Google admite dos tipos de cuentas de usuario, las cuentas de usuario administradas y las cuentas de usuario personales. Las cuentas de usuario administradas están bajo el control total de un administrador de Cloud Identity o Google Workspace. Por el contrario, las personas que crean las cuentas personales tienen la propiedad y la administración total de ellas.
Un principio fundamental de la administración de identidades es tener un solo lugar para administrar las identidades en toda la organización:
Si usas Google como tu proveedor de identidad (IdP), Cloud Identity o Google Workspace debe ser el único lugar para administrar las identidades. Los empleados deben confiar únicamente en las cuentas de usuario que administras en Cloud Identity o Google Workspace.
Si usas un IdP externo, ese proveedor debe ser el único lugar para administrar las identidades. El IdP externo debe aprovisionar y administrar cuentas de usuario en Cloud Identity o Google Workspace, y los empleados deben confiar exclusivamente en estas cuentas de usuario administradas cuando usan los servicios de Google.
Si los empleados usan cuentas de usuario personales, se compromete el fundamento de tener un solo lugar para administrar identidades: Cloud Identity, G Suite o el IdP externo no administran estas cuentas. Por lo tanto, debes identificar las cuentas de usuario personales que deseas convertir en cuentas administradas, como se explica en la descripción general de autenticación.
Para convertir las cuentas personales en cuentas administradas mediante la herramienta de transferencia, que se describe más adelante en este documento, debes tener una identidad de Cloud Identity o de Google Workspace con una función de administrador avanzado.
Con este documento, podrás comprender y evaluar lo siguiente:
- Qué cuentas de usuario existentes usan los empleados de tu organización y cómo identificar esas cuentas.
- Qué riesgos pueden asociarse a estas cuentas de usuario existentes.
Situación de ejemplo
En este documento, se usa una situación de ejemplo para una empresa llamada Organización de ejemplo a fin de ilustrar los diferentes conjuntos de cuentas de usuario que los empleados podrían usar. Organización de ejemplo tiene seis empleados y exempleados que han usado los servicios de Google, como Documentos de Google y Google Ads. Organización de ejemplo ahora desea consolidar la administración de identidades y establecer el IdP externo como el único lugar para administrar identidades. Cada empleado tiene una identidad en el IdP externo y esa identidad coincide con la dirección de correo electrónico del empleado.
Hay dos cuentas de usuario personales, Carol y Chuck, que usan una dirección de correo electrónico example.com
:
- Carol creó una cuenta personal con su dirección de correo electrónico empresarial (
carol@example.com
). - Chuck, un exempleado, creó una cuenta personal con su dirección de correo electrónico empresarial (
chuck@example.com
).
Dos empleados, Glen y Grace, decidieron usar las cuentas de Gmail:
- Glen se registró en una cuenta de Gmail (
glen@gmail.com)
, que usa para acceder a documentos privados y empresariales y a otros servicios de Google. - Grace también usa una cuenta de Gmail (
grace@gmail.com
), pero agregó su dirección de correo electrónico empresarial,grace@example.com
, como dirección de correo electrónico alternativa.
Por último, dos empleados, Mary y Mike, ya usan Cloud Identity:
- Mary tiene una cuenta de usuario de Cloud Identity (
mary@example.com
). - Mike es el administrador de la cuenta de Cloud Identity y creó un usuario (
admin@example.com
) para sí mismo.
En el siguiente diagrama, se ilustran los diferentes conjuntos de cuentas de usuario:
Si quieres establecer el IdP externo como el único lugar para administrar identidades, debes vincular las identidades de las cuentas de usuario de Google existentes a las identidades en el IdP externo. Por lo tanto, en el siguiente diagrama, se agrega un conjunto de cuentas que representa las identidades en el IdP externo.
Recuerda que si los empleados desean establecer un IdP externo como el único lugar para administrar las identidades, deben depender en exclusivo de las cuentas de usuario administradas, y que el IdP externo debe controlar esas cuentas de usuario.
