Evaluar planes de incorporación

Cloud Identity y Google Workspace te permiten gestionar identidades corporativas y controlar el acceso a los servicios de Google. Para aprovechar las funciones que ofrecen Cloud Identity y Google Workspace, primero debes incorporar las identidades actuales y nuevas a Cloud Identity o Google Workspace. El proceso de incorporación incluye los siguientes pasos:

• Prepara tus cuentas de Cloud Identity o Google Workspace.
• Si has decidido usar un proveedor de identidades (IdP) externo, configura la federación.
• Crea cuentas de usuario para tus identidades corporativas.
• Consolida las cuentas de usuario.

Este documento te ayuda a evaluar el mejor orden para abordar estos pasos.

Seleccionar un plan de incorporación

Cuando elijas un plan de incorporación, ten en cuenta las siguientes decisiones importantes:

• Selecciona una arquitectura de destino. Lo más importante es que decidas si quieres que Google sea tu IdP principal o si prefieres usar un IdP externo.

  Si aún no te has decidido, consulta la descripción general de las arquitecturas de referencia para obtener más información sobre las opciones posibles.

• Decide si quieres migrar las cuentas de consumidor. Si no has usado Cloud Identity o Google Workspace, es posible que los empleados de tu organización estén usando cuentas de consumidor para acceder a los servicios de Google. Si quieres conservar estas cuentas de usuario y sus datos, debes migrarlas a Cloud Identity o Google Workspace.

  Para obtener información sobre las cuentas de consumidor, cómo identificarlas y qué riesgos pueden suponer para tu organización, consulta el artículo Evaluar las cuentas de usuario que ya se usan.

Si has decidido usar un IdP externo y migrar las cuentas de consumidor que ya tengas, tendrás que tomar una tercera decisión: si quieres configurar la federación primero o migrar las cuentas de usuario que ya tengas. Ten en cuenta los siguientes factores:

• Para migrar cuentas de consumidor, se necesita el consentimiento del propietario. Cuantas más cuentas de usuario tengas que migrar, más tiempo puede llevarte obtener el consentimiento de todos los propietarios de las cuentas afectadas.

  Si necesitas migrar 100 o más cuentas de consumidor, te recomendamos que configures la federación antes de migrar las cuentas de consumidor. Si configuras la federación primero, te aseguras de que todas las identidades nuevas y cada cuenta de usuario migrada puedan beneficiarse inmediatamente del inicio de sesión único, la verificación en dos pasos y otras funciones de seguridad que ofrecen Cloud Identity y Google Workspace. Por lo tanto, configurar la federación te ayuda a mejorar rápidamente tu estrategia de seguridad general.

  Sin embargo, para configurar la federación primero, debes configurar tu proveedor de identidades de forma que se puedan migrar las cuentas de usuario actuales. Esta configuración puede aumentar la complejidad de la configuración general.

• Si necesitas migrar menos de 100 cuentas de consumidor, el proceso de migración de estas cuentas de usuario será relativamente rápido. En ese caso, te recomendamos que migres las cuentas de usuario antes de configurar la federación. Si completa primero la migración de las cuentas de usuario, puede evitar la complejidad adicional de tener que configurar su proveedor de identidades de forma que se puedan migrar las cuentas de usuario que ya tiene.

  Sin embargo, si retrasa la configuración de la federación, puede que el proceso de mejora de su postura de seguridad general se ralentice.

En el siguiente diagrama se resume cómo seleccionar el mejor plan de incorporación.

En este diagrama se muestran las siguientes rutas de decisión para seleccionar un plan de incorporación:

• Si usas Google como proveedor de identidades, selecciona el plan 1.
• Si no usas Google como proveedor de identidades y no quieres migrar las cuentas, selecciona el plan 2.
• Selecciona el plan 3 en la siguiente situación:
  • No usas Google como proveedor de identidades.
  • Quieres migrar cuentas que ya tienes.
  • Quieres configurar la federación primero.
• Selecciona el plan 4 en la siguiente situación:
  • No usas Google como proveedor de identidades.
  • Quieres migrar cuentas que ya tienes.
  • No quieres configurar la federación primero.

Planes de incorporación

En esta sección se describen una serie de planes de incorporación que se corresponden con los escenarios que hemos analizado en la sección anterior.

Plan 1: sin federación

Te recomendamos que uses este plan si se cumplen todas las condiciones siguientes:

• Quieres usar Google como tu proveedor de identidades principal.
• Puede que tengas que migrar las cuentas de usuario a Cloud Identity o Google Workspace.

En el siguiente diagrama se ilustran el proceso y los pasos que implica este plan.

