参考架构

Last reviewed 2024-07-11 UTC

本文档介绍了您在管理公司身份时可以参考的典型架构。公司身份管理的两个核心原则如下:

  • 身份的权威来源,这是您为员工创建、管理和删除身份的唯一系统。权威来源系统中管理的身份可能会传播到其他系统。

  • 中央身份提供商 (IdP),这是唯一的身份验证系统,可为您的员工提供跨应用的单点登录体验。

使用 Google Cloud 或其他 Google 服务时,您必须决定要将哪个系统用作身份提供商,以及要将哪个系统用作权威来源。

将 Google 用作 IdP

通过使用 Cloud Identity 专业版Google Workspace,您可以将 Google 设置为您的主要 IdP。Google 为热门的第三方应用提供了大量现成可用的集成,您可以使用 SAMLOAuthOpenID Connect 等标准协议集成您的自定义应用。

将 Google 用作 IdP 和权威来源

您可以将 Cloud Identity 专业版或 Google Workspace 用作 IdP 和权威来源,如下图所示。

将 Google 用作 IdP 和权威来源。

  • 您可以使用 Cloud Identity 专业版或 Google Workspace 来管理用户和群组。
  • 所有 Google 服务都将 Cloud Identity 专业版或 Google Workspace 用作 IdP。
  • 您可以配置公司应用和其他 SaaS 服务,将 Google 用作 IdP。

用户体验

在此配置中,对员工来说,登录用户体验如下所述:

  1. 在员工请求受保护的资源或对公司应用的访问权限时,系统会将其重定向到 Google 登录屏幕,提示他们输入电子邮件地址和密码。
  2. 如果启用了两步验证,系统会提示员工提供第二重身份验证,例如 USB 密钥或验证码。
  3. 员工通过身份验证后,系统会将其重定向回相应的受保护资源。

优势

将 Google 用作 IdP 和权威来源具有以下优势:

何时使用此架构

在以下情况下,请考虑将 Google 用作 IdP 和权威来源:

  • 您已将 Google Workspace 用作您的协作和高效办公解决方案。
  • 您没有必须要集成的现有本地基础架构或 IdP,或者您希望将其与 Google 上(Google Cloud 和 Google Ads 等)的所有资源分开。
  • 您无需与人力资源信息系统 (HRIS) 集成即可管理身份。

将 Google 用作 IdP,并将 HRIS 用作权威来源

如果您使用人力资源信息系统 (HRIS) 来管理员工的入职和离职流程,您仍然可以将 Google 用作 IdP。Cloud Identity 和 Google Workspace 提供的 API 可让 HRIS 和其他系统控制用户和群组的管理,如下图所示。

将 Google 用作 IdP,并将 HRIS 用作权威来源。

  • 您可以使用现有的 HRIS 来管理用户和(可选)群组。HRIS 仍然是身份管理的唯一可信来源,并可自动为 Cloud Identity 或 Google Workspace 预配用户。
  • 所有 Google 服务都将 Cloud Identity 专业版或 Google Workspace 用作 IdP。
  • 您可以配置公司应用和其他 SaaS 服务,将 Google 用作 IdP。

用户体验

对员工来说,登录用户体验相当于将 Google 用作 IdP 和权威来源

优势

将 Google 用作 IdP 和权威来源具有以下优势:

  • 您可以通过重复使用现有 HRIS 工作流来最大限度地减少管理开销。
  • 您可以充分利用 Google 的多重身份验证移动设备管理功能。
  • 您不需要额外的 IdP,这或许能帮您节省资金。

何时使用此架构

在以下情况下,请考虑将 Google 用作 IdP,并将 HRIS 用作权威来源:

  • 您已有一个 HRIS 或其他系统作为身份的权威来源。
  • 您已将 Google Workspace 用作您的协作和高效办公解决方案。
  • 您没有必须要集成的现有本地基础架构或 IdP,或者您希望将其与 Google 资源分开。

使用外部 IdP

如果您的组织已在使用 IdP(如 Active Directory、Azure AD、ForgeRock、Okta 或 Ping Identity),您可以使用联合将 Google Cloud 与此外部 IdP 集成。

通过将 Cloud Identity 或 Google Workspace 账号与外部 IdP 联合,您可以让员工使用其现有身份和凭据登录 Google Cloud、Google Marketing Platform 和 Google Ads 等 Google 服务。

将外部 IDaaS 用作 IdP 和权威来源

如果您使用身份即服务 (IDaaS) 提供商(例如 ForgeRock、Okta 或 Ping Identity),则可以设置联合,如下图所示。

将外部 IDaaS 用作 IdP 和权威来源。

  • Cloud Identity 或 Google Workspace 将您的 IDaaS 用作 IdP 进行单点登录。
  • IDaaS 自动为 Cloud Identity 或 Google Workspace 预配用户和群组。
  • 现有公司应用和其他 SaaS 服务可以继续将您的 IDaaS 用作 IdP。