En este momento, solo Mary cumple con estos requisitos. Usa un usuario de Cloud Identity, que es una cuenta de usuario administrada, y la identidad de la cuenta de usuario coincide con su identidad en el IdP externo. Todos los demás empleados usan cuentas personales o la identidad de sus cuentas no coincide con su identidad en el IdP externo. Los riesgos y las consecuencias de no cumplir con los requisitos son diferentes para cada uno de estos usuarios. Cada usuario representa un conjunto diferente de cuentas de usuario que puede requerir más investigación.
Conjuntos de cuentas de usuario para investigar
En las siguientes secciones, se analizan conjuntos de cuentas de usuario que posiblemente presenten problemas.
Cuentas personales
Este conjunto de cuentas de usuario consta de cuentas en las que se cumple una de las siguientes condiciones:
- Las crearon empleados mediante la función Registrarse que ofrecen muchos servicios de Google.
- Usan una dirección de correo electrónico empresarial como su identidad.
En la situación de ejemplo, esta descripción se ajusta a Carol y Chuck.
Una cuenta personal que se usa con fines empresariales y que usa una dirección de correo electrónico empresarial puede representar un riesgo para la empresa, por ejemplo:
No puedes controlar el ciclo de vida de la cuenta personal. Un empleado que abandona la empresa puede seguir usando la cuenta de usuario para acceder a los recursos o generar gastos empresariales.
Incluso si revocas el acceso a todos los recursos, la cuenta podría representar un riesgo de ingeniería social. Debido a que la cuenta de usuario usa una identidad que parece confiable, como
chuck@example.com
, es posible que el exempleado convenza a los empleados o socios comerciales actuales para que vuelvan a otorgarle acceso a los recursos.De manera similar, un exempleado podría usar la cuenta de usuario para realizar actividades que no cumplan con las políticas de la organización, lo que podría poner en riesgo la reputación de la empresa.
No puedes aplicar políticas de seguridad como la verificación de MFA o reglas de complejidad de contraseñas en la cuenta.
No puedes restringir los datos de ubicación geográfica de Documentos y Drive que se almacenan, lo que podría representar un riesgo de cumplimiento.
No puedes restringir los servicios de Google a los que se puede acceder mediante esta cuenta de usuario.
Si ExampleOrganization decideusar Google como su IdP, la mejor forma de abordar las cuentas personales es migrarlas a Cloud Identity o Google Workspace o expulsarlas forzar a los propietarios a cambiar el nombre de la cuenta de usuario.
Si Organización de ejemplo decide usar un IdP externo, debe distinguir entre lo siguiente:
- Cuentas personales que tienen una identidad coincidente en el IdP externo.
- Cuentas personales que no tienen una identidad coincidente en el IdP externo.
En las siguientes dos secciones, se analizan estas dos subclases en detalle.
Cuentas personales con una identidad coincidente en el IdP externo
Este conjunto de cuentas de usuario consta de cuentas que coinciden con lo siguiente:
- Las crearon empleados.
- Usan una dirección de correo electrónico empresarial como dirección de correo electrónico principal.
- Su identidad coincide con una identidad en el IdP externo.
En la situación de ejemplo, esta descripción se ajusta a Carol.
El hecho de que estas cuentas personales tengan una identidad coincidente en tu IdP externo sugiere que pertenecen a los empleados actuales y se deben conservar. Por lo tanto, debes considerar migrar estas cuentas a Cloud Identity o Google Workspace.
Puedes identificar cuentas personales que tengan identidad coincidente en el IdP externo de la siguiente manera:
- Agrega todos los dominios a Cloud Identity o a Google Workspace que crees que se podrían haber usado para los registros de cuentas personales. En particular, la lista de dominios en Cloud Identity o Google Workspace debe incluir todos los dominios que admite tu sistema de correo electrónico.
- Usa la herramienta de transferencia para usuarios no administrados a fin de identificar las cuentas personales que usan una dirección de correo electrónico que coincide con uno de los dominios que agregaste a Cloud Identity o Google Workspace. Esta herramienta también te permite exportar la lista de usuarios afectados como un archivo CSV.
- Compara la lista de cuentas personales con las identidades en tu IdP externo y busca cuentas personales que tengan una contraparte.
