本文將說明 Google Cloud 的身分識別資訊佈建選項,以及您在將使用者導入 Cloud Identity 或 Google Workspace 時必須做出的決定。本文件也提供指南,說明如何進一步瞭解如何部署每個選項。
本文是目標區系列文章之一,適用對象為負責管理貴機構和 Google Cloud部署作業身分的架構師和技術人員。
總覽
如要讓貴機構的使用者存取 Google Cloud 資源,您必須提供驗證身分的機制。 Google Cloud 會使用 Google 登入驗證使用者,這與 Gmail 或 Google Ads 等其他 Google 服務使用的識別資訊提供者 (IdP) 相同。
雖然貴機構中的部分使用者可能已擁有私人 Google 使用者帳戶,但我們強烈建議您不要讓他們使用私人帳戶存取 Google Cloud。您可以改為將使用者導入 Cloud Identity 或 Google Workspace,這樣一來,您就能控管使用者帳戶的生命週期和安全性。
在 Google Cloud 中佈建身分識別碼是複雜的主題,您的具體策略可能需要比本決策指南所涵蓋的範圍更詳細的資訊。如要進一步瞭解最佳做法、規劃和部署資訊,請參閱身分與存取權管理簡介。
身分資料導入的決策點
如要為貴機構選擇最合適的 ID 佈建設計,您必須做出下列決定:
決定身分架構
管理使用者帳戶的生命週期和安全性,對於確保 Google Cloud 部署作業至關重要。您必須做出的重要決策,就是 Google Cloud 應在現有身分識別管理系統和應用程式中扮演的角色。選項如下:
- 將 Google 設為主要的識別資訊提供者 (IdP)。
- 與外部識別資訊提供者使用聯合。
以下各節將詳細說明每個選項。
選項 1:使用 Google 做為身分的主要來源 (不使用聯盟)
直接在 Cloud Identity 或 Google Workspace 中建立使用者帳戶時,您可以將 Google 設為身分識別資訊來源和主要 IdP。使用者可以使用這些身分和憑證登入 Google Cloud 和其他 Google 服務。
Cloud Identity 和 Google Workspace 提供多種現成整合功能,可與熱門第三方應用程式搭配使用。您也可以使用 SAML、OAuth 和 OpenID Connect 等標準通訊協定,將自訂應用程式與 Cloud Identity 或 Google Workspace 整合。
在下列情況下,請使用這項策略:
- 貴機構已在 Google Workspace 中佈建使用者身分。
- 貴機構目前沒有任何 IdP。
- 貴機構已設有 IdP,但希望先從少數使用者開始,再將身分進行聯結。
如果您有現有的 IdP,且想將其用於身分權威來源,請避免採用這項策略。
如要瞭解詳情,請參考下列資源:
方法 2:與外部識別資訊提供者使用聯合功能
您可以使用聯合識別資訊提供者,將 Google Cloud 與現有的外部 IdP 整合。身分聯盟會在兩個或多個 IdP 之間建立信任關係,讓使用者在不同身分管理系統中擁有的多個身分能夠相互連結。
將 Cloud Identity 或 Google Workspace 帳戶與外部 IdP 進行聯盟後,使用者就能使用現有的身分識別資訊和憑證登入 Google Cloud 和其他 Google 服務。
在下列情況下,請使用這項策略:
- 您有現有的 IdP,例如 Active Directory、Azure AD、ForgeRock、Okta 或 Ping Identity。
- 您希望員工使用現有身分和憑證登入 Google Cloud 和其他 Google 服務,例如 Google Ads 和 Google Marketing Platform。
如果貴機構沒有現有的 IdP,請避免採用這項策略。
如要瞭解詳情,請參考下列資源:
- 外部身分 - Google 身分管理總覽
- 參考架構:使用外部 IdP
- 與外部識別資訊提供者連結的最佳做法 Google Cloud
- 與 Active Directory 進行聯結 Google Cloud
