Decida como integrar identidades no Google Cloud

Este documento descreve as opções de aprovisionamento de identidades para o Google Cloud e as decisões que tem de tomar quando integra os seus utilizadores no Cloud ID ou no Google Workspace. Este documento também fornece orientações sobre onde encontrar mais informações sobre como implementar cada opção.

Este documento faz parte de uma série sobre as zonas de destino e destina-se a arquitetos e profissionais técnicos envolvidos na gestão de identidades para a sua organização e a sua Google Cloud implementação.

Vista geral

Para permitir que os utilizadores da sua organização acedam aos seus Google Cloud recursos, tem de lhes fornecer uma forma de se autenticarem. Google Cloud usa o início de sessão com o Google para autenticar os utilizadores, que é o mesmo fornecedor de identidade (IdP) que outros serviços Google, como o Gmail ou o Google Ads, usam.

Embora alguns utilizadores na sua organização possam já ter uma conta de utilizador Google privada, recomendamos vivamente que não os deixe usar as respetivas contas privadas quando acedem ao Google Cloud. Em alternativa, pode integrar os seus utilizadores no Cloud ID ou no Google Workspace, o que lhe permite controlar o ciclo de vida e a segurança das contas de utilizador.

O aprovisionamento de identidades no Google Cloud é um tópico complexo e a sua estratégia exata pode exigir mais detalhes do que os abrangidos por este guia de decisão. Para ver mais práticas recomendadas e informações de planeamento e implementação, consulte a vista geral da gestão de identidades e acessos.

Pontos de decisão para a integração de identidades

Para escolher o melhor design de aprovisionamento de identidades para a sua organização, tem de tomar as seguintes decisões:

• A sua arquitetura de identidade

• Como consolidar contas de utilizador existentes

Decida a sua arquitetura de identidade

A gestão do ciclo de vida e da segurança das contas de utilizador desempenha um papel importante na proteção da sua Google Cloud implementação. Uma decisão fundamental que tem de tomar é o papel que o Google Workspace deve desempenhar em relação aos seus sistemas e aplicações de gestão de identidades existentes. Google Cloud As opções são as seguintes:

• Use a Google como fornecedor de identidade (IdP) principal.
• Use a federação com um fornecedor de identidade externo.

As secções seguintes fornecem mais informações sobre cada opção.

Opção 1: use a Google como a sua origem principal de identidades (sem federação)

Quando cria contas de utilizador diretamente no Cloud ID ou no Google Workspace, pode tornar a Google a sua origem de identidades e IdP principal. Em seguida, os utilizadores podem usar estas identidades e credenciais para iniciar sessão no Google Cloud e noutros serviços Google.

O Cloud ID e o Google Workspace oferecem uma grande seleção de integrações prontas a usar para aplicações de terceiros populares. Também pode usar protocolos padrão, como SAML, OAuth e OpenID Connect para integrar as suas aplicações personalizadas com o Cloud Identity ou o Google Workspace.

Use esta estratégia quando o seguinte for verdadeiro:

• A sua organização já tem identidades de utilizadores aprovisionadas no Google Workspace.
• A sua organização não tem um IdP existente.
• A sua organização tem um IdP existente, mas quer começar rapidamente com um pequeno subconjunto de utilizadores e federar identidades mais tarde.

Evite esta estratégia quando tiver um IdP existente que queira usar como uma fonte autorizada para identidades.

Para mais informações, consulte o seguinte:

• Preparar a sua conta do Google Workspace ou Cloud ID
• Usar a Google como um IdP

Opção 2: use a federação com um fornecedor de identidade externo

Pode integrar Google Cloud com um IdP externo existente através da federação. A federação de identidades estabelece confiança entre dois ou mais IdPs para que as várias identidades que um utilizador possa ter em diferentes sistemas de gestão de identidades possam ser associadas.

Quando federa uma conta do Cloud ID ou do Google Workspace com um IdP externo, permite que os utilizadores usem a respetiva identidade e credenciais existentes para iniciar sessão no Google Cloud e noutros serviços Google.

Use esta estratégia quando o seguinte for verdadeiro:

• Tem um IdP existente, como o Active Directory, o Azure AD, o ForgeRock, o Okta ou o Ping Identity.
• Quer que os funcionários usem a respetiva identidade e credenciais existentes para iniciar sessão no Google Cloud e noutros serviços Google, como o Google Ads e o Google Marketing Platform.

Evite esta estratégia quando a sua organização não tiver um IdP existente.

Para mais informações, consulte o seguinte:

• Identidades externas: vista geral da gestão de identidades da Google
• Arquiteturas de referência: usar um IdP externo
• Práticas recomendadas para a federação Google Cloud com um fornecedor de identidade externo
• Federar Google Cloud com o Active Directory
• Federação Google Cloud com o Azure AD

Decida como consolidar as contas de utilizador existentes

Se não tem usado o Cloud ID nem o Google Workspace, é possível que os funcionários da sua organização estejam a usar contas de consumidor para aceder aos seus serviços Google. As contas de consumidor são contas totalmente pertencentes e geridas pelas pessoas que as criaram. Uma vez que essas contas não estão sob o controlo da sua organização e podem incluir dados pessoais e empresariais, tem de decidir como consolidar estas contas com outras contas empresariais.

