Cloud Identity e Google Workspace ti consentono di gestire le identità aziendali e controllare l'accesso ai servizi Google. Per usufruire delle funzionalità offerte da Cloud Identity e Google Workspace, devi prima eseguire l'onboarding delle identità esistenti e nuove in Cloud Identity o Google Workspace. L'onboarding prevede i seguenti passaggi:
- Prepara i tuoi account Cloud Identity o Google Workspace.
- Se hai deciso di utilizzare un provider di identità (IdP) esterno, configura la federazione.
- Crea account utente per le identità aziendali.
- Consolidare gli account utente esistenti.
Questo documento ti aiuta a valutare l'ordine migliore in cui affrontare questi passaggi.
Seleziona un piano di onboarding
Quando selezioni un piano di onboarding, considera le seguenti decisioni fondamentali:
Seleziona un'architettura di destinazione. Ancora più importante, devi decidere se vuoi fare di Google il tuo IdP principale o se preferisci utilizzare un IdP esterno.
Se non hai ancora deciso, consulta la panoramica delle architetture di riferimento per scoprire di più sulle possibili opzioni.
Decidere se eseguire la migrazione degli account consumer esistenti. Se non utilizzi Cloud Identity o Google Workspace, è possibile che i dipendenti della tua organizzazione utilizzino account consumer per accedere ai servizi Google. Se vuoi conservare questi account utente e i relativi dati, devi eseguire la migrazione a Cloud Identity o Google Workspace.
Per informazioni dettagliate sugli account consumer, su come identificarli e sul rischio che potrebbero rappresentare per la tua organizzazione, consulta Valutazione degli account utente esistenti.
Se hai deciso di utilizzare un IdP esterno ed eseguire la migrazione degli account consumer esistenti, devi prendere una terza decisione: decidere se configurare prima la federazione o eseguire prima la migrazione degli account utente esistenti. Tieni conto dei seguenti fattori:
La migrazione degli account consumer richiede il consenso del proprietario. Più account utente devi eseguire la migrazione, più tempo potrebbe essere necessario per ottenere il consenso di tutti i proprietari degli account interessati.
Se devi eseguire la migrazione di 100 o più account consumer, valuta la possibilità di configurare la federazione prima di eseguire la migrazione degli account consumer esistenti. Se configuri prima la federazione, ti assicuri che tutte le nuove identità e ogni account utente di cui è stata eseguita la migrazione possano usufruire immediatamente del Single Sign-On, della verifica in due passaggi e di altre funzionalità di sicurezza offerte da Cloud Identity e Google Workspace. La configurazione della federazione ti aiuta quindi a migliorare rapidamente la tua postura di sicurezza complessiva.
Tuttavia, la configurazione della federazione richiede innanzitutto di configurare il provider di identità in modo da consentire comunque la migrazione degli account utente esistenti. Questa configurazione può aumentare la complessità della configurazione complessiva.
Se devi eseguire la migrazione di meno di 100 account consumer, puoi prevedere che la procedura di migrazione di questi account utente sarà ragionevolmente rapida. In questo caso, valuta la possibilità di eseguire la migrazione degli account utente esistenti prima di configurare la federazione. Completando prima la migrazione dell'account utente, puoi evitare la complessità aggiuntiva di dover configurare il tuo identity provider in modo da consentire comunque la migrazione degli account utente esistenti.
Tuttavia, il ritardo nella configurazione della federazione potrebbe rallentare il processo di miglioramento della tua strategia di sicurezza complessiva.
Il seguente diagramma riepiloga come selezionare il miglior piano di onboarding.
Questo diagramma mostra i seguenti percorsi decisionali per selezionare un piano di onboarding:
- Se utilizzi Google come IdP, seleziona piano 1.
- Se non utilizzi Google come IdP e non vuoi eseguire la migrazione degli account esistenti, seleziona piano 2.
- Seleziona il piano 3
nel seguente scenario:
- Non stai utilizzando Google come IdP.
- Vuoi eseguire la migrazione degli account esistenti.
- Vuoi configurare prima la federazione.
- Seleziona il piano 4 nel seguente scenario:
- Non stai utilizzando Google come IdP.
- Vuoi eseguire la migrazione degli account esistenti.
- Non vuoi configurare prima la federazione.
Piani di onboarding
Questa sezione descrive una serie di piani di onboarding che corrispondono agli scenari discussi nella sezione precedente.
Piano 1: nessuna federazione
Prendi in considerazione l'utilizzo di questo piano se tutte le seguenti condizioni sono vere:
- Vuoi utilizzare Google come IdP principale.
- Potresti dover eseguire la migrazione degli account utente esistenti a Cloud Identity o Google Workspace.
Il seguente diagramma illustra la procedura e i passaggi previsti da questo piano.
