Google accepte deux types de comptes utilisateur : les comptes utilisateur gérés et les comptes utilisateur personnels. Les comptes utilisateur gérés relèvent du contrôle total d'un administrateur Cloud Identity ou Google Workspace. En revanche, les comptes personnels sont entièrement détenus et gérés par leurs créateurs.
L'un des principes fondamentaux de la gestion des identités consiste à disposer d'un outil centralisé qui lui est consacré au sein de votre organisation :
Si vous utilisez Google comme fournisseur d'identité (IdP), Cloud Identity ou Google Workspace doit être le seul espace à utiliser pour gérer les identités. Les employés doivent s'appuyer exclusivement sur les comptes utilisateur que vous gérez dans Cloud Identity ou Google Workspace.
Si vous utilisez un fournisseur d'identité externe, ce fournisseur doit être l'outil centralisé de gestion des identités. Le fournisseur d'identité externe doit provisionner et gérer les comptes utilisateur dans Cloud Identity ou Google Workspace, et les employés doivent s'appuyer exclusivement sur ces comptes gérés lorsqu'ils utilisent les services Google.
Si les employés utilisent des comptes utilisateur personnels, le principe de gestion des identités à partir d'un outil centralisé est compromis : les comptes personnels ne sont gérés ni par Cloud Identity, ni par Google Workspace, ni par votre fournisseur d'identité externe. Par conséquent, vous devez identifier les comptes utilisateur personnels que vous souhaitez convertir en comptes gérés, comme expliqué dans la présentation de l'authentification.
Pour convertir des comptes personnels en comptes gérés à l'aide de l'outil de transfert décrit plus loin dans ce document, vous devez disposer d'une identité Cloud Identity ou Google Workspace avec un rôle de super-administrateur.
Ce document vous aide à comprendre et à évaluer les éléments suivants :
- Les comptes utilisateur existants pouvant être utilisés par les employés de votre organisation, et comment identifier ces comptes
- Les risques pouvant être associés à ces comptes utilisateur existants
Exemple de scénario
Pour illustrer les différents ensembles de comptes utilisateur que les employés sont susceptibles d'utiliser, ce document emploie un exemple de scénario dans le cas d'une entreprise appelée Exemple d'organisation. "Exemple d'organisation" compte six employés et anciens employés qui utilisent tous des services Google tels que Google Docs et Google Ads. "Exemple d'organisation" a désormais l'intention de renforcer sa gestion des identités et d'établir son fournisseur d'identité externe en tant qu'outil centralisé de gestion des identités. Dans le fournisseur d'identité externe, chaque employé possède une identité qui correspond à son adresse e-mail.
Deux comptes utilisateur personnels, Carol et Chuck, utilisent une adresse e-mail example.com :
- Carol a créé un compte personnel à l'aide de son adresse e-mail professionnelle (
carol@example.com). - Chuck, un ancien employé, a créé un compte personnel à l'aide de son adresse e-mail professionnelle (
chuck@example.com).
Deux employés, Glenn et Grace, ont décidé d'utiliser des comptes Gmail :
- Glen a créé un compte Gmail (
glen@gmail.com)) pour accéder à des documents privés et professionnels, ainsi qu'à d'autres services Google. - Grace utilise également un compte Gmail (
grace@gmail.com), mais elle a ajouté son adresse e-mail professionnelle (grace@example.com) comme adresse e-mail secondaire.
Enfin, deux employés, Mary et Mike, utilisent déjà Cloud Identity :
- Mary possède un compte utilisateur Cloud Identity (
mary@example.com). - Mike est l'administrateur du compte Cloud Identity et a créé un utilisateur (
admin@example.com) pour son propre usage.
Le schéma suivant illustre les différents ensembles de comptes utilisateur :
Pour définir le fournisseur d'identité externe comme outil centralisé de gestion des identités, vous devez associer les identités des comptes utilisateur Google existants aux identités du fournisseur d'identité externe. Le schéma suivant ajoute donc un ensemble de comptes qui représente les identités dans le fournisseur d'identité externe.
Rappelez-vous que si les employés souhaitent établir un fournisseur d'identité externe comme outil centralisé de gestion des identités, ils doivent s'appuyer exclusivement sur des comptes utilisateur gérés, et que le fournisseur d'identité externe doit contrôler ces comptes utilisateur.
