本文档介绍了 Google Cloud 的身份预配选项,以及在将用户初始配置到 Cloud Identity 或 Google Workspace 时必须做出的决策。本文档还介绍了可在何处查找有关如何部署每个选项的详细信息。
本文档是有关着陆区的系列文章中的一篇,面向参与管理组织和 Google Cloud 部署中的身份的架构师和技术从业人员。
概览
为了让您的组织的用户能够访问您的 Google Cloud 资源,您必须为他们提供一种方法来进行身份验证。Google Cloud 使用 Google 登录对用户进行身份验证,这也是其他 Google 服务(如 Gmail 或 Google Ads)使用的身份提供方 (IdP)。
虽然您的组织内的部分用户可能已经拥有自己的私人 Google 用户账号,但我们强烈建议不要允许这些用户使用其私人账号访问 Google Cloud。相反,您可以在 Cloud Identity 或 Google Workspace 上对用户进行初始配置,从而由您来控制用户账号的生命周期和安全性。
在 Google Cloud 中预配身份是一个复杂的主题,要获得确切的策略,您可能需要比此决策指南范围更为广泛的详细信息。如需了解更多最佳实践、规划和部署信息,请参阅身份和访问权限管理概览。
身份初始配置决策点
如需为您的组织选择最佳身份预配设计,您必须做出以下决策:
确定身份架构
管理用户账号的生命周期和安全性在保护 Google Cloud 部署方面发挥着重要作用。您必须做出的关键决策是,Google Cloud 应该在现有身份管理系统和应用中扮演什么样的角色。相关选项如下所示:
- 将 Google 用作您的主要身份提供方 (IdP)。
- 联合使用外部身份提供方。
以下部分提供了有关每种方案的详细信息。
选项 1:将 Google 用作身份的主要来源(不进行联合)
直接在 Cloud Identity 或 Google Workspace 中创建用户账号时,您可以将 Google 设置为身份的来源和主要 IdP。之后,用户便可以使用这些身份和凭据来登录 Google Cloud 和其他 Google 服务。
Cloud Identity 和 Google Workspace 为热门的第三方应用提供了大量现成可用的集成。您还可以使用 SAML、OAuth 和 OpenID Connect 等标准协议来将您的自定义应用与 Cloud Identity 或 Google Workspace 进行集成。
如果满足以下条件,请使用此策略:
- 您的组织已在 Google Workspace 中预配用户身份。
- 您的组织尚无 IdP。
- 您的组织已有 IdP,但希望从一小部分用户快速开始,并在稍后联合身份。
如果您希望将现有 IdP 用作身份的权威来源,请勿使用此策略。
详情请参阅以下内容:
方法 2:使用联合外部身份提供方
您可以使用联合将 Google Cloud 与现有外部 IdP 进行集成。身份联合会在两个或更多 IdP 之间建立信任,以便将用户在不同身份管理系统中的多个身份关联起来。
在您将 Cloud Identity 或 Google Workspace 账号与外部 IdP 联合后,用户便能够使用其现有身份和凭据登录 Google Cloud 和其他 Google 服务。
如果满足以下条件,请使用此策略:
- 您已有一个 IdP,例如 Active Directory、Azure AD、ForgeRock、Okta 或 Ping Identity。
- 您希望员工使用其现有身份和凭据登录 Google Cloud 和其他 Google 服务(如 Google Ads 和 Google Marketing Platform)。
如果您的组织尚无 IdP,请勿使用此策略。
详情请参阅以下内容:
- 外部身份 - Google 身份管理概览
- 参考架构:使用外部 IdP
- 联合 Google Cloud 与外部身份提供商的最佳做法
- 将 Google Cloud 与 Active Directory 联合
