Migra cuentas personales a Cloud Identity o G Suite

Este artículo es la primera parte de una serie de varias partes en la que se analiza cómo migrar cuentas personales a Cloud Identity o G Suite. Una cuenta se considera una cuenta personal si el dominio de la dirección de correo electrónico que usa no se registró en G Suite o Cloud Identity.

La serie consta de estas partes:

Introducción

Muchos de los servicios de Google, como Google Ad Manager, AdSense o Analytics, requieren que accedas con una Cuenta de Google. Si eres cliente de G Suite o Cloud Identity, los empleados pueden utilizar cuentas administradas con G Suite o Cloud Identity para hacer uso de estos servicios.

Si no usaste G Suite o Cloud Identity, es posible que los empleados de tu organización hayan usado cuentas personales para acceder a estos servicios. Permitir que los empleados usen cuentas personales para fines comerciales puede ser riesgoso, ya que tu empresa no controla las cuentas, su ciclo de vida ni su nivel de seguridad:

  • Puede ser difícil hacer un seguimiento de qué empleado usa cada cuenta y cuántas cuentas están en uso.
  • No es posible usar el proveedor de identidad y el inicio de sesión único (SSO) existentes para administrar la autenticación de las cuentas personales que usan los empleados de tu organización.
  • No puedes aplicar políticas de contraseñas ni autenticación de varios factores.
  • Después de abandonar la empresa, es posible que un empleado pueda acceder a los datos que se crearon mientras aún era empleado o que pudiera usar los servicios a cargo de la empresa.
  • Es posible que no puedas acceder a los datos de la empresa, transferirlos o recuperarlos de una cuenta personal después de que el empleado abandone la empresa.

Con el fin de evitar los riesgos asociados con el uso de cuentas personales para fines comerciales, puedes migrarlas a G Suite o Cloud Identity, siempre que las cuentas estén registradas con una dirección de correo electrónico corporativa.

Migración a cuentas administradas

Las cuentas administradas por G Suite o Cloud Identity se denominan cuentas administradas. Las cuentas administradas ofrecen varias ventajas, como las siguientes:

  • Puedes usar un proveedor de identidad externo (IdP) para el inicio de sesión único, aplicar políticas de contraseñas o usar autenticación de varios factores.
  • Puedes asegurarte de que la cuenta esté inhabilitada y se revoque el acceso cuando un empleado abandone la empresa.
  • Obtienes transparencia sobre el conjunto de cuentas que usan los empleados de tu organización.

La migración de una cuenta personal a una cuenta administrada requiere que la cuenta personal use una dirección de correo electrónico con un dominio personalizado y que seas el propietario de este dominio. Si eres propietario de example.com, puedes migrar cualquier cuenta personal registrada con una dirección de correo electrónico @example.com. Por el contrario, no puedes migrar una cuenta de @gmail.com, incluso si la creó uno de los empleados de tu organización.

La conversión de una cuenta personal a una cuenta administrada implica que el usuario que registró la cuenta personal pasa el control de la cuenta y los datos asociados a tu organización. Tu organización puede requerir que los empleados firmen y cumplan con una política de uso aceptable del correo electrónico que prohíba el uso de direcciones de correo electrónico corporativas para fines privados. En este caso, puedes suponer con seguridad que la cuenta personal se usó solo con fines comerciales. Sin embargo, si tu organización no tiene una política de uso aceptable del correo electrónico o la política permite cierto uso personal, la cuenta personal podría estar asociada a una combinación de datos personales y corporativos. Debido a esta duda, no puedes forzar la migración de una cuenta personal a una cuenta administrada; en cambio, debes tener el consentimiento del usuario.

Las cuentas personales tienen ciertos privilegios que las cuentas de Cloud Identity no tienen. Esto incluye poder usar Documentos de Google sin cargo. Cuando la cuenta personal se convierte en una cuenta administrada, se pierde este privilegio, a menos que se le asigne una licencia de G Suite.

