En este documento, se describen las opciones de aprovisionamiento de identidades para Google Cloud y las decisiones que debes tomar cuando incorporas a tus usuarios a Cloud Identity o Google Workspace. En este documento, también se proporciona orientación sobre dónde encontrar más información acerca de cómo implementar cada opción.
Este documento forma parte de una serie sobrezonas de destino y está dirigido a arquitectos y profesionales técnicos que participan en la administración de identidades para la organización y la implementación de Google Cloud.
Descripción general
Para permitir que los usuarios de tu organización accedan a tus recursos de Google Cloud, debes proporcionarles una forma de autenticarse. Google Cloud usa el Acceso con Google para autenticar a los usuarios, que es el mismo proveedor de identidad (IdP) que usan otros servicios de Google, como Gmail o Google Ads.
Aunque es posible que algunos usuarios de tu organización ya tengan una cuenta de usuario privada de Google, recomendamos que no les permitas usar sus cuentas privadas cuando accedan a Google Cloud. En su lugar, puedes incorporar a tus usuarios a Cloud Identity o Google Workspace, lo que te permite controlar el ciclo de vida y la seguridad de las cuentas de usuario.
Aprovisionar identidades en Google Cloud es un tema complejo, y tu estrategia exacta podría requerir más detalles de los que se incluyen en esta guía de decisión. Para obtener más información sobre prácticas recomendadas, implementación y planificación, consulta la descripción general de la administración de identidades y accesos.
Puntos de decisión para la integración de identidades
Si deseas elegir el mejor diseño de aprovisionamiento de identidades para tu organización, debes tomar las siguientes decisiones:
Decide tu arquitectura de identidad
La administración del ciclo de vida y la seguridad de las cuentas de usuario desempeña un rol importante en la protección de tu implementación de Google Cloud. Una decisión clave que debes tomar es el rol que Google Cloud debe desempeñar en relación con las aplicaciones y los sistemas de administración de identidades existentes. Las opciones son las siguientes:
- Usa Google como tu proveedor de identidad principal (IdP).
- Usa la federación con un proveedor de identidad externo.
Las secciones siguientes proporcionan más información sobre cada interfaz.
Opción 1: Usa Google como la fuente principal para las identidades (sin federación)
Cuando creas cuentas de usuario directamente en Cloud Identity o Google Workspace, puedes hacer que Google sea la fuente de identidades y el IdP principal. Luego, los usuarios pueden usar estas identidades y credenciales para acceder a Google Cloud y a otros servicios de Google.
Cloud Identity y Google Workspace ofrecen una gran selección de integraciones listas para usar de aplicaciones populares de terceros. También puedes usar protocolos estándar comoSAML, OAuth y OpenID Connect para integrar tus aplicaciones personalizadas en Cloud Identity o Google Workspace.
Usa esta estrategia cuando se cumpla lo siguiente:
- Tu organización ya tiene identidades de usuario aprovisionadas en Google Workspace.
- Tu organización no tiene un IdP existente.
- Tu organización tiene un IdP existente, pero desea comenzar con rapidez con un subconjunto pequeño de usuarios y federar identidades más adelante.
Evita esta estrategia cuando tengas un IdP existente que desees usar como fuente autorizada para las identidades.
Para obtener más información, consulta lo siguiente:
Opción 2: Usa la federación con un proveedor de identidad externo
Puedes integrar Google Cloud en un IdP externo existente mediante la federación. La federación de identidades establece la confianza entre dos o más IdP para que se puedan vincular las múltiples identidades que puede tener un usuario en diferentes sistemas de administración de identidades.
Cuando federas una cuenta de Cloud Identity o Google Workspace con un IdP externo, permites que los usuarios usen sus identidades y credenciales existentes para acceder a Google Cloud y a otros servicios de Google.
Usa esta estrategia cuando se cumpla lo siguiente:
- Tienes un IdP existente, como Active Directory, Azure AD, ForgeRock, Okta o Ping Identity.
- Deseas que los empleados usen su identidad y sus credenciales existentes para acceder a Google Cloud y a otros servicios de Google, como Google Ads y Google Marketing Platform.
Evita esta estrategia cuando tu organización no tenga un IdP existente.
Para obtener más información, consulta lo siguiente:
- Identidades externas: descripción general de la administración de identidades de Google
- Arquitecturas de referencia: Usa un IdP externo
- Prácticas recomendadas para federar Google Cloud con un proveedor de identidad externo
- Federa Google Cloud con Active Directory
- Federa Google Cloud con Azure AD
Decide cómo consolidar las cuentas de usuario existentes
Si no usas Cloud Identity ni Google Workspace, es posible que los empleados de tu organización estén usando cuentas personales para acceder a los servicios de Google. Las cuentas personales son cuentas que pertenecen completamente a las personas que las crearon y son administradas por ellas. Debido a que esas cuentas no están bajo el control de tu organización y pueden incluir datos personales y corporativos, debes decidir cómo consolidar estas cuentas con otras cuentas corporativas.