- 将 Google Cloud 与 Azure AD 联合
确定如何整合现有用户账号
如果您尚未使用 Cloud Identity 或 Google Workspace,则您的组织的员工可能一直在使用消费者账号来访问您的 Google 服务。消费者账号完全由创建账号的个人拥有和管理。由于这些账号不受组织控制,并且可能同时包含个人和公司数据,因此您必须决定如何将这些账号与其他公司账号整合起来。
如需详细了解消费者账号、如何识别此类账号以及它们可能会对贵组织造成哪些风险,请参阅评估现有用户账号。
下面是一些可用于整合账号的方案:
- 整合相关的一部分消费者账号。
- 通过迁移整合所有账号。
- 通过逐出整合所有账号,而无需在创建新账号之前迁移账号。
以下部分提供了有关每种方案的详细信息。
选项 1:整合消费者账号的相关子集
如果您想保留消费者账号并根据公司政策管理这些账号及其数据,则必须将其迁移到 Cloud Identity 或 Google Workspace。但是,整合消费者账号的过程可能非常耗时。因此,我们建议您首先评估哪一部分用户与您规划的 Google Cloud 部署相关,然后仅整合这些用户账号。
如果满足以下条件,请使用此策略:
- 非受管用户账号转移工具显示您的网域中有许多消费者用户账号,但只有一部分用户使用 Google Cloud。
- 您希望在整合过程中节省时间。
如果满足以下条件,请勿使用此策略:
- 您的网域中没有消费者用户账号。
- 您希望在开始使用 Google Cloud 之前,便确保将网域中所有消费者用户账号的所有数据都整合到受管理的账号。
如需了解详情,请参阅账号整合概览。
选项 2:通过迁移整合所有账号
如果您想管理网域中的所有用户账号,那么可以通过将所有消费者账号迁移到受管理的账号来整合这些账号。
如果满足以下条件,请使用此策略:
- 非受管用户账号转移工具显示您的网域中只有少量消费者账号。
- 您希望限制组织中消费者账号的使用。
如果您希望在整合过程中节省时间,请勿使用此策略。
如需了解详情,请参阅迁移消费者账号。
方法 3:通过逐出整合所有账号
在以下情况下,您可以逐出消费者账号:
- 您希望创建消费者账号的用户完全控制其账号和数据。
- 您不希望转移任何数据来由您的组织管理。
要逐出消费者账号,您可以创建同名的受管用户身份,而无需先迁移用户账号。
如果满足以下条件,请使用此策略:
- 您希望为用户创建新的受管账号,但不转移其消费者账号中存在的任何数据。
- 您希望限制组织中提供的 Google 服务。您还希望用户保留其数据,并在他们创建的消费者账号中继续使用这些服务。
如果消费者账号用于公司用途并且可能有权访问公司数据,请勿使用此策略。
如需了解详情,请参阅逐出消费者账号。
身份初始配置的最佳做法
选择身份架构和方法来整合现有消费者账号后,请考虑以下身份最佳做法。
选择适合您的组织的初始配置方案
选择一个总体方案,在 Cloud Identity 或 Google Workspace 中对贵组织的身份进行初始配置。如需获取一系列经过验证的初始配置方案,以及有关如何选择最符合您需求的方案的指导,请参阅评估初始配置方案。
如果您计划使用外部 IdP 并确定了需要迁移的用户账号,则可能还有一些额外的要求。如需了解详情,请参阅评估用户账号整合对联合的影响。
保护用户账号
在 Cloud Identity 或 Google Workspace 中对用户进行初始配置后,您必须采取适当的措施来帮助保护其账号免遭滥用。详情请参阅以下内容:
- 实施 Cloud Identity 管理员账号的安全最佳实践。
- 实施统一多重身份验证规则,并遵循身份联合最佳做法。
- 通过启用数据共享,将 Google Workspace 或 Cloud Identity 审核日志导出到 Cloud Logging。
后续步骤
- 确定资源层次结构(本系列的下一个文档)。
- 详细了解用户、Cloud Identity 账号和 Google Cloud 组织之间的关系。
- 查看建议的规划账号和组织的最佳做法。
- 了解联合 Google Cloud 与外部身份提供方的最佳做法。