如需详细了解如何将 Cloud Identity 或 Google Workspace 与 Okta 联合,请参阅 Okta 用户预配和单点登录

用户体验

对于员工来说,登录用户体验如下所述:

  1. 在员工请求受保护资源时,系统会将其重定向到 Google 登录屏幕,提示他们输入电子邮件地址。
  2. Google 登录将您重定向至相应 IDaaS 的登录页面。
  3. 您使用 IDaaS 进行身份验证。根据您的 IDaaS,这可能需要您提供第二重身份验证,例如验证码。
  4. 您通过身份验证后,系统会将您重定向回相应的受保护资源。

优势

将外部 IDaaS 用作 IdP 和权威来源具有以下优势:

  • 您可以为员工提供单点登录体验,这种体验可以延伸到与您的 IDaaS 集成的 Google 服务和其他应用中。
  • 如果您已将 IDaaS 配置为要求多重身份验证,该配置会自动应用于 Google Cloud。
  • 您不需要将密码或其他凭据与 Google 同步。
  • 您可以使用 Cloud Identity 免费版。

何时使用此架构

在以下情况下,请考虑将外部 IDaaS 用作 IdP 和权威来源:

  • 您已将 IDaaS 提供商(例如 ForgeRock、Okta 或 Ping Identity)用作 IdP。

最佳做法

请参阅我们的联合 Google Cloud 与外部身份提供商的最佳做法

将 Active Directory 用作 IdP 和权威来源

如果您将 Active Directory 用作身份管理的可信来源,可以按照下图所示设置联合。

将 Active Directory 用作 IdP 和权威来源。

  • 您使用 Google Cloud Directory Sync (GCDS) 为 Cloud Identity 或 Google Workspace 自动预配 Active Directory 中的用户和群组。Google Cloud Directory Sync 是 Google 提供的免费工具,可实现同步过程。它要么在 Google Cloud 上运行,要么在本地环境中运行。同步是单向的,因此 Active Directory 仍然是可靠来源。
  • Cloud Identity 或 Google Workspace 使用 Active Directory Federation Services (AD FS) 进行单点登录。
  • 现有公司应用和其他 SaaS 服务可以继续将您的 AD FS 用作 IdP。

作为此模式的一种变体,您还可以将 Active Directory 轻型目录服务 (AD LDS) 或其他 LDAP 目录与 AD FS 或其他符合 SAML 标准的 IdP 搭配使用。

如需详细了解此方法,请参阅将 Google Cloud 与 Active Directory 联合

用户体验

  1. 在员工请求受保护资源时,系统会将其重定向到 Google 登录屏幕,提示他们输入电子邮件地址。
  2. Google 登录可以将员工重定向到 AD FS 的登录页面。
  3. 员工可能会看到一个登录屏幕,提示他们输入 Active Directory 用户名和密码,具体取决于 AD FS 的配置。或者,AD FS 可能会尝试根据员工的 Windows 登录信息自动为其登录。
  4. 在 AD FS 对员工进行身份验证后,系统会将其重定向回相应的受保护资源。

优势

将 Active Directory 用作 IdP 和权威来源具有以下优势:

  • 您可以为员工提供单点登录体验,这种体验可以延伸到 Google 服务和本地环境中。
  • 如果您已将 AD FS 配置为要求多重身份验证,该配置会自动应用于 Google Cloud。
  • 您无需将密码或其他凭据同步到 Google。
  • 您可以使用 Cloud Identity 免费版。
  • 由于 GCDS 使用的 API 可公开访问,因此无需在本地网络和 Google Cloud 之间设置混合连接

何时使用此架构

在以下情况下,请考虑将 Active Directory 用作 IdP 和权威来源:

  • 您已有 Active Directory 基础架构。
  • 您希望为 Windows 用户提供无缝登录体验。

最佳做法

请考虑以下最佳做法:

  • Active Directory 和 Cloud Identity 使用不同的逻辑结构。请务必了解这些差异,并评估哪种网域、身份和群组映射方式最适合您的情况。如需了解详情,请参阅我们关于将 Google Cloud 与 Active Directory 联合的指南
  • 同步群组和用户。通过此方法,您可以设置 IAM,以便在 Active Directory 中使用群组成员资格来控制谁有权访问 Google Cloud 中的哪些资源。
  • 部署并公开 AD FS 以供企业用户进行访问;不过除非必要,否则不要公开 AD FS。虽然企业用户必须能够访问 AD FS,但并不要求能从 Cloud Identity、Google Workspace 或 Google Cloud 上部署的任何应用访问 AD FS。
  • 考虑在 AD FS 中启用集成式 Windows 身份验证 (IWA),以允许用户根据其 Windows 登录信息自动登录。
  • 如果 AD FS 不可用,用户可能无法使用 Google Cloud 控制台或任何其他将 Google 作为 IdP 的资源。因此,请务必根据您的可用性目标对 AD FS 及其所依赖的网域控制器进行部署和规模调整。

