso protegido, se redirige al empleado a la pantalla de inicio de sesión de Google, donde se le pide su dirección de correo.
2. Inicio de sesión con Google los redirige a la página de inicio de sesión de AD FS.
3. En función de cómo esté conectado su servicio Active Directory local a Azure AD, es posible que Azure AD les pida un nombre de usuario y una contraseña, o que los redirija a un AD FS local.
4. Una vez que el empleado se autentica con Azure AD, se le redirige a recurso protegido.

Ventajas

Usar Azure AD como proveedor de identidades con Active Directory como fuente autoritativa tiene varias ventajas:

• Ofreces a tus empleados una experiencia de inicio de sesión único que se extiende a los servicios de Google, Azure y tu entorno local.
• Si has configurado Azure AD para que requiera la autenticación multifactor, esa configuración se aplicará automáticamente a Google Cloud.
• No es necesario instalar ningún software adicional en las instalaciones.
• Si tu instancia local de Active Directory usa varios dominios o bosques y has configurado una instancia personalizada de Azure AD Connect para asignar esta estructura a un tenant de Azure AD, puedes aprovechar esta integración.
• No es necesario que sincronices contraseñas ni otras credenciales con Google.
• Puedes usar la versión gratuita de Cloud Identity.
• Puedes mostrar la Google Cloud consola como una baldosa en el portal de Office 365.
• Como las APIs que usa Azure AD son de acceso público, no es necesario configurar la conectividad híbrida entre Azure y Google Cloud.

Cuándo usar esta arquitectura

Considera la posibilidad de usar Azure AD como IdP con Active Directory como origen autorizado en los siguientes casos:

• Ya usas Azure AD y lo has integrado con una infraestructura de Active Directory.
• Quieres ofrecer a los usuarios una experiencia de inicio de sesión fluida en Azure y Google Cloud.

Prácticas recomendadas

Sigue estas prácticas recomendadas:

• Como Azure AD y Cloud Identity usan una estructura lógica diferente, asegúrate de entender las diferencias. Evalúa qué método de asignación de dominios, identidades y grupos se adapta mejor a tu situación. Para obtener más información, consulta el artículo sobre cómo federar Google Cloud con Azure AD.
• Sincronizar grupos además de usuarios. Con este método, puedes configurar IAM para usar las pertenencias a grupos de Azure AD y controlar quién tiene acceso a qué recursos enGoogle Cloud.
• Si usas Google Cloud para ayudar a garantizar la continuidad empresarial, depender de Azure AD para la autenticación podría menoscabar el objetivo de usarGoogle Cloud como copia independiente de tu implementación.

Para obtener más información, consulta las prácticas recomendadas para federar Google Cloud con un proveedor de identidades externo.

Siguientes pasos

• Consulta más información sobre la federación con Active Directory.
• Consulta cómo configurar la federación con Azure AD.
• Consulta nuestras prácticas recomendadas para planificar cuentas y organizaciones y para federar Google Cloud con un proveedor de identidades externo.