Architetture di riferimento

Last reviewed 2024-07-11 UTC

Questo documento presenta architetture tipiche che puoi utilizzare come riferimento per la gestione delle identità aziendali. Due principi fondamentali della gestione dell'identità aziendale sono:

  • Una fonte autorevole per le identità, ovvero l'unico sistema che utilizzi per creare, gestire ed eliminare le identità dei tuoi dipendenti. Le identità gestite nel sistema di origine autorevole potrebbero essere propagate ad altri sistemi.

  • Un provider di identità (IdP) centrale che è l'unico sistema per l'autenticazione e che offre un'esperienza Single Sign-On per i tuoi dipendenti che si estende alle applicazioni.

Quando utilizzi Google Cloud o altri servizi Google, devi decidere quale sistema utilizzare come provider di identità e quale sistema utilizzare come origine autorevole.

Utilizzare Google come IdP

Utilizzando Cloud Identity Premium o Google Workspace, puoi impostare Google come IdP principale. Google offre un'ampia selezione di integrazioni pronte all'uso per le applicazioni di terze parti più diffuse e puoi utilizzare protocolli standard come SAML, OAuth e OpenID Connect per integrare le tue applicazioni personalizzate.

Google come IdP e fonte autorevole

Puoi utilizzare Cloud Identity Premium o Google Workspace sia come IdP sia come origine autorevole, come nel seguente diagramma.

Google come IdP e fonte autorevole.

  • Utilizzi Cloud Identity Premium o Google Workspace per gestire utenti e gruppi.
  • Tutti i servizi Google utilizzano Cloud Identity Premium o Google Workspace come IdP.
  • Configura le applicazioni aziendali e altri servizi SaaS in modo che utilizzino Google come IdP.

Esperienza utente

In questa configurazione, l'esperienza di accesso per un dipendente è la seguente:

  1. Quando un dipendente richiede una risorsa protetta o l'accesso a un'applicazione aziendale, viene reindirizzato alla schermata di accesso a Google, che richiede l'indirizzo email e la password.
  2. Se la verifica in due passaggi è attivata, al dipendente viene chiesto di fornire un secondo fattore, ad esempio una chiave USB o un codice.
  3. Una volta autenticato, il dipendente viene reindirizzato alla risorsa protetta.

Vantaggi

L'utilizzo di Google come IdP e origine autorevole presenta i seguenti vantaggi:

Quando utilizzare questa architettura

Prendi in considerazione l'utilizzo di Google come IdP e origine autorevole nei seguenti scenari:

  • Utilizzi già Google Workspace come soluzione di collaborazione e produttività.
  • Non esiste un'infrastruttura on-premise o un IdP con cui devi eseguire l'integrazione o che vuoi mantenere separato da tutte le tue risorse su Google (in Google Cloud, in Google Ads e così via).
  • Non è necessaria l'integrazione con un sistema informativo delle risorse umane (HRIS) per gestire le identità.

Google come IdP con un HRIS come fonte autorevole

Se utilizzi un sistema informativo delle risorse umane (HRIS) per gestire la procedura di onboarding e offboarding dei tuoi dipendenti, puoi comunque utilizzare Google come IdP. Cloud Identity e Google Workspace forniscono API che consentono ai sistemi HRIS e ad altri sistemi di assumere il controllo della gestione di utenti e gruppi, come mostrato nel seguente diagramma.

Google come IdP con un HRIS come fonte autorevole.

  • Utilizzi il tuo sistema HRIS esistente per gestire gli utenti e, facoltativamente, i gruppi. Il sistema HRIS rimane l'unica fonte di verità per la gestione delle identità e provisiona automaticamente gli utenti per Cloud Identity o Google Workspace.
  • Tutti i servizi Google utilizzano Cloud Identity Premium o Google Workspace come IdP.
  • Configura le applicazioni aziendali e altri servizi SaaS in modo che utilizzino Google come IdP.

Esperienza utente

Per un dipendente, l'esperienza utente di accesso equivale all'utilizzo di Google come IdP e fonte autorevole.