La migración de cuentas personales a cuentas administradas es un proceso de varios pasos que debes planificar con cuidado. Las siguientes secciones te guiarán a través de este proceso.

Descripción general del proceso de migración

El objetivo de la migración es convertir una cuenta personal en una cuenta administrada y, al mismo tiempo, mantener la identidad de la cuenta como se refleja en su dirección de correo electrónico y cualquier dato asociado con la cuenta.

Durante una migración como esta, una cuenta puede estar en uno de cuatro estados, como se muestra en el siguiente diagrama de máquina de estado:

Diagrama de máquina de estado que muestra los 4 estados en los que puede estar una cuenta

Una cuenta se considera una cuenta personal si el dominio de la dirección de correo electrónico que usa no se registró en G Suite o Cloud Identity.

Cuenta personal

Cuando agregas y verificas un dominio en G Suite o Cloud Identity, cualquier cuenta que use una dirección de correo electrónico con este dominio se convierte en una cuenta no administrada. Para el usuario, esto no tiene impacto; puede acceder a sus datos con normalidad.

Agregar un dominio en G Suite o Cloud Identity solo afecta a los usuarios cuya dirección de correo electrónico coincide con este dominio. Por ejemplo, si agregas example.com, la cuenta johndoe@example.com se identifica como una cuenta no administrada, mientras que johndoe@corp.example.com no se agrega, a menos que también agregues corp.example.com a la cuenta de G Suite o Cloud Identity.

La existencia de cuentas no administradas aparece como administrador de G Suite o Cloud Identity. Luego, puedes pedirle al usuario que transfiera su cuenta a una cuenta administrada.

Transfiere una cuenta no administrada a una cuenta administrada

Si el usuario da su consentimiento para una transferencia, una cuenta no administrada se convierte en una cuenta administrada. La identidad sigue siendo la misma, pero ahora G Suite o Cloud Identity controlan la cuenta, incluidos todos sus datos.

Cuenta no administrada convertida en una cuenta administrada con el consentimiento del usuario

Si un usuario no da su consentimiento para una transferencia de datos, pero creas una cuenta en G Suite o Cloud Identity con la misma dirección de correo electrónico, el resultado es una cuenta en conflicto. Una cuenta en conflicto es, en realidad, dos cuentas (una personal y una administrada) que están asociadas con la misma identidad.

Cuenta en conflicto

Un usuario que acceda mediante una cuenta en conflicto verá una pantalla de selección en la que se le solicitará que seleccione la cuenta administrada o la cuenta personal para reanudar el proceso de acceso. Fundamentalmente, solo la cuenta personal aún tiene acceso a los datos originales, mientras que solo la cuenta administrada está bajo el control de tu organización. El resultado refleja que el usuario nunca consintió en transferir los datos; sin embargo, es probable que no refleje la intención de tu migración. Para evitar tener cuentas en conflicto, es útil comprender los estados de la cuenta con más detalle.

Proceso de migración en detalle

En el siguiente diagrama, se muestran los estados de la cuenta con más detalle:

Vista detallada de los estados de la cuenta

Cuando te registres en Cloud Identity o G Suite, debes proporcionar un nombre de dominio para el que luego se te solicitará que verifiques la propiedad. Cuando completes el proceso de registro, podrás agregar y verificar dominios secundarios.

Cuando verificas un dominio, inicias automáticamente una búsqueda de cuentas personales que usan este dominio en su dirección de correo electrónico. En aproximadamente 12 horas, estas cuentas aparecerán como cuentas de usuario no administradas en la Herramienta para transferir usuarios no administrados.

La búsqueda de cuentas personales considera el dominio principal registrado en Cloud Identity o G Suite, así como cualquier dominio secundario verificado. La búsqueda intenta hacer coincidir estos dominios con la dirección de correo electrónico principal de cualquier cuenta personal. Por el contrario, no se consideran los dominios de alias registrados en Cloud Identity o G Suite, ni direcciones de correo electrónico alternativas de cuentas personales.