Cuentas personales sin una identidad coincidente en el IdP externo
Este conjunto de cuentas de usuario consta de cuentas que coinciden con lo siguiente:
- Las crearon empleados.
- Usan una dirección de correo electrónico empresarial como su identidad.
- Su identidad no coincide con ninguna identidad en el IdP externo.
En la situación de ejemplo, esta descripción se ajusta a Chuck.
Puede haber varias causas para las cuentas personales sin una identidad coincidente en el IdP externo, incluidas las siguientes:
- Es posible que el empleado que creó la cuenta se haya ido de la empresa, por lo que la identidad correspondiente ya no existe en el IdP externo.
Puede haber una discrepancia entre la dirección de correo electrónico que se usó para el registro de la cuenta personal y la identidad conocida en el IdP externo. Estas discrepancias pueden ocurrir si el sistema de correo electrónico permite variaciones en las direcciones de correo electrónico, como las siguientes:
- Uso de dominios alternativos. Por ejemplo,
johndoe@example.org
yjohndoe@example.com
pueden ser alias para el mismo buzón, pero el usuario puede conocerse solo comojohndoe@example.com
en el IdP. - Uso de controladores alternativos. Por ejemplo,
johndoe@example.com
yjohn.doe@example.com
también pueden hacer referencia al mismo buzón, pero es posible que el IdP reconozca solo una forma. - Uso diferencial de mayúsculas y minúsculas. Por ejemplo, es posible que las variantes
johndoe@example.com
yJohnDoe@example.com
no se reconozcan como el mismo usuario.
- Uso de dominios alternativos. Por ejemplo,
Puedes controlar las cuentas personales que no tienen una identidad coincidente en el IdP externo de las siguientes maneras:
Puedes migrar la cuenta personal a Cloud Identity o Google Workspace y, luego, conciliar las discrepancias causadas por dominios, controladores, o mayúsculas y minúsculas.
Si crees que la cuenta de usuario es ilegítima o que ya no debería usarse, puedes expulsarla mediante un cambio de nombre forzoso por parte del propietario.
Puedes identificar cuentas personales sin una identidad coincidente en el IdP externo de la siguiente manera:
- Agrega todos los dominios a Cloud Identity o a Google Workspace que crees que se podrían haber usado para los registros de cuentas personales. En particular, la lista de dominios en Cloud Identity o Google Workspace debe incluir todos los dominios que admite tu sistema de correo electrónico como alias.
- Usa la herramienta de transferencia para usuarios no administrados a fin de identificar las cuentas personales que usan una dirección de correo electrónico que coincide con uno de los dominios que agregaste a Cloud Identity o Google Workspace. Esta herramienta también te permite exportar la lista de usuarios afectados como un archivo CSV.
- Compara la lista de cuentas personales con las identidades en tu IdP externo y busca cuentas personales que no tengan una contraparte.
Cuentas administradas sin una identidad coincidente en el IdP externo
Este conjunto de cuentas de usuario consta de cuentas que coinciden con lo siguiente:
- Un administrador de Google Workspace o Google Workspace las creó manualmente.
- Su identidad no coincide con ninguna identidad en el IdP externo.
En la situación de ejemplo, esta descripción se ajusta a Mike, que usó la identidad admin@example.com
para su cuenta administrada.
Las posibles causas de las cuentas administradas sin una identidad coincidente en el IdP externo son similares a las de las cuentas personales sin una identidad coincidente en el IdP externo:
- Es posible que el empleado para el que se creó la cuenta se haya ido de la empresa, por lo que la identidad correspondiente ya no existe en el IdP externo.
- Es posible que la dirección de correo electrónico empresarial que coincide con la identidad en el IdP externo se haya configurado como una dirección de correo electrónico alternativa o alias en lugar de como la dirección de correo electrónico principal.