Vantaggi

L'utilizzo di Google come IdP e origine autorevole presenta i seguenti vantaggi:

  • Puoi ridurre al minimo il sovraccarico amministrativo riutilizzando i flussi di lavoro HRIS esistenti.
  • Puoi sfruttare al meglio le funzionalità di autenticazione a più fattori e di gestione dei dispositivi mobili di Google.
  • Non hai bisogno di un IdP aggiuntivo, il che potrebbe farti risparmiare.

Quando utilizzare questa architettura

Valuta la possibilità di utilizzare Google come IdP con un sistema HRIS come origine autorevole nei seguenti scenari:

  • Hai un sistema HRIS o un altro sistema esistente che funge da fonte autorevole per le identità.
  • Utilizzi già Google Workspace come soluzione di collaborazione e produttività.
  • Non esiste un'infrastruttura on-premise o un IdP esistente con cui devi eseguire l'integrazione o che vuoi mantenere separato dal tuo patrimonio Google.

Utilizzare un IdP esterno

Se la tua organizzazione utilizza già un IdP come Active Directory, Azure AD, ForgeRock, Okta o Ping Identity, puoi eseguire l'integrazione Google Cloud con questo IdP esterno utilizzando la federazione.

Se federi un account Cloud Identity o Google Workspace con un IdP esterno, puoi consentire ai dipendenti di utilizzare le proprie credenziali e identità esistenti per accedere ai servizi Google come Google Cloud, Google Marketing Platform e Google Ads.

IDaaS esterno come IdP e origine autorevole

Se utilizzi un provider di identità come servizio (IDaaS) come ForgeRock, Okta o Ping Identity, puoi configurare la federazione come illustrato nel seguente diagramma.

IDaaS esterno come IdP e origine autorevole.

  • Cloud Identity o Google Workspace utilizza il tuo IDaaS come IdP per il Single Sign-On.
  • L'IDaaS esegue automaticamente il provisioning di utenti e gruppi per Cloud Identity o Google Workspace.
  • Le applicazioni aziendali esistenti e altri servizi SaaS possono continuare a utilizzare il tuo IDaaS come IdP.

Per saperne di più sulla federazione di Cloud Identity o Google Workspace con Okta, vedi Provisioning utenti e Single Sign-On di Okta.

Esperienza utente

Per un dipendente, l'esperienza utente di accesso è la seguente:

  1. Quando richiede una risorsa protetta, il dipendente viene reindirizzato alla schermata di accesso con Google, che gli chiede di inserire il suo indirizzo email.
  2. Accedi con Google ti reindirizza alla pagina di accesso del tuo IDaaS.
  3. Esegui l'autenticazione con il tuo IDaaS. A seconda del tuo IDaaS, potrebbe esserti richiesto di fornire un secondo fattore, ad esempio un codice.
  4. Una volta autenticato, il sistema ti reindirizzerà alla risorsa protetta.

Vantaggi

L'utilizzo di un IDaaS esterno come IdP e origine autorevole presenta i seguenti vantaggi:

  • Attivi un'esperienza Single Sign-On per i tuoi dipendenti che si estende ai servizi Google e ad altre applicazioni integrate con il tuo IDaaS.
  • Se hai configurato il tuo IDaaS in modo da richiedere l'autenticazione a più fattori, questa configurazione viene applicata automaticamente a Google Cloud.
  • Non è necessario sincronizzare le password o altre credenziali con Google.
  • Puoi utilizzare la versione gratuita di Cloud Identity.

Quando utilizzare questa architettura

Valuta la possibilità di utilizzare un IDaaS esterno come IdP e origine autorevole nei seguenti scenari:

  • Utilizzi già un provider IDaaS come ForgeRock, Okta o Ping Identity come IdP.

Best practice

Consulta le nostre best practice per la federazione Google Cloud con un provider di identità esterno.

Active Directory come IdP e origine autorevole

Se utilizzi Active Directory come origine attendibile per la gestione delle identità, puoi configurare la federazione come illustrato nel seguente diagramma.

Active Directory come IdP e origine autorevole.

  • Utilizzi Google Cloud Directory Sync (GCDS) per eseguire automaticamente il provisioning di utenti e gruppi da Active Directory per Cloud Identity o Google Workspace. Google Cloud Directory Sync è uno strumento gratuito fornito da Google che implementa il processo di sincronizzazione e può essere eseguito su Google Cloud o nel tuo ambiente on-premise. La sincronizzazione è unidirezionale, quindi Active Directory rimane la fonte attendibile.
  • Cloud Identity o Google Workspace utilizza Active Directory Federation Services (AD FS) per il Single Sign-On.
  • Le applicazioni aziendali esistenti e altri servizi SaaS possono continuare a utilizzare AD FS come IdP.

