評估新手上路計畫

Cloud Identity 和 Google Workspace 可讓您管理企業身分，並控管 Google 服務的存取權。如要使用 Cloud Identity 和 Google Workspace 提供的功能，您必須先將現有和新的身分加入 Cloud Identity 或 Google Workspace。加入計畫的步驟如下：

• 準備 Cloud Identity 或 Google Workspace 帳戶。
• 如果您決定使用外部識別資訊提供者 (IdP)，請設定連結。
• 為公司身分建立使用者帳戶。
• 整合現有使用者帳戶。

本文將協助您評估完成這些步驟的最佳順序。

選取新手上路方案

選取新手指引計畫時，請考慮下列重要決策：

• 選取目標架構。最重要的是，您必須決定要將 Google 設為主要 IdP，還是使用外部 IdP。

  如果您尚未決定，請參閱參考架構總覽，進一步瞭解可能的選項。

• 決定是否要遷移現有的個人帳戶。如果您尚未使用 Cloud Identity 或 Google Workspace，貴機構的員工有可能已經使用個人帳戶來存取 Google 服務。如要保留這些使用者帳戶和資料，請將其遷移至 Cloud Identity 或 Google Workspace。

  如要進一步瞭解消費者帳戶、如何識別這類帳戶，以及這類帳戶可能對貴機構造成的風險，請參閱「評估現有使用者帳戶」。

如果您決定使用外部 IdP，並遷移現有的個人帳戶，則需要做出第三項決定：先設定連結，還是先遷移現有的使用者帳戶。請考量下列因素：

• 遷移個人帳戶需要取得擁有者的同意。需要遷移的使用者帳戶越多，取得所有受影響帳戶擁有者同意聲明所需的時間就越長。

  如要遷移 100 個以上的個人帳戶，建議您在遷移現有個人帳戶「之前」設定同盟。先設定聯盟，可確保所有新身分和每個遷移的使用者帳戶，都能立即享有單一登入、兩步驟驗證，以及 Cloud Identity 和 Google Workspace 提供的其他安全性功能。因此，設定同盟有助於快速提升整體安全防護機制。

  不過，您必須先設定身分識別提供者，確保現有使用者帳戶仍可遷移，才能設定同盟。這項設定可能會增加整體設定的複雜度。

• 如要遷移的個人帳戶少於 100 個，遷移這些使用者帳戶的程序應該會相當快速。在這種情況下，建議先遷移現有使用者帳戶，再設定同盟。先完成使用者帳戶遷移，即可避免設定身分識別提供者時，因仍需遷移現有使用者帳戶而產生的額外複雜度。

  不過，延後設定同盟可能會減緩改善整體安全防護設定的程序。

下圖概略說明如何選取最合適的入門方案。

這張圖顯示選取新手上路方案的決策路徑：

• 如果使用 Google 做為 IdP，請選取方案 1。
• 如果您未使用 Google 做為 IdP，且不想遷移現有帳戶，請選取方案 2。
• 在下列情境中選取「方案 3」：
  • 您未使用 Google 做為 IdP。
  • 您想遷移現有帳戶。
  • 您想先設定聯盟。
• 在下列情境中選取「方案 4」：
  • 您未使用 Google 做為 IdP。
  • 您想遷移現有帳戶。
  • 您不想先設定聯盟。

採用計畫

本節將列出一系列導入計畫，對應上一節討論的情境。

方案 1：不使用連結

如果符合下列所有條件，建議使用這項方案：

• 您想使用 Google 做為主要 IdP。
• 您可能需要將現有使用者帳戶遷移至 Cloud Identity 或 Google Workspace。

下圖說明這項計畫的程序和步驟。

1. 設定必要的 Cloud Identity 或 Google Workspace 帳戶。

   如要判斷要使用的 Cloud Identity 或 Google Workspace 帳戶數量是否合適，請參閱「規劃帳戶和機構的最佳做法」。如要瞭解如何建立帳戶，以及哪些利害關係人可能需要參與，請參閱「準備 Cloud Identity 或 Google Workspace 帳戶」。

