Dokumen ini menjelaskan opsi penyediaan identitas untuk Google Cloud dan keputusan yang harus Anda ambil saat melakukan aktivasi pengguna ke Cloud Identity atau Google Workspace. Dokumen ini juga memberikan panduan tentang tempat untuk menemukan informasi lebih lanjut tentang cara men-deploy setiap opsi.
Dokumen ini adalah bagian dari rangkaian tentang zona landing , dan ditujukan bagi arsitek dan praktisi teknis yang terlibat dalam mengelola identitas organisasi dan deployment Google Cloud Anda.
Ringkasan
Agar pengguna organisasi Anda dapat mengakses resource Google Cloud, Anda harus menyediakan cara bagi mereka untuk mengautentikasi diri mereka sendiri. Google Cloud menggunakan Login dengan Google untuk mengautentikasi pengguna, yang merupakan penyedia identitas (IdP) yang sama dengan yang digunakan oleh layanan Google lainnya seperti Gmail atau Google Ads.
Meskipun beberapa pengguna di organisasi Anda mungkin sudah memiliki akun pengguna Google pribadi, sebaiknya Anda tidak mengizinkan mereka menggunakan akun pribadi saat mereka mengakses Google Cloud. Sebagai gantinya, Anda dapat mengaktivasi pengguna ke Cloud Identity atau Google Workspace sehingga Anda dapat mengontrol siklus proses dan keamanan akun pengguna.
Penyediaan identitas di Google Cloud adalah topik yang kompleks dan strategi Anda yang tepat mungkin memerlukan detail lebih lanjut daripada yang tercakup dalam panduan keputusan ini. Untuk praktik terbaik, perencanaan, dan informasi deployment lainnya, lihat ringkasan pengelolaan akses dan identitas.
Poin keputusan untuk orientasi identitas
Untuk memilih desain penyediaan identitas terbaik bagi organisasi, Anda harus membuat keputusan berikut:
Tentukan arsitektur identitas Anda
Mengelola siklus proses dan keamanan akun pengguna berperan penting dalam mengamankan deployment Google Cloud Anda. Keputusan utama yang harus Anda buat adalah peran yang harus dijalankan Google Cloud sehubungan dengan sistem dan aplikasi pengelolaan identitas Anda yang ada. Opsinya adalah sebagai berikut:
- Menggunakan Google sebagai penyedia identitas (IdP) utama Anda.
- Menggunakan penggabungan dengan penyedia identitas eksternal.
Bagian berikut memberikan informasi selengkapnya tentang setiap opsi.
Opsi 1: Gunakan Google sebagai sumber utama untuk identitas (tanpa penggabungan)
Saat membuat akun pengguna langsung di Cloud Identity atau Google Workspace, Anda dapat menjadikan Google sebagai sumber identitas dan IdP utama Anda. Kemudian, pengguna dapat menggunakan identitas dan kredensial ini untuk login ke Google Cloud dan layanan Google lainnya.
Cloud Identity dan Google Workspace menyediakan banyak pilihan integrasi yang siap digunakan untuk aplikasi pihak ketiga yang populer. Anda juga dapat menggunakan protokol standar seperti SAML, OAuth, dan OpenID Connect untuk mengintegrasikan aplikasi kustom Anda dengan Cloud Identity atau Google Workspace.
Gunakan strategi ini jika hal berikut berlaku:
- Organisasi Anda sudah memiliki identitas pengguna yang disediakan di Google Workspace.
- Organisasi Anda tidak memiliki IdP.
- Organisasi Anda sudah memiliki IdP, tetapi ingin segera memulai dengan sebagian kecil pengguna dan menggabungkan identitas nanti.
Hindari strategi ini jika Anda sudah memiliki IdP yang ingin digunakan sebagai sumber otoritatif untuk identitas.
