In diesem Dokument werden die Optionen zur Identitätsbereitstellung für Google Cloud und die Entscheidungen beschrieben, die Sie treffen müssen, wenn Sie Ihre Nutzer für Cloud Identity oder Google Workspace einbinden. Dieses Dokument enthält auch Hinweise dazu, wo Sie weitere Informationen zur Bereitstellung der einzelnen Optionen finden.
Dieses Dokument ist Teil der Reihe Landing-Zones und richtet sich an Architekten und technische Fachkräfte, die an der Verwaltung von Identitäten für Ihre Organisation und Ihre Google Cloud-Bereitstellung beteiligt sind.
Überblick
Damit die Nutzer Ihrer Organisation auf Ihre Google Cloud-Ressourcen zugreifen können, müssen Sie ihnen eine Möglichkeit zur Authentifizierung bieten. Google Cloud verwendet Google Log-in, um Nutzer zu authentifizieren. Dies ist derselbe Identitätsanbieter (IdP), der auch von anderen Google-Diensten wie Gmail oder Google Ads verwendet wird.
Auch wenn einige Nutzer in Ihrer Organisation möglicherweise bereits ein privates Google-Nutzerkonto haben, raten wir dringend davon ab, ihre privaten Konten beim Zugriff auf Google Cloud zu verwenden. Stattdessen können Sie Ihre Nutzer für Cloud Identity oder Google Workspace einbinden, um den Lebenszyklus und die Sicherheit von Nutzerkonten zu steuern.
Die Bereitstellung von Identitäten in Google Cloud ist ein komplexes Thema. Ihre genaue Strategie erfordert möglicherweise mehr Details, als in diesem Entscheidungsleitfaden behandelt wird. Weitere Informationen zu Best Practices, Planung und Bereitstellung finden Sie unter Übersicht über die Identitäts- und Zugriffsverwaltung.
Entscheidungspunkte für das Onboarding von Identitäten
Um das beste Design für die Identitätsbereitstellung für Ihre Organisation auszuwählen, müssen Sie folgende Entscheidungen treffen:
Entscheiden Sie sich für Ihre Identitätsarchitektur
Die Verwaltung des Lebenszyklus und der Sicherheit von Nutzerkonten spielt eine wichtige Rolle bei der Sicherung Ihrer Google Cloud-Bereitstellung. Eine wichtige Entscheidung, die Sie treffen müssen, ist die Rolle, die Google Cloud in Bezug auf Ihre vorhandenen Identitätsverwaltungssysteme und -anwendungen spielen sollte. Es gibt folgende Optionen:
- Verwenden Sie Google als primären Identitätsanbieter (Identity Provider, IdP).
- Föderation mit einem externen Identitätsanbieter verwenden
Die folgenden Abschnitte enthalten mehr Informationen zu jeder Option.
Option 1: Google als primäre Quelle für Identitäten verwenden (keine Föderation)
Wenn Sie Nutzerkonten direkt in Cloud Identity oder Google Workspace erstellen, können Sie Google als Quelle für Identitäten und primären IdP festlegen. Nutzer können sich dann mit diesen Identitäten und Anmeldedaten in Google Cloud und anderen Google-Diensten anmelden.
Cloud Identity und Google Workspace bieten eine große Auswahl an Sofort einsatzbereiten Integrationen für beliebte Anwendungen von Drittanbietern. Sie können auch Standardprotokolle wie SAML, OAuth und OpenID Connect verwenden, um Ihre benutzerdefinierten Anwendungen in Cloud Identity oder Google Workspace einzubinden.
Verwenden Sie diese Strategie, wenn Folgendes zutrifft:
- Ihre Organisation hat bereits Nutzeridentitäten in Google Workspace bereitgestellt.
- Ihre Organisation hat keinen vorhandenen IdP.
- Ihre Organisation hat bereits einen IdP, möchte aber schnell mit einer kleinen Teilmenge von Nutzern beginnen und später Identitäten verbinden.
Vermeiden Sie diese Strategie, wenn Sie einen vorhandenen IdP haben, den Sie als autoritative Quelle für Identitäten verwenden möchten.
