Neste documento, descrevemos as opções de provisionamento de identidade do Google Cloud e as decisões que você precisa tomar ao integrar seus usuários ao Cloud Identity ou ao Google Workspace. Neste documento, também fornecemos orientações sobre onde encontrar mais informações sobre como implantar cada opção.
Este documento faz parte de uma série sobre zonas de destino e foi projetado para arquitetos e profissionais técnicos envolvidos no gerenciamento de identidades da sua organização e na implantação do Google Cloud.
Visão geral
Para permitir que os usuários da sua organização acessem os recursos do Google Cloud, você precisa oferecer uma forma de autenticação. O Google Cloud usa o Login do Google para autenticar usuários, que é o mesmo provedor de identidade (IdP) usado por outros serviços do Google, como o Gmail ou o Google Ads.
Embora alguns usuários na sua organização já tenham uma conta particular do Google, não é recomendável permitir que eles usem essas contas ao acessar o Google Cloud. Em vez disso, é possível integrar seus usuários ao Cloud Identity ou ao Google Workspace, o que permite controlar o ciclo de vida e a segurança das contas de usuário.
O provisionamento de identidades no Google Cloud é um tópico complexo, e sua estratégia exata pode exigir mais detalhes do que está no escopo deste guia de decisão. Para mais informações sobre práticas recomendadas, planejamento e implantação, consulte a visão geral do gerenciamento de identidade e acesso.
Pontos de decisão para integração de identidade
Para escolher o melhor design de provisionamento de identidade para sua organização, você precisa tomar as seguintes decisões:
Decidir sobre a arquitetura de identidade
Gerenciar o ciclo de vida e a segurança das contas de usuário desempenha um papel importante na proteção da implantação do Google Cloud. Uma decisão importante que você precisa tomar é o papel que o Google Cloud deve desempenhar em relação aos seus sistemas e aplicativos de gerenciamento de identidades existentes. As opções são as seguintes:
- Use o Google como seu principal provedor de identidade (IdP).
- Use a federação com um provedor de identidade externo.
As seções a seguir fornecem mais informações sobre cada interface.
Opção 1: usar o Google como sua fonte principal de identidades (sem federação)
Ao criar contas de usuário diretamente no Cloud Identity ou no Google Workspace, é possível tornar o Google sua origem de identidades e o IdP principal. Depois, os usuários podem usar essas identidades e credenciais para fazer login no Google Cloud e em outros serviços do Google.
O Cloud Identity e o Google Workspace oferecem uma grande variedade de integrações prontas para uso de aplicativos famosos de terceiros. Também é possível usar protocolos padrão, como SAML, OAuth e OpenID Connect para integrar seus aplicativos personalizados ao Cloud Identity ou ao Google Workspace.
Use esta estratégia quando o seguinte for verdadeiro:
- Sua organização já tem identidades de usuário provisionadas no Google Workspace.
- Sua organização não tem um IdP.
- Sua organização tem um IdP, mas quer começar rapidamente com um pequeno subconjunto de usuários e federar identidades mais tarde.
Evite essa estratégia quando você tiver um IdP que queira usar como uma fonte autorizada para identidades.
Para ver mais informações, consulte os seguintes tópicos:
Opção 2: usar federação com um provedor de identidade externo
É possível integrar o Google Cloud a um IdP externo usando a federação. A federação de identidade estabelece a confiança entre dois ou mais IdPs para que as várias identidades que um usuário possa ter em diferentes sistemas de gerenciamento de identidade possam ser vinculadas.
Ao federar uma conta do Cloud Identity ou do Google Workspace com um IdP externo, você permite que os usuários utilizem a identidade e as credenciais existentes para fazer login no Google Cloud e em outros Serviços do Google de dados.
Use esta estratégia quando o seguinte for verdadeiro:
- Você tem um IdP, como Active Directory, Azure AD, ForgeRock, Okta ou Ping Identity.
- Você quer que os funcionários usem a identidade e as credenciais atuais deles para fazer login no Google Cloud e em outros serviços do Google, como o Google Ads e o Google Marketing Platform.
Evite essa estratégia quando sua organização não tiver um IdP.
Para ver mais informações, consulte os seguintes tópicos:
- Identidades externas: visão geral do gerenciamento de identidade do Google
- Arquiteturas de referência: como usar um IdP externo
- Práticas recomendadas para federar o Google Cloud com um provedor de identidade externo
- Como federar o Google Cloud com o Active Directory
- Como federar o Google Cloud com o Azure AD
Decidir como consolidar as contas de usuário
Se você não usa o Cloud Identity ou o Google Workspace, é possível que os funcionários da sua organização estejam usando contas pessoais para acessar os serviços do Google. As contas pessoais são contas totalmente controladas e gerenciadas pelas pessoas que as criaram. Como essas contas não estão sob o controle da sua organização e podem incluir dados pessoais e corporativos, você precisa decidir como consolidar essas contas com outras contas corporativas.
