Valutare gli account utente esistenti

Google supporta due tipi di account utente: account utente gestiti e account utente consumer. Gli account utente gestiti sono sotto il pieno controllo di un amministratore di Cloud Identity o Google Workspace. Al contrario, gli account consumer sono interamente di proprietà e gestiti dalle persone che li hanno creati.

Un principio fondamentale della gestione delle identità è avere un unico luogo per gestire le identità di tutta l'organizzazione:

• Se utilizzi Google come provider di identità (IdP), Cloud Identity o Google Workspace devono essere l'unico luogo in cui gestire le identità. I dipendenti devono fare affidamento esclusivamente sugli account utente che gestisci in Cloud Identity o Google Workspace.

• Se utilizzi un IdP esterno, questo provider deve essere l'unico luogo in cui gestire le identità. L'IdP esterno deve eseguire il provisioning e gestire gli account utente in Cloud Identity o Google Workspace e i dipendenti devono fare affidamento esclusivamente su questi account utente gestiti quando utilizzano i servizi Google.

Se i dipendenti utilizzano account utente consumer, non potrai gestire le identità da un'unica posizione: gli account consumer non sono gestiti da Cloud Identity, Google Workspace o dal tuo IdP esterno. Pertanto, devi identificare gli account utente consumer da convertire in account gestiti, come spiegato nella panoramica dell'autenticazione.

Per convertire gli account consumer in account gestiti utilizzando lo strumento di trasferimento, descritto più avanti in questo documento, devi disporre di un'identità Cloud Identity o Google Workspace con il ruolo di super amministratore.

Questo documento ti aiuta a comprendere e valutare quanto segue:

• Quali account utente esistenti potrebbero essere utilizzati dai dipendenti della tua organizzazione e come identificarli.
• Quali rischi potrebbero essere associati a questi account utente esistenti.

Scenario di esempio

Per illustrare i diversi set di account utente che i dipendenti potrebbero utilizzare, questo documento utilizza uno scenario di esempio per un'azienda denominata Example Organization. L'organizzazione di esempio ha sei dipendenti e ex dipendenti che hanno utilizzato tutti i servizi Google come Google Documenti e Google Ads. L'organizzazione di esempio ora intende consolidare la gestione delle identità e stabilire il proprio IdP esterno come unico luogo per gestire le identità. Ogni dipendente ha un'identità nel provider di identità esterno e questa identità corrisponde all'indirizzo email del dipendente.

Esistono due account utente consumer, Carol e Chuck, che utilizzano un indirizzo email example.com:

• Carol ha creato un account consumer utilizzando il suo indirizzo email aziendale (carol@example.com).
• Chuck, un ex dipendente, ha creato un account consumer utilizzando il suo indirizzo email aziendale (chuck@example.com).

Due dipendenti, Glen e Grace, hanno deciso di utilizzare account Gmail:

• Glen ha creato un account Gmail (glen@gmail.com)), che utilizza per accedere a documenti privati e aziendali e ad altri servizi Google.
• Anche Grace utilizza un account Gmail (grace@gmail.com), ma ha aggiunto il suo indirizzo email aziendale, grace@example.com, come indirizzo email alternativo.

Infine, due dipendenti, Maria e Marco, utilizzano già Cloud Identity:

• Mary ha un account utente Cloud Identity (mary@example.com).
• Mike è l'amministratore dell'account Cloud Identity e ha creato un utente (admin@example.com) per se stesso.

Il seguente diagramma illustra i diversi insiemi di account utente:

Per impostare l'IdP esterno come unico luogo per gestire le identità, devi collegare le identità degli account utente Google esistenti alle identità nell'IdP esterno. Il seguente diagramma aggiunge quindi un insieme di account che descrive le identità nel provider di identità esterno.

Ricorda che se i dipendenti vogliono impostare un IdP esterno come unico luogo per gestire le identità, devono fare affidamento esclusivamente su account utente gestiti e che l'IdP esterno deve controllare questi account utente.

