Valutare gli account utente esistenti

Google supporta due tipi di account utente: account utente gestiti e account utente consumer. Gli account utente gestiti sono sotto il pieno controllo Cloud Identity o Google Workspace amministratore. Al contrario, gli account consumer sono interamente posseduti e gestiti dal persone che li hanno creati.

Uno dei principi fondamentali della gestione delle identità è avere un unico posto da gestire di identità all'interno dell'organizzazione:

• Se usare Google come provider di identità (IdP), Cloud Identity o Google Workspace dovrebbero essere l'unica soluzione per gestire le identità. I dipendenti devono affidarsi esclusivamente all'identità che gestisci in Cloud Identity o Google Workspace.

• Se utilizza un IdP esterno, questo provider dovrebbe essere l'unica piattaforma da cui gestire le identità. La l'IdP esterno deve eseguire il provisioning e gestire Cloud Identity o Google Workspace, e i dipendenti devono affidarsi esclusivamente su questi account utente gestiti quando utilizzano i servizi Google.

Se i dipendenti usano account utente consumer, allora si deve avere un solo la piattaforma per la gestione delle identità è compromessa: gli account consumer non sono gestiti Cloud Identity, Google Workspace o il tuo IdP esterno. Pertanto, devi identificare gli account utente consumer da convertire in account gestiti account, come spiegato nel panoramica dell'autenticazione.

Per convertire gli account consumer in account gestiti utilizzando lo Strumento di trasferimento, descritto più avanti in questo documento, devi disporre di un account Identità Google Workspace con un ruolo di super amministratore.

Questo documento ti aiuta a comprendere e valutare quanto segue:

• Quali account utente esistenti potrebbero essere i dipendenti della tua organizzazione. e come identificarli.
• Quali rischi potrebbero essere associati a questi account utente esistenti.

Scenario di esempio

Per illustrare i diversi insiemi di account utente che i dipendenti potrebbero utilizzare, questo documento utilizza uno scenario di esempio per un'azienda denominata Organizzazione di esempio. L'organizzazione di esempio ha sei dipendenti e precedenti dipendenti che hanno già utilizzato servizi Google come Documenti Google e Google Ads. Organizzazione di esempio ora intende consolidare i propri la gestione delle identità e stabilire il proprio IdP esterno come punto di riferimento per gestire le identità. Ogni dipendente ha un'identità nell'IdP esterno corrisponda all'indirizzo email del dipendente.

Esistono due account utente consumer, Carol e Chuck, che utilizzano una Indirizzo email example.com:

• Carla ha creato un account consumer utilizzando il suo indirizzo email aziendale (carol@example.com).
• Chuck, un ex dipendente, ha creato un account consumer utilizzando il suo indirizzo email aziendale (chuck@example.com).

Due dipendenti, Glen e Grace, hanno deciso di utilizzare gli account Gmail:

• Glen ha creato un account Gmail (glen@gmail.com), che ha per accedere a documenti privati e aziendali e ad altri servizi Google.
• Anche Grace utilizza un account Gmail (grace@gmail.com), ma ha aggiunto il suo indirizzo email aziendale, grace@example.com, come indirizzo email alternativo .

Infine, due dipendenti, Mary e Mike, utilizzano già Cloud Identity:

• Maria ha un account utente Cloud Identity (mary@example.com).
• Mike è l'amministratore dell'account Cloud Identity e ha creato un utente (admin@example.com) per sé stesso.

Il seguente diagramma illustra i diversi insiemi di account utente:

Per definire l'IdP esterno come singolo luogo in cui gestire le identità, devi collegare le identità degli account utente Google esistenti e le identità nell'IdP esterno. Di conseguenza, il seguente diagramma aggiunge un account che mostra le identità nell'IdP esterno.

Ricorda che se i dipendenti vogliono stabilire un IdP esterno come unica posizione gestire le identità, devono affidarsi esclusivamente agli account utente gestiti e che l'IdP esterno debba controllare questi account utente.

