Decide cómo incorporar identidades a Google Cloud

Last reviewed 2024-10-31 UTC

En este documento se describen las opciones de aprovisionamiento de identidades para Google Cloud y las decisiones que debes tomar al incorporar a tus usuarios a Cloud Identity o Google Workspace. En este documento también se indica dónde encontrar más información sobre cómo implementar cada opción.

Este documento forma parte de una serie sobre landing zones y está dirigido a arquitectos y profesionales técnicos que participan en la gestión de identidades de tu organización y de tu implementación de Google Cloud.

Información general

Para que los usuarios de tu organización puedan acceder a tus Google Cloud recursos, debes proporcionarles un método para que se autentiquen. Google Cloud usa el inicio de sesión de Google para autenticar a los usuarios, que es el mismo proveedor de identidades (IdP) que usan otros servicios de Google, como Gmail o Google Ads.

Aunque algunos usuarios de tu organización ya tengan una cuenta de usuario privada de Google, te recomendamos que no les permitas usar sus cuentas privadas cuando accedan a Google Cloud. En su lugar, puedes incorporar a tus usuarios a Cloud Identity o Google Workspace, lo que te permite controlar el ciclo de vida y la seguridad de las cuentas de usuario.

El aprovisionamiento de identidades en Google Cloud es un tema complejo y tu estrategia exacta puede requerir más detalles de los que se incluyen en esta guía de decisiones. Para obtener más información sobre las prácticas recomendadas, la planificación y la implementación, consulta la descripción general de la gestión de identidades y accesos.

Puntos de decisión para la incorporación de la identidad

Para elegir el mejor diseño de aprovisionamiento de identidades para tu organización, debes tomar las siguientes decisiones:

Decidir la arquitectura de identidad

Gestionar el ciclo de vida y la seguridad de las cuentas de usuario es fundamental para proteger tu implementación de Google Cloud . Una decisión clave que debes tomar es el papel que debe desempeñar Google Cloud en relación con tus sistemas y aplicaciones de gestión de identidades. Estas son las opciones:

  • Usa Google como proveedor de identidades principal.
  • Usa la federación con un proveedor de identidades externo.

En las siguientes secciones se ofrece más información sobre cada opción.

Opción 1: Usar Google como fuente principal de identidades (sin federación)

Cuando creas cuentas de usuario directamente en Cloud Identity o Google Workspace, puedes convertir a Google en tu fuente de identidades y en tu IdP principal. Los usuarios pueden usar estas identidades y credenciales para iniciar sesión en Google Cloud y otros servicios de Google.

Cloud Identity y Google Workspace ofrecen una amplia selección de integraciones listas para usar con aplicaciones de terceros populares. También puedes usar protocolos estándar como SAML, OAuth y OpenID Connect para integrar tus aplicaciones personalizadas con Cloud Identity o Google Workspace.

Usa esta estrategia cuando se cumplan las siguientes condiciones:

  • Tu organización ya tiene identidades de usuario aprovisionadas en Google Workspace.
  • Tu organización no tiene ningún proveedor de identidades.
  • Tu organización ya tiene un proveedor de identidades, pero quiere empezar rápidamente con un pequeño subconjunto de usuarios y federar identidades más adelante.

No utilices esta estrategia si ya tienes un proveedor de identidades que quieres usar como fuente autorizada de identidades.

Para obtener más información, consulta las siguientes secciones:

Opción 2: Usar la federación con un proveedor de identidades externo

Puedes integrar Google Cloud con un IdP externo que ya tengas mediante la federación. La federación de identidades establece una relación de confianza entre dos o más proveedores de identidades para que se puedan vincular las distintas identidades que un usuario pueda tener en diferentes sistemas de gestión de identidades.

Cuando federas una cuenta de Cloud Identity o Google Workspace con un proveedor de identidades externo, permites que los usuarios utilicen su identidad y sus credenciales para iniciar sesión en Google Cloud y otros servicios de Google.

Usa esta estrategia cuando se cumplan las siguientes condiciones:

  • Tienes un proveedor de identidades, como Active Directory, Azure AD, ForgeRock, Okta o Ping Identity.
  • Quieres que los empleados usen sus identidades y credenciales para iniciar sesión en Google Cloud y en otros servicios de Google, como Google Ads y Google Marketing Platform.

No utilices esta estrategia si tu organización no tiene ningún proveedor de identidades.