In questo scenario, solo Mary soddisfa questi requisiti. Utilizza un utente Cloud Identity, ovvero un account utente gestito, e l'identità del suo account utente corrisponde alla sua identità nel provider di identità esterno. Tutti gli altri dipendenti utilizzano account consumer oppure l'identità dei loro account non corrisponde a quella nel provider di identità esterno. I rischi e le implicazioni del mancato rispetto dei requisiti sono diversi per ciascuno di questi utenti. Ogni utente rappresenta un insieme diverso di account utente che potrebbero richiedere ulteriori indagini.

Set di account utente da esaminare

Le sezioni seguenti esaminano insiemi di account utente potenzialmente problematici.

Account consumer

Questo insieme di account utente è costituito da account per i quali è vera una delle seguenti affermazioni:

• Sono stati creati dai dipendenti utilizzando la funzionalità Registrati offerta da molti servizi Google.
• Utilizzano un indirizzo email aziendale come identità.

Nello scenario di esempio, questa descrizione si adatta a Carol e Chuck.

Un account consumer utilizzato per scopi aziendali e che utilizza un indirizzo email aziendale può comportare un rischio per la tua attività, ad esempio:

• Non puoi controllare il ciclo di vita dell'account consumer. Un dipendente che lascia l'azienda potrebbe continuare a utilizzare l'account utente per accedere alle risorse aziendali o per generare spese aziendali.

  Anche se revochi l'accesso a tutte le risorse, l'account potrebbe comunque porre un rischio di ingegneria sociale. Poiché l'account utente utilizza un'identità apparentemente affidabile come chuck@example.com, l'ex dipendente potrebbe essere in grado di convincere gli attuali dipendenti o partner commerciali a concedere nuovamente l'accesso alle risorse.

  Allo stesso modo, un ex dipendente potrebbe utilizzare l'account utente per eseguire attività non in linea con le norme della tua organizzazione, il che potrebbe mettere a rischio la reputazione della tua azienda.

• Non puoi applicare policy di sicurezza come la verifica MFA o regole di complessità della password all'account.

• Non puoi limitare la posizione geografica in cui vengono archiviati i dati di Google Docs e Google Drive, il che potrebbe costituire un rischio per la conformità.

• Non puoi limitare i servizi Google accessibili utilizzando questo account utente.

Se ExampleOrganization decide di utilizzare Google come IdP, il modo migliore per gestire gli account consumer è eseguire la migrazione a Cloud Identity o Google Workspace oppure rimuoverli obbligando i proprietari a rinominare l'account utente.

Se Organizzazione di esempio decide di utilizzare un IdP esterno, deve distinguere ulteriormente tra quanto segue:

• Account consumer con un'identità corrispondente nel provider di identità esterno.
• Account consumer che non hanno un'identità corrispondente nel provider di identità esterno.

Le due sezioni seguenti esaminano in dettaglio queste due sottoclassi.

Account consumer con un'identità corrispondente nel provider di identità esterno

Questo insieme di account utente è costituito da account che corrispondono a tutti i seguenti criteri:

• Sono stati creati dai dipendenti.
• Utilizzano un indirizzo email aziendale come indirizzo email principale.
• La sua identità corrisponde a un'identità nel provider di identità esterno.

Nello scenario di esempio, questa descrizione si adatta a Carol.

Il fatto che questi account consumer abbiano un'identità corrispondente nel tuo IdP esterno suggerisce che questi account utente appartengano a dipendenti attuali e debbano essere conservati. Pertanto, ti consigliamo di eseguire la migrazione di questi account a Cloud Identity o Google Workspace.

Puoi identificare gli account consumer che hanno un'identità corrispondente nell'IdP esterno nel seguente modo:

1. Aggiungi tutti i domini a Cloud Identity o Google Workspace che sospetti possano essere stati utilizzati per le registrazioni di account consumer. In particolare, l'elenco dei domini in Cloud Identity o Google Workspace deve includere tutti i domini supportati dal tuo sistema di posta.
2. Utilizza lo strumento di trasferimento per gli utenti non gestiti per identificare gli account consumer che utilizzano un indirizzo email corrispondente a uno dei domini che hai aggiunto a Cloud Identity o Google Workspace. Lo strumento ti consente anche di esportare l'elenco degli utenti interessati come file CSV.
3. Confronta l'elenco degli account consumatore con le identità nel tuo IdP esterno e trova gli account consumatore che hanno una controparte.

