Ce document explique comment créer un compte Cloud Identity ou Google Workspace et comment le préparer pour un déploiement en production.
Avant de commencer
Pour préparer votre compte Cloud Identity ou Google Workspace, procédez comme suit :
- Sélectionnez une architecture cible pour votre déploiement de production en fonction de nos architectures de référence.
- Déterminez si vous avez besoin d'un ou plusieurs comptes Cloud Identity ou Google Workspace supplémentaires à des fins de production ou de préproduction. Pour en savoir plus sur l'identification du nombre approprié de comptes à utiliser, consultez l'article Bonnes pratiques de planification des comptes et des organisations.
- Vous avez identifié un plan d'intégration approprié et effectué toutes les activités qu'il définit comme des conditions préalables au regroupement de vos comptes utilisateur existants.
Pour chaque compte Cloud Identity ou Google Workspace que vous devez créer, vérifiez les points suivants :
- Vous avez sélectionné le nom de domaine DNS à utiliser comme nom de domaine principal. Ce nom de domaine détermine le nom de l'organisation Google Cloud associée. Vous pouvez utiliser un nom de domaine neutre comme nom de domaine principal.
- Vous avez sélectionné tous les noms de domaine DNS secondaires que vous souhaitez ajouter au compte. Assurez-vous de ne pas dépasser un total de 600 domaines par compte.
Pour terminer le processus d'inscription à un nouveau compte Cloud Identity ou Google Workspace, vous avez également besoin des informations suivantes :
- Un numéro de téléphone et une adresse e-mail de contact. Google utilise ce numéro de téléphone et cette adresse pour vous contacter en cas de problème avec votre compte.
L'adresse e-mail du premier compte utilisateur super-administrateur. L'adresse e-mail doit utiliser le domaine DNS principal et ne doit pas être utilisée par un compte personnel existant.
Si vous envisagez de configurer la fédération ultérieurement, sélectionnez une adresse e-mail qui correspond à un utilisateur de votre fournisseur d'identité externe (IdP).
La création d'un compte Cloud Identity ou Google Workspace peut nécessiter une collaboration entre plusieurs équipes et acteurs de votre organisation. Il peut s'agir des éléments suivants :
- Administrateurs DNS. Pour valider les domaines DNS principal et secondaire, vous avez besoin d'un accès administrateur aux deux zones DNS.
- Si vous utilisez un fournisseur d'identité externe, les administrateurs de votre fournisseur d'identité externe.
- Les futurs administrateurs de l'organisation Google Cloud.
Processus de préparation d'un compte
Le diagramme suivant illustre le processus de préparation de votre compte Cloud Identity ou Google Workspace. Comme l'indiquent les deux côtés du diagramme, le processus peut nécessiter une collaboration entre différentes équipes.
Inscrivez-vous à Cloud Identity ou Google Workspace. Lors de l'inscription, vous devez fournir un numéro de téléphone et une adresse e-mail de contact, le domaine principal que vous souhaitez utiliser et le nom d'utilisateur du premier compte utilisateur super-administrateur.
Validez la propriété de votre domaine principal en créant un enregistrement TXT ou CNAME dans la zone DNS correspondante de votre serveur DNS.
Ajoutez des domaines secondaires au compte Cloud Identity ou Google Workspace.
Validez la propriété des domaines secondaires en créant des enregistrements TXT ou CNAME dans les zones DNS correspondantes de votre serveur DNS.
Protégez votre compte en configurant les paramètres de sécurité.
Créez une configuration par défaut pour les comptes utilisateur.
Sécuriser l'accès à votre compte
Au cours du processus d'inscription, vous créez un premier utilisateur dans votre compte Cloud Identity ou Google Workspace. Ce compte utilisateur dispose de droits de super-administrateur et d'un accès complet au compte Cloud Identity ou Google Workspace.
Vous devez disposer de droits de super-administrateur pour terminer la configuration initiale de votre compte Cloud Identity ou Google Workspace. Une fois la configuration initiale terminée, les occurrences nécessitant des droits de super-administrateur sont rares. Toutefois, pour assurer la continuité des activités, il est important que vous et les autres membres du personnel autorisés conserviez un accès super-administrateur au compte Cloud Identity ou Google Workspace :
Pour garantir cet accès, procédez comme suit :
- Sélectionnez un groupe d'administrateurs qui doivent disposer d'un accès super-administrateur au compte Cloud Identity ou Google Workspace. Il est préférable de limiter le nombre d'utilisateurs.
- Créez un ensemble de comptes utilisateur de super-administrateur dédiés pour chaque administrateur.
- Appliquez l'authentification en deux étapes à Google pour ces utilisateurs et demandez-leur de créer des codes de secours afin de conserver l'accès même en cas de perte de leur téléphone ou de leur clé USB.
- Demandez aux administrateurs de n'utiliser les comptes super-administrateur que si nécessaire, et déconseillez leur utilisation quotidienne.
Pour en savoir plus sur la protection des utilisateurs de super-administrateurs, consultez l'article Bonnes pratiques relatives aux comptes super-administrateur. Pour vous assurer que votre compte est correctement sécurisé, suivez notre checklist de sécurité pour les moyennes et grandes entreprises.