Los usuarios de las cuentas personales afectadas no saben que verificaste un dominio o que identificaste su cuenta como no administrada. Pueden seguir usando sus cuentas normalmente.

Cuenta no administrada

Además de mostrar todas las cuentas no administradas, la Herramienta para transferir usuarios no administrados te permite iniciar una transferencia de cuenta mediante el envío de una solicitud de transferencia de cuenta. Inicialmente, una cuenta aparece como No enviada, lo que indica que no se envió ninguna solicitud de transferencia.

Inicia una transferencia de cuenta mediante el envío de una solicitud de transferencia de cuenta

Si seleccionas un usuario y envías una solicitud de transferencia de cuenta, el usuario recibe un correo electrónico similar al siguiente. Mientras tanto, la cuenta cambia a Solicitud enviada.

Selecciona un usuario y envía una solicitud de transferencia de cuenta

Un usuario afectado podría ignorar la solicitud y seguir usando la cuenta normalmente. En este caso, puedes enviar otra solicitud y repetir el procedimiento.

Como alternativa, el usuario puede hacer un seguimiento del correo electrónico, pero rechazar la transferencia. Esto hace que el usuario aparezca como Rechazado en la herramienta de transferencia. Si sospechas que el rechazo no fue intencional, puedes repetir el procedimiento enviando otra solicitud.

En ambos casos, la funcionalidad de la cuenta no administrada no se ve afectada: los usuarios pueden iniciar sesión y acceder a sus datos. Sin embargo, el proceso de migración de datos de la cuenta a G Suite o Cloud Identity se ve impedido si un usuario ignora o rechaza una solicitud de transferencia. Para evitar que esto suceda, asegúrate de comunicar tu plan de migración a los empleados antes de enviar las primeras solicitudes de transferencia. Además, asegúrate de que los empleados estén al tanto de los motivos y las consecuencias de aceptar o rechazar una solicitud de transferencia.

En lugar de rechazar la solicitud, un usuario también puede cambiar la dirección de correo electrónico de la cuenta. Si la dirección de correo electrónico principal se cambia para usar un dominio que aún no se verificó en ninguna cuenta de Cloud Identity o G Suite, esto hace que la cuenta vuelva a ser una cuenta personal. Aunque la herramienta de transferencia aún puede mostrar temporalmente al usuario como una cuenta no administrada, ya no puedes iniciar una transferencia de cuenta para una cuenta con ese nombre.

Si en algún momento creas una cuenta en G Suite o Cloud Identity con la misma dirección de correo electrónico que una cuenta de usuario no administrada, la Consola del administrador te advierte sobre un conflicto inminente:

La Consola del administrador te advierte sobre un conflicto inminente

Si ignoras esta advertencia y creas una cuenta de usuario, esta nueva cuenta, junto con la cuenta no administrada, se convierte en una cuenta en conflicto.

La creación de una cuenta con la misma dirección de correo electrónico también puede ocurrir de forma no intencional. Después de registrarte en Cloud Identity o G Suite, es posible que decidas configurar el inicio de sesión único con un proveedor de identidad externo (IdP), como Azure AD o Active Directory. Cuando se configura, el IdP externo puede crear cuentas en G Suite o Cloud Identity automáticamente para todos los usuarios para los que habilitaste el inicio de sesión único, lo que crea cuentas en conflicto.

Cuenta administrada

Si un usuario acepta la transferencia, la cuenta aparecerá en G Suite o Cloud Identity. La cuenta ahora se considera una cuenta administrada y todos los datos asociados con la cuenta personal original se transfieren a esta.

Si G Suite o Cloud Identity no están configurados a fin de usar un IdP externo para el inicio de sesión único, el usuario puede acceder con su contraseña original y continuar usando la cuenta normalmente.