Untuk informasi selengkapnya, lihat referensi berikut:
Opsi 2: Gunakan penggabungan dengan penyedia identitas eksternal
Anda dapat mengintegrasikan Google Cloud dengan IdP eksternal yang ada menggunakan penggabungan. Penggabungan identitas membangun kepercayaan antara dua atau lebih IdP, sehingga beberapa identitas yang mungkin dimiliki pengguna dalam sistem pengelolaan identitas yang berbeda dapat ditautkan.
Saat menggabungkan akun Cloud Identity atau Google Workspace dengan IdP eksternal, Anda mengizinkan pengguna menggunakan identitas dan kredensial yang ada untuk login ke Google Cloud dan layanan Google lainnya.
Gunakan strategi ini jika hal berikut berlaku:
- Anda sudah memiliki IdP seperti Active Directory, Azure AD, ForgeRock, Okta, atau Ping Identity.
- Anda ingin karyawan menggunakan identitas dan kredensial yang ada untuk login ke Google Cloud dan layanan Google lainnya seperti Google Ads dan Google Marketing Platform.
Hindari strategi ini jika organisasi Anda tidak memiliki IdP.
Untuk informasi selengkapnya, lihat referensi berikut:
- Identitas eksternal - Ringkasan pengelolaan identitas Google
- Arsitektur referensi: Menggunakan IdP eksternal
- Praktik terbaik untuk menggabungkan Google Cloud dengan penyedia identitas eksternal.
- Menggabungkan Google Cloud dengan Active Directory
- Menggabungkan Google Cloud dengan Azure AD
Menentukan cara menggabungkan akun pengguna yang ada
Jika Anda belum menggunakan Cloud Identity atau Google Workspace, karyawan organisasi Anda mungkin menggunakan akun konsumen untuk mengakses layanan Google Anda. Akun konsumen adalah akun yang sepenuhnya dimiliki dan dikelola oleh orang yang membuatnya. Karena akun tersebut tidak berada di bawah kendali organisasi Anda dan mungkin mencakup data pribadi dan perusahaan, Anda harus memutuskan cara menggabungkan akun ini dengan akun perusahaan lainnya.
Untuk mengetahui detail tentang akun konsumen, cara mengidentifikasinya, dan risiko yang mungkin ditimbulkan bagi organisasi Anda, lihat Menilai akun pengguna yang ada.
Opsi untuk menggabungkan akun adalah sebagai berikut:
- Gabungkan subkumpulan akun konsumen yang relevan.
- Gabungkan semua akun melalui migrasi.
- Gabungkan semua akun melalui penghapusan, dengan tidak memigrasikan akun sebelum membuat akun baru.
Bagian berikut memberikan informasi selengkapnya tentang setiap opsi.
Opsi 1: Gabungkan subkumpulan akun konsumen yang relevan.
Jika ingin mempertahankan akun konsumen dan mengelolanya beserta datanya berdasarkan kebijakan perusahaan, Anda harus memigrasikannya ke Cloud Identity atau Google Workspace. Namun, proses menggabungkan akun konsumen dapat memakan waktu. Oleh karena itu, sebaiknya evaluasi terlebih dahulu subkumpulan pengguna mana yang relevan untuk deployment Google Cloud yang Anda rencanakan, lalu gabungkan hanya akun pengguna tersebut.
Gunakan strategi ini jika hal berikut berlaku:
- Alat transfer untuk akun pengguna yang tidak dikelola menampilkan banyak akun pengguna konsumen di domain Anda, tetapi hanya sebagian pengguna yang akan menggunakan Google Cloud.
- Anda ingin menghemat waktu dalam proses konsolidasi.
Hindari strategi ini jika hal berikut berlaku:
- Anda tidak memiliki akun pengguna konsumen di domain Anda.
- Anda ingin memastikan bahwa semua data dari semua akun pengguna konsumen di domain Anda telah digabungkan ke akun terkelola sebelum mulai menggunakan Google Cloud.
