Tentukan cara mengaktivasi identitas ke Google Cloud

Last reviewed 2024-10-31 UTC

Dokumen ini menjelaskan opsi penyediaan identitas untuk Google Cloud dan keputusan yang harus Anda ambil saat melakukan aktivasi pengguna ke Cloud Identity atau Google Workspace. Dokumen ini juga memberikan panduan tentang tempat untuk menemukan informasi lebih lanjut tentang cara men-deploy setiap opsi.

Dokumen ini adalah bagian dari rangkaian tentang zona landing , dan ditujukan bagi arsitek dan praktisi teknis yang terlibat dalam mengelola identitas organisasi dan deployment Google Cloud Anda.

Ringkasan

Agar pengguna organisasi Anda dapat mengakses resource Google Cloud, Anda harus menyediakan cara bagi mereka untuk mengautentikasi diri mereka sendiri. Google Cloud menggunakan Login dengan Google untuk mengautentikasi pengguna, yang merupakan penyedia identitas (IdP) yang sama dengan yang digunakan oleh layanan Google lainnya seperti Gmail atau Google Ads.

Meskipun beberapa pengguna di organisasi Anda mungkin sudah memiliki akun pengguna Google pribadi, sebaiknya Anda tidak mengizinkan mereka menggunakan akun pribadi saat mereka mengakses Google Cloud. Sebagai gantinya, Anda dapat mengaktivasi pengguna ke Cloud Identity atau Google Workspace sehingga Anda dapat mengontrol siklus proses dan keamanan akun pengguna.

Penyediaan identitas di Google Cloud adalah topik yang kompleks dan strategi Anda yang tepat mungkin memerlukan detail lebih lanjut daripada yang tercakup dalam panduan keputusan ini. Untuk praktik terbaik, perencanaan, dan informasi deployment lainnya, lihat ringkasan pengelolaan akses dan identitas.

Poin keputusan untuk orientasi identitas

Untuk memilih desain penyediaan identitas terbaik bagi organisasi, Anda harus membuat keputusan berikut:

Tentukan arsitektur identitas Anda

Mengelola siklus proses dan keamanan akun pengguna berperan penting dalam mengamankan deployment Google Cloud Anda. Keputusan utama yang harus Anda buat adalah peran yang harus dijalankan Google Cloud sehubungan dengan sistem dan aplikasi pengelolaan identitas Anda yang ada. Opsinya adalah sebagai berikut:

  • Menggunakan Google sebagai penyedia identitas (IdP) utama Anda.
  • Menggunakan penggabungan dengan penyedia identitas eksternal.

Bagian berikut memberikan informasi selengkapnya tentang setiap opsi.

Opsi 1: Gunakan Google sebagai sumber utama untuk identitas (tanpa penggabungan)

Saat membuat akun pengguna langsung di Cloud Identity atau Google Workspace, Anda dapat menjadikan Google sebagai sumber identitas dan IdP utama Anda. Kemudian, pengguna dapat menggunakan identitas dan kredensial ini untuk login ke Google Cloud dan layanan Google lainnya.

Cloud Identity dan Google Workspace menyediakan banyak pilihan integrasi yang siap digunakan untuk aplikasi pihak ketiga yang populer. Anda juga dapat menggunakan protokol standar seperti SAML, OAuth, dan OpenID Connect untuk mengintegrasikan aplikasi kustom Anda dengan Cloud Identity atau Google Workspace.

Gunakan strategi ini jika hal berikut berlaku:

  • Organisasi Anda sudah memiliki identitas pengguna yang disediakan di Google Workspace.
  • Organisasi Anda tidak memiliki IdP.
  • Organisasi Anda sudah memiliki IdP, tetapi ingin segera memulai dengan sebagian kecil pengguna dan menggabungkan identitas nanti.

Hindari strategi ini jika Anda sudah memiliki IdP yang ingin digunakan sebagai sumber otoritatif untuk identitas.

Untuk informasi selengkapnya, lihat referensi berikut:

Opsi 2: Gunakan penggabungan dengan penyedia identitas eksternal

Anda dapat mengintegrasikan Google Cloud dengan IdP eksternal yang ada menggunakan penggabungan. Penggabungan identitas membangun kepercayaan antara dua atau lebih IdP, sehingga beberapa identitas yang mungkin dimiliki pengguna dalam sistem pengelolaan identitas yang berbeda dapat ditautkan.

Saat menggabungkan akun Cloud Identity atau Google Workspace dengan IdP eksternal, Anda mengizinkan pengguna menggunakan identitas dan kredensial yang ada untuk login ke Google Cloud dan layanan Google lainnya.

Gunakan strategi ini jika hal berikut berlaku:

  • Anda sudah memiliki IdP seperti Active Directory, Azure AD, ForgeRock, Okta, atau Ping Identity.
  • Anda ingin karyawan menggunakan identitas dan kredensial yang ada untuk login ke Google Cloud dan layanan Google lainnya seperti Google Ads dan Google Marketing Platform.

Hindari strategi ini jika organisasi Anda tidak memiliki IdP.

