Decidi come eseguire l'onboarding delle identità in Google Cloud

Last reviewed 2024-10-31 UTC

Questo documento descrive le opzioni di provisioning delle identità per Google Cloud e le decisioni che devi prendere quando esegui l'onboarding degli utenti in Cloud Identity o Google Workspace. Questo documento fornisce inoltre indicazioni su dove trovare ulteriori informazioni su come implementare ciascuna opzione.

Questo documento fa parte di una serie sulle zone di destinazione ed è rivolto ad architetti e professionisti tecnici coinvolti nella gestione delle identità per la tua organizzazione e il tuo deployment Google Cloud.

Per consentire agli utenti della tua organizzazione di accedere alle tue Google Cloud risorse, devi fornire un modo per autenticarsi. Google Cloud utilizza Accedi con Google per autenticare gli utenti, lo stesso provider di identità (IdP) utilizzato da altri servizi Google come Gmail o Google Ads.

Anche se alcuni utenti della tua organizzazione potrebbero avere già un account utente Google privato, ti sconsigliamo vivamente di consentire loro di utilizzare i propri account privati quando accedono Google Cloud. In alternativa, puoi eseguire l'onboarding degli utenti in Cloud Identity o Google Workspace, il che ti consente di controllare il ciclo di vita e la sicurezza degli account utente.

Il provisioning delle identità in Google Cloud è un argomento complesso e la tua strategia esatta potrebbe richiedere più dettagli di quelli previsti dall'ambito di questa guida alla decisione. Per altre best practice, informazioni sulla pianificazione e sul deployment, consulta la panoramica di Identity and Access Management.

Punti decisionali per l'onboarding dell'identità

Per scegliere il design di provisioning delle identità migliore per la tua organizzazione, devi prendere le seguenti decisioni:

Scegli l'architettura dell'identità

La gestione del ciclo di vita e della sicurezza degli account utente svolge un ruolo importante per la sicurezza del tuo Google Cloud deployment. Una decisione chiave che devi prendere riguarda il ruolo che Google Cloud deve svolgere in relazione ai sistemi e alle applicazioni di gestione delle identità esistenti. Le opzioni sono le seguenti:

  • Utilizza Google come provider di identità (IdP) principale.
  • Utilizza la federazione con un provider di identità esterno.

Le sezioni seguenti forniscono ulteriori informazioni su ciascuna opzione.

Opzione 1: utilizza Google come origine principale per le identità (nessuna federazione)

Quando crei account utente direttamente in Cloud Identity o Google Workspace, puoi impostare Google come origine delle identità e come IdP principale. Gli utenti possono quindi utilizzare queste identità e credenziali per accedere a Google Cloud e ad altri servizi Google.

Cloud Identity e Google Workspace offrono una vasta selezione di integrazioni pronte all'uso per le applicazioni di terze parti più diffuse. Puoi anche utilizzare protocolli standard come SAML, OAuth e OpenID Connect per integrare le tue applicazioni personalizzate con Cloud Identity o Google Workspace.

Utilizza questa strategia quando si verificano le seguenti condizioni:

  • La tua organizzazione ha già eseguito il provisioning delle identità utente in Google Workspace.
  • La tua organizzazione non dispone di un IdP esistente.
  • La tua organizzazione ha già un IdP, ma vuole iniziare rapidamente con un piccolo sottoinsieme di utenti e federare le identità in un secondo momento.

Evita questa strategia se hai già un'IDP che vuoi utilizzare come fonte autorevole per le identità.

Per ulteriori informazioni, consulta le seguenti risorse:

Opzione 2: utilizza la federazione con un provider di identità esterno

Puoi eseguire l'integrazione Google Cloud con un IdP esterno esistente utilizzando la federazione. La federazione delle identità stabilisce la fiducia tra due o più provider di identità in modo che le più identità che un utente potrebbe avere in diversi sistemi di gestione delle identità possano essere collegate.

Quando federi un account Cloud Identity o Google Workspace con un provider di identità esterno, consenti agli utenti di utilizzare le loro credenziali e la loro identità esistenti per accedere a Google Cloud e ad altri servizi Google.

Utilizza questa strategia quando si verificano le seguenti condizioni:

  • Hai già un provider di identità come Active Directory, Azure AD, ForgeRock, Okta o Ping Identity.
  • Vuoi che i dipendenti utilizzino le loro credenziali e la loro identità esistenti per accedere a Google Cloud e ad altri servizi Google come Google Ads e Google Marketing Platform.

Evita questa strategia se la tua organizzazione non ha già un'identità provider.

