Decidi come integrare le identità in Google Cloud

Questo documento descrive le opzioni di provisioning delle identità per Google Cloud e le decisioni che devi prendere quando esegui l'onboarding dei tuoi utenti in Cloud Identity o Google Workspace. Questo documento fornisce anche indicazioni su dove trovare ulteriori informazioni su come eseguire il deployment di ogni opzione.

Questo documento fa parte di una serie sulle zone di destinazione ed è destinato ad architect e professionisti tecnici coinvolti nella gestione delle identità per la tua organizzazione e il tuo deployment Google Cloud.

Panoramica

Per consentire agli utenti della tua organizzazione di accedere alle tue risorse Google Cloud, devi fornire loro un modo per autenticarsi. Google Cloud utilizza Accedi con Google per autenticare gli utenti, ovvero lo stesso provider di identità (IdP) utilizzato da altri servizi Google, come Gmail o Google Ads.

Anche se alcuni utenti della tua organizzazione potrebbero avere già un account utente Google privato, sconsigliamo vivamente di consentire loro di utilizzare i propri account privati quando accedono a Google Cloud. Puoi invece fare l'onboarding dei tuoi utenti in Cloud Identity o Google Workspace, in modo da controllare il ciclo di vita e la sicurezza degli account utente.

Il provisioning delle identità in Google Cloud è un argomento complesso e la tua strategia esatta potrebbe richiedere più dettagli rispetto a quelli che rientrano nell'ambito di questa guida decisionale. Per ulteriori informazioni su best practice, pianificazione e deployment, consulta la panoramica sulla gestione di identità e accessi.

Punti decisionali per l'onboarding delle identità

Per scegliere la progettazione migliore per il provisioning delle identità per la tua organizzazione, devi prendere le seguenti decisioni:

• La tua architettura della identità

• Come consolidare gli account utente esistenti

Scegli l'architettura delle tue identità

La gestione del ciclo di vita e della sicurezza degli account utente svolge un ruolo importante nella protezione del deployment di Google Cloud. Una decisione chiave che devi prendere è il ruolo che Google Cloud deve svolgere in relazione ai tuoi sistemi di gestione delle identità e alle tue applicazioni esistenti. Le opzioni sono le seguenti:

• Utilizza Google come provider di identità (IdP) principale.
• Utilizza la federazione con un provider di identità esterno.

Nelle sezioni seguenti vengono fornite ulteriori informazioni su ciascuna opzione.

Opzione 1: utilizza Google come origine principale per le identità (nessuna federazione)

Quando crei account utente direttamente in Cloud Identity o Google Workspace, puoi impostare Google come origine delle identità e IdP principale. Gli utenti possono quindi utilizzare queste identità e credenziali per accedere a Google Cloud e ad altri servizi Google.

Cloud Identity e Google Workspace forniscono una vasta selezione di integrazioni pronte all'uso per le applicazioni di terze parti più diffuse. Puoi anche utilizzare protocolli standard come SAML, OAuth e OpenID Connect per integrare le tue applicazioni personalizzate con Cloud Identity o Google Workspace.

Utilizza questa strategia quando si verifica quanto segue:

• Nella tua organizzazione è già stato eseguito il provisioning delle identità utente in Google Workspace.
• La tua organizzazione non ha un IdP esistente.
• La tua organizzazione dispone di un IdP esistente, ma vuole iniziare rapidamente con un piccolo sottoinsieme di utenti e con identità federate in un secondo momento.

Evita questa strategia se disponi di un IdP che vuoi utilizzare come fonte attendibile per le identità.

Per ulteriori informazioni, consulta le seguenti risorse:

• Preparare l'account Google Workspace o Cloud Identity
• Utilizzare Google come IdP

Opzione 2: utilizza la federazione con un provider di identità esterno

Puoi integrare Google Cloud con un IdP esterno esistente utilizzando la federazione. La federazione delle identità stabilisce una relazione di fiducia tra due o più IdP in modo che possano essere collegate le molteplici identità che un utente potrebbe avere in diversi sistemi di gestione delle identità.

Quando federazione di un account Cloud Identity o Google Workspace con un IdP esterno, consenti agli utenti di utilizzare la propria identità e le proprie credenziali esistenti per accedere a Google Cloud e ad altri servizi Google.

Utilizza questa strategia quando si verifica quanto segue:

• Disponi di un IdP esistente come Active Directory, Azure AD, ForgeRock, Okta o Ping Identity.
• Vuoi che i dipendenti utilizzino la propria identità e le proprie credenziali esistenti per accedere a Google Cloud e ad altri servizi Google, come Google Ads e Google Marketing Platform.

Evita questa strategia quando la tua organizzazione non ha un IdP esistente.

Per ulteriori informazioni, consulta le seguenti risorse:

• Identità esterne - Panoramica della gestione delle identità Google
• Architetture di riferimento: utilizzo di un IdP esterno
• Best practice per federare Google Cloud con un provider di identità esterno
• Federazione di Google Cloud con Active Directory
• Federazione di Google Cloud con Azure AD

Decidere come consolidare gli account utente esistenti

Se non hai mai utilizzato Cloud Identity o Google Workspace, è possibile che i dipendenti della tua organizzazione utilizzino account consumer per accedere ai servizi Google. Gli account consumer sono account completamente di proprietà e gestiti dalle persone che li hanno creati. Poiché questi account non sono sotto il controllo della tua organizzazione e potrebbero includere dati personali e aziendali, devi decidere come consolidare questi account con altri account aziendali.