Account consumer senza un'identità corrispondente nell'IdP esterno

Questo insieme di account utente è costituito da account che corrispondono a tutti i seguenti criteri:

• Sono stati creati dai dipendenti.
• Utilizzano un indirizzo email aziendale come identità.
• La sua identità non corrisponde a nessuna identità nel provider di identità esterno.

Nello scenario di esempio, questa descrizione è adatta a Chuck.

Esistono diverse cause per gli account consumer senza un'identità corrispondente nel provider di identità esterno, tra cui:

• Il dipendente che ha creato l'account potrebbe aver lasciato l'azienda, quindi l'identità corrispondente non esiste più nel provider di identità esterno.

• Potrebbe esserci una mancata corrispondenza tra l'indirizzo email utilizzato per la registrazione dell'account consumer e l'identità nota nel provider di identità esterno. Queste discrepanze possono verificarsi se il tuo sistema di posta elettronica consente variazioni negli indirizzi email, ad esempio:

  • Utilizzo di domini alternativi. Ad esempio, johndoe@example.org e johndoe@example.com potrebbero essere alias della stessa casella di posta, ma l'utente potrebbe essere noto solo come johndoe@example.com nel tuo IdP.
  • Utilizzo di handle alternativi. Ad esempio, johndoe@example.com e john.doe@example.com potrebbero anche fare riferimento alla stessa casella di posta, ma il tuo IdP potrebbe riconoscere solo un'ortografia.
  • Utilizzo di caratteri diversi. Ad esempio, le varianti johndoe@example.com e JohnDoe@example.com potrebbero non essere riconosciute come lo stesso utente.

Puoi gestire gli account consumer che non hanno un'identità corrispondente nel provider di identità esterno nei seguenti modi:

• Puoi eseguire la migrazione dell'account consumer a Cloud Identity o Google Workspace e poi riconciliare eventuali discrepanze causate da domini alternativi, handle o distinzione tra maiuscole e minuscole.

• Se ritieni che l'account utente sia illegittimo o non debba più essere utilizzato, puoi espellere l'account consumer forzando il proprietario a rinominarlo.

Puoi identificare gli account consumer senza un'identità corrispondente nel provider di identità esterno nel seguente modo:

1. Aggiungi tutti i domini a Cloud Identity o Google Workspace che sospetti possano essere stati utilizzati per le registrazioni di account consumer. In particolare, l'elenco dei domini in Cloud Identity o Google Workspace deve includere tutti i domini supportati dal tuo sistema di posta elettronica come alias.
2. Utilizza lo strumento di trasferimento per gli utenti non gestiti per identificare gli account consumer che utilizzano un indirizzo email corrispondente a uno dei domini che hai aggiunto a Cloud Identity o Google Workspace. Lo strumento ti consente anche di esportare l'elenco degli utenti interessati come file CSV.
3. Confronta l'elenco degli account consumer con le identità nel tuo IdP esterno e trova gli account consumer che non hanno una controparte.

Account gestiti senza un'identità corrispondente nel provider di identità esterno

Questo insieme di account utente è costituito da account che corrispondono a tutti i seguenti criteri:

• Sono stati creati manualmente da un amministratore di Cloud Identity o Google Workspace.
• La sua identità non corrisponde a nessuna identità nell'IdP esterno.

Nello scenario di esempio, questa descrizione si adatta a Mike, che ha utilizzato l'identità admin@example.com per il suo account gestito.

Le potenziali cause per gli account gestiti senza un'identità corrispondente nell'IdP esterno sono simili a quelle per gli account consumer senza un'identità corrispondente nell'IdP esterno:

• Il dipendente per cui è stato creato l'account potrebbe aver lasciato l'azienda, pertanto l'identità corrispondente non esiste più nel provider di identità esterno.
• L'indirizzo email aziendale che corrisponde all'identità nel provider di identità esterno potrebbe essere stato impostato come indirizzo email alternativo o alias anziché come indirizzo email principale.
• L'indirizzo email utilizzato per l'account utente in Cloud Identity o Google Workspace potrebbe non corrispondere all'identità nota nell'IdP esterno. Né Cloud Identity né Google Workspace verificano l'esistenza dell'indirizzo email utilizzato come identità. Pertanto, una mancata corrispondenza può verificarsi non solo a causa di domini alternativi, handle alternativi o distinzione tra maiuscole e minuscole, ma anche a causa di un errore di battitura o di altro errore umano.