Para obtener más información, consulta las siguientes secciones:

Decidir cómo consolidar las cuentas de usuario

Si no has usado Cloud Identity ni Google Workspace, es posible que los empleados de tu organización estén usando cuentas de consumidor para acceder a tus servicios de Google. Las cuentas de consumidor son cuentas que pertenecen y están gestionadas por completo por las personas que las han creado. Como esas cuentas no están bajo el control de tu organización y pueden incluir datos personales y de empresa, debes decidir cómo consolidarlas con otras cuentas de empresa.

Para obtener información sobre las cuentas de consumidor, cómo identificarlas y qué riesgos pueden suponer para tu organización, consulta el artículo Evaluar las cuentas de usuario que ya se usan.

Estas son las opciones para consolidar las cuentas:

  • Consolida un subconjunto relevante de cuentas de consumidor.
  • Consolida todas las cuentas mediante la migración.
  • Consolida todas las cuentas mediante la expulsión, es decir, no migres las cuentas antes de crear otras nuevas.

En las siguientes secciones se ofrece más información sobre cada opción.

Opción 1: Consolidar un subconjunto relevante de cuentas de consumidor

Si quieres conservar las cuentas de consumidor y gestionarlas, así como sus datos, de acuerdo con las políticas de la empresa, debes migrarlas a Cloud Identity o Google Workspace. Sin embargo, el proceso de consolidación de cuentas de consumidor puede llevar tiempo. Por lo tanto, te recomendamos que primero evalúes qué subconjunto de usuarios es relevante para la implementación que tienes prevista y, a continuación, consolides solo esas cuentas de usuario. Google Cloud

Usa esta estrategia cuando se cumplan las siguientes condiciones:

No uses esta estrategia si se cumple lo siguiente:

  • No tienes cuentas de usuario de consumidor en tu dominio.
  • Quieres asegurarte de que todos los datos de todas las cuentas de usuario de consumidor de tu dominio se consoliden en cuentas gestionadas antes de empezar a usarGoogle Cloud.

Para obtener más información, consulta la descripción general de la consolidación de cuentas.

Opción 2: Consolidar todas las cuentas mediante la migración

Si quieres gestionar todas las cuentas de usuario de tu dominio, puedes consolidar todas las cuentas de consumidor migrándolas a cuentas gestionadas.

Usa esta estrategia cuando se cumplan las siguientes condiciones:

  • La herramienta de transferencia de cuentas de usuario no gestionadas solo muestra unas pocas cuentas de consumidor en tu dominio.
  • Quieres restringir el uso de cuentas de consumidor en tu organización.

No utilices esta estrategia si quieres ahorrar tiempo en el proceso de consolidación.

Para obtener más información, consulta el artículo Migrar cuentas de consumidor.

Opción 3: Consolidar todas las cuentas mediante la expulsión

Puedes expulsar cuentas de consumidor en las siguientes circunstancias:

  • Quieres que los usuarios que hayan creado cuentas de consumidor mantengan el control total sobre sus cuentas y sus datos.
  • No quieres que tu organización gestione ningún dato.

Para expulsar cuentas de consumidor, crea una identidad de usuario gestionada con el mismo nombre sin migrar primero la cuenta de usuario.

Usa esta estrategia cuando se cumplan las siguientes condiciones:

  • Quieres crear cuentas gestionadas para tus usuarios sin transferir los datos que haya en sus cuentas de consumidor.
  • Quieres restringir los servicios de Google que están disponibles en tu organización. También quieres que los usuarios conserven sus datos y sigan usando estos servicios en las cuentas de consumidor que hayan creado.

No utilices esta estrategia si se han usado cuentas de consumidor para fines corporativos y es posible que tengan acceso a datos de la empresa.

Para obtener más información, consulta el artículo Expulsar cuentas de consumidor.

Prácticas recomendadas para incorporar identidades

Después de elegir la arquitectura de identidad y el método para consolidar las cuentas de consumidor, ten en cuenta las siguientes prácticas recomendadas de identidad.

Selecciona un plan de incorporación adecuado para tu organización

Selecciona un plan de alto nivel para incorporar las identidades de tu organización a Cloud Identity o Google Workspace. Para ver una selección de planes de incorporación probados, junto con instrucciones sobre cómo elegir el plan que mejor se adapte a tus necesidades, consulta Evaluar planes de incorporación.

Si tienes previsto usar un IdP externo y has identificado las cuentas de usuario que deben migrarse, es posible que tengas que cumplir otros requisitos. Para obtener más información, consulta el artículo Evaluar el impacto de la consolidación de cuentas de usuario en la federación.

Proteger cuentas de usuario

Una vez que hayas incorporado usuarios a Cloud Identity o Google Workspace, debes tomar medidas para proteger sus cuentas frente a abusos. Para obtener más información, consulta las siguientes secciones:

Siguientes pasos