En este documento se describe cómo crear una cuenta de Cloud Identity o Google Workspace y cómo prepararla para una implementación en producción.
Antes de empezar
Para preparar tu cuenta de Cloud Identity o Google Workspace, debes hacer lo siguiente:
- Selecciona una arquitectura de destino para tu implementación de producción basándote en nuestras arquitecturas de referencia.
- Identifica si necesitas una o más cuentas adicionales de Cloud Identity o Google Workspace para producción o pruebas. Para obtener información sobre cómo identificar el número adecuado de cuentas que debes usar, consulta el artículo Prácticas recomendadas para planificar cuentas y organizaciones.
- Identifica un plan de incorporación adecuado y completa todas las actividades que se definen en él como requisitos previos para consolidar tus cuentas de usuario.
Para cada cuenta de Cloud Identity o Google Workspace que debas crear, asegúrate de lo siguiente:
- Has seleccionado el nombre de dominio DNS que quieres usar como nombre de dominio principal. Este nombre de dominio determina el nombre de la organización Google Cloud asociada. Puedes usar un nombre de dominio neutro como nombre de dominio principal.
- Has seleccionado los nombres de dominio DNS secundarios que quieres añadir a la cuenta. Asegúrate de no superar los 600 dominios en total por cuenta.
Para completar el proceso de registro de una nueva cuenta de Cloud Identity o Google Workspace, también necesitas la siguiente información:
- Un número de teléfono y una dirección de correo de contacto. Google usa este número de teléfono y esta dirección para ponerse en contacto contigo en caso de que haya algún problema con tu cuenta.
Una dirección de correo electrónico para la primera cuenta de usuario superadministrador. La dirección de correo electrónico debe usar el dominio DNS principal y no debe utilizarse en una cuenta de consumidor.
Si tienes previsto configurar la federación más adelante, selecciona una dirección de correo que se corresponda con un usuario de tu proveedor de identidades (IdP) externo.
Para crear una cuenta de Cloud Identity o Google Workspace, es posible que tengas que colaborar con varios equipos y partes interesadas de tu organización. Por ejemplo:
- Administradores de DNS. Para verificar los dominios DNS principales y secundarios, debes tener acceso de administrador a ambas zonas DNS.
- Si utilizas un IdP externo, los administradores de tu IdP externo.
- Futuros administradores de la organización Google Cloud .
Proceso para preparar una cuenta
El siguiente diagrama de flujo muestra el proceso para preparar tu cuenta de Cloud Identity o Google Workspace. Como se indica en los dos lados del diagrama, el proceso puede requerir la colaboración de diferentes equipos.
Regístrate en Cloud Identity o Google Workspace. Durante el proceso de registro, debes proporcionar un número de teléfono y una dirección de correo de contacto, el dominio principal que quieras usar y el nombre de usuario de la primera cuenta de superadministrador.
Verifica la propiedad de tu dominio principal creando un registro TXT o CNAME en la zona DNS correspondiente de tu servidor DNS.
Añade los dominios secundarios que quieras a la cuenta de Cloud Identity o Google Workspace.
Verifica la propiedad de los dominios secundarios creando registros TXT o CNAME en las zonas DNS correspondientes de tu servidor DNS.
Protege tu cuenta configurando los ajustes de seguridad.
Crea una configuración predeterminada para las cuentas de usuario.
Acceder de forma segura a tu cuenta
Durante el proceso de registro, creas un primer usuario en tu cuenta de Cloud Identity o Google Workspace. Esta cuenta de usuario tiene privilegios de superadministrador y acceso completo a la cuenta de Cloud Identity o Google Workspace.
Necesitas privilegios de superadministrador para completar la configuración inicial de tu cuenta de Cloud Identity o Google Workspace. Una vez que hayas completado la configuración inicial, serán pocas las ocasiones en las que necesites privilegios de superadministrador. Sin embargo, para asegurar la continuidad del negocio, es importante que tú y otro personal autorizado mantengáis el acceso de superadministrador a la cuenta de Cloud Identity o de Google Workspace:
Para asegurarte de que tienes este acceso, haz lo siguiente:
- Selecciona un grupo de administradores que deban tener acceso de superadministrador a la cuenta de Cloud Identity o Google Workspace. Lo mejor es que el número de usuarios sea reducido.
- Crea un conjunto de cuentas de usuario de superadministrador específicas para cada administrador.
- Aplica la autenticación de dos pasos de Google a estos usuarios y pídeles que creen códigos de seguridad para que puedan seguir accediendo aunque pierdan su teléfono o su llave USB.
- Indica a los administradores que usen las cuentas de superadministrador solo cuando sea necesario y desaconseja que las utilicen a diario.
Para obtener información sobre cómo proteger las cuentas de superadministrador, consulta el artículo Prácticas recomendadas para cuentas de superadministrador. Para asegurarte de que tu cuenta está protegida correctamente, sigue nuestra lista de comprobación de seguridad para medianas y grandes empresas.