Configura gli account Cloud Identity o Google Workspace richiesti.
Per determinare il numero corretto di account Cloud Identity o Google Workspace da utilizzare, consulta Best practice per la pianificazione di account e organizzazioni. Per informazioni dettagliate su come creare gli account e su quali stakeholder potrebbero dover essere coinvolti, consulta Preparare gli account Cloud Identity o Google Workspace.
Se alcune delle identità che vuoi integrare hanno account consumer esistenti, non creare account utente in Cloud Identity o Google Workspace per queste identità, perché ciò comporterebbe un account in conflitto.
Per ridurre al minimo il rischio di creare inavvertitamente account in conflitto, inizia creando account utente solo per un piccolo insieme iniziale di identità. Ti consigliamo di utilizzare la Console di amministrazione per creare questi account anziché utilizzare l'API o il caricamento batch per creare questi account utente, perché la Console di amministrazione ti avviserà dell'imminente creazione di un account in conflitto.
Avvia la procedura di consolidamento degli account utente esistenti. Per informazioni dettagliate su come eseguire questa operazione e su quali parti interessate potrebbero dover essere coinvolte, consulta Consolidamento degli account utente esistenti.
Infine, crea gli account utente per tutte le identità rimanenti che devi onboarding. Puoi creare account manualmente utilizzando la Console di amministrazione oppure, se stai eseguendo l'onboarding di un numero elevato di identità, valuta le seguenti alternative:
- Crea gli utenti in batch utilizzando un file CSV.
- Automatizza la creazione di utenti e gruppi utilizzando strumenti open source come Google Apps Manager (GAM).
- Utilizza l'API Directory.
Piano 2: federazione senza consolidamento degli account utente
Prendi in considerazione l'utilizzo di questo piano se tutte le seguenti condizioni sono vere:
- Vuoi utilizzare un IdP esterno.
- Non è necessario eseguire la migrazione di account utente esistenti.
Il seguente diagramma illustra la procedura e i passaggi previsti da questo piano.
Configura gli account Cloud Identity o Google Workspace richiesti.
Per determinare il numero corretto di account Cloud Identity o Google Workspace da utilizzare, consulta Best practice per la pianificazione di account e organizzazioni. Per informazioni dettagliate su come creare gli account e su quali stakeholder potrebbero dover essere coinvolti in questo processo, consulta Preparare gli account Cloud Identity o Google Workspace.
Configura la federazione con il tuo IdP esterno. In genere, ciò significa configurare il provisioning automatico degli account utente e configurare il Single Sign-On.
Quando configuri la federazione, tieni conto dei consigli riportati in Best practice per la federazione Google Cloud con un provider di identità esterno.
Utilizza il tuo IdP esterno per creare account utente in Cloud Identity o Google Workspace per tutte le identità che devi integrare.
Assicurati che le identità in Cloud Identity o Google Workspace siano un sottoinsieme delle identità nel tuo IdP esterno. Per maggiori dettagli, vedi Riconciliare gli account utente gestiti orfani.
Piano 3: federazione con consolidamento degli account utente
Prendi in considerazione l'utilizzo di questo piano se tutte le seguenti condizioni sono vere:
- Vuoi utilizzare un IdP esterno.
- Devi eseguire la migrazione degli account utente esistenti a Cloud Identity o Google Workspace, ma vuoi configurare prima la federazione.
Questo piano ti consente di iniziare rapidamente a utilizzare Single Sign-On. Tutti i nuovi account utente che crei in Cloud Identity o Google Workspace possono utilizzare immediatamente il Single Sign-On, così come gli account utente esistenti dopo la migrazione. Questa integrazione con un IdP esterno ti consente di ridurre al minimo l'amministrazione degli account utente: l'IdP può gestire sia l'onboarding che l'offboarding delle identità.
Rispetto al piano di federazione ritardata spiegato nella sezione successiva, questo piano aumenta il rischio di account in conflitto o di utenti bloccati. Questo piano richiede quindi un'attenzione particolare quando configuri la federazione.
Il seguente diagramma illustra la procedura e i passaggi previsti da questo piano.
Configura gli account Cloud Identity o Google Workspace richiesti.
Per determinare il numero corretto di account Cloud Identity o Google Workspace da utilizzare, consulta Best practice per la pianificazione di account e organizzazioni. Per informazioni dettagliate su come creare gli account e su quali stakeholder potrebbero dover essere coinvolti in questo processo, consulta Preparare gli account Cloud Identity o Google Workspace.
Configura la federazione con il tuo IdP esterno. In genere, ciò significa che configuri il provisioning automatico degli account utente e la configurazione del single sign-on.
Poiché alcune delle identità che vuoi integrare hanno account consumer esistenti che devi ancora migrare, assicurati di impedire al tuo IdP esterno di interferire con la tua capacità di consolidare gli account consumer esistenti.