Per una variante di questo pattern, puoi anche utilizzare Active Directory Lightweight Directory Services (AD LDS) o una directory LDAP diversa con AD FS o un altro IdP conforme a SAML.

Per saperne di più su questo approccio, vedi Federare Google Cloud con Active Directory.

Esperienza utente

  1. Quando richiede la risorsa protetta, il dipendente viene reindirizzato alla schermata di accesso con Google, che gli chiede di inserire il suo indirizzo email.
  2. Accedi con Google reindirizza il dipendente alla pagina di accesso di AD FS.
  3. A seconda della configurazione di AD FS, il dipendente potrebbe visualizzare una schermata di accesso che richiede il nome utente e la password di Active Directory. In alternativa, AD FS potrebbe tentare di accedere automaticamente per conto del dipendente in base all'accesso a Windows.
  4. Una volta autenticato il dipendente, AD FS lo reindirizza alla risorsa protetta.

Vantaggi

L'utilizzo di Active Directory come IdP e origine autorevole presenta i seguenti vantaggi:

  • Attivi un'esperienza Single Sign-On per i tuoi dipendenti che si estende ai servizi Google e al tuo ambiente on-premise.
  • Se hai configurato AD FS in modo da richiedere l'autenticazione a più fattori, questa configurazione viene applicata automaticamente a Google Cloud.
  • Non è necessario sincronizzare le password o altre credenziali con Google.
  • Puoi utilizzare la versione gratuita di Cloud Identity.
  • Poiché le API utilizzate da GCDS sono accessibili pubblicamente, non è necessario configurare la connettività ibrida tra la rete on-premise e Google Cloud.

Quando utilizzare questa architettura

Valuta la possibilità di utilizzare Active Directory come IdP e origine autorevole nei seguenti scenari:

  • Hai un'infrastruttura Active Directory esistente.
  • Vuoi offrire un'esperienza di accesso senza problemi per gli utenti Windows.

Best practice

Tieni presente le seguenti best practice:

  • Active Directory e Cloud Identity utilizzano una struttura logica diversa. Assicurati di comprendere le differenze e valuta quale metodo di mappatura di domini, identità e gruppi è più adatto alla tua situazione. Per maggiori informazioni, consulta la nostra guida alla federazione Google Cloud con Active Directory.
  • Sincronizza i gruppi oltre agli utenti. Con questo approccio, puoi configurare IAM in modo da utilizzare le appartenenze ai gruppi in Active Directory per controllare chi ha accesso a quali risorse inGoogle Cloud.
  • Esegui il deployment ed esponi AD FS in modo che gli utenti aziendali possano accedervi, ma non esporlo più del necessario. Sebbene gli utenti aziendali debbano essere in grado di accedere ad AD FS, non è necessario che AD FS sia raggiungibile da Cloud Identity o Google Workspace o da qualsiasi applicazione di cui è stato eseguito il deployment su Google Cloud.
  • Valuta la possibilità di attivare l'autenticazione integrata di Windows (IWA) in AD FS per consentire agli utenti di accedere automaticamente in base all'accesso a Windows.
  • Se AD FS non è disponibile, gli utenti potrebbero non essere in grado di utilizzare la consoleGoogle Cloud o qualsiasi altra risorsa che utilizza Google come IdP. Assicurati quindi che AD FS e i controller di dominio su cui si basa AD FS siano implementati e dimensionati in modo da soddisfare i tuoi obiettivi di disponibilità.

  • Se utilizzi Google Cloud per garantire la continuità operativa, l'utilizzo di AD FS on-premise potrebbe compromettere l'intento di utilizzare Google Cloud come copia indipendente del deployment. In questo caso, valuta la possibilità di eseguire il deployment delle repliche di tutti i sistemi pertinenti su Google Cloud in uno dei seguenti modi:

    • Estendi il tuo dominio Active Directory esistente a Google Cloud ed esegui il deployment di GCDS su Google Cloud.
    • Esegui server AD FS dedicati su Google Cloud. Questi server utilizzano i domain controller Active Directory in esecuzione su Google Cloud.
    • Configura Cloud Identity per utilizzare i server AD FS di cui è stato eseguito il deployment su Google Cloud per il Single Sign-On.