Actuellement, seule Mary remplit ces conditions. En effet, elle emploie un utilisateur Cloud Identity, qui est un compte utilisateur géré, et l'identité de celui-ci correspond à celle du fournisseur d'identité externe. Dans le cas des autres employés, soit ils utilisent des comptes personnels, soit l'identité de leurs comptes ne correspond pas à celle du fournisseur d'identité externe. Les risques et les conséquences du non-respect des exigences diffèrent pour chacun de ces utilisateurs. Chaque utilisateur représente un ensemble différent de comptes utilisateur pouvant nécessiter un examen plus approfondi.
Ensembles de comptes utilisateur à examiner
Les sections suivantes examinent les ensembles de comptes utilisateur potentiellement problématiques.
Comptes personnels
Cet ensemble de comptes utilisateur comprend les comptes pour lesquels l'une des conditions suivantes est remplie :
- Ils ont été créés par les employés à l'aide de la fonctionnalité S'inscrire proposée par de nombreux services Google.
- Ils utilisent une adresse e-mail professionnelle comme identité.
Dans l'exemple de scénario, cette description correspond à Carol et Chuck.
Un compte personnel utilisé à des fins professionnelles et utilisant une adresse e-mail professionnelle peut présenter un risque pour votre entreprise, par exemple :
Vous ne pouvez pas contrôler le cycle de vie du compte personnel. Un employé qui quitte l'entreprise peut continuer à utiliser le compte utilisateur pour accéder aux ressources de l'entreprise ou pour générer des dépenses d'entreprise.
Même si vous révoquez l'accès à toutes les ressources, le compte peut toujours présenter un risque d'ingénierie sociale. Étant donné que le compte utilisateur emploie une identité apparemment fiable, comme
chuck@example.com, l'ancien employé peut être en mesure de convaincre les employés actuels ou les partenaires commerciaux de lui accorder de nouveau l'accès aux ressources.De même, un ancien employé peut utiliser le compte utilisateur pour effectuer des activités non conformes aux règles de votre organisation, ce qui peut compromettre la réputation de votre entreprise.
Vous ne pouvez pas appliquer au compte personnel des règles de sécurité telles que la validation MFA ou les règles de complexité des mots de passe.
Vous ne pouvez pas limiter l'emplacement géographique des données Docs et Drive stockées, ce qui peut constituer un risque de conformité.
Vous ne pouvez pas limiter les services Google auxquels ce compte utilisateur a accès.
Si une organisation décide d'utiliser Google comme fournisseur d'identité, le meilleur moyen pour elle de gérer les comptes personnels consiste à les migrer vers Cloud Identity ou Google Workspace ou à les supprimer en obligeant les propriétaires à renommer le compte utilisateur.
Si "Exemple d'organisation" décide d'utiliser un fournisseur d'identité externe, il doit également distinguer les éléments suivants :
- Les comptes personnels qui ont une identité correspondante dans le fournisseur d'identité externe.
- Les comptes personnels qui n'ont pas d'identité correspondante dans le fournisseur d'identité externe.
Les deux sections suivantes présentent ces deux sous-classes en détail.
Comptes personnels avec une identité correspondante dans le fournisseur d'identité externe
Cet ensemble de comptes utilisateur est constitué de comptes qui correspondent à tous les éléments suivants :
- Ils ont été créés par des employés.
- Ils utilisent une adresse e-mail professionnelle comme adresse e-mail principale.
- Leur identité correspond à une identité du fournisseur d'identité externe.
Dans l'exemple de scénario, cette description correspond à Carol.
Le fait que ces comptes personnels aient une identité correspondante dans votre fournisseur d'identité externe suggère qu'ils appartiennent à des employés actuels et doivent être conservés. Vous devriez donc envisager de migrer ces comptes vers Cloud Identity ou Google Workspace.
Vous pouvez identifier les comptes personnels ayant une identité correspondante dans le fournisseur d'identité externe comme suit :
- Ajoutez tous les domaines à Cloud Identity ou à Google Workspace qui, selon vous, ont pu être utilisés pour créer des comptes personnels. En particulier, la liste des domaines dans Cloud Identity ou Google Workspace doit inclure tous les domaines compatibles avec votre système de messagerie.
- Utilisez l'outil de transfert pour les utilisateurs non gérés pour identifier les comptes personnels qui utilisent une adresse e-mail correspondant à l'un des domaines que vous avez ajoutés à Cloud Identity ou à Google Workspace. Il vous permet également d'exporter la liste des utilisateurs concernés sous forme de fichier CSV.
- Comparez la liste des comptes personnels avec les identités de votre fournisseur d'identité externe et identifiez les comptes personnels qui ont un équivalent.
