Cloud Identity - pokutuna

Cloud Identity

関連: Cloud Resource Manager

アカウントと組織の計画に関するベストプラクティス | Cloud アーキテクチャセンター | Google Cloud

サードパーティの ID プロバイダを使用した管理対象 Google アカウントへのシングルサインオンの設定 - Google Workspace 管理者ヘルプ

ID 連携

ID プロバイダ: ユーザ ID を検証し認証情報を提供する

サービスプロバイダ: ユーザがアクセスしようとするサービスやアプリケーション

SSO に SAML をサポート

SAML (Security Assertion Markup Language): ID ⇔ サービスプロバイダ間で認証情報を交換するための仕様

FrontPage - SAML Wiki

OIDC (OpenID Connect) は OAuth2.0 ベースのプロトコル

組織の SSO を設定する - Google Workspace 管理者ヘルプ

SAML

ログイン & ログアウト & パスワード変更ページ

X.509 証明書`

クラウドアプリで SSO を有効にする | Cloud Identity | Google Cloud

Google Cloud と外部 ID プロバイダの連携に関するベストプラクティス | Cloud アーキテクチャセンター

新しい一般ユーザー向けアカウントの登録を禁止する

Google Cloud 側を外部 IdP の ID のサブセットにする

特権管理者アカウントを分ける・追加の SSO 検証と二段階認証プロセスを有効にする

サードパーティの ID プロバイダを使用した管理対象 Google アカウントへのシングルサインオンの設定 - Google Workspace 管理者ヘルプ

だいたいのユーザステートに使えそうな図だ

https://gyazo.com/a39c329c62e07c73be6f228709865548

外部 ID - Google ID 管理の概要 | Cloud アーキテクチャセンター | Google Cloud

既存の ID と認証情報で Google サービスを使える

Workload Identity 連携 | IAM のドキュメント | Google Cloud

外部 ID にサービスアカウントになりすまさせる

Google Cloud Directory Sync

GCDS のベストプラクティス - Google Workspace 管理者ヘルプ

Google Cloud と Active Directory の連携 | Cloud アーキテクチャセンター

Active Directory との Workload Identity 連携を構成する | IAM のドキュメント | Google Cloud

LDAP や MS Active Directory → Cloud Identity or Google Workspace へ一方向同期

ユーザーやグループをマッピング

定期的に同期する

Active Directory ユーザーアカウントのプロビジョニング | Cloud アーキテクチャセンター | Google Cloud

Google Cloud で GCDS 動かすなら VPN で経路暗号化しようね

個人アカウント撲滅

管理対象外ユーザーを見つけて追加する - Google Workspace 管理者ヘルプ

移行ツールを使用して管理対象外ユーザーを移行する - Google Workspace 管理者ヘルプ

ユーザーがアカウント移行のリクエストを承諾した場合、管理者は、そのユーザーのデータへのアクセス権を付与され、そのアカウントを管理できるようになります。ユーザーがリクエストを拒否または無視した場合、個人の（管理対象外の）アカウント名を別のメールアドレスに変更するように求められます。この場合、個人アカウントのデータにアクセスしてそれを管理できるのは、その従業員のみです。

Context Aware Access

コンテキストアウェアアクセスでビジネスを保護する - Google Workspace 管理者ヘルプ

会社端末や特定の IP からのみ接続させる設定ができる

グループ管理

API を使用してグループを作成、管理する - Google Workspace 管理者ヘルプ

Directory API or Cloud Identity API