Si usas el inicio de sesión único, el usuario ya no podrá acceder con su contraseña existente. En cambio, se enviarán a la página de acceso de tu IdP externo cuando intentes acceder. Para que esto suceda, el IdP externo debe reconocer al usuario y permitir el inicio de sesión único. De lo contrario, la cuenta queda bloqueada.

Cuenta en conflicto

Cada vez que el usuario accede con una cuenta en conflicto, ve una pantalla de selección como la siguiente:

Pantalla de selección

Cuando selecciona la primera opción, el proceso de acceso continúa usando la parte administrada de la cuenta en conflicto. Se le solicita que proporcionen la contraseña que estableciste para la cuenta administrada o, si configuraste el inicio de sesión único, se redirecciona a un IdP externo para la autenticación. Una vez que se autentica, puede usar la cuenta como cualquier otra cuenta administrada. Sin embargo, debido a que ninguno de los datos se transfirió desde la cuenta personal original, es una cuenta nueva.

Cuando se elige la segunda opción en la pantalla de selección, se le solicita al usuario que cambie la dirección de correo electrónico de la parte del usuario de la cuenta en conflicto:

Se le solicita cambiar la dirección de correo electrónico de la parte del usuario de una cuenta en conflicto.

Cuando se cambia la dirección de correo electrónico, el usuario resuelve el conflicto, dado que se asegura de que la cuenta administrada y la cuenta personal ahora tengan direcciones de correo electrónico diferentes. El resultado es que tiene una cuenta personal con todos sus datos originales y una cuenta administrada que no tiene acceso a ellos.

El usuario puede posponer el cambio de nombre de la cuenta si hace clic en Hacer esto más tarde. En este caso, volverá a ver la misma pantalla la próxima vez que acceda y se le asignará una dirección de correo electrónico temporal de gtempaccount.com.

Una forma alternativa de resolver el conflicto es borrar la cuenta administrada en Cloud Identity o G Suite o, si usa el inicio de sesión único, en el IdP externo. Esto hace que la pantalla de selección no se muestre la próxima vez que acceda con la cuenta, pero el usuario aún debe cambiar la dirección de correo electrónico de la cuenta.

Si el usuario cambia la dirección de correo electrónico a una dirección de correo electrónico privada, la cuenta seguirá siendo una cuenta personal. Si el usuario decide volver a la dirección de correo electrónico corporativa original, la cuenta volverá a ser una cuenta no administrada.

Planifica una migración

Si tienes la intención de migrar cuentas personales existentes a Cloud Identity o G Suite, planifica y coordina los pasos de migración con anticipación. Una buena planificación evita la interrupción de los usuarios y minimiza el riesgo de crear cuentas de conflicto por error.

Comunica los planes de migración

La migración de cuentas personales a cuentas administradas requiere el consentimiento de los usuarios y también puede afectarlos personalmente si utilizaron cuentas con fines privados. Por lo tanto, es fundamental que informes a los usuarios afectados sobre tus planes de migración.

Transmite la siguiente información a los usuarios antes de iniciar la migración:

  • Motivo e importancia de la migración de la cuenta
  • Impacto en los datos personales asociados con las cuentas existentes
  • Período en el que los usuarios pueden recibir una solicitud de transferencia
  • Período en el que esperas que los usuarios aprueben o rechacen una transferencia
  • Próximos cambios en el proceso de acceso después de la migración (solo se aplica cuando se usa la federación)
  • Instrucciones sobre cómo transferir la propiedad de archivos privados de Documentos de Google a una cuenta personal

Si anuncias la migración por correo electrónico, algunos usuarios pueden suponer que se trata de un intento de suplantación de identidad (phishing). Para evitar que esto suceda, considera anunciar la migración a través de un medio diferente.

Proceso para migrar sin federación

La mejor manera de abordar una migración depende de si planeas federar Cloud Identity o G Suite con un IdP externo, como Azure AD o Active Directory.