Comptes personnels sans identité correspondante dans le fournisseur d'identité externe
Cet ensemble de comptes utilisateur est constitué de comptes qui correspondent à tous les éléments suivants :
- Ils ont été créés par des employés.
- Ils utilisent une adresse e-mail professionnelle comme identité.
- Leur identité ne correspond à aucune identité du fournisseur d'identité externe.
Dans l'exemple de scénario, cette description correspond à Chuck.
Plusieurs causes peuvent expliquer l'existence de comptes personnels sans identité correspondante dans le fournisseur d'identité externe, y compris les suivantes :
- L'utilisateur ayant créé le compte peut avoir quitté l'entreprise. L'identité correspondante n'existe donc plus dans le fournisseur d'identité externe.
Il peut y avoir une incohérence entre l'adresse e-mail utilisée pour l'inscription du compte personnel et l'identité connue dans le fournisseur d'identité externe. Des incohérences de ce type peuvent se produire si votre système de messagerie autorise des variantes d'adresses e-mail, telles que les suivantes :
- L'utilisation de domaines alternatifs. Par exemple,
johndoe@example.orgetjohndoe@example.compeuvent être des alias de la même boîte aux lettres, mais l'utilisateur peut n'être répertorié que commejohndoe@example.comdans votre fournisseur d'identité. - L'utilisation de noms alternatifs. Par exemple,
johndoe@example.cometjohn.doe@example.compeuvent se référer à la même boîte aux lettres, mais votre fournisseur d'identité peut ne reconnaître qu'une seule orthographe. - L'utilisation d'une casse distincte. Par exemple, les variantes
johndoe@example.cometJohnDoe@example.compeuvent ne pas être reconnues comme étant le même utilisateur.
- L'utilisation de domaines alternatifs. Par exemple,
Vous pouvez gérer les comptes personnels qui n'ont pas d'identité correspondante dans le fournisseur d'identité externe comme suit :
Vous pouvez migrer le compte personnel vers Cloud Identity ou Google Workspace, puis rapprocher les incohérences occasionnées par des domaines, des noms ou une casse distincts.
Si vous pensez que le compte utilisateur est illégitime ou qu'il ne doit plus être utilisé, vous pouvez exclure le compte personnel en forçant le propriétaire à le renommer.
Vous pouvez identifier les comptes personnels sans identité correspondante dans le fournisseur d'identité externe comme suit :
- Ajoutez tous les domaines à Cloud Identity ou à Google Workspace qui, selon vous, ont pu être utilisés pour créer des comptes personnels. En particulier, la liste des domaines dans Cloud Identity ou Google Workspace doit inclure tous les domaines compatibles en tant qu'alias avec votre système de messagerie.
- Utilisez l'outil de transfert pour les utilisateurs non gérés pour identifier les comptes personnels qui utilisent une adresse e-mail correspondant à l'un des domaines que vous avez ajoutés à Cloud Identity ou à Google Workspace. Il vous permet également d'exporter la liste des utilisateurs concernés sous forme de fichier CSV.
- Comparez la liste des comptes personnels avec les identités de votre fournisseur d'identité externe et identifiez les comptes personnels qui n'ont pas d'équivalent.
Comptes gérés sans identité correspondante dans le fournisseur d'identité externe
Cet ensemble de comptes utilisateur est constitué de comptes qui correspondent à tous les éléments suivants :
- Ils ont été créés manuellement par un administrateur Cloud Identity ou Google Workspace.
- Leur identité ne correspond à aucune identité du fournisseur d'identité externe.
Dans l'exemple de scénario, cette description correspond à Mike, qui a utilisé l'identité admin@example.com pour son compte géré.
Les causes potentielles des comptes gérés sans identité correspondante dans le fournisseur d'identité externe sont similaires à celles des comptes personnels sans identité correspondante dans le fournisseur d'identité externe :
- L'utilisateur pour qui le compte a été créé peut avoir quitté l'entreprise. L'identité correspondante n'existe donc plus dans le fournisseur d'identité externe.
- L'adresse e-mail professionnelle correspondant à l'identité du fournisseur d'identité externe peut avoir été définie comme adresse e-mail secondaire ou alias plutôt que comme adresse e-mail principale.