- La dirección de correo electrónico que se usa para la cuenta de usuario en Cloud Identity o Google Workspace podría no coincidir con la identidad conocida en el IdP externo. Ni Cloud Identity ni Google Workspace verifican que exista la dirección de correo electrónico que se usa como identidad. Por lo tanto, una discrepancia no solo puede ocurrir debido a dominios alternativos, controladores alternativos o diferencias de mayúsculas y minúsculas, sino también debido a un error tipográfico o de otro tipo.
Sin importar su causa, las cuentas administradas sin una identidad coincidente en el IdP externo son un riesgo porque pueden estar sujetas a la reutilización involuntaria y la usurpación de nombres. Te recomendamos que concilies estas cuentas.
Puedes identificar cuentas personales sin una identidad coincidente en el IdP externo de la siguiente manera:
- Con la Consola del administrador o la API de Directory, exporta la lista de cuentas de usuario en Cloud Identity o Google Workspace.
- Compara la lista de cuentas con las identidades en el IdP externo y busca cuentas que no tengan una contraparte.
Cuentas de Gmail con fines empresariales
Este conjunto de cuentas de usuario consta de cuentas que coinciden con lo siguiente:
- Las crearon empleados.
- Usan una dirección de correo electrónico
gmail.com
como su identidad. - Sus identidades no coinciden con ninguna identidad en el IdP externo.
En la situación de ejemplo, esta descripción se ajusta a Grace y Glen.
Las cuentas de Gmail que se usan con fines empresariales están sujetas a riesgos similares a los de las cuentas personales sin identidad coincidente en el IdP externo:
- No puedes controlar el ciclo de vida de la cuenta personal. Un empleado que abandona la empresa puede seguir usando la cuenta de usuario para acceder a los recursos o generar gastos empresariales.
- No puedes aplicar políticas de seguridad como la verificación de MFA o reglas de complejidad de contraseñas en la cuenta.
Por lo tanto, la mejor manera de manejar las cuentas de Gmail es revocar el acceso de esas cuentas de usuario a todos los recursos empresariales y proporcionarles a los empleados afectados nuevas cuentas de usuario administradas como reemplazo.
Debido a que las cuentas de Gmail usan gmail.com
como su dominio, no hay una afiliación clara con tu organización. La falta de una afiliación clara implica que no existe una forma sistemática (excepto la limpieza de las políticas de control de acceso) para identificar las cuentas de Gmail que se usaron con fines empresariales.
Cuentas de Gmail con una dirección de correo electrónico empresarial como correo alternativo
Este conjunto de cuentas de usuario consta de cuentas que coinciden con lo siguiente:
- Las crearon empleados.
- Usan una dirección de correo electrónico
gmail.com
como su identidad. - Usan una dirección de correo electrónico empresarial como dirección de correo electrónico alternativa.
- Sus identidades no coinciden con ninguna identidad en el IdP externo.
En la situación de ejemplo, esta descripción se ajusta a Grace.
Desde una perspectiva de riesgos, las cuentas de Gmail que usan una dirección de correo electrónico empresarial como correo alternativo son equivalentes a las cuentas personales sin una identidad coincidente en el IdP externo. Debido a que estas cuentas usan una dirección de correo electrónico empresarial que parece confiable, están sujetas al riesgo de la ingeniería social.
Si deseas mantener los derechos de acceso y algunos de los datos asociados con la cuenta de Gmail, puedes pedirle al propietario que quite Gmail de la cuenta de usuario para que puedas migrarla a Cloud Identity o Google Workspace.
La mejor manera de administrar las cuentas de Gmail que usan una dirección de correo electrónico empresarial como correo alternativo es limpiarlas. Cuando limpias una cuenta, obligas al propietario a renunciar a la dirección de correo electrónico empresarial mediante la creación de una cuenta de usuario administrada con esa misma dirección de correo electrónico empresarial. Además, se recomienda revocar el acceso a todos los recursos empresariales y proporcionar a los empleados afectados las nuevas cuentas de usuario administradas como reemplazo.
¿Qué sigue?
- Obtén más información sobre los distintos tipos de cuentas de usuario en Google Cloud.
- Descubre cómo funciona el proceso de migración para cuentas personales.
- Revisa las prácticas recomendadas para federar Google Cloud con un proveedor de identidad externo.