Per maggiori dettagli sugli account consumer, su come identificarli e sui rischi che potrebbero comportare per la tua organizzazione, consulta Valutazione degli account utente esistenti.

Le opzioni per consolidare gli account sono le seguenti:

• Raggruppare un sottoinsieme pertinente di account consumer.
• Consolidare tutti gli account tramite la migrazione.
• Consolida tutti gli account attraverso l'eliminazione, evitando di eseguire la migrazione prima di crearne di nuovi.

Nelle sezioni seguenti vengono fornite ulteriori informazioni su ciascuna opzione.

Opzione 1: consolidare un sottoinsieme pertinente di account consumer

Se vuoi conservare gli account consumer e gestirli e relativi dati in base ai criteri aziendali, devi eseguirne la migrazione a Cloud Identity o Google Workspace. Tuttavia, il processo di consolidamento degli account consumatore può richiedere molto tempo. Ti consigliamo quindi di valutare innanzitutto il sottoinsieme di utenti pertinente per il deployment Google Cloud pianificato, quindi di consolidare solo gli account utente in questione.

Utilizza questa strategia quando si verifica quanto segue:

• Lo strumento di trasferimento per gli account utente non gestiti mostra molti account utente consumer nel tuo dominio, ma solo un sottoinsieme di utenti utilizzerà Google Cloud.
• Vuoi risparmiare tempo nel processo di consolidamento.

Evita questa strategia quando si verifica quanto segue:

• Non hai account utente consumer nel tuo dominio.
• Prima di iniziare a utilizzare Google Cloud, vuoi assicurarti che tutti i dati di tutti gli account utente consumer del tuo dominio vengano consolidati in account gestiti.

Per ulteriori informazioni, consulta la Panoramica sul consolidamento degli account.

Opzione 2: consolida tutti gli account tramite la migrazione

Se vuoi gestire tutti gli account utente del tuo dominio, puoi consolidare tutti gli account consumer eseguendo la migrazione ad account gestiti.

Utilizza questa strategia quando si verifica quanto segue:

• Lo strumento di trasferimento per gli account utente non gestiti mostra solo alcuni account consumer nel tuo dominio.
• Vuoi limitare l'uso degli account consumer nella tua organizzazione.

Evita questa strategia se vuoi risparmiare tempo nel processo di consolidamento.

Per saperne di più, consulta Migrazione degli account consumer.

Opzione 3: consolida tutti gli account tramite rimozione

Puoi rimuovere gli account consumer nei seguenti casi:

• Vuoi che gli utenti che hanno creato account consumer mantengano il controllo completo sui loro account e dati.
• Non vuoi trasferire dati che devono essere gestiti dalla tua organizzazione.

Per rimuovere gli account consumer, crea prima un'identità utente gestita con lo stesso nome senza prima eseguire la migrazione dell'account utente.

Utilizza questa strategia quando si verifica quanto segue:

• Vuoi creare nuovi account gestiti per gli utenti senza trasferire i dati esistenti nei loro account consumer.
• Vuoi limitare i servizi Google disponibili nella tua organizzazione. Vuoi inoltre che gli utenti conservino i propri dati e continuino a utilizzare questi servizi per gli account consumer che hanno creato.

Evita questa strategia quando gli account consumer sono stati utilizzati per scopi aziendali e potrebbero avere accesso ai dati aziendali.

Per ulteriori informazioni, consulta la pagina Rimozione degli account consumer.

Best practice per le identità di onboarding

Dopo aver scelto la tua architettura di identità e il tuo metodo per consolidare gli account consumer esistenti, prendi in considerazione le seguenti best practice relative all'identità.

Seleziona un piano di onboarding adatto alla tua organizzazione

Seleziona un piano generale per integrare le identità della tua organizzazione in Cloud Identity o Google Workspace. Per una selezione di piani di onboarding collaudati, oltre alle indicazioni su come scegliere il piano più adatto alle tue esigenze, consulta Valutazione dei piani di onboarding.

Se prevedi di utilizzare un IdP esterno e hai identificato degli account utente di cui è necessario eseguire la migrazione, potresti avere requisiti aggiuntivi. Per ulteriori informazioni, consulta la pagina sulla valutazione dell'impatto del consolidamento degli account utente sulla federazione.

Proteggi gli account utente

Dopo aver registrato gli utenti in Cloud Identity o Google Workspace, devi adottare le misure necessarie per proteggere i loro account da comportamenti illeciti. Per ulteriori informazioni, consulta le seguenti risorse:

• Implementa le best practice per la sicurezza per gli account amministrativi di Cloud Identity.
• Applica le regole di autenticazione a più fattori uniformi e segui le best practice per la combinazione di identità federate.
• Esporta i tuoi audit log di Google Workspace o Cloud Identity in Cloud Logging abilitando la condivisione dei dati.

Passaggi successivi

• Decidi la gerarchia delle risorse (documento successivo di questa serie).
• Scopri di più su come utenti, account Cloud Identity e organizzazioni Google Cloud si relazionano.
• Consulta le best practice consigliate per la pianificazione di account e organizzazioni.
• Scopri le best practice per la federazione di Google Cloud con un provider di identità esterno.