Untuk informasi selengkapnya, lihat Ringkasan menggabungkan akun.
Opsi 2: Gabungkan semua akun melalui migrasi
Jika ingin mengelola semua akun pengguna di domain, Anda dapat menggabungkan semua akun konsumen dengan memigrasikannya ke akun terkelola.
Gunakan strategi ini jika hal berikut berlaku:
- Alat transfer untuk akun pengguna yang tidak dikelola hanya menampilkan beberapa akun konsumen di domain Anda.
- Anda ingin membatasi penggunaan akun konsumen di organisasi Anda.
Hindari strategi ini jika Anda ingin menghemat waktu dalam proses konsolidasi.
Untuk informasi selengkapnya, lihat Memigrasikan akun konsumen.
Opsi 3: Gabungkan semua akun melalui penghapusan
Anda dapat mengeluarkan akun konsumen dalam keadaan berikut:
- Anda ingin pengguna yang membuat akun konsumen tetap memegang kontrol penuh atas akun dan data mereka.
- Anda tidak ingin mentransfer data apa pun untuk dikelola oleh organisasi Anda.
Untuk mengeluarkan akun konsumen, buat identitas pengguna terkelola dengan nama yang sama tanpa memigrasikan akun pengguna terlebih dahulu.
Gunakan strategi ini jika hal berikut berlaku:
- Anda ingin membuat akun terkelola baru untuk pengguna Anda tanpa mentransfer data apa pun yang ada di akun konsumen mereka.
- Anda ingin membatasi layanan Google yang tersedia di organisasi Anda. Anda juga ingin pengguna menyimpan data mereka dan terus menggunakan layanan ini untuk akun konsumen yang mereka buat.
Hindari strategi ini jika akun konsumen telah digunakan untuk tujuan perusahaan dan mungkin memiliki akses ke data perusahaan.
Untuk informasi selengkapnya, lihat Mengeluarkan akun konsumen.
Praktik terbaik untuk identitas orientasi
Setelah memilih arsitektur identitas dan metode untuk menggabungkan akun konsumen yang ada, pertimbangkan praktik terbaik identitas berikut.
Pilih rencana orientasi yang sesuai untuk organisasi Anda
Pilih rencana tingkat tinggi untuk mengaktivasi identitas organisasi Anda ke Cloud Identity atau Google Workspace. Untuk mengetahui pilihan rencana orientasi yang telah terbukti, serta panduan cara memilih paket yang paling sesuai dengan kebutuhan Anda, lihat Menilai rencana orientasi.
Jika berencana menggunakan IdP eksternal dan telah mengidentifikasi akun pengguna yang perlu dimigrasikan, Anda mungkin memiliki persyaratan tambahan. Untuk informasi selengkapnya, lihat Menilai dampak konsolidasi akun pengguna terhadap penggabungan.
Melindungi akun pengguna
Setelah Anda melakukan aktivasi pengguna ke Cloud Identity atau Google Workspace, Anda harus menerapkan tindakan untuk membantu melindungi akun mereka dari penyalahgunaan. Untuk informasi selengkapnya, lihat referensi berikut:
- Terapkan praktik terbaik keamanan untuk akun administratif Cloud Identity.
- Terapkan aturan autentikasi multifaktor yang seragam dan ikuti praktik terbaik saat dikombinasikan dengan identitas penggabungan.
- Ekspor log audit Google Workspace atau Cloud Identity Anda ke Cloud Logging dengan mengaktifkan berbagi data.
Langkah selanjutnya
- Tentukan hierarki resource Anda (dokumen berikutnya dalam rangkaian ini).
- Cari tahu selengkapnya tentang hubungan pengguna, akun Cloud Identity, dan organisasi Google Cloud.
- Tinjau rekomendasi praktik terbaik untuk merencanakan akun dan organisasi.
- Baca tentang praktik terbaik untuk menggabungkan Google Cloud dengan penyedia identitas eksternal.