Si no planeas federar Cloud Identity o G Suite con un IdP externo, puedes seguir el proceso que se describe en el siguiente diagrama:

Proceso para migrar sin federación

  1. Regístrate en Cloud Identity o G Suite y verifica los dominios que planeas usar. Si usas G Suite, aún no cambies los registros MX de DNS, ya que esto podría provocar que los usuarios de cuentas no administradas ya no puedan recibir correos electrónicos.
  2. Identifica las cuentas de usuario no administradas con la Herramienta para transferir usuarios no administrados.
  3. Crea cuentas para los usuarios que aún no tienen una cuenta de usuario no administrada.
  4. Selecciona las cuentas de usuario no administradas que deseas transferir. Si se trata de una gran cantidad de cuentas no administradas, es mejor realizar la migración en lotes.
  5. Comunica tu intención de transferir cuentas a los usuarios afectados y asegúrate de que estos comprendan la importancia y las consecuencias de aceptar o rechazar una solicitud de transferencia.
  6. Envía solicitudes de transferencia con la Herramienta para transferir usuarios no administrados.
  7. Espera a que los usuarios acepten o rechacen solicitudes de transferencia (quórum) y vuelve a enviarlas según sea necesario. Puedes observar el estado en la Herramienta para transferir usuarios no administrados.
  8. Cuando se hayan completado todas las transferencias de cuentas, es posible que desees cambiar los registros MX de DNS en caso de que uses G Suite.

Desafíos de la migración con federación

Si planeas federar Cloud Identity o G Suite con un IdP externo, debes tener en cuenta otros factores antes de decidirte por un plan de migración.

La federación de Cloud Identity o G Suite con un IdP externo generalmente implica dos partes:

  • Aprovisionamiento de cuentas: las cuentas de usuario y los grupos relevantes se sincronizan periódicamente desde el IdP externo hasta Cloud Identity o G Suite. Este proceso garantiza que cuando crees una cuenta nueva en tu IdP, también esté disponible en Google Cloud para que se pueda acceder a ella incluso antes de que el usuario acceda por primera vez. Este proceso también garantiza que los retiros de cuentas se propaguen.

  • Inicio de sesión único: cuando un usuario necesita autenticarse en Google Cloud o en cualquier otro servicio de Google, la autenticación se delega al IdP externo mediante el protocolo de lenguaje de marcado para confirmaciones de seguridad (SAML).

Ante la falta de cuentas no administradas, el aprovisionamiento de cuentas funciona en un solo sentido. Después de configurar la federación, el IdP externo inicialmente aprovisiona las cuentas para todos los usuarios relevantes y, luego, propaga cuentas, actualizaciones y eliminaciones de forma continua a Cloud Identity o G Suite a medida que ocurren. De manera similar, el IdP externo podría habilitar el inicio de sesión único para cualquier cuenta aprovisionada en Cloud Identity o G Suite, pero inhabilitar el inicio de sesión único para todas las demás cuentas. Como se sugiere en el siguiente diagrama, solo se trata de dos conjuntos de cuentas:

Trabaja con dos conjuntos de cuentas

  • Cuentas en IdP externo es el conjunto de todas las cuentas válidas en tu IdP externo.
  • Cuentas relevantes para Google es el subconjunto de cuentas en tu IdP externo que deben tener acceso a los servicios de Google y que se aprovisionan para Cloud Identity o G Suite, y que también pueden usar el inicio de sesión único.

Cuando migres cuentas existentes, debes considerar otros conjuntos de cuentas:

Considera otros conjuntos de cuentas

  • Cuentas de Google existentes es el conjunto de todas las cuentas de Google creadas por los empleados de tu organización.
  • Las cuentas personales son el subconjunto de Cuentas de Google creadas por tu organización que usan dominios que no verificaste en Cloud Identity o G Suite, incluido gmail.com.
  • Las cuentas migradas son el subconjunto de Cuentas de Google que se migraron correctamente a una cuenta administrada.
  • Cuentas no administradas es el subconjunto de Cuentas de Google que están pendientes de migración.
    • También considera usar cuentas “sorpresa”, que son el conjunto de cuentas no administradas que no parecen superponerse con el conjunto de cuentas que consideras relevantes para Google.