2. 如果您想加入的某些身分已有消費者帳戶，請勿在 Cloud Identity 或 Google Workspace 中為這些身分建立使用者帳戶，否則會導致帳戶衝突。

   為盡量避免無意間建立衝突帳戶，請先為一小部分初始身分建立使用者帳戶。建議您使用管理控制台建立這些帳戶，而非使用 API 或批次上傳建立這些使用者帳戶，因為管理控制台會警告您即將建立衝突帳戶。

3. 開始整合現有使用者帳戶的程序。如要瞭解如何完成這項作業，以及哪些利害關係人可能需要參與，請參閱「整合現有使用者帳戶」。

4. 最後，為所有需要加入的其餘身分建立使用者帳戶。您可以使用管理控制台手動建立帳戶，如果需要大量導入身分，請考慮下列替代方案：

   • 使用 CSV 檔案，一次建立多位使用者。
   • 使用開放原始碼工具 (例如 Google Apps Manager (GAM))，自動建立使用者和群組。
   • 使用 Directory API。

方案 2：連結但不合併使用者帳戶

如果符合下列所有條件，建議使用這項方案：

• 您想使用外部 IdP。
• 您不需要遷移任何現有使用者帳戶。

下圖說明這項計畫的程序和步驟。

1. 設定必要的 Cloud Identity 或 Google Workspace 帳戶。

   如要判斷要使用的 Cloud Identity 或 Google Workspace 帳戶數量是否合適，請參閱「規劃帳戶和機構的最佳做法」。如要瞭解如何建立帳戶，以及哪些利害關係人可能需要參與這項程序，請參閱「準備 Cloud Identity 或 Google Workspace 帳戶」。

2. 設定與外部 IdP 的同盟。通常是指設定自動使用者帳戶佈建功能，以及設定單一登入。

   設定連結時，請參考「連結外部識別資訊提供者的最佳做法 Google Cloud 」一文中的建議。

3. 使用外部 IdP 在 Cloud Identity 或 Google Workspace 中，為所有需要加入的使用者建立帳戶。

4. 請確認Cloud Identity 或 Google Workspace 中的身分是外部 IdP 中身分的子集。詳情請參閱「調解孤立的代管使用者帳戶」。

方案 3：連結並合併使用者帳戶

如果符合下列所有條件，建議使用這項方案：

• 您想使用外部 IdP。
• 您需要將現有使用者帳戶遷移至 Cloud Identity 或 Google Workspace，但想先設定同盟。

這個方案可讓您快速開始使用單一登入功能。在 Cloud Identity 或 Google Workspace 中建立的新使用者帳戶，以及遷移後現有的使用者帳戶，都能立即使用單一登入功能。與外部 IdP 整合後，您就能減少使用者帳戶管理作業，因為 IdP 可以處理身分上線和下線作業。

與下一節說明的延遲聯盟計畫相比，這個計畫會增加帳戶衝突或使用者遭到鎖定的風險。因此，設定同盟時請務必謹慎。

下圖說明這項計畫的程序和步驟。

1. 設定必要的 Cloud Identity 或 Google Workspace 帳戶。

   如要判斷要使用的 Cloud Identity 或 Google Workspace 帳戶數量是否合適，請參閱「規劃帳戶和機構的最佳做法」。如要瞭解如何建立帳戶，以及哪些利害關係人可能需要參與這項程序，請參閱「準備 Cloud Identity 或 Google Workspace 帳戶」。