In questo caso, solo Maria soddisfa questi requisiti. Utilizza Cloud Identity utente, che è un account utente gestito, e l'identità del suo account utente corrisponde la propria identità nell'IdP esterno. Tutti gli altri dipendenti utilizzano account, oppure l'identità dei loro account non corrisponde a quella indicata da un IdP esterno. I rischi e le implicazioni del mancato rispetto dei requisiti sono: diverso per ciascuno di questi utenti. Ogni utente rappresenta un insieme diverso di che potrebbero richiedere ulteriori indagini.

Set di account utente da esaminare

Le seguenti sezioni esaminano gli insiemi di account utente potenzialmente problematici.

Account consumer

Questo insieme di account utente è costituito da account per i quali uno degli che segue è vero:

• Sono stati creati dai dipendenti utilizzando la funzionalità Registrati offerta da molti servizi Google.
• Utilizzano un indirizzo email aziendale come identità.

Nello scenario di esempio, questa descrizione è adatta a Carla e Chuck.

Un account consumer utilizzato per scopi commerciali e che si avvale di una un indirizzo email può rappresentare un rischio per la tua attività, ad esempio:

• Non puoi controllare il ciclo di vita dell'account consumer. Un dipendente chi lascia l'azienda potrebbe continuare a utilizzare l'account utente per accedere risorse aziendali o generare spese aziendali.

  Anche se revochi l'accesso a tutte le risorse, l'account potrebbe comunque rappresentare una dell'ingegneria sociale. Poiché l'account utente utilizza una query affidabile come chuck@example.com, l'ex dipendente potrebbe convincere i dipendenti attuali o i partner commerciali a concedere l'accesso risorse.

  Analogamente, un ex dipendente potrebbe utilizzare l'account utente per eseguire attività non in linea con i criteri dell'organizzazione, ad esempio mettere a rischio la reputazione della tua azienda.

• Non puoi applicare criteri di sicurezza come la verifica MFA o la password regole di complessità dell'account.

• Non puoi limitare posizione geografica in Documenti Google e Google Drive in cui vengono archiviati i dati, il che potrebbe rappresentare un rischio di conformità.

• Non puoi limitare i servizi Google accessibili utilizzando questa account utente.

Se ExampleOrganization decide usano Google come provider di identità, il modo migliore per trattare con gli account consumer è eseguire la migrazione a Cloud Identity o Google Workspace o a eliminarli costringendo i proprietari a rinominare l'account utente.

Se ExampleOrganization decide utilizza un IdP esterno, è necessario fare un'ulteriore distinzione tra:

• Account consumer che hanno un'identità corrispondente nell'IdP esterno.
• Account consumer che non hanno un'identità corrispondente nell'IdP esterno.

Le due sezioni seguenti esaminano in dettaglio queste due sottoclassi.

Account consumer con un'identità corrispondente nell'IdP esterno

Questo insieme di account utente è composto da account che corrispondono a tutti i seguenti:

• Sono stati creati dai dipendenti.
• che utilizza un indirizzo email aziendale come indirizzo email principale.
• La loro identità corrisponde a un'identità nell'IdP esterno.

Nello scenario di esempio, questa descrizione corrisponde a Carla.

Il fatto che questi account consumer abbiano un'identità corrispondente nei L'IdP suggerisce che questi account utente appartengono ai dipendenti attuali e dovrebbero essere vengono mantenuti. Dovresti quindi prendere in considerazione eseguendo la migrazione di questi account a Cloud Identity o Google Workspace.

Puoi identificare gli account consumer con identità corrispondente nella IdP come segue:

1. Aggiungere tutti i domini a Cloud Identity o Google Workspace che temi possano sono stati utilizzati per le registrazioni di account consumer. In particolare, l'elenco in Cloud Identity o Google Workspace devono includere tutti i domini supportati dal tuo sistema email.
2. Utilizza la strumento di trasferimento per utenti non gestiti per identificare gli account consumer che utilizzano un indirizzo email che corrisponde a uno dei i domini che hai aggiunto a Cloud Identity Google Workspace. Lo strumento ti consente inoltre esportare l'elenco degli utenti interessati come file CSV.
3. Confronta l'elenco degli account consumer con le identità nel tuo IdP esterno e trovare gli account consumer che hanno una controparte.

