Ce document décrit les options de provisionnement d'identité pour Google Cloud et les décisions que vous devrez prendre pour intégrer vos utilisateurs à Cloud Identity ou Google Workspace. Ce document indique également où trouver plus d'informations sur le déploiement de chaque option.
Ce document fait partie d'une série sur les zones de destination et s'adresse aux architectes et aux techniciens impliqués dans la gestion des identités de votre organisation et de votre déploiement Google Cloud.
Aperçu
Pour permettre aux utilisateurs de votre organisation d'accéder à vos ressources Google Cloud, vous devez leur fournir un moyen de s'authentifier. Google Cloud utilise Google Sign-In pour authentifier les utilisateurs, soit le même fournisseur d'identité (IdP) que d'autres services Google comme Gmail ou Google Ads.
Bien que certains utilisateurs de votre organisation puissent déjà disposer d'un compte utilisateur Google privé, nous vous déconseillons vivement de l'autoriser à accéder à Google Cloud. Au lieu de cela, vous pouvez intégrer vos utilisateurs à Cloud Identity ou Google Workspace, ce qui vous permet de contrôler le cycle de vie et la sécurité des comptes utilisateur.
Le provisionnement des identités dans Google Cloud est un sujet complexe, et votre stratégie exacte peut nécessiter plus de détails que celle décrite dans ce guide de choix. Pour en savoir plus sur les bonnes pratiques, la planification et le déploiement, consultez la présentation de la gestion de l'authentification et des accès.
Points de décision pour l'intégration des identités
Pour choisir la meilleure conception de provisionnement d'identité pour votre organisation, vous devez prendre les décisions suivantes :
Choisir votre architecture d'identité
La gestion du cycle de vie et de la sécurité des comptes utilisateur joue un rôle important dans la sécurisation de votre déploiement Google Cloud. Une décision importante à prendre est le rôle que Google Cloud doit jouer par rapport à vos systèmes et applications de gestion des identités existants. Vous disposez des options suivantes :
- Utiliser Google comme fournisseur d'identité principal (IdP).
- Utiliser la fédération avec un fournisseur d'identité externe.
Les sections suivantes fournissent plus d'informations sur chaque option.
Option 1 : Utiliser Google comme source principale pour les identités (aucune fédération)
Lorsque vous créez des comptes utilisateur directement dans Cloud Identity ou Google Workspace, vous pouvez définir Google comme source d'identités et comme fournisseur d'identité principal. Les utilisateurs peuvent ensuite utiliser ces identités et ces identifiants pour se connecter à Google Cloud et à d'autres services Google.
Cloud Identity et Google Workspace proposent un large éventail d'intégrations prêtes à l'emploi pour les applications tierces populaires. Vous pouvez également utiliser des protocoles standards tels que SAML, OAuth et OpenID Connect pour intégrer vos applications personnalisées à Cloud Identity ou Google Workspace.
Utilisez cette stratégie lorsque les conditions suivantes sont satisfaites :
- Votre organisation a déjà provisionné des identités utilisateur dans Google Workspace.
- Votre organisation ne dispose pas d'un fournisseur d'identité existant.
- Votre organisation dispose d'un fournisseur d'identité existant, mais souhaite commencer rapidement avec un petit sous-ensemble d'utilisateurs et fédérer les identités ultérieurement.
Évitez cette stratégie lorsque vous disposez d'un fournisseur d'identité existant que vous souhaitez utiliser comme source faisant autorité pour les identités.
Pour en savoir plus, consultez les ressources suivantes :
- Préparer votre compte Cloud Identity ou Google Workspace
- Utiliser Google comme fournisseur d'identité
Option 2 : Utiliser la fédération avec un fournisseur d'identité externe
Vous pouvez intégrer un fournisseur d'identité externe existant à Google Cloud en utilisant la fédération. La fédération d'identité établit une relation de confiance entre deux fournisseurs d'identité ou plus, ce qui permet de lier les identités multiples qu'un utilisateur peut avoir dans différents systèmes de gestion des identités.
Lorsque vous fédérez un compte Cloud Identity ou Google Workspace avec un fournisseur d'identité externe, vous permettez aux utilisateurs d'utiliser leur identité et leurs identifiants existants pour se connecter à Google Cloud et à d'autres services Google.
Utilisez cette stratégie lorsque les conditions suivantes sont satisfaites :
- Vous disposez d'un fournisseur d'identité existant comme Active Directory, Azure AD, ForgeRock, Okta ou Ping Identity.
- Vous souhaitez que les employés utilisent leur identité et leurs identifiants existants pour se connecter à Google Cloud et à d'autres services Google comme Google Ads et Google Marketing Platform.
Évitez cette stratégie lorsque votre organisation ne possède pas de fournisseur d'identité existant.
Pour en savoir plus, consultez les ressources suivantes :
- Identités externes – Présentation de la gestion de l'authentification Google
- Architectures de référence : utiliser un fournisseur d'identité externe
- Bonnes pratiques pour fédérer Google Cloud avec un fournisseur d'identité externe
- Fédérer Google Cloud avec Active Directory
- Fédérer Google Cloud avec Azure AD
Choisir comment regrouper les comptes utilisateur existants
Si vous n'utilisez pas Cloud Identity ni Google Workspace, il est possible que les employés de votre organisation utilisent des comptes personnels pour accéder à vos services Google. Les comptes personnels sont des comptes entièrement détenus et gérés par leurs créateurs. Étant donné que ces comptes ne sont pas sous le contrôle de votre organisation et peuvent inclure à la fois des données personnelles et professionnelles, vous devez décider de comment les regrouper avec d'autres comptes d'entreprise.