Dados estos conjuntos adicionales de cuentas, un enfoque unidireccional de aprovisionamiento de cuentas para Cloud Identity o G Suite no es adecuado, ya que corre el riesgo de manipular cuentas migradas y no administradas.

Evita la creación involuntaria de cuentas en conflicto

Después de configurar un IdP, el comportamiento predeterminado de la mayoría de los IdP externos es crear cuentas en G Suite o Cloud Identity automáticamente para todas las cuentas consideradas relevantes para Google. Este comportamiento provocaría que todas las cuentas no administradas se conviertan en cuentas en conflicto.

Existen dos maneras de evitar este comportamiento:

  • Configura tu proveedor de identidad externo para excluir el conjunto de cuentas no administradas del conjunto de cuentas relevantes para Google.
  • Permite que el IdP externo use un usuario para el aprovisionamiento que puede modificar cuentas en Cloud Identity o G Suite, pero que no tiene el privilegio necesario para crear cuentas nuevas.

Evita la eliminación involuntaria de cuentas migradas

En ciertos momentos durante una migración, es probable que haya cuentas de usuario en Cloud Identity o G Suite que no tengan una contraparte en el conjunto de cuentas relevantes para Google. Algunos proveedores de identidad, como Azure AD, ignoran esas cuentas de forma predeterminada, lo que evita el riesgo de borrar una cuenta migrada por error.

Otros proveedores de identidad o herramientas, incluida Google Cloud Directory Sync, inhabilitan o borran cuentas que no tienen un equivalente. Para evitar que los usuarios afectados pierdan el acceso a sus cuentas migradas, deja que el proveedor de identidad ignore esas cuentas.

Evita el bloqueo de cuentas migradas

Un conjunto de cuentas (que no se muestra en el diagrama de Venn anteriormente) es el conjunto de cuentas que el IdP externo permite usar con inicio de sesión único. Para ciertos IdP, como Azure AD, este conjunto se establece de manera predeterminada como el conjunto de cuentas que se aprovisionan en Cloud Identity o Google.

Si excluyes cuentas no administradas de cuentas relevantes para Google, y permites el inicio de sesión único solo para las cuentas que se están aprovisionando para Google, los usuarios de cuentas no administradas no podrán acceder después de aceptar una solicitud de transferencia. Para evitar que esto suceda, el conjunto de cuentas que pueden usar el inicio de sesión único debe abarcar todas las cuentas no administradas y migradas.

Concilia cuentas “sorpresa” no administradas

Las cuentas “sorpresa” no administradas pueden tener tres causas:

  1. Es posible que tu noción inicial de qué cuentas son relevantes para el uso de Google sea incorrecta. En este caso, debes extender el conjunto de cuentas relevantes para Google según corresponda.
  2. Un empleado que no debería usar los servicios de Google se registró en una cuenta. En este caso, puedes pedirle al empleado que convierta la cuenta en una cuenta personal si crea una cuenta en conflicto.
  3. El empleado dejó la empresa. Para evitar que el exempleado continúe usando una cuenta con una dirección de correo electrónico de la empresa, crea una cuenta en conflicto para que el exempleado cambie el nombre de la cuenta.

Concilia las discrepancias de correo electrónico

Hacer coincidir cada cuenta migrada con su equivalente en el IdP externo funciona según las direcciones de correo electrónico principales de las cuentas. La dirección de correo electrónico principal es la dirección que el empleado usó originalmente para registrarse para una cuenta personal y que utiliza desde entonces para acceder a los servicios de Google.

