Panoramica della gestione di identità e accessi

La gestione di identità e accessi (generalmente denominata IAM) è la pratica di concedere il diritto all'accesso delle persone alle risorse corrette per i motivi giusti. Questa serie esplora la pratica generale di IAM e di coloro che vi sono soggetti, tra cui:

• Identità aziendali: le identità che gestisci per i dipendenti della tua organizzazione. Queste identità vengono utilizzate per accedere alle workstation, all'email o per utilizzare le applicazioni aziendali. Le identità aziendali possono anche includere non dipendenti come consulenti o partner che devono accedere alle risorse aziendali.
• Identità cliente: le identità che gestisci perché gli utenti possano interagire con il tuo sito web o con le applicazioni rivolte al cliente.
• Identità di servizio: le identità che gestisci per abilitare le applicazioni a interagire con altre applicazioni o con la piattaforma sottostante.

Potresti dover concedere l'accesso alle seguenti risorse:

• Servizi Google come Google Cloud, Google Analytics o Google Workspace
• Risorse in Google Cloud, come progetti, bucket di Cloud Storage o macchine virtuali (VM)
• Applicazioni personalizzate o risorse gestite da simili applicazioni

Le guide di questa serie suddividono la discussione sulla gestione di identità e accessi nelle seguenti parti:

• La gestione delle identità aziendali, cliente e di servizio rappresenta la base della gestione di identità e accessi. Questi argomenti sono i riquadri 4, 5 e 6 (in verde).
• Con la gestione delle identità come base, i riquadri 2 e 3 (in blu) rappresentano gli argomenti sulla gestione degli accessi. Questi argomenti includono la gestione degli accessi ai servizi Google, alle risorse Google Cloud e alle tue applicazioni e ai tuoi carichi di lavoro personalizzati.
• Il riquadro 1 (in giallo) indica gli argomenti relativi alla gestione degli accessi che sono oltre l'ambito trattato in queste guide. Per ulteriori informazioni sulla gestione degli accessi per Google Workspace, Google Marketing Platform e altri servizi, consulta la documentazione dei singoli prodotti.

Gestione delle identità

La gestione delle identità è incentrata sui seguenti processi:

• Provisioning, gestione, migrazione e deprovisioning di identità, utenti e gruppi.
• Abilitazione dell'autenticazione sicura ai servizi Google e ai tuoi carichi di lavoro personalizzati.

I processi e le tecnologie differiscono se si gestiscono identità aziendali, identità applicazione o identità cliente.

Gestione delle identità aziendali

Le identità aziendali sono identità che gestisci per i dipendenti della tua organizzazione. I dipendenti utilizzano queste identità per accedere alle workstation, all'email o per utilizzare le applicazioni aziendali.

Nel contesto della gestione delle identità aziendali, i seguenti sono requisiti tipici:

• Gestire le identità di tutta l'organizzazione in modo centralizzato.
• Consentire ai dipendenti di utilizzare un'unica identità e il Single Sign-On per più applicazioni in un ambiente di computing ibrido.
• Applicare criteri come l'autenticazione a più fattori o la complessità della password per tutti i dipendenti.
• Soddisfare i criteri di conformità che possono applicarsi alla tua azienda.

Google Workspace e Cloud Identity sono prodotti di Google che ti consentono di soddisfare questi requisiti e di gestire identità e criteri in modo centralizzato.

Se utilizzi i servizi Google in un contesto ibrido o multi-cloud, per soddisfare questi requisiti potrebbe essere necessario integrare le funzionalità IAM di Google con soluzioni per la gestione delle identità o provider di identità esterni come Active Directory. Il documento Architetture di riferimento spiega in che modo Google Workspace e Cloud Identity ti consentono di realizzare una simile integrazione.

Alcuni dei tuoi dipendenti potrebbero utilizzare account Gmail o altri account utente consumer per accedere alle risorse aziendali. L'uso di questi tipi di account utente potrebbe non essere compatibile con i criteri o i requisiti della tua azienda, tuttavia, quindi puoi eseguire la migrazione di questi utenti in Google Workspace o Cloud Identity. Per ulteriori dettagli, consulta Valutazione degli account utente esistenti e Valutazione dei piani di onboarding.

Per aiutarti nell'adozione di Google Workspace o Cloud Identity, consulta le guide alla valutazione e pianificazione per informazioni su come accedere ai tuoi requisiti e come affrontare il processo di adozione.

Gestione delle identità applicazione

Le identità applicazione sono identità che gestisci per consentire alle applicazioni di interagire con altre applicazioni o con la piattaforma sottostante.