1. Configura las cuentas de Cloud Identity o Google Workspace necesarias.

   Para determinar el número adecuado de cuentas de Cloud Identity o Google Workspace que debes usar, consulta las prácticas recomendadas para planificar cuentas y organizaciones. Para obtener información sobre cómo crear las cuentas y qué partes interesadas pueden necesitar participar, consulta el artículo Preparar cuentas de Cloud Identity o Google Workspace.

2. Si algunas de las identidades que quieres incorporar ya tienen cuentas de consumidor, no crees cuentas de usuario en Cloud Identity ni en Google Workspace para esas identidades, ya que se produciría un conflicto de cuentas.

   Para minimizar el riesgo de crear cuentas en conflicto por error, empieza creando cuentas de usuario solo para un pequeño conjunto inicial de identidades. Te recomendamos que utilices la consola de administración para crear estas cuentas en lugar de usar la API o la subida en bloque, ya que la consola de administración te avisará si vas a crear una cuenta que entre en conflicto con otra.

3. Inicia el proceso de consolidación de tus cuentas de usuario. Para obtener más información sobre cómo hacerlo y qué partes interesadas podrían tener que participar, consulta el artículo Consolidar cuentas de usuario.

4. Por último, crea cuentas de usuario para todas las identidades restantes que necesites incorporar. Puedes crear cuentas manualmente mediante la consola de administración. Si vas a incorporar un gran número de identidades, te recomendamos que utilices una de las siguientes alternativas:

   • Crea usuarios en lotes con un archivo CSV.
   • Automatiza la creación de usuarios y grupos con herramientas de código abierto, como Google Apps Manager (GAM).
   • Usa la API Directory.

Plan 2: Federación sin consolidación de cuentas de usuario

Te recomendamos que uses este plan si se cumplen todas las condiciones siguientes:

• Quieres usar un IdP externo.
• No es necesario que migres ninguna cuenta de usuario.

En el siguiente diagrama se ilustran el proceso y los pasos que implica este plan.

1. Configura las cuentas de Cloud Identity o Google Workspace necesarias.

   Para determinar el número adecuado de cuentas de Cloud Identity o Google Workspace que debes usar, consulta las prácticas recomendadas para planificar cuentas y organizaciones. Para obtener información sobre cómo crear las cuentas y qué partes interesadas podrían tener que participar en este proceso, consulta el artículo Preparar tus cuentas de Cloud Identity o Google Workspace.

2. Configura la federación con tu proveedor de identidades externo. Por lo general, esto implica configurar el aprovisionamiento automático de cuentas de usuario y configurar el inicio de sesión único.

   Cuando configures la federación, ten en cuenta las recomendaciones que se indican en el artículo Prácticas recomendadas para federar Google Cloud con un proveedor de identidades externo.

3. Usa tu proveedor de identidades externo para crear cuentas de usuario en Cloud Identity o Google Workspace para todas las identidades que necesites incorporar.

4. Asegúrate de que las identidades de Cloud Identity o Google Workspace sean un subconjunto de las identidades de tu proveedor de identidades externo. Para obtener más información, consulta el artículo Reconciliar cuentas de usuario gestionadas huérfanas.

Plan 3: Federación con consolidación de cuentas de usuario

Te recomendamos que uses este plan si se cumplen todas las condiciones siguientes:

• Quieres usar un IdP externo.
• Necesitas migrar las cuentas de usuario a Cloud Identity o Google Workspace, pero quieres configurar la federación primero.

Este plan te permite empezar a usar el inicio de sesión único rápidamente. Las cuentas de usuario que crees en Cloud Identity o Google Workspace podrán usar el inicio de sesión único inmediatamente, al igual que las cuentas de usuario que ya tengas después de migrarlas. Esta integración con un IdP externo te permite minimizar la administración de cuentas de usuario, ya que tu IdP puede gestionar tanto la incorporación como la baja de identidades.

En comparación con el plan de federación aplazado que se explica en la sección siguiente, este plan aumenta el riesgo de que haya cuentas en conflicto o usuarios bloqueados. Por lo tanto, este plan requiere una atención especial al configurar la federación.

En el siguiente diagrama se ilustran el proceso y los pasos que implica este plan.

1. Configura las cuentas de Cloud Identity o Google Workspace necesarias.

   Para determinar el número adecuado de cuentas de Cloud Identity o Google Workspace que debes usar, consulta las prácticas recomendadas para planificar cuentas y organizaciones. Para obtener información sobre cómo crear las cuentas y qué partes interesadas podrían tener que participar en este proceso, consulta el artículo Preparar tus cuentas de Cloud Identity o Google Workspace.

2. Configura la federación con tu proveedor de identidades externo. Normalmente, esto significa que debes configurar el aprovisionamiento automático de cuentas de usuario y el inicio de sesión único.

   Como algunas de las identidades que quieres incorporar tienen cuentas de consumidor que aún tienes que migrar, asegúrate de que tu IdP externo no interfiera en tu capacidad para consolidar las cuentas de consumidor.