Si los empleados tienen una dirección de correo electrónico única, esta coincidencia será razonablemente confiable. Sin embargo, algunos de tus empleados pueden tener varias direcciones de correo electrónico, o su sistema de correo electrónico puede permitir variaciones en las direcciones de correo electrónico, incluidas las siguientes:

  • El uso de dominios alternativos, por ejemplo, johndoe@example.org y johndoe@example.com, puede ser un alias para el mismo buzón, pero el usuario solo puede ser conocido como johndoe@example.com en tu IdP.
  • El uso de controladores alternativos, por ejemplo, johndoe@example.com y john.doe@example.com, también puede relacionarse con el mismo buzón, pero es posible que tu IdP reconozca solo una ortografía.
  • Si usas mayúsculas y minúsculas, es posible que johndoe@example.com y JohnDoe@example.com no se reconozcan como el mismo usuario.

Si la configuración de tu correo electrónico permite cualquiera de estas variantes, la coincidencia de las cuentas migradas con las cuentas del IdP externo podría fallar en algunos casos. Debes ajustar manualmente la dirección de correo electrónico principal de las cuentas afectadas en Cloud Identity o G Suite para reflejar el formato que usa tu IdP.

Planifica una migración con federación

Migra cuentas no administradas antes de la federación

Una forma de superar los desafíos descritos en la sección anterior es migrar sin federación primero y configurar la federación y el inicio de sesión único después de migrar todas las cuentas de usuario relevantes.

Un beneficio clave de este enfoque es el bajo riesgo de terminar con cuentas en conflicto o bloquear a los usuarios. Sin embargo, debido a que tu plan es usar un IdP externo para la autenticación, el enfoque tiene varias desventajas:

  • No puedes habilitar el inicio de sesión único antes de que se migren todos los usuarios relevantes. Esto puede demorar días o semanas, según la cantidad de cuentas no administradas y la rapidez con la que los usuarios reaccionen a tus solicitudes de transferencia de cuentas.

  • Durante la migración, debes crear cuentas de usuario nuevas en Cloud Identity o G Suite, además de crear cuentas en tu IdP externo. De manera similar, debes inhabilitar o borrar las cuentas de usuario de los empleados que abandonan Cloud Identity y G Suite, y en el IdP externo. Esta administración redundante aumenta el esfuerzo general y puede introducir inconsistencias.

  • Incluso después de la verificación del dominio, los usuarios aún pueden registrarse para obtener cuentas personales, que se convierten inmediatamente en cuentas no administradas. Para suprimir el registro automático, aprovisiona de forma proactiva las cuentas en Cloud Identity o G Suite para todos los usuarios y reclama sus direcciones de correo electrónico. Después de configurar la federación, esto se puede lograr de forma automática, pero durante la migración, en la que las cuentas deben crearse de forma manual, puede que no sea práctico hacerlo.

En la siguiente tabla, se resumen las propiedades clave del proceso:

Antes de la verificación del dominio Durante la migración Después de configurar la federación
Cómo autenticar Contraseña Contraseña SSO/IdP externo
Cómo crear cuentas nuevas Registro personal del usuario Cloud Identity IdP externo
Cómo inhabilitar o borrar cuentas No es posible Cloud Identity IdP externo

Federa antes de migrar cuentas no administradas

Si implementas un enfoque alternativo, puedes configurar el inicio de sesión único de forma anticipada y permitir que los usuarios se autentiquen mediante un IdP externo apenas se transfieran sus cuentas. Habilitar el acceso anticipado tiene un mayor riesgo de crear cuentas en conflicto por error, por lo que este enfoque requiere una ejecución inicial.