Hier finden Sie weitere Informationen:
Option 2: Föderation mit einem externen Identitätsanbieter verwenden
Sie können Google Cloud über eine Föderation in einen vorhandenen externen IdP einbinden. Die Identitätsföderation richtet eine Vertrauensstellung zwischen zwei oder mehreren IdPs ein, sodass die verschiedenen Identitäten, die ein Nutzer in verschiedenen Identitätsverwaltungssystemen hat, verknüpft werden können.
Wenn Sie ein Cloud Identity- oder Google Workspace-Konto mit einem externen IdP verbinden, können sich Nutzer mit ihrer vorhandenen Identität und ihren Anmeldedaten in Google Cloud und anderen Google-Diensten anmelden.
Verwenden Sie diese Strategie, wenn Folgendes zutrifft:
- Sie haben einen vorhandenen IdP wie Active Directory, Azure AD, ForgeRock, Okta oder Ping Identity.
- Sie möchten, dass sich Mitarbeiter mit ihrer vorhandenen Identität und ihren Anmeldedaten in Google Cloud und anderen Google-Diensten wie Google Ads und der Google Marketing Platform anmelden.
Vermeiden Sie diese Strategie, wenn Ihre Organisation keinen vorhandenen IdP hat.
Hier finden Sie weitere Informationen:
- Externe Identitäten – Übersicht über die Google-Identitätsverwaltung
- Referenzarchitekturen: Externen IdP verwenden
- Best Practices für die Verbindung von Google Cloud mit einem externen Identitätsanbieter
- Google Cloud mit Active Directory verbinden
- Google Cloud mit Azure AD verbinden
Entscheiden Sie, wie Sie vorhandene Nutzerkonten konsolidieren möchten
Wenn Sie weder Cloud Identity noch Google Workspace verwendet haben, kann es sein, dass die Mitarbeiter Ihrer Organisation für den Zugriff auf Google-Dienste Privatnutzerkonten nutzen. Privatnutzerkonten sind Konten, die den Personen, die sie erstellt haben, vollständig gehören und von diesen verwaltet werden. Da diese Konten nicht von Ihrer Organisation kontrolliert werden und sowohl private als auch Unternehmensdaten enthalten können, müssen Sie entscheiden, wie Sie diese Konten mit anderen Unternehmenskonten konsolidieren.
Weitere Informationen zu Privatnutzerkonten, zu deren Identifizierung und zu den Risiken, die sie für Ihre Organisation darstellen, finden Sie unter Vorhandene Nutzerkonten bewerten.
Die Optionen zur Konsolidierung der Konten sind folgende:
- Konsolidieren Sie eine relevante Teilmenge von Privatnutzerkonten.
- Konsolidieren Sie alle Konten über die Migration.
- Konsolidieren Sie alle Konten über die Bereinigung, indem Sie die Konten nicht migrieren, bevor Sie neue erstellen.
Die folgenden Abschnitte enthalten mehr Informationen zu jeder Option.
Option 1: Relevante Teilmenge von Privatnutzerkonten konsolidieren
Wenn Sie Privatnutzerkonten beibehalten und deren Daten unter Unternehmensrichtlinien verwalten möchten, müssen Sie sie zu Cloud Identity oder Google Workspace migrieren. Die Konsolidierung von Privatnutzerkonten kann jedoch zeitaufwendig sein. Daher sollten Sie zuerst prüfen, welche Teilmenge von Nutzern für Ihre geplante Google Cloud-Bereitstellung relevant ist, und dann nur diese Nutzerkonten konsolidieren.
Verwenden Sie diese Strategie, wenn Folgendes zutrifft:
- Im Übertragungstool für nicht verwaltete Nutzerkonten werden viele Privatnutzerkonten in Ihrer Domain angezeigt, aber nur ein Teil Ihrer Nutzer verwenden Google Cloud.
- Sie möchten Zeit beim Konsolidierungsprozess sparen.
Vermeiden Sie diese Strategie, wenn Folgendes zutrifft:
- Sie haben in Ihrer Domain keine Privatnutzerkonten.
- Sie möchten dafür sorgen, dass alle Daten aus allen Privatnutzerkonten in Ihrer Domain in verwalteten Konten konsolidiert werden, bevor Sie Google Cloud verwenden.
Weitere Informationen finden Sie in der Übersicht über das Zusammenführen von Konten.