Para obtener detalles sobre las cuentas personales, la manera de identificarlas y el riesgo que podrían representar para tu organización, consulta Evalúa las cuentas de usuario existentes.
Las opciones para consolidar las cuentas son las siguientes:
- Consolidar un subconjunto relevante de cuentas personales.
- Consolida todas las cuentas mediante la migración.
- Consolida todas las cuentas mediante la expulsión. Para ello, no migres cuentas antes de crear otras nuevas.
Las secciones siguientes proporcionan más información sobre cada interfaz.
Opción 1: Consolida un subconjunto relevante de cuentas personales
Si deseas mantener las cuentas personales y administrarlas junto con sus datos en políticas corporativas, debes migrarlas a Cloud Identity o a Google Workspace. Sin embargo, el proceso de consolidar las cuentas personales puede llevar mucho tiempo. Por lo tanto, te recomendamos que primero evalúes qué subconjunto de usuarios es relevante para tu implementación planificada de Google Cloud y, luego, consolides solo esas cuentas de usuario.
Usa esta estrategia cuando se cumpla lo siguiente:
- La Herramienta para transferir usuarios no administrados muestra muchas cuentas de usuario personales en tu dominio, pero solo un subconjunto de tus usuarios usará Google Cloud.
- Deseas ahorrar tiempo en el proceso de consolidación.
Evita esta estrategia cuando se cumpla lo siguiente:
- No tienes cuentas de usuario personales en tu dominio.
- Deseas asegurarte de que todos los datos de todas las cuentas de usuario personales de tu dominio se consoliden en cuentas administradas antes de comenzar a usar Google Cloud.
Para obtener más información, consulta Descripción general de la consolidación de cuentas.
Opción 2: Consolida todas las cuentas mediante la migración
Si deseas administrar todas las cuentas de usuario en tu dominio, puedes consolidar todas las cuentas personales si las migras a cuentas administradas.
Usa esta estrategia cuando se cumpla lo siguiente:
- La Herramienta para transferir usuarios no administrados muestra solo algunas cuentas personales en tu dominio.
- Deseas restringir el uso de cuentas personales en tu organización.
Evita esta estrategia cuando desees ahorrar tiempo en el proceso de consolidación.
Para obtener más información, consulta Migra cuentas personales.
Opción 3: Consolida todas las cuentas mediante expulsiones
Puedes expulsar cuentas personales en las siguientes circunstancias:
- Deseas que los usuarios que crearon cuentas personales tengan control total sobre sus cuentas y datos.
- No quieres transferir ningún dato que administre tu organización.
Para expulsar las cuentas personales, crea una identidad de usuario administrada con el mismo nombre sin migrar primero la cuenta de usuario.
Usa esta estrategia cuando se cumpla lo siguiente:
- Deseas crear cuentas administradas nuevas para tus usuarios sin transferir ninguno de los datos que existen en sus cuentas personales.
- Deseas restringir los servicios de Google que están disponibles en tu organización. También quieres que los usuarios mantengan sus datos y usen estos servicios para las cuentas personales que crearon.
Evita esta estrategia cuando las cuentas personales se hayan usado con fines empresariales y puedan tener acceso a datos corporativos.
Para obtener más información, consulta Expulsa cuentas personales.
Prácticas recomendadas para integrar las identidades
Después de elegir la arquitectura de identidad y el método para consolidar las cuentas personales existentes, considera las siguientes prácticas recomendadas de identidad.
Selecciona un plan de integración adecuado que funcione para tu organización
Selecciona un plan de alto nivel para incorporar las identidades de tu organización a Cloud Identity o Google Workspace. Para obtener una selección de planes de integración comprobados, junto con orientación sobre cómo seleccionar el plan que mejor se adapte a tus necesidades, consulta Evalúa los planes de integración.
Si planeas usar un IdP externo y tienes cuentas de usuario identificadas que deben migrarse, es posible que tengas requisitos adicionales. Para obtener más información, consulta Evalúa el impacto de la consolidación de las cuentas de usuario en la federación.
Protege las cuentas de usuario
Después de incorporar a los usuarios a Cloud Identity o Google Workspace, debes implementar medidas para proteger sus cuentas del abuso. Para obtener más información, consulta lo siguiente:
- Implementa prácticas recomendadas de seguridad para las cuentas de administrador de Cloud Identity.
- Aplica reglas de autenticación de varios factores uniformes y sigue las prácticas recomendadas cuando se combinan con identidades de federación.
- Exporta tus registros de auditoría de Google Workspace o Cloud Identity a Cloud Logging mediante la habilitación del uso compartido de datos.
¿Qué sigue?
- Decide la jerarquía de recursos (siguiente documento de esta serie).
- Obtén más información sobre cómo se relacionan los usuarios, las cuentas de Cloud Identity y las organizaciones de Google Cloud.
- Revisa las prácticas recomendadas para planificar cuentas y organizaciones.
- Lee sobre las prácticas recomendadas para federar Google Cloud con un proveedor de identidad externo.