Account consumer senza un'identità corrispondente nell'IdP esterno

Questo insieme di account utente è composto da account che corrispondono a tutti i seguenti:

• Sono stati creati dai dipendenti.
• Utilizzano un indirizzo email aziendale come identità.
• La loro identità non corrisponde ad alcuna identità nell'IdP esterno.

Nello scenario di esempio, questa descrizione corrisponde a Chuck.

Possono esserci diverse cause per gli account consumer senza un'identità corrispondente nell'IdP esterno, ad esempio:

• Il dipendente che ha creato l'account potrebbe aver lasciato l'azienda, quindi l'identità corrispondente non esiste più nell'IdP esterno.

• Potrebbe esserci una mancata corrispondenza tra l'indirizzo email utilizzato per la registrazione all'account consumer e l'identità nota nell'IdP esterno. Mancata corrispondenza come queste possono verificarsi se il sistema di posta elettronica consente variazioni di come i seguenti:

  • Utilizzo di domini alternativi. Ad esempio, johndoe@example.org e johndoe@example.com può essere alias per la stessa casella di posta, ma potrebbe essere noto solo come johndoe@example.com nel tuo IdP.
  • Utilizzare handle alternativi. Ad esempio johndoe@example.com e Anche john.doe@example.com potrebbe fare riferimento alla stessa casella di posta, ma L'IdP potrebbe riconoscere solo un'ortografia.
  • Usare maiuscole e minuscole diverse. Ad esempio, le varianti johndoe@example.com e JohnDoe@example.com potrebbero non essere riconosciuti dello stesso utente.

Puoi gestire gli account consumer che non hanno un'identità corrispondente nella IdP esterno nei modi seguenti:

• Puoi eseguire la migrazione dell'account consumer a Cloud Identity o Google Workspace e poi riconciliare Eventuali mancate corrispondenze causate da domini alternativi, handle o dall'uso di maiuscole e minuscole.

• Se ritieni che l'account utente sia illegittimo o non debba essere utilizzato puoi rimuovere l'account consumatore costringendo il proprietario a rinominarla.

Puoi identificare gli account consumer senza un'identità corrispondente nella IdP come segue:

1. Aggiungere tutti i domini a Cloud Identity o Google Workspace che temi sono stati utilizzati per le registrazioni di account consumer. In particolare, l'elenco in Cloud Identity o Google Workspace devono includere tutti i domini supportati dal tuo sistema email come alias.
2. Utilizza la strumento di trasferimento per utenti non gestiti per identificare gli account consumer che utilizzano un indirizzo email che corrisponde a uno dei i domini che hai aggiunto a Cloud Identity Google Workspace. Lo strumento ti consente inoltre esportare l'elenco degli utenti interessati come file CSV.
3. Confronta l'elenco degli account consumer con le identità nel tuo IdP esterno e trovare account consumer che non dispongono di una controparte.

Account gestiti senza un'identità corrispondente nell'IdP esterno

Questo insieme di account utente è composto da account che corrispondono a tutti i seguenti:

• Sono stati creati manualmente da Cloud Identity oppure Amministratore di Google Workspace.
• La loro identità non corrisponde ad alcuna identità nell'IdP esterno.

Nello scenario di esempio, questa descrizione è adatta a Michele, che ha utilizzato l'identità. admin@example.com per il suo account gestito.

Le potenziali cause degli account gestiti senza un'identità corrispondente in IdP esterno sono simili a quelli degli account consumer senza corrispondenza di identità nell'IdP esterno:

• Il dipendente per cui è stato creato l'account potrebbe aver lasciato dell'azienda, quindi l'identità corrispondente non esiste più nell'IdP esterno.
• L'indirizzo email aziendale che corrisponde all'identità nell'email esterna l'IdP potrebbe essere stato impostare come indirizzo email alternativo o alias anziché come indirizzo email principale.
• L'indirizzo email utilizzato per l'account utente in Cloud Identity o Google Workspace potrebbero non corrispondere nota nell'IdP esterno. Né Cloud Identity né Google Workspace verifica che l'indirizzo email utilizzato come identità esiste già. Pertanto, una mancata corrispondenza non può verificarsi solo a causa di domini, handle alternativi o maiuscole/minuscole diverse, ma anche a causa di un errore di battitura o altri errori umani.