Per informazioni dettagliate su come configurare l'IdP esterno in modo sicuro per il consolidamento degli account, vedi Valutazione dell'impatto del consolidamento degli account utente sulla federazione.
Quando configuri la federazione, tieni conto dei consigli riportati in Best practice per la federazione Google Cloud con un provider di identità esterno.
Utilizza il tuo IdP esterno per creare account utente in Cloud Identity o Google Workspace per il set iniziale di identità da integrare.
Fai attenzione a creare account utente solo per identità che non hanno un account utente esistente.
Avvia la procedura di consolidamento degli account utente esistenti. Per informazioni dettagliate su come eseguire questa operazione e su quali parti interessate potrebbero dover essere coinvolte, consulta Consolidamento degli account utente esistenti.
Per rendere la configurazione sicura per il consolidamento degli account, rimuovi qualsiasi configurazione speciale che hai applicato alla configurazione della federazione. Poiché a questo punto è già stata eseguita la migrazione di tutti gli account esistenti, questa configurazione speciale non è più necessaria.
Utilizza il tuo IdP esterno per creare account utente in Cloud Identity o Google Workspace per tutte le identità rimanenti che devi integrare.
Piano 4: federazione ritardata
Prendi in considerazione l'utilizzo di questo piano se tutte le seguenti condizioni sono vere:
- Vuoi utilizzare un IdP esterno.
- Prima di configurare la federazione, devi eseguire la migrazione degli account utente esistenti a Cloud Identity o Google Workspace.
Questo piano è in realtà una combinazione di nessuna federazione e federazione senza consolidamento degli account utente, come discusso in precedenza. Un vantaggio fondamentale di questo piano rispetto alla federazione con il consolidamento degli account utente è il rischio inferiore di account in conflitto o utenti bloccati. Tuttavia, poiché il tuo piano prevede l'utilizzo di un IdP esterno per l'autenticazione, l'approccio presenta i seguenti svantaggi:
Non puoi attivare il Single Sign-On prima che tutti gli utenti pertinenti siano stati migrati. A seconda del numero di account non gestiti che devi gestire e della rapidità con cui gli utenti reagiscono alle tue richieste di trasferimento dell'account, questa migrazione potrebbe richiedere giorni o settimane.
Durante la migrazione, devi creare nuovi account utente in Cloud Identity o Google Workspace, oltre a creare account nel tuo IdP esterno. Allo stesso modo, per i dipendenti che lasciano l'organizzazione, devi disattivare o eliminare i loro account utente in Cloud Identity o Google Workspace e nell'IdP esterno. Questa amministrazione ridondante aumenta l'impegno complessivo e può introdurre incoerenze.
Il seguente diagramma illustra la procedura e i passaggi previsti da questo piano.
Configura gli account Cloud Identity o Google Workspace richiesti.
Per determinare il numero corretto di account Cloud Identity o Google Workspace da utilizzare, consulta Best practice per la pianificazione di account e organizzazioni. Per informazioni dettagliate su come creare gli account e su quali stakeholder potrebbero dover essere coinvolti, consulta Preparare gli account Cloud Identity o Google Workspace. Se alcune delle identità che vuoi integrare hanno account consumer esistenti, non creare account utente in Cloud Identity o Google Workspace per queste identità, perché ciò comporterebbe account in conflitto.
Inizia creando account utente solo per un piccolo insieme iniziale di identità. Ti consigliamo di utilizzare la Console di amministrazione per creare questi account anziché utilizzare l'API o il caricamento batch, perché la Console di amministrazione ti avviserà dell'imminente creazione di un account in conflitto.
Avvia la procedura di consolidamento degli account utente esistenti. Per informazioni dettagliate su come eseguire questa operazione e su quali parti interessate potrebbero dover essere coinvolte, consulta Consolidamento degli account utente esistenti.
Configura la federazione con il tuo IdP esterno. In genere, ciò significa configurare il provisioning automatico degli account utente e configurare il Single Sign-On.
Quando configuri la federazione, tieni conto dei consigli riportati in Best practice per la federazione Google Cloud con un provider di identità esterno.
Poiché a questo punto è già stata eseguita la migrazione di tutti gli account esistenti, non devi applicare alcuna configurazione speciale per rendere la federazione sicura per il consolidamento degli account.
Utilizza il tuo IdP esterno per creare account utente in Cloud Identity o Google Workspace per tutte le identità che devi integrare.
Passaggi successivi
- Se hai deciso di utilizzare la federazione con il consolidamento degli account utente, procedi valutando l'impatto del consolidamento degli account utente sulla federazione.
- Inizia la procedura di onboarding preparando gli account Cloud Identity o Google Workspace.