2. 設定與外部 IdP 的同盟。通常是指設定自動使用者帳戶佈建功能，以及設定單一登入。

   由於您想加入的部分身分已有現成消費者帳戶，且您仍需遷移這些帳戶，請務必防止外部 IdP 妨礙您整合現有消費者帳戶。

   如要進一步瞭解如何設定外部 IdP，確保帳戶合併作業安全無虞，請參閱「評估合併使用者帳戶對連結的影響」。

   設定連結時，請參考「連結外部識別資訊提供者的最佳做法 Google Cloud 」一文中的建議。

3. 使用外部 IdP 在 Cloud Identity 或 Google Workspace 中建立使用者帳戶，以供您初始導入的一組身分使用。

   請務必只為沒有現有使用者帳戶的身分建立使用者帳戶。

4. 開始整合現有使用者帳戶的程序。如要瞭解如何完成這項作業，以及哪些利害關係人可能需要參與，請參閱「整合現有使用者帳戶」。

5. 為確保帳戶合併設定安全無虞，請移除您套用至同盟設定的任何特殊設定。因為所有現有帳戶都已遷移，所以不再需要這項特殊設定。

6. 使用外部 IdP 在 Cloud Identity 或 Google Workspace 中，為所有需要加入的使用者建立帳戶。

方案 4：延遲聯盟

如果符合下列所有條件，建議使用這項方案：

• 您想使用外部 IdP。
• 設定聯盟前，您必須先將現有使用者帳戶遷移至 Cloud Identity 或 Google Workspace。

這個方案實際上是「不建立連結」和「建立連結但不合併使用者帳戶」的組合，如先前所述。相較於與使用者帳戶合併作業建立聯盟，這個方案的主要優點是能降低帳戶衝突或使用者遭到鎖定的風險。不過，由於您的計畫是最終要使用外部 IdP 進行驗證，因此這種方法有以下幾項缺點：

• 在所有相關使用者皆已遷移完畢前，您無法啟用單一登入。視您處理的非代管帳戶數量以及使用者回應帳戶轉移要求的速度而定，這項遷移作業可能需要數天甚或數週的時間。

• 遷移期間，除了在外部 IdP 中建立帳戶，您也必須在 Cloud Identity 或 Google Workspace 中建立新的使用者帳戶。同樣地，如果員工離職，您必須在 Cloud Identity 或 Google Workspace 和外部 IdP 中停用或刪除其使用者帳戶。這種多餘的管理作業會增加整體工作量，並可能導致不一致。

下圖說明這項計畫的程序和步驟。

1. 設定必要的 Cloud Identity 或 Google Workspace 帳戶。

   如要判斷要使用的 Cloud Identity 或 Google Workspace 帳戶數量是否合適，請參閱「規劃帳戶和機構的最佳做法」。如要瞭解如何建立帳戶，以及哪些利害關係人可能需要參與，請參閱「準備 Cloud Identity 或 Google Workspace 帳戶」。如果您想加入的某些身分已有消費者帳戶，請勿為這些身分在 Cloud Identity 或 Google Workspace 中建立使用者帳戶，否則會導致帳戶衝突。

2. 首先，請只為一小部分初始身分建立使用者帳戶。建議您使用管理控制台建立這些帳戶，而非使用 API 或批次上傳，因為管理控制台會警告您即將建立衝突帳戶。

3. 開始整合現有使用者帳戶的程序。如要瞭解如何完成這項作業，以及哪些利害關係人可能需要參與，請參閱「整合現有使用者帳戶」。

4. 設定與外部 IdP 的同盟。通常是指設定自動使用者帳戶佈建功能，以及設定單一登入。

   設定連結時，請參考「連結外部識別資訊提供者的最佳做法 Google Cloud 」一文中的建議。

   因為所有現有帳戶都已遷移，您不必套用任何特殊設定，即可確保帳戶整併作業的聯盟安全。

5. 使用外部 IdP 在 Cloud Identity 或 Google Workspace 中，為所有需要加入的使用者建立帳戶。

後續步驟

• 如果您決定使用聯盟並合併使用者帳戶，請繼續評估合併使用者帳戶對聯盟的影響。
• 首先請準備 Cloud Identity 或 Google Workspace 帳戶，然後開始啟用程序。