Option 2: Alle Konten durch Migration konsolidieren
Wenn Sie alle Nutzerkonten in Ihrer Domain verwalten möchten, können Sie alle Privatnutzerkonten konsolidieren, indem Sie sie zu verwalteten Konten migrieren.
Verwenden Sie diese Strategie, wenn Folgendes zutrifft:
- Das Übertragungstool für nicht verwaltete Nutzerkonten zeigt nur wenige Privatnutzerkonten in Ihrer Domain an.
- Sie möchten die Verwendung von Privatnutzerkonten in Ihrer Organisation einschränken.
Vermeiden Sie diese Strategie, wenn Sie Zeit bei der Konsolidierung sparen möchten.
Weitere Informationen finden Sie unter Privatnutzerkonten migrieren.
Option 3: Alle Konten durch Bereinigung konsolidieren
In den folgenden Fällen können Sie Privatnutzerkonten entfernen:
- Sie möchten, dass Nutzer, die Privatnutzerkonten erstellt haben, die volle Kontrolle über ihre Konten und Daten behalten.
- Sie möchten keine Daten übertragen, die von Ihrer Organisation verwaltet werden.
Wenn Sie Privatnutzerkonten entfernen möchten, erstellen Sie eine verwaltete Nutzeridentität mit demselben Namen, ohne zuerst das Nutzerkonto zu migrieren.
Verwenden Sie diese Strategie, wenn Folgendes zutrifft:
- Sie möchten für Ihre Nutzer neue verwaltete Konten erstellen, ohne die in ihren Privatnutzerkonten vorhandenen Daten zu übertragen.
- Sie möchten die in Ihrer Organisation verfügbaren Google-Dienste einschränken. Außerdem möchten Sie, dass Nutzer ihre Daten behalten und diese Dienste weiterhin für die von ihnen erstellten Privatnutzerkonten verwenden.
Vermeiden Sie diese Strategie, wenn Privatnutzerkonten für geschäftliche Zwecke verwendet wurden und möglicherweise Zugriff auf Unternehmensdaten haben.
Weitere Informationen finden Sie unter Nutzerkonten entfernen.
Best Practices für das Onboarding von Identitäten
Nachdem Sie Ihre Identitätsarchitektur und Ihre Methode zur Konsolidierung vorhandener Privatnutzerkonten ausgewählt haben, sollten Sie die folgenden Best Practices für die Identität berücksichtigen.
Geeigneten Onboardingplan für Ihre Organisation auswählen
Wählen Sie einen allgemeinen Plan aus, um die Identitäten Ihrer Organisation in Cloud Identity oder Google Workspace einzubinden. Eine Auswahl bewährter Onboardingpläne und eine Anleitung zur Auswahl des für Ihre Anforderungen am besten geeigneten Plans finden Sie unter Onboardingpläne bewerten.
Wenn Sie einen externen IdP verwenden möchten und die zu migrierenden Nutzerkonten identifiziert haben, stellen Sie möglicherweise zusätzliche Anforderungen. Weitere Informationen finden Sie unter Auswirkungen der Konsolidierung von Nutzerkonten auf die Föderation analysieren.
Nutzerkonten schützen
Nachdem Sie die Nutzer für Cloud Identity oder Google Workspace eingerichtet haben, müssen Sie Maßnahmen ergreifen, um deren Konten vor Missbrauch zu schützen. Hier finden Sie weitere Informationen:
- Best Practices für die Sicherheit von Cloud Identity-Verwaltungskonten implementieren
- Erzwingen Sie einheitliche Multi-Faktor-Authentifizierungsregeln und folgen Sie den Best Practices in Kombination mit föderierten Identitäten.
- Exportieren Sie Ihre Audit-Logs von Google Workspace oder Cloud Identity in Cloud Logging. Dazu müssen Sie die Datenfreigabe aktivieren.
Nächste Schritte
- Legen Sie Ihre Ressourcenhierarchie fest (nächstes Dokument in dieser Reihe).
- Weitere Informationen finden Sie unter Beziehung zwischen Nutzern, Cloud Identity-Konten und Google Cloud-Organisationen.
- Best Practices für die Planung von Konten und Organisationen
- Best Practices für die Föderation von Google Cloud mit einem externen Identitätsanbieter