Per saperne di più, consulta le best practice per la federazione Google Cloud con un provider di identità esterno.

Azure AD come IdP con Active Directory come origine autorevole

Se sei un cliente Microsoft Office 365 o Azure, potresti aver connesso il tuo Active Directory on-premise ad Azure AD. Se tutti gli account utente che potenzialmente devono accedere a Google Cloud sono già sincronizzati con Azure AD, puoi riutilizzare questa integrazione federando Cloud Identity con Azure AD, come mostrato nel seguente diagramma.

Azure AD come IdP con Active Directory come origine autorevole.

  • Utilizzi Azure AD per eseguire automaticamente il provisioning di utenti e gruppi in Cloud Identity o Google Workspace. Azure AD stesso potrebbe essere integrato con un Active Directory on-premise.
  • Cloud Identity o Google Workspace utilizzano Azure AD per il single sign-on.
  • Le applicazioni aziendali esistenti e altri servizi SaaS possono continuare a utilizzare Azure AD come IdP.

Per informazioni più dettagliate su questo approccio, vedi Federare Google Cloud con Azure Active Directory.

Esperienza utente

  1. Quando richiede la risorsa protetta, il dipendente viene reindirizzato alla schermata di accesso con Google, che gli chiede l'indirizzo email.
  2. L'accesso con Google li reindirizza alla pagina di accesso di AD FS.
  3. A seconda di come è connesso Active Directory on-premise ad Azure AD, Azure AD potrebbe chiedere un nome utente e una password oppure potrebbe reindirizzare l'utente a un AD FS on-premise.
  4. Una volta autenticato con Azure AD, il dipendente viene reindirizzato alla risorsa protetta.

Vantaggi

L'utilizzo di Azure AD come IdP con Active Directory come origine autorevole presenta diversi vantaggi:

  • Attivi un'esperienza Single Sign-On per i tuoi dipendenti che si estende ai servizi Google, ad Azure e al tuo ambiente on-premise.
  • Se hai configurato Azure AD in modo da richiedere l'autenticazione a più fattori, questa configurazione viene applicata automaticamente a Google Cloud.
  • Non è necessario installare software on-premise aggiuntivi.
  • Se Active Directory on-premise utilizza più domini o foreste e hai configurato una configurazione personalizzata di Azure AD Connect per mappare questa struttura a un tenant Azure AD, puoi sfruttare questa integrazione.
  • Non è necessario sincronizzare le password o altre credenziali con Google.
  • Puoi utilizzare la versione gratuita di Cloud Identity.
  • Puoi visualizzare la console Google Cloud come riquadro nel portale Office 365.
  • Poiché le API utilizzate da Azure AD sono accessibili pubblicamente, non è necessario configurare la connettività ibrida tra Azure e Google Cloud.

Quando utilizzare questa architettura

Valuta la possibilità di utilizzare Azure AD come IdP con Active Directory come origine autorevole nei seguenti scenari:

  • Utilizzi già Azure AD e lo hai integrato con un'infrastruttura Active Directory esistente.
  • Vuoi offrire agli utenti un'esperienza di accesso senza problemi su Azure e Google Cloud.

Best practice

Segui queste best practice:

  • Poiché Azure AD e Cloud Identity utilizzano una struttura logica diversa, assicurati di comprendere le differenze. Valuta quale metodo di mapping di domini, identità e gruppi è più adatto alla tua situazione. Per informazioni più dettagliate, consulta Federare Google Cloud con Azure AD.
  • Sincronizza i gruppi oltre agli utenti. Con questo approccio, puoi configurare IAM in modo da utilizzare le appartenenze ai gruppi in Azure AD per controllare chi ha accesso a quali risorse inGoogle Cloud.
  • Se utilizzi Google Cloud per garantire la continuità operativa, affidarsi ad Azure AD per l'autenticazione potrebbe compromettere l'intento di utilizzareGoogle Cloud come copia indipendente del deployment.

Per saperne di più, consulta le best practice per la federazione Google Cloud con un provider di identità esterno.

Passaggi successivi