- L'adresse e-mail utilisée pour le compte utilisateur dans Cloud Identity ou Google Workspace peut ne pas correspondre à l'identité connue dans le fournisseur d'identité externe. Ni Cloud Identity ni Google Workspace ne vérifient l'existence de l'adresse e-mail utilisée pour identifier l'identité. Une incohérence peut donc se produire non seulement en raison de domaines, de noms ou de casse distincts, mais également en raison d'une faute de frappe ou d'une autre erreur humaine.
Quelle que soit leur cause, les comptes gérés sans identité correspondante dans le fournisseur d'identité externe présentent un risque, car ils peuvent faire l'objet d'une réutilisation accidentelle et d'un "name squatting" (squat de nom). Nous vous recommandons donc de rapprocher ces comptes.
Vous pouvez identifier les comptes personnels sans identité correspondante dans le fournisseur d'identité externe comme suit :
- À l'aide de la console d'administration ou de l'API Directory, exportez la liste des comptes utilisateur dans Cloud Identity ou Google Workspace.
- Comparez la liste des comptes avec les identités de votre fournisseur d'identité externe et identifiez les comptes qui n'ont pas d'équivalent.
Comptes Gmail utilisés à des fins professionnelles
Cet ensemble de comptes utilisateur est constitué de comptes qui correspondent aux éléments suivants :
- Ils ont été créés par des employés.
- Ils utilisent une adresse e-mail
gmail.comcomme identité. - Leurs identités ne correspondent à aucune identité du fournisseur d'identité externe.
Dans l'exemple de scénario, cette description correspond à Grace et Glen.
Les comptes Gmail utilisés à des fins professionnelles sont soumis à des risques semblables à ceux des comptes personnels sans identité correspondante dans le fournisseur d'identité externe :
- Vous ne pouvez pas contrôler le cycle de vie du compte personnel. Un employé qui quitte l'entreprise peut continuer à utiliser le compte utilisateur pour accéder aux ressources de l'entreprise ou pour générer des dépenses d'entreprise.
- Vous ne pouvez pas appliquer au compte personnel des règles de sécurité telles que la validation MFA ou les règles de complexité des mots de passe.
La meilleure façon de gérer les comptes Gmail consiste donc à révoquer l'accès de ces comptes utilisateur à toutes les ressources de l'entreprise et à fournir aux employés concernés de nouveaux comptes utilisateur gérés comme remplacement.
Étant donné que les comptes Gmail utilisent gmail.com comme domaine, il n'existe aucune affiliation claire avec votre organisation. L'absence d'affiliation claire implique qu'il n'existe aucun moyen systématique d'identifier les comptes Gmail qui ont été utilisés à des fins professionnelles (à l'exception de la suppression des règles existantes de contrôle des accès).
Comptes Gmail avec une adresse e-mail professionnelle comme adresse e-mail secondaire
Cet ensemble de comptes utilisateur est constitué de comptes qui correspondent à tous les éléments suivants :
- Ils ont été créés par des employés.
- Ils utilisent une adresse e-mail
gmail.comcomme identité. - Ils utilisent une adresse e-mail professionnelle comme adresse e-mail secondaire.
- Leurs identités ne correspondent à aucune identité du fournisseur d'identité externe.
Dans l'exemple de scénario, cette description correspond à Grace.
Du point de vue des risques, les comptes Gmail qui utilisent une adresse e-mail professionnelle comme adresse e-mail secondaire sont équivalents aux comptes personnels sans identité correspondante dans le fournisseur d'identité externe. Étant donné que ces comptes utilisent une adresse e-mail professionnelle apparemment fiable comme seconde identité, ils sont exposés au risque d'ingénierie sociale.
Si vous souhaitez conserver les droits d'accès et certaines des données associés au compte Gmail, vous pouvez demander au propriétaire de supprimer Gmail du compte utilisateur de sorte que vous puissiez le migrer vers Cloud Identity ou Google Workspace.
La meilleure façon de gérer les comptes Gmail qui utilisent une adresse e-mail professionnelle comme adresse e-mail secondaire consiste à les nettoyer. Lorsque vous nettoyez un compte, vous obligez le propriétaire à renoncer à son adresse e-mail professionnelle en créant un compte utilisateur géré avec cette même adresse. En outre, nous vous recommandons de révoquer l'accès à toutes les ressources de l'entreprise et de fournir aux employés concernés les nouveaux comptes utilisateur gérés comme remplacement.
Étape suivante
- Découvrez les différents types de comptes utilisateur sur Google Cloud.
- Découvrez le fonctionnement du processus de migration des comptes personnels.
- Consultez les bonnes pratiques pour fédérer Google Cloud avec un fournisseur d'identité externe.