Per ulteriori informazioni, consulta le seguenti risorse:

Decidere come consolidare gli account utente esistenti

Se non utilizzi Cloud Identity o Google Workspace, è possibile che i dipendenti della tua organizzazione stiano utilizzando account consumer per accedere ai tuoi servizi Google. Gli account dei consumatori sono account interamente di proprietà e gestiti dalle persone che li hanno creati. Poiché questi account non sono sottoposti al controllo della tua organizzazione e potrebbero includere dati personali e aziendali, devi decidere come consolidarli con altri account aziendali.

Per informazioni dettagliate sugli account consumer, su come identificarli e sui rischi che potrebbero rappresentare per la tua organizzazione, consulta Valutare gli account utente esistenti.

Le opzioni per il consolidamento degli account sono le seguenti:

  • Raggruppa un sottoinsieme pertinente di account dei consumatori.
  • Consolida tutti gli account tramite la migrazione.
  • Consolida tutti gli account tramite l'espulsione, non eseguendo la migrazione degli account prima di crearne di nuovi.

Le sezioni seguenti forniscono ulteriori informazioni su ciascuna opzione.

Opzione 1: consolida un sottoinsieme pertinente di account consumer

Se vuoi conservare gli account dei consumatori e gestirli e gestirne i dati in base alle norme aziendali, devi eseguirne la migrazione a Cloud Identity o Google Workspace. Tuttavia, il processo di consolidamento degli account dei consumatori può richiedere molto tempo. Pertanto, ti consigliamo di valutare innanzitutto quale sottoinsieme di utenti è pertinente per il tuo deployment Google Cloud previsto e poi di consolidare solo questi account utente.

Utilizza questa strategia quando si verificano le seguenti condizioni:

Evita questa strategia se si verificano le seguenti condizioni:

  • Non hai account utente consumer nel tuo dominio.
  • Prima di iniziare a utilizzareGoogle Cloud, devi assicurarti che tutti i dati di tutti gli account utente consumer nel tuo dominio siano consolidati negli account gestiti.

Per ulteriori informazioni, consulta la sezione Panoramica del consolidamento degli account.

Opzione 2: raggruppa tutti gli account tramite la migrazione

Se vuoi gestire tutti gli account utente nel tuo dominio, puoi consolidare tutti gli account consumer eseguendone la migrazione ad account gestiti.

Utilizza questa strategia quando si verificano le seguenti condizioni:

  • Lo strumento di trasferimento per gli account utente non gestiti mostra solo alcuni account consumer nel tuo dominio.
  • Vuoi limitare l'utilizzo degli account consumer nella tua organizzazione.

Evita questa strategia se vuoi risparmiare tempo nella procedura di consolidamento.

Per ulteriori informazioni, vedi Eseguire la migrazione degli account consumer.

Opzione 3: unificare tutti gli account tramite l'espulsione

Puoi eliminare gli account dei consumatori nelle seguenti circostanze:

  • Vuoi che gli utenti che hanno creato account consumer mantengano il controllo totale sui propri account e dati.
  • Non vuoi trasferire dati da gestire dalla tua organizzazione.

Per eliminare gli account consumer, crea un'identità utente gestita con lo stesso nome senza eseguire prima la migrazione dell'account utente.

Utilizza questa strategia quando si verificano le seguenti condizioni:

  • Vuoi creare nuovi account gestiti per i tuoi utenti senza trasferire i dati esistenti nei loro account consumer.
  • Vuoi limitare i servizi Google disponibili nella tua organizzazione. Inoltre, vuoi che gli utenti conservino i propri dati e continuino a utilizzare questi servizi per gli account consumer che hanno creato.

Evita questa strategia quando gli account consumer sono stati utilizzati per scopi aziendali e potrebbero avere accesso ai dati aziendali.

Per ulteriori informazioni, consulta Espulsione degli account consumer.

Best practice per l'onboarding delle identità

Dopo aver scelto l'architettura dell'identità e il metodo per consolidare gli account consumer esistenti, prendi in considerazione le seguenti best practice per l'identità.

Seleziona un piano di onboarding adatto alla tua organizzazione

Seleziona un piano di alto livello per eseguire l'onboarding delle identità della tua organizzazione in Cloud Identity o Google Workspace. Per una selezione di piani di onboarding comprovati, oltre a indicazioni su come scegliere il piano più adatto alle tue esigenze, consulta Valutare i piani di onboarding.

Se prevedi di utilizzare un provider di identità esterno e hai identificato gli account utente di cui deve essere eseguita la migrazione, potresti avere requisiti aggiuntivi. Per ulteriori informazioni, consulta Valutare l'impatto del consolidamento degli account utente sulla federazione.

Proteggi gli account utente

Dopo aver eseguito l'onboarding degli utenti in Cloud Identity o Google Workspace, devi implementare misure per contribuire a proteggere i loro account da abusi. Per ulteriori informazioni, consulta le seguenti risorse:

Passaggi successivi