Nel contesto della gestione delle identità applicazione, i seguenti sono requisiti tipici:

• Integrare con soluzioni API e soluzioni di applicazione di terze parti.
• Consentire l'autenticazione in più ambienti per uno scenario ibrido o multi-cloud.
• Prevenire la fuga di credenziali.

Google Cloud ti consente di gestire le identità applicazione e di soddisfare questi requisiti utilizzando account di servizio Google Cloud e account di servizio Kubernetes. Per ulteriori informazioni sugli account di servizio e sulle best practice per utilizzarli, consulta Informazioni sugli account di servizio.

Gestione delle identità cliente

Le identità cliente sono identità che gestisci per consentire agli utenti di interagire con il tuo sito web o con le applicazioni rivolte al cliente. Per riferirsi alla gestione delle identità cliente e dei relativi accessi si parla di gestione di identità e accessi cliente (CIAM).

Nel contesto della gestione delle identità cliente, i seguenti sono requisiti tipici:

• Consentire ai clienti di creare un nuovo account ma vigilare sugli eventuali illeciti, il che potrebbe includere il rilevamento e il blocco della creazione di account bot.
• Supportare il Social Sign-On e l'integrazione con provider di identità di terze parti.
• Supportare l'autenticazione a più fattori e applicare i requisiti di complessità della password.

Identity Platform di Google consente di gestire le identità cliente e di soddisfare questi requisiti. Per ulteriori informazioni sul set di funzionalità e su come integrare Identity Platform con le tue applicazioni personalizzate, consulta la documentazione di Identity Platform.

Gestione degli accessi

La gestione degli accessi è incentrata sui seguenti processi:

• Concessione o revoca dell'accesso a risorse specifiche per le identità.
• Gestione di ruoli e autorizzazioni.
• Delega delle mansioni amministrative a persone di fiducia.
• Applicazione del controllo dell'accesso.
• Controllo degli accessi eseguiti dalle identità.

Gestione dell'accesso ai servizi Google

È possibile che la tua organizzazione utilizzi una combinazione di servizi Google. Ad esempio, potresti utilizzare Google Workspace per la collaborazione, Google Cloud per il deploying di carichi di lavoro personalizzati e Google Analytics per misurare le metriche relative al successo degli annunci.

Grazie a Google Workspace o a Cloud Identity puoi controllare in modo centralizzato quali identità aziendali possono utilizzare quali servizi Google. Limitando l'accesso a determinati servizi, puoi stabilire un livello base di controllo dell'accesso. Puoi utilizzare le funzionalità di gestione degli accessi dei singoli servizi per configurare un controllo dell'accesso granulare.

Per ulteriori dettagli, scopri come controllare chi può accedere a Google Workspace e ai servizi Google.

Gestione dell'accesso a Google Cloud

In Google Cloud, puoi utilizzare IAM per concedere l'accesso a specifiche risorse alle identità aziendali in modo granulare. Utilizzando IAM, puoi implementare il principio di sicurezza del privilegio minimo, con cui concedi a queste identità le autorizzazioni per accedere solo alle risorse specificate.

Per ulteriori informazioni, consulta la documentazione di IAM.

Gestione dell'accesso a carichi di lavoro e applicazioni

Le tue applicazioni e i tuoi carichi di lavoro personalizzati potrebbero differire in base al pubblico a cui sono rivolti:

• Alcuni carichi di lavoro potrebbero essere destinati agli utenti aziendali, ad esempio applicazioni line-of-business interne, dashboard o sistemi per la gestione dei contenuti.
• Altre applicazioni potrebbero essere destinate ai clienti, ad esempio il tuo sito web, un portale self-service per i clienti o i backend per le applicazioni per dispositivi mobili.

Il modo giusto per gestire l'accesso, applicare il controllo dell'accesso e controllare l'accesso dipende dal pubblico di destinazione e dal modo in cui esegui il deployment dell'applicazione.

Per scoprire di più su come proteggere le applicazioni e altri carichi di lavoro destinati agli utenti aziendali, consulta la documentazione di IAP.

Puoi anche integrare direttamente Accedi con Google o utilizzare protocolli standard come OAuth 2.0 o OpenID Connect.

Per informazioni su come applicare i criteri di accesso alle API consulta la documentazione di Istio e Cloud Endpoints. Puoi utilizzare entrambi i prodotti indipendentemente dal fatto che le tue applicazioni siano rivolte agli utenti aziendali o agli utenti finali.

Passaggi successivi

• Leggi la sezione Concetti per informazioni sui concetti e le funzionalità di gestione delle identità.
• Leggi la sezione Best practice per informazioni sulle indicazioni prescrittive da tenere in considerazione nella tua architettura o nel tuo progetto.
• Scopri come soddisfare i requisiti e identificare un progetto adeguato nella sezione Valutazione e pianificazione.