Federa antes de migrar cuentas no administradas

  1. Identifica un dominio inicial para verificar. Con el fin de reducir el riesgo, elige un dominio que es poco probable que los usuarios hayan usado para registrar cuentas personales o un dominio reservado para realizar pruebas.
  2. Registra una o más cuentas personales que usarás para realizar una ejecución de prueba de migración. Registra las cuentas con una dirección de correo electrónico que utilice el dominio identificado en (1) para que se conviertan en cuentas no administradas más adelante. El registro de cuentas solo es posible para direcciones de correo electrónico válidas. Si usas un dominio reservado con fines de prueba, es posible que primero debas configurar los registros MX de DNS. De manera opcional, puedes crear algunos datos con las cuentas de prueba, por ejemplo, si subes una foto a Google Fotos.
  3. Regístrate en Cloud Identity o G Suite y verifica el dominio identificado en (1). Si planeas usar más de un dominio, aún no verifiques otros. Además, si usas G Suite, aún no cambies los registros MX de DNS, ya que esto podría hacer que los usuarios de cuentas no administradas ya no puedan recibir correos electrónicos.
  4. Configura el inicio de sesión único, de manera que se evite la creación inadvertida de cuentas en conflicto, la eliminación involuntaria de cuentas migradas y el bloqueo de cuentas migradas.
  5. Crea cuentas en el IdP externo que correspondan a las cuentas de prueba que creaste en (2).
  6. Usa la Herramienta para transferir usuarios no administrados a fin de enviar una solicitud de transferencia a las cuentas de prueba que creaste en (2). Las cuentas pueden tardar varias horas en aparecer en la herramienta.
  7. Acepta las solicitudes de transferencia.
  8. Verifica que el inicio de sesión único funcione para todas las cuentas de prueba y que el IdP externo haya actualizado correctamente las cuentas de Cloud Identity o G Suite.

    Después de completar la ejecución de prueba, puedes migrar las cuentas restantes.

  9. Agrega y verifica dominios adicionales, si corresponde. Asegúrate de incluir todos los dominios alternativos que tu configuración de correo electrónico permite para las direcciones de correo electrónico.

  10. Identifica las cuentas de usuario no administradas con la Herramienta para transferir usuarios no administrados. Una vez más, pueden transcurrir varias horas antes de que las cuentas aparezcan en la herramienta, por lo que debes esperar al menos 12 horas antes de continuar.

  11. De forma opcional, puedes aprovisionar cuentas en Cloud Identity o G Suite para los usuarios que sabes que no tienen una cuenta de usuario no administrada.

  12. Selecciona las cuentas de usuario no administradas que deseas transferir. Si se trata de una gran cantidad de cuentas no administradas, es mejor realizar la migración en lotes.

  13. Crea las cuentas correspondientes en el IdP externo. Si aún no existen, habilítalas para el inicio de sesión único.

  14. Comunica tu intención de transferir cuentas a los usuarios afectados y asegúrate de que los usuarios estén al tanto de la importancia y las consecuencias de aceptar o rechazar una solicitud de transferencia.

  15. Envía solicitudes de transferencia con la Herramienta para transferir usuarios no administrados.

  16. Espera a que los usuarios acepten o rechacen solicitudes de transferencia (quórum) y vuelve a enviarlas según sea necesario. Puedes observar el estado en la Herramienta para transferir usuarios no administrados.

  17. Concilia las discrepancias de correo electrónico, si las hay. Para ello, cambia el nombre de las cuentas migradas en Cloud Identity o G Suite y notifica a los usuarios afectados.

  18. Cuando se completen todas las transferencias de cuentas, vuelve a configurar el IdP externo para que ahora puedas aprovisionar usuarios en Cloud Identity o G Suite. A partir de este momento, los usuarios creados en el IdP externo se pueden aprovisionar y habilitar automáticamente para el inicio de sesión único en Cloud Identity o G Suite.

  19. Si usas G Suite, ahora es seguro cambiar los registros MX de DNS.

En la siguiente tabla, se resumen las propiedades clave del proceso:

Antes de la verificación del dominio Durante y después de la migración
Cómo autenticar Contraseña SSO/IdP externo
Cómo crear cuentas nuevas Registro personal del usuario IdP externo
Cómo inhabilitar o borrar cuentas No es posible IdP externo

El proceso supera todas las desventajas de la migración con inicio de sesión único diferido, pero requiere una configuración cuidadosa del IdP externo en el paso (4).

Próximos pasos