Configurer les paramètres par défaut pour les comptes utilisateur
Cloud Identity et Google Workspace sont compatibles avec un certain nombre de paramètres qui vous aident à protéger les comptes utilisateur :
- exiger la validation en deux étapes ;
- contrôler l'accès des utilisateurs aux services Google Workspace et Google ;
- autoriser ou interdire l'accès aux applications moins sécurisées ;
- attribuer des licences pour Cloud Identity Premium ou Google Workspace ;
- choisir l'emplacement géographique de vos données et contrôler le stockage de données supplémentaires (Google Workspace uniquement).
Pour minimiser les tâches administratives, il est préférable de configurer ces paramètres afin qu'ils soient appliqués par défaut aux nouveaux utilisateurs. Vous pouvez configurer les paramètres par défaut aux niveaux suivants :
- Global : un paramètre global s'applique à tous les utilisateurs, mais a la priorité la plus faible.
- Unité organisationnelle : un paramètre configuré pour une unité organisationnelle s'applique à tous les utilisateurs de l'unité organisationnelle et aux unités descendantes, et remplace un paramètre global.
- Groupe : un paramètre configuré par groupe s'applique à tous les membres du groupe et remplace les paramètres globaux et les unités organisationnelles.
Créer une structure d'unités organisationnelles (UO)
En créant une structure d'unités organisationnelles, vous pouvez segmenter les comptes utilisateur de votre compte Cloud Identity ou Google Workspace en ensembles discrets pour en faciliter la gestion.
Si vous utilisez Cloud Identity en combinaison avec un IdP externe, la création d'unités organisationnelles personnalisées n'est pas toujours nécessaire. À la place, vous pouvez utiliser une combinaison de paramètres globaux et spécifiques au groupe :
- Conservez tous les comptes utilisateur dans l'unité organisationnelle par défaut.
- Pour contrôler qui est autorisé à accéder à certains services Google, créez des groupes dédiés tels que
Google Cloud Users and Google Ads Users
dans votre fournisseur d'identité externe. Provisionnez ces groupes dans Cloud Identity et appliquez-leur les bons paramètres par défaut. Vous pouvez ensuite contrôler l'accès en modifiant les appartenances aux groupes dans votre fournisseur d'identité externe.
Si certains de vos utilisateurs ou tous utilisent Google Workspace, vous aurez probablement besoin d'une structure d'unités organisationnelles personnalisées, car certains paramètres spécifiques à Google Workspace ne peuvent pas être appliqués par groupe. Si vous utilisez un fournisseur d'identité externe, il est préférable que la structure de l'unité organisationnelle soit simple, comme suit :
- Créez une structure d'unité organisationnelle de base qui vous permet d'attribuer automatiquement des licences, de choisir l'emplacement géographique de vos données et de contrôler le stockage de données supplémentaires. Pour tous les autres paramètres, nous vous recommandons d'appliquer les paramètres par groupe.
- Configurez votre fournisseur d'identité externe de sorte que les nouveaux utilisateurs soient automatiquement affectés à l'unité organisationnelle appropriée.
- Créez des groupes dédiés tels que
Google Cloud Users and Google Ads Users
dans votre fournisseur d'identité externe. Provisionnez ces groupes dans Google Workspace et appliquez-leur les paramètres par défaut appropriés. Vous pouvez ensuite contrôler l'accès en modifiant les appartenances aux groupes dans votre fournisseur d'identité externe.
Impact de l'unité organisationnelle par défaut sur la migration du compte
Si vous avez identifié des comptes personnels existants que vous envisagez de migrer vers Cloud Identity ou Google Workspace, l'unité organisationnelle par défaut joue un rôle spécial. Si vous migrez un compte personnel vers Cloud Identity ou Google Workspace, ce compte est toujours placé dans l'unité organisationnelle par défaut et ne fait partie d'aucun groupe.
Pour transférer un compte personnel, vous devez lancer un transfert de compte. Ce transfert doit être approuvé par le propriétaire du compte personnel. En tant qu'administrateur, vous disposez d'un contrôle limité sur le moment où le propriétaire peut donner son consentement. Vous pouvez donc effectuer le transfert.
Une fois le transfert terminé, tous les paramètres appliqués à l'unité organisationnelle par défaut prennent effet sur le compte utilisateur migré. Assurez-vous que ces paramètres accordent un niveau d'accès de base aux services Google afin que la capacité de travail des employés associés ne soit pas entravée.
Bonnes pratiques
Lorsque vous préparez votre compte Cloud Identity ou Google Workspace, suivez ces bonnes pratiques :
- Si vous utilisez un fournisseur d'identité externe, assurez-vous que les utilisateurs de Cloud Identity ou de Google Workspace constituent un sous-ensemble des identités de votre fournisseur d'identité externe.
- Envisagez de raccourcir la durée de session par défaut et la durée de session utilisée par Google Cloud. Lorsque vous utilisez un fournisseur d'identité externe, assurez-vous d'aligner la durée de la session sur votre fournisseur d'identité.
- Exportez les journaux d'audit vers BigQuery pour les conserver au-delà de la période de conservation par défaut.
- Pour protéger votre compte, consultez régulièrement notre liste de contrôle de sécurité destinée aux moyennes et grandes entreprises.
Étape suivante
- Découvrez comment regrouper vos comptes utilisateur existants.