- 與 Azure AD 進行整合 Google Cloud
決定如何整合現有的使用者帳戶
如果您尚未使用 Cloud Identity 或 Google Workspace,貴機構的員工可能會使用個人帳戶存取 Google 服務。個人帳戶是由帳戶建立者全權擁有及管理的帳戶。由於這些帳戶不受貴機構控管,且可能包含個人和公司資料,因此您必須決定如何將這些帳戶與其他公司帳戶合併。
如要進一步瞭解消費者帳戶、如何辨識這類帳戶,以及這類帳戶可能對貴機構造成的風險,請參閱「評估現有使用者帳戶」。
合併帳戶的選項如下:
- 合併相關的消費者帳戶子集。
- 透過遷移作業合併所有帳戶。
- 透過淘汰作業整合所有帳戶,也就是在建立新帳戶前不要遷移帳戶。
以下各節將詳細說明每個選項。
方法 1:合併相關的消費者帳戶子集
如果您想保留消費者帳戶,並根據公司政策管理這些帳戶和相關資料,則必須將這些帳戶遷移至 Cloud Identity 或 Google Workspace。不過,整合消費者帳戶的程序可能相當耗時。因此,建議您先評估哪些使用者子集與您預計的 Google Cloud部署作業相關,然後只整合這些使用者帳戶。
在下列情況下,請使用這項策略:
- 非受管使用者轉移工具會顯示貴機構網域中的許多消費者使用者帳戶,但只有部分使用者會使用 Google Cloud。
- 您想在合併過程中節省時間。
請避免在下列情況下採用此策略:
- 您的網域中沒有消費者使用者帳戶。
- 請先確認您在網域中所有個人帳戶的所有資料都已合併至代管帳戶,再開始使用Google Cloud。
詳情請參閱帳戶合併總覽。
方法 2:透過遷移作業合併所有帳戶
如果您想管理網域中的所有使用者帳戶,可以將所有消費者帳戶遷移至管理員帳戶,藉此整合所有消費者帳戶。
在下列情況下,請使用這項策略:
- 非受管使用者帳戶轉移工具只會顯示網域中的少數消費者帳戶。
- 您想限制機構內消費者帳戶的使用。
如果想在整合過程中節省時間,請避免採用這種做法。
詳情請參閱「遷移個人帳戶」。
方法 3:透過逐出作業合併所有帳戶
您可以在下列情況下將消費者帳戶移除:
- 您希望已建立消費者帳戶的使用者能繼續完全控管自己的帳戶和資料。
- 您不想將任何資料轉移給貴機構管理。
如要移除個人帳戶,請建立名稱相同的受管理使用者身分,但不必先遷移使用者帳戶。
在下列情況下,請使用這項策略:
- 您想為使用者建立新的受管理帳戶,但不轉移他們個人帳戶中的任何資料。
- 您想限制貴機構可使用的 Google 服務。您也希望使用者能保留資料,並繼續使用他們建立的個人帳戶來使用這些服務。
如果個人帳戶已用於公司用途,且可能會存取公司資料,請避免採用這項策略。
詳情請參閱「將使用者帳戶從群組中移除」。
新手上路識別資訊的最佳做法
選擇身分架構和整合現有消費者帳戶的方法後,請考量下列身分最佳做法。
選擇適合貴機構的適當新手上路計畫
選取高層級別的計畫,將貴機構的使用者身分導入 Cloud Identity 或 Google Workspace。如要瞭解已證實有效的新手上路計畫,以及如何選擇最符合需求的計畫,請參閱「評估新手上路計畫」。
如果您打算使用外部 IdP,並已找出需要遷移的使用者帳戶,可能會有其他要求。詳情請參閱「評估合併使用者帳戶對連結的影響」。
保護使用者帳戶
將使用者導入 Cloud Identity 或 Google Workspace 後,您必須採取措施,保護使用者帳戶免於遭到濫用。如要瞭解詳情,請參考下列資源:
- 實施 Cloud Identity 管理員帳戶的安全性最佳做法。
- 強制執行統一的多重驗證規則 ,並遵循與同盟身分識別資訊搭配時的最佳做法。
- 啟用資料分享功能,將 Google Workspace 或 Cloud Identity 稽核記錄匯出至 Cloud Logging。
後續步驟
- 決定資源階層結構 (本系列的下一篇說明文件)。
- 進一步瞭解使用者、Cloud Identity 帳戶和 Google Cloud 機構之間的關聯。
- 請參閱規劃帳戶和機構的最佳做法。
- 請參閱與外部識別資訊提供者連結 Google Cloud 的最佳做法。