Para detalhes sobre contas pessoais, como identificá-las e o risco que elas podem representar para sua empresa, consulte Como avaliar contas de usuário atuais.
Estas são as opções para consolidar as contas:
- Consolidar um subconjunto relevante de contas pessoais.
- Consolidar todas as contas pela migração.
- Consolidar todas as contas por meio da remoção, sem migrar contas antes de criar novas.
As seções a seguir fornecem mais informações sobre cada interface.
Opção 1: consolidar um subconjunto relevante de contas pessoais
Se você quiser manter as contas pessoais e gerenciar essas contas e os dados delas em políticas corporativas, será necessário migrá-las para o Cloud Identity ou o Google Workspace. No entanto, o processo de consolidar contas pessoais pode ser demorado. Portanto, recomendamos que você primeiro avalie qual subconjunto de usuários é relevante para a implantação planejada do Google Cloud e, em seguida, consolide apenas essas contas.
Use esta estratégia quando o seguinte for verdadeiro:
- A Ferramenta de transferência de contas de usuário não gerenciadas mostra muitas contas pessoais no domínio, mas apenas um subconjunto de usuários usará o Google Cloud.
- Você quer economizar tempo no processo de consolidação.
Evite essa estratégia quando o seguinte for verdadeiro:
- Você não tem contas de usuário pessoais no seu domínio.
- Você quer garantir que todos os dados de todas as contas de usuário pessoais no seu domínio sejam consolidados em contas gerenciadas antes de começar a usar o Google Cloud.
Para mais informações, consulte Visão geral da consolidação de contas.
Opção 2: consolidar todas as contas por migração
Se você quiser gerenciar todas as contas de usuário no domínio, poderá consolidar todas as contas pessoais migrando-as para contas gerenciadas.
Use esta estratégia quando o seguinte for verdadeiro:
- A ferramenta de transferência de contas de usuário não gerenciadas mostra apenas algumas contas pessoais no seu domínio.
- Você quer restringir o uso de contas pessoais na organização.
Evite essa estratégia quando quiser economizar tempo no processo de consolidação.
Para mais informações, consulte Como migrar contas pessoais.
Opção 3: consolidar todas as contas por remoção
É possível remover contas pessoais nas seguintes circunstâncias:
- Você quer que os usuários que criaram contas pessoais mantenham o controle total sobre as contas e dados deles.
- Você não quer transferir dados que serão gerenciados pela sua organização.
Para remover contas pessoais, crie uma identidade de usuário gerenciada com o mesmo nome sem migrar a conta de usuário primeiro.
Use esta estratégia quando o seguinte for verdadeiro:
- Você quer criar novas contas gerenciadas para seus usuários sem transferir os dados que existem nas contas pessoais.
- Você quer restringir os Serviços do Google que estão disponíveis na organização. Você também quer que os usuários mantenham os dados deles e continuem usando esses serviços para as contas pessoais que criaram.
Evite essa estratégia quando contas pessoais tiverem sido usadas para fins corporativos e possam ter acesso a dados corporativos.
Para mais informações, consulte Como remover contas pessoais indesejadas.
Práticas recomendadas para a integração de identidades
Depois de escolher a arquitetura de identidade e o método para consolidar contas pessoais existentes, considere as seguintes práticas recomendadas de identidade.
Selecionar um plano de integração adequado para a organização
Selecione um plano de alto nível para integrar as identidades da sua organização ao Cloud Identity ou ao Google Workspace. Para escolher os planos de integração comprovados e receber orientações sobre como escolher o plano mais adequado às suas necessidades, consulte Como avaliar planos de integração.
Se você planeja usar um IdP externo e identificou contas de usuário que precisam ser migradas, talvez tenha outros requisitos. Para mais informações, consulte Como avaliar o impacto da consolidação de contas de usuário na federação.
Proteger contas de usuário
Depois de integrar os usuários ao Cloud Identity ou ao Google Workspace, é preciso adotar medidas para proteger as contas contra abuso. Para ver mais informações, consulte os seguintes tópicos:
- Implemente as práticas recomendadas de segurança para contas administrativas do Cloud Identity.
- Aplique regras de autenticação multifator uniformes e siga as práticas recomendadas quando combinadas com identidades federadas.
- Exporte seus registros de auditoria do Google Workspace ou do Cloud Identity para o Cloud Logging ativando o compartilhamento de dados.
A seguir
- Decida a hierarquia de recursos (próximo documento desta série).
- Saiba mais sobre como os usuários, as contas do Cloud Identity e as organizações do Google Cloud se relacionam.
- Leia as práticas recomendadas para planejar contas e organizações.
- Leia sobre as Práticas recomendadas para federar o Google Cloud com um provedor de identidade externo.