Untuk informasi selengkapnya, lihat referensi berikut:

Menentukan cara menggabungkan akun pengguna yang ada

Jika Anda belum menggunakan Cloud Identity atau Google Workspace, karyawan organisasi Anda mungkin menggunakan akun konsumen untuk mengakses layanan Google Anda. Akun konsumen adalah akun yang sepenuhnya dimiliki dan dikelola oleh orang yang membuatnya. Karena akun tersebut tidak berada di bawah kendali organisasi Anda dan mungkin mencakup data pribadi dan perusahaan, Anda harus memutuskan cara menggabungkan akun ini dengan akun perusahaan lainnya.

Untuk mengetahui detail tentang akun konsumen, cara mengidentifikasinya, dan risiko yang mungkin ditimbulkan bagi organisasi Anda, lihat Menilai akun pengguna yang ada.

Opsi untuk menggabungkan akun adalah sebagai berikut:

  • Gabungkan subkumpulan akun konsumen yang relevan.
  • Gabungkan semua akun melalui migrasi.
  • Gabungkan semua akun melalui penghapusan, dengan tidak memigrasikan akun sebelum membuat akun baru.

Bagian berikut memberikan informasi selengkapnya tentang setiap opsi.

Opsi 1: Gabungkan subkumpulan akun konsumen yang relevan.

Jika ingin mempertahankan akun konsumen dan mengelolanya beserta datanya berdasarkan kebijakan perusahaan, Anda harus memigrasikannya ke Cloud Identity atau Google Workspace. Namun, proses menggabungkan akun konsumen dapat memakan waktu. Oleh karena itu, sebaiknya evaluasi terlebih dahulu subkumpulan pengguna mana yang relevan untuk deployment Google Cloud yang Anda rencanakan, lalu gabungkan hanya akun pengguna tersebut.

Gunakan strategi ini jika hal berikut berlaku:

Hindari strategi ini jika hal berikut berlaku:

  • Anda tidak memiliki akun pengguna konsumen di domain Anda.
  • Anda ingin memastikan bahwa semua data dari semua akun pengguna konsumen di domain Anda telah digabungkan ke akun terkelola sebelum mulai menggunakan Google Cloud.

Untuk informasi selengkapnya, lihat Ringkasan menggabungkan akun.

Opsi 2: Gabungkan semua akun melalui migrasi

Jika ingin mengelola semua akun pengguna di domain, Anda dapat menggabungkan semua akun konsumen dengan memigrasikannya ke akun terkelola.

Gunakan strategi ini jika hal berikut berlaku:

  • Alat transfer untuk akun pengguna yang tidak dikelola hanya menampilkan beberapa akun konsumen di domain Anda.
  • Anda ingin membatasi penggunaan akun konsumen di organisasi Anda.

Hindari strategi ini jika Anda ingin menghemat waktu dalam proses konsolidasi.

Untuk informasi selengkapnya, lihat Memigrasikan akun konsumen.

Opsi 3: Gabungkan semua akun melalui penghapusan

Anda dapat mengeluarkan akun konsumen dalam keadaan berikut:

  • Anda ingin pengguna yang membuat akun konsumen tetap memegang kontrol penuh atas akun dan data mereka.
  • Anda tidak ingin mentransfer data apa pun untuk dikelola oleh organisasi Anda.

Untuk mengeluarkan akun konsumen, buat identitas pengguna terkelola dengan nama yang sama tanpa memigrasikan akun pengguna terlebih dahulu.

Gunakan strategi ini jika hal berikut berlaku:

  • Anda ingin membuat akun terkelola baru untuk pengguna Anda tanpa mentransfer data apa pun yang ada di akun konsumen mereka.
  • Anda ingin membatasi layanan Google yang tersedia di organisasi Anda. Anda juga ingin pengguna menyimpan data mereka dan terus menggunakan layanan ini untuk akun konsumen yang mereka buat.

Hindari strategi ini jika akun konsumen telah digunakan untuk tujuan perusahaan dan mungkin memiliki akses ke data perusahaan.

Untuk informasi selengkapnya, lihat Mengeluarkan akun konsumen.

Praktik terbaik untuk identitas orientasi

Setelah memilih arsitektur identitas dan metode untuk menggabungkan akun konsumen yang ada, pertimbangkan praktik terbaik identitas berikut.

Pilih rencana orientasi yang sesuai untuk organisasi Anda

Pilih rencana tingkat tinggi untuk mengaktivasi identitas organisasi Anda ke Cloud Identity atau Google Workspace. Untuk mengetahui pilihan rencana orientasi yang telah terbukti, serta panduan cara memilih paket yang paling sesuai dengan kebutuhan Anda, lihat Menilai rencana orientasi.

Jika berencana menggunakan IdP eksternal dan telah mengidentifikasi akun pengguna yang perlu dimigrasikan, Anda mungkin memiliki persyaratan tambahan. Untuk informasi selengkapnya, lihat Menilai dampak konsolidasi akun pengguna terhadap penggabungan.

Melindungi akun pengguna

Setelah Anda melakukan aktivasi pengguna ke Cloud Identity atau Google Workspace, Anda harus menerapkan tindakan untuk membantu melindungi akun mereka dari penyalahgunaan. Untuk informasi selengkapnya, lihat referensi berikut:

Langkah selanjutnya