  • 如果您借助 Google Cloud 确保业务连续性,那么依赖本地 AD FS 可能影响将 Google Cloud 用作部署的独立副本这一目的。在这种情况下,请考虑通过以下方式之一在 Google Cloud 上部署所有相关系统的副本:

    • 将现有 Active Directory 域扩展到 Google Cloud 并将 GCDS 部署为在 Google Cloud 上运行。
    • 在 Google Cloud 上运行专用 AD FS 服务器。这些服务器使用在 Google Cloud 上运行的 Active Directory 域控制器。
    • 将 Cloud Identity 配置为使用部署在 Google Cloud 上的 AD FS 服务器进行单点登录。

如需了解详情,请参阅联合 Google Cloud 与外部身份提供商的最佳做法

将 Azure AD 用作 IdP,并将 Active Directory 用作权威来源

如果您是 Microsoft Office 365 或 Azure 客户,您可能已将本地 Active Directory 连接到 Azure AD。如果所有可能需要访问 Google Cloud 的用户账号都已同步到 Azure AD,您可以通过将 Cloud Identity 与 Azure AD 联合来重复使用此集成,如下图所示。

将 Azure AD 用作 IdP,并将 Active Directory 用作权威来源。

  • 您可以使用 Azure AD 将用户和群组自动预配到 Cloud Identity 或 Google Workspace。Azure AD 本身可能已与本地 Active Directory 集成。
  • Cloud Identity 或 Google Workspace 使用 Azure AD 进行单点登录。
  • 现有公司应用和其他 SaaS 服务可以继续将您的 Azure AD 用作 IdP。

如需详细了解此方法,请参阅将 Google Cloud 与 Azure Active Directory 联合

用户体验

  1. 在员工请求受保护资源时,系统会将其重定向到 Google 登录屏幕,提示他们输入电子邮件地址。
  2. Google 登录可以将他们重定向到 AD FS 的登录页面。
  3. 根据其本地 Active Directory 连接到 Azure AD 的方式,Azure AD 可能会提示他们输入用户名和密码,或者将其重定向到本地 AD FS。
  4. 员工通过 Azure AD 身份验证后,系统会将其重定向回相应的受保护资源。

优势

将 Azure AD 用作 IdP 并将 Active Directory 用作权威来源具有以下几个优势:

  • 您可以为员工提供单点登录体验,这种体验可以延伸到 Google 服务、Azure 和本地环境中。
  • 如果您已将 Azure AD 配置为要求多重身份验证,该配置会自动应用于 Google Cloud。
  • 您无需在本地安装任何其他软件。
  • 如果您的本地 Active Directory 使用多个网域或林,并且您已自行将 Azure AD Connect 配置为将此结构映射到 Azure AD 租户,可以利用此集成。
  • 您无需将密码或其他凭据同步到 Google。
  • 您可以使用 Cloud Identity 免费版。
  • 在 Office 365 门户中,您可以将 Google Cloud 控制台显示为图块。
  • 由于 Azure AD 使用的 API 可公开访问,因此无需在 Azure 和 Google Cloud 之间设置混合连接

何时使用此架构

在以下情况下,请考虑将 Azure AD 用作 IdP,并将 Active Directory 用作权威来源:

  • 您已使用 Azure AD 并将其与现有的 Active Directory 基础架构集成。
  • 您希望为 Azure 和 Google Cloud 用户提供无缝登录体验。

最佳做法

请遵循以下最佳做法:

  • 由于 Azure AD 和 Cloud Identity 采用不同的逻辑结构,因此您必须了解二者的具体差异,评估哪种网域、身份和群组映射方式最适合您的情况。如需了解详情,请参阅将 Google Cloud 与 Azure AD 联合
  • 同步群组和用户。通过此方法,您可以设置 IAM,以便在 Azure AD 中使用群组成员资格来控制谁有权访问 Google Cloud 中的哪些资源。
  • 如果您借助 Google Cloud 确保业务连续性,那么依赖 Azure AD 进行身份验证可能会影响将 Google Cloud 用作部署的独立副本这一目的。

如需了解详情,请参阅联合 Google Cloud 与外部身份提供商的最佳做法

后续步骤