   Para obtener información sobre cómo configurar tu IdP externo de forma segura para la consolidación de cuentas, consulta el artículo Evaluar el impacto de la consolidación de cuentas de usuario en la federación.

   Cuando configures la federación, ten en cuenta las recomendaciones que se indican en el artículo Prácticas recomendadas para federar Google Cloud con un proveedor de identidades externo.

3. Usa tu proveedor de identidades externo para crear cuentas de usuario en Cloud Identity o Google Workspace para el conjunto inicial de identidades que necesites incorporar.

   Crea cuentas de usuario solo para identidades que no tengan una cuenta de usuario.

4. Inicia el proceso de consolidación de tus cuentas de usuario. Para obtener más información sobre cómo hacerlo y qué partes interesadas podrían tener que participar, consulta el artículo Consolidar cuentas de usuario.

5. Para que la configuración sea segura para la consolidación de cuentas, elimina cualquier configuración especial que hayas aplicado a tu configuración de federación. Como todas las cuentas ya se han migrado, esta configuración especial ya no es necesaria.

6. Usa tu IdP externo para crear cuentas de usuario en Cloud Identity o Google Workspace para todas las identidades restantes que necesites incorporar.

Plan 4: Federación retrasada

Te recomendamos que uses este plan si se cumplen todas las condiciones siguientes:

• Quieres usar un IdP externo.
• Antes de configurar la federación, debes migrar las cuentas de usuario a Cloud Identity o Google Workspace.

Este plan es una combinación de no federación y federación sin consolidación de cuentas de usuario, como se ha explicado anteriormente. Una de las principales ventajas de este plan con respecto a la federación con la consolidación de cuentas de usuario es que se reduce el riesgo de que haya cuentas en conflicto o usuarios bloqueados. Sin embargo, como tu plan es usar un IdP externo para la autenticación, este enfoque tiene los siguientes inconvenientes:

• No puedes habilitar el inicio de sesión único hasta que se hayan migrado todos los usuarios pertinentes. En función del número de cuentas no gestionadas que tengas y de lo rápido que reaccionen los usuarios a tus solicitudes de transferencia de cuentas, esta migración puede tardar días o semanas.

• Durante la migración, debes crear cuentas de usuario en Cloud Identity o Google Workspace, además de crear cuentas en tu proveedor de identidades externo. Del mismo modo, en el caso de los empleados que se vayan, debes inhabilitar o eliminar sus cuentas de usuario en Cloud Identity o Google Workspace, así como en el proveedor de identidades externo. Esta administración redundante aumenta el esfuerzo general y puede provocar incoherencias.

En el siguiente diagrama se ilustran el proceso y los pasos que implica este plan.

1. Configura las cuentas de Cloud Identity o Google Workspace necesarias.

   Para determinar el número adecuado de cuentas de Cloud Identity o Google Workspace que debes usar, consulta las prácticas recomendadas para planificar cuentas y organizaciones. Para obtener información sobre cómo crear las cuentas y qué partes interesadas pueden necesitar participar, consulta el artículo Preparar cuentas de Cloud Identity o Google Workspace. Si algunas de las identidades que quieres incorporar ya tienen cuentas de consumidor, no crees cuentas de usuario en Cloud Identity ni en Google Workspace para esas identidades, ya que se producirían conflictos entre las cuentas.

2. Empieza creando cuentas de usuario solo para un pequeño conjunto inicial de identidades. Te recomendamos que utilices la consola de administración para crear estas cuentas en lugar de usar la API o la subida en lote, ya que la consola de administración te avisará si se va a crear una cuenta que entre en conflicto con otra.

3. Inicia el proceso de consolidación de tus cuentas de usuario. Para obtener más información sobre cómo hacerlo y qué partes interesadas podrían tener que participar, consulta el artículo Consolidar cuentas de usuario.

4. Configura la federación con tu proveedor de identidades externo. Por lo general, esto implica configurar el aprovisionamiento automático de cuentas de usuario y configurar el inicio de sesión único.

   Cuando configures la federación, ten en cuenta las recomendaciones que se indican en el artículo Prácticas recomendadas para federar Google Cloud con un proveedor de identidades externo.

   Como todas las cuentas ya se han migrado, no es necesario que apliques ninguna configuración especial para que la federación sea segura para la consolidación de cuentas.

5. Usa tu proveedor de identidades externo para crear cuentas de usuario en Cloud Identity o Google Workspace para todas las identidades que necesites incorporar.

Siguientes pasos

• Si has decidido usar la federación con la consolidación de cuentas de usuario, evalúa el impacto de la consolidación de cuentas de usuario en la federación.
• Para iniciar el proceso de incorporación, prepara cuentas de Cloud Identity o Google Workspace.