Indipendentemente dalla causa, gli account gestiti senza un'identità corrispondente nella IdP esterni sono un rischio perché possono diventare soggetti riutilizzo involontario e registrazione abusiva di nomi utente. Ti consigliamo di riconciliare questi account.

Puoi identificare gli account consumer senza un'identità corrispondente nella IdP come segue:

1. L'utilizzo del Console di amministrazione o il l'API Directory, esportare l'elenco degli account utente in Cloud Identity oppure Google Workspace.
2. Confronta l'elenco degli account con le identità nel tuo IdP esterno e individuare gli account privi di controparte.

Account Gmail utilizzati per scopi aziendali

Questo insieme di account utente è costituito da account che corrispondono ai seguenti elementi:

• Sono stati creati dai dipendenti.
• Utilizzano un indirizzo email gmail.com come identità.
• Le loro identità non corrispondono ad alcuna identità nell'IdP esterno.

Nello scenario di esempio, questa descrizione corrisponde a Grace e Glen.

Gli account Gmail utilizzati per scopi aziendali sono soggetti ad simili e rischi account consumer senza corrispondenza dell'identità nell'IdP esterno:

• Non puoi controllare il ciclo di vita dell'account consumer. Un dipendente chi lascia l'azienda potrebbe continuare a utilizzare l'account utente per accedere risorse aziendali o generare spese aziendali.
• Non puoi applicare criteri di sicurezza come la verifica MFA o la password regole di complessità dell'account.

Il modo migliore per gestire gli account Gmail è quindi revocare l'accesso a questi account utente a tutte le risorse aziendali e fornire ai dipendenti interessati con i nuovi account utente gestiti come sostituzione.

Poiché gli account Gmail utilizzano gmail.com come dominio, non è chiaro affiliazione con la tua organizzazione. La mancanza di una chiara affiliazione implica che non esiste un metodo sistematico, a parte lo scrubbing controllo dell'accesso esistente. per identificare gli account Gmail utilizzati per scopi aziendali scopi.

Account Gmail con un indirizzo email aziendale come indirizzo email alternativo

Questo insieme di account utente è composto da account che corrispondono a tutti i seguenti:

• Sono stati creati dai dipendenti.
• Utilizzano un indirizzo email gmail.com come identità.
• Utilizza un indirizzo email aziendale come indirizzo email alternativo.
• Le loro identità non corrispondono ad alcuna identità nell'IdP esterno.

Nello scenario di esempio, questa descrizione corrisponde a Grazia.

Dal punto di vista dei rischi, gli account Gmail che utilizzano un indirizzo email aziendale un indirizzo email alternativo equivale a account consumer senza un'identità corrispondente nell'IdP esterno. Poiché questi account utilizzano un indirizzo email aziendale apparentemente affidabile la seconda identità, sono soggetti al rischio dell'ingegneria sociale.

Se vuoi mantenere i diritti di accesso e alcuni dei dati associati l'account Gmail, puoi chiedere al proprietario per rimuovere Gmail dall'account utente in modo che tu possa eseguirne la migrazione a Cloud Identity o Google Workspace.

Il modo migliore per gestire gli account Gmail che utilizzano un indirizzo email aziendale come l'indirizzo email alternativo è sanificali. Quando pulisci un account, costringi il proprietario a cedere l'email aziendale. indirizzo email aziendale creando un account utente gestito con lo stesso indirizzo email aziendale . Inoltre, ti consigliamo di revocare l'accesso a tutti i team aziendali le risorse e fornire ai dipendenti interessati i nuovi account utente gestiti come sostituzioni.

Passaggi successivi

• Scopri di più su i diversi tipi di account utente su Google Cloud.
• Scopri come procedura di migrazione per account consumer funziona.
• Rivedi best practice per la federazione di Google Cloud con un provider di identità esterno.