Indipendentemente dalla causa, gli account gestiti senza un'identità corrispondente nel provider di identità esterno sono un rischio perché possono essere soggetti a riutilizzo involontario e accaparramento di nomi. Ti consigliamo di riconciliare questi account.

Puoi identificare gli account consumer senza un'identità corrispondente nel provider di identità esterno nel seguente modo:

1. Utilizzando la Console di amministrazione o l'API Directory, esporta l'elenco degli account utente in Cloud Identity o Google Workspace.
2. Confronta l'elenco degli account con le identità nel tuo IdP esterno e trova gli account che non hanno una controparte.

Account Gmail utilizzati per scopi aziendali

Questo insieme di account utente è costituito da account che corrispondono a quanto segue:

• Sono stati creati dai dipendenti.
• Utilizzano un indirizzo email gmail.com come identità.
• Le loro identità non corrispondono a nessuna identità nell'IdP esterno.

Nello scenario di esempio, questa descrizione si adatta a Grace e Glen.

Gli account Gmail utilizzati per scopi aziendali sono soggetti a rischi simili a quelli degli account consumer senza identità corrispondente nel provider di identità esterno:

• Non puoi controllare il ciclo di vita dell'account consumer. Un dipendente che lascia l'azienda potrebbe continuare a utilizzare l'account utente per accedere alle risorse aziendali o per generare spese aziendali.
• Non puoi applicare policy di sicurezza come la verifica MFA o regole di complessità della password all'account.

Il modo migliore per gestire gli account Gmail è quindi revocare l'accesso di questi account utente a tutte le risorse aziendali e fornire ai dipendenti interessati nuovi account utente gestiti come sostituti.

Poiché gli account Gmail utilizzano gmail.com come dominio, non esiste un'affiliazione chiara con la tua organizzazione. La mancanza di un'affiliazione chiara implica che non esiste un modo sistematico, diverso dalla pulizia delle normecontrollo dell'accessoo esistenti, per identificare gli account Gmail utilizzati per scopi aziendali.

Account Gmail con un indirizzo email aziendale come email alternativa

Questo insieme di account utente è costituito da account che corrispondono a tutti i seguenti criteri:

• Sono stati creati dai dipendenti.
• Utilizzano un indirizzo email gmail.com come identità.
• Utilizzano un indirizzo email aziendale come indirizzo email alternativo.
• Le loro identità non corrispondono a nessuna identità nell'IdP esterno.

Nello scenario di esempio, questa descrizione è adatta a Grace.

Dal punto di vista del rischio, gli account Gmail che utilizzano un indirizzo email aziendale come indirizzo email alternativo sono equivalenti a account consumer senza un'identità corrispondente nel provider di identità esterno. Poiché questi account utilizzano un indirizzo email aziendale apparentemente affidabile come seconda identità, sono soggetti al rischio di ingegneria sociale.

Se vuoi mantenere i diritti di accesso e alcuni dei dati associati all'account Gmail, puoi chiedere al proprietario di rimuovere Gmail dall'account utente in modo da poter poi eseguire la migrazione a Cloud Identity o Google Workspace.

Il modo migliore per gestire gli account Gmail che utilizzano un indirizzo email aziendale come indirizzo email alternativo è sanitizzarli. Quando sanifichi un account, obblighi il proprietario a rinunciare all'indirizzo email aziendale creando un account utente gestito con lo stesso indirizzo email aziendale. Inoltre, ti consigliamo di revocare l'accesso a tutte le risorse aziendali e di fornire ai dipendenti interessati i nuovi account utente gestiti come sostituti.

Passaggi successivi

• Scopri di più sui diversi tipi di account utente su Google Cloud.
• Scopri come funziona la procedura di migrazione per gli account consumer.
• Esamina le best practice per la federazione Google Cloud con un provider di identità esterno.