Configurar los ajustes predeterminados de las cuentas de usuario
Cloud Identity y Google Workspace admiten varios ajustes que te ayudan a proteger las cuentas de usuario:
- Aplicar la verificación en dos pasos.
- Controlar quién puede acceder a Google Workspace y los servicios de Google.
- Permitir o denegar el acceso a aplicaciones poco seguras.
- Asignar licencias de Cloud Identity Premium o Google Workspace
- Elegir la ubicación geográfica de los datos y controlar el almacenamiento de datos complementarios (solo en Google Workspace).
Para minimizar el esfuerzo administrativo, lo mejor es configurar estos ajustes para que se apliquen de forma predeterminada a los nuevos usuarios. Puedes configurar ajustes predeterminados en los siguientes niveles:
- Global: un ajuste global se aplica a todos los usuarios, pero tiene la prioridad más baja.
- Unidad organizativa (UO): un ajuste configurado para una UO se aplica a todos los usuarios de la UO y a las UOs secundarias, y anula un ajuste global.
- Grupo: un ajuste configurado por grupo se aplica a todos los miembros del grupo y anula los ajustes de la unidad organizativa y los globales.
Crear una estructura de UOs
Si creas una estructura de unidades organizativas, puedes segmentar las cuentas de usuario de tu cuenta de Cloud Identity o Google Workspace en conjuntos independientes para que sean más fáciles de gestionar.
Si usas Cloud Identity junto con un IdP externo, puede que no sea necesario crear unidades organizativas personalizadas. En su lugar, puedes usar una combinación de ajustes globales y específicos de un grupo:
- Mantener todas las cuentas de usuario en la UO predeterminada.
- Para controlar quién tiene permiso para acceder a determinados servicios de Google, crea grupos específicos, como
Google Cloud Users and Google Ads Users, en tu proveedor de identidades externo. Aprovisiona estos grupos en Cloud Identity y aplícales la configuración predeterminada adecuada. Después, puedes controlar el acceso modificando las pertenencias a grupos en tu proveedor de identidades externo.
Si algunos o todos tus usuarios utilizan Google Workspace, es probable que necesites una estructura de UOs personalizada, ya que algunos de los ajustes específicos de Google Workspace no se pueden aplicar por grupo. Si usas un proveedor de identidades externo, lo mejor es que la estructura de la unidad organizativa sea sencilla, como se indica a continuación:
- Crea una estructura de UO básica que te permita asignar licencias, elegir la ubicación geográfica de tus datos y controlar el almacenamiento de datos complementarios automáticamente. En el resto de los ajustes, te recomendamos que los apliques por grupo.
- Configura tu proveedor de identidades externo para que los nuevos usuarios se asignen automáticamente a la unidad organizativa correcta.
- Crea grupos específicos, como
Google Cloud Users and Google Ads Users, en tu proveedor de identidades externo. Aprovisiona estos grupos en Google Workspace y aplícales la configuración predeterminada adecuada. Después, puedes controlar el acceso modificando la pertenencia a grupos en tu proveedor de identidades externo.
Impacto de la unidad organizativa predeterminada en la migración de cuentas
Si has identificado cuentas de consumidor que quieres migrar a Cloud Identity o Google Workspace, la unidad organizativa predeterminada tiene un papel especial. Si migras una cuenta de consumidor a Cloud Identity o Google Workspace, esa cuenta siempre se colocará en la unidad organizativa predeterminada y no formará parte de ningún grupo.
Para migrar una cuenta de consumidor, debes iniciar una transferencia de cuenta. El propietario de la cuenta de consumidor debe aprobar esta transferencia. Como administrador, tienes un control limitado sobre cuándo puede dar su consentimiento el propietario, por lo que puedes completar la transferencia.
Cuando se complete la transferencia, todos los ajustes aplicados a la UO predeterminada se aplicarán a la cuenta de usuario migrada. Asegúrate de que estos ajustes concedan un nivel de acceso básico a los servicios de Google para que el empleado asociado pueda trabajar sin problemas.
Prácticas recomendadas
Cuando prepares tu cuenta de Cloud Identity o Google Workspace, sigue estas prácticas recomendadas:
- Si usas un IdP externo, entonces asegúrate de que los usuarios de Cloud Identity o Google Workspace sean un subconjunto de las identidades de tu IdP externo.
- Plantéate acortar la duración de sesión predeterminada y la duración de sesión que usa Google Cloud. Cuando utilices un IdP externo, asegúrate de alinear la duración de la sesión con tu IdP.
- Exporta los registros de auditoría a BigQuery para conservarlos más allá del periodo de retención predeterminado.
- Para proteger tu cuenta, revisa periódicamente nuestra lista de comprobación de seguridad para medianas y grandes empresas.
Siguientes pasos
- Consulta cómo consolidar tus cuentas de usuario.