Para ver detalhes sobre as contas de consumidor, como identificá-las e que risco podem representar para a sua organização, consulte o artigo Avaliar as contas de utilizador existentes.

As opções para consolidar as contas são as seguintes:

• Consolidar um subconjunto relevante de contas de consumidor.
• Consolide todas as contas através da migração.
• Consolide todas as contas através da remoção, não migrando as contas antes de criar novas.

As secções seguintes fornecem mais informações sobre cada opção.

Opção 1: consolide um subconjunto relevante de contas de consumidor

Se quiser manter as contas de consumidor e geri-las, bem como os respetivos dados, ao abrigo das políticas empresariais, tem de migrá-las para o Cloud ID ou o Google Workspace. No entanto, o processo de consolidação das contas de consumidor pode ser demorado. Por conseguinte, recomendamos que avalie primeiro que subconjunto de utilizadores é relevante para a implementação planeada e, em seguida, consolide apenas essas contas de utilizador. Google Cloud

Use esta estratégia quando o seguinte for verdadeiro:

• A ferramenta de transferência para contas de utilizadores não geridas mostra muitas contas de utilizadores de consumidor no seu domínio, mas apenas um subconjunto dos seus utilizadores vai usar o Google Cloud.
• Quiser poupar tempo no processo de consolidação.

Evite esta estratégia quando o seguinte for verdadeiro:

• Não tem contas de utilizador de consumidor no seu domínio.
• Quer garantir que todos os dados de todas as contas de utilizadores consumidores no seu domínio são consolidados em contas geridas antes de começar a usar oGoogle Cloud.

Para mais informações, consulte o artigo Vista geral da consolidação de contas.

Opção 2: consolide todas as contas através da migração

Se quiser gerir todas as contas de utilizador no seu domínio, pode consolidar todas as contas de consumidor migrando-as para contas geridas.

Use esta estratégia quando o seguinte for verdadeiro:

• A ferramenta de transferência para contas de utilizadores não geridas mostra apenas algumas contas de consumidor no seu domínio.
• Quiser restringir a utilização de contas de consumidor na sua organização.

Evite esta estratégia quando quiser poupar tempo no processo de consolidação.

Para mais informações, consulte o artigo Migrar contas de consumidor.

Opção 3: consolide todas as contas através da remoção

Pode despejar contas de consumidor nas seguintes circunstâncias:

• Quer que os utilizadores que criaram contas de consumidor mantenham o controlo total sobre as respetivas contas e dados.
• Não quer transferir dados para serem geridos pela sua organização.

Para expulsar contas de consumidor, crie uma identidade de utilizador gerida com o mesmo nome sem migrar primeiro a conta de utilizador.

Use esta estratégia quando o seguinte for verdadeiro:

• Quiser criar novas contas geridas para os seus utilizadores sem transferir nenhum dos dados existentes nas respetivas contas de consumidor.
• Quiser restringir os serviços Google que estão disponíveis na sua organização. Também quer que os utilizadores mantenham os respetivos dados e continuem a usar estes serviços para as contas de consumidor que criaram.

Evite esta estratégia quando as contas de consumidor tiverem sido usadas para fins empresariais e puderem ter acesso a dados empresariais.

Para mais informações, consulte o artigo Despejar contas de consumidor.

Práticas recomendadas para a integração de identidades

Depois de escolher a arquitetura de identidade e o método para consolidar as contas de consumidor existentes, considere as seguintes práticas recomendadas de identidade.

Selecione um plano de integração adequado à sua organização

Selecione um plano de alto nível para integrar as identidades da sua organização no Cloud Identity ou no Google Workspace. Para ver uma seleção de planos de integração comprovados, juntamente com orientações sobre como selecionar o plano que melhor se adequa às suas necessidades, consulte o artigo Avaliar planos de integração.

Se planeia usar um IdP externo e identificou contas de utilizador que precisam de ser migradas, pode ter requisitos adicionais. Para mais informações, consulte o artigo Avaliar o impacto da consolidação de contas de utilizador na federação.

Proteja as contas de utilizador

Depois de integrar utilizadores no Cloud ID ou no Google Workspace, tem de implementar medidas para ajudar a proteger as respetivas contas contra abusos. Para mais informações, consulte o seguinte:

• Implemente as práticas recomendadas de segurança para contas administrativas do Cloud Identity.
• Aplique regras de autenticação multifator uniformes e siga as práticas recomendadas quando combinadas com a federação de identidades.
• Exporte os seus registos de auditoria do Google Workspace ou do Cloud ID para o Cloud Logging ativando a partilha de dados.

O que se segue?

• Decida a hierarquia de recursos (próximo documento desta série).
• Saiba mais sobre como os utilizadores, as contas do Cloud Identity e as Google Cloud organizações se relacionam.
• Reveja as práticas recomendadas para planear contas e organizações.
• Leia acerca das práticas recomendadas para federar Google Cloud com um fornecedor de identidades externo.