Pour en savoir plus sur les comptes personnels, leur identification et les risques qu'ils peuvent représenter pour votre organisation, consultez la page Évaluer les comptes utilisateur existants.
Les options de regroupement des comptes sont les suivantes :
- Regrouper un sous-ensemble pertinent de comptes personnels.
- Regrouper tous les comptes par migration.
- Regrouper tous les comptes par éviction, en ne migrant pas les comptes avant d'en créer de nouveaux.
Les sections suivantes fournissent plus d'informations sur chaque option.
Option 1 : Consolider un sous-ensemble pertinent de comptes personnels
Si vous souhaitez conserver les comptes personnels et les gérer avec leurs données conformément aux règles de l'entreprise, vous devez les migrer vers Cloud Identity ou Google Workspace. Cependant, le processus de regroupement des comptes personnels peut prendre beaucoup de temps. Par conséquent, nous vous recommandons de commencer par évaluer un sous-ensemble d'utilisateurs pertinent pour votre déploiement Google Cloud planifié, puis de ne regrouper que ces comptes utilisateur.
Utilisez cette stratégie lorsque les conditions suivantes sont satisfaites :
- L'outil de transfert pour les comptes utilisateur non gérés affiche de nombreux comptes utilisateur personnels dans votre domaine, mais seul un sous-ensemble de ces utilisateurs utilisera Google Cloud.
- Vous souhaitez gagner du temps dans le processus de regroupement.
Évitez cette stratégie lorsque les conditions suivantes sont satisfaites :
- Vous n'avez pas de comptes utilisateur personnels dans votre domaine.
- Vous souhaitez vous assurer que toutes les données de tous les comptes utilisateur personnels de votre domaine sont consolidées vers des comptes gérés avant de commencer à utiliser Google Cloud.
Pour en savoir plus, consultez la page Présentation du regroupement des comptes.
Option 2 : Consolider tous les comptes par migration
Si vous souhaitez gérer tous les comptes utilisateur de votre domaine, vous pouvez regrouper tous ces comptes en les migrant vers des comptes gérés.
Utilisez cette stratégie lorsque les conditions suivantes sont satisfaites :
- L'outil de transfert pour les utilisateurs non gérés n'affiche que quelques comptes personnels dans votre domaine.
- Vous souhaitez restreindre l'utilisation des comptes personnels dans votre organisation.
Évitez cette stratégie lorsque vous souhaitez gagner du temps dans le processus de regroupement.
Pour en savoir plus, consultez la page Migrer des comptes personnels.
Option 3 : Consolider tous les comptes par éviction
Vous pouvez évincer des comptes personnels dans les cas suivants :
- Vous souhaitez que les utilisateurs qui ont créé des comptes personnels conservent un contrôle total sur leurs comptes et leurs données.
- Vous ne souhaitez pas transférer de données pour qu'elles soient gérées par votre organisation.
Pour évincer des comptes personnels, créez une identité d'utilisateur gérée du même nom sans migrer d'abord le compte d'utilisateur.
Utilisez cette stratégie lorsque les conditions suivantes sont satisfaites :
- Vous souhaitez créer des comptes gérés pour vos utilisateurs sans transférer les données existantes de leurs comptes personnels.
- Vous souhaitez limiter les services Google disponibles dans votre organisation. Vous souhaitez également que les utilisateurs conservent leurs données et continuent à utiliser ces services avec les comptes personnels qu'ils ont créés.
Évitez cette stratégie lorsque des comptes personnels ont été utilisés à des fins professionnelles et ont potentiellement accès aux données de l'entreprise.
Pour en savoir plus, consultez la section Évincer les comptes personnels indésirables.
Bonnes pratiques pour l'intégration des identités
Une fois que vous avez choisi votre architecture d'identité et votre méthode pour regrouper les comptes personnels existants, tenez compte des bonnes pratiques suivantes en matière d'identité.
Sélectionnez un plan d'intégration adapté à votre organisation
Sélectionnez un plan de haut niveau pour intégrer les identités de votre organisation à Cloud Identity ou Google Workspace. Pour obtenir une sélection de plans d'intégration éprouvés, ainsi que des conseils pour choisir celui qui répond le mieux à vos besoins, consultez la section Évaluer les plans d'intégration.
Si vous envisagez d'utiliser un fournisseur d'identité externe et que vous avez identifié les comptes utilisateur à migrer, vous aurez peut-être des exigences supplémentaires. Pour en savoir plus, consultez la page Évaluer l'impact du regroupement des comptes utilisateur sur la fédération.
Protéger les comptes utilisateur
Une fois que vous avez intégré des utilisateurs à Cloud Identity ou Google Workspace, vous devez mettre en place des mesures pour protéger leurs comptes contre toute utilisation abusive. Pour en savoir plus, consultez les ressources suivantes :
- Mettez en œuvre les bonnes pratiques de sécurité pour les comptes administrateur Cloud Identity.
- Appliquez des règles d'authentification multifacteur uniformes et suivez les bonnes pratiques en association avec la fédération des identités.
- Exportez vos journaux d'audit Google Workspace ou Cloud Identity vers Cloud Logging en activant le partage des données.
Étape suivante
- Choisir une hiérarchie de ressources (document suivant de cette série).
- Découvrez plus en détail la relation entre les utilisateurs, les comptes Cloud Identity et les organisations Google Cloud.
- Consultez les bonnes pratiques pour planifier des comptes et des organisations.
- Consultez les bonnes pratiques pour fédérer Google Cloud avec un fournisseur d'identité externe.