Google Cloud Identity bildet die Basis für die Verwaltung von Benutzern und Gruppen innerhalb der Google Admin Console. Dabei ist der Cloud Identity Provider längst nicht nur auf die Anwendungen und Dienste von Google Workspace beschränkt, sondern ebnet auch den Weg zu den Systemen vieler Drittanbieter.
Verfolgen Unternehmen eine konsequente Cloud-Strategie, so stehen sie zunehmend der Herausforderung gegenüber, die Anwendungen und Dienst zahlreicher Anbieter zu orchestrieren und zu einer auf ihren Bedarf zugeschnittenen Lösung zu kombinieren. Googles Produktportfolio bietet bereits eine umfassende Lösung für den Office-Alltag. Doch viele Unternehmen benötigen darüber hinaus noch zusätzliche Dienste, wie Asana für das Projekt-Management, die CRM-Lösungen von Zendesk oder Entwickler-Werkzeuge von Atlassian, um nur einige Beispiele zu nennen. An dieser Stelle kommt das Identity and Access Management (IAM) ins Spiel. Es hat zum Ziel, die Benutzerzugänge und Berechtigungen für sämtliche Applikationen und Ressourcen im Unternehmen zentral zu verwalten.
Spezialisierte Cloud-Anbieter, wie etwa Okta, Ping Identity oder OneLogin, haben hierzu den Begriff der Identity-as-a-Service (IDaaS) geprägt. Doch für den sicheren Zugriff auch auf komplexe Cloud-Umgebungen benötigen Unternehmen nicht zwingend die Unterstützung von Drittanbietern.
Kunden von Google Workspace oder der Google Cloud (ehemals Google Cloud Platform) steht automatisch und ohne weitere Kosten der integrierte Cloud Identity Provider (IdP) zur Verfügung. Mithilfe der Google Admin Console verwalten Administratoren Benutzer und Gruppen, unter der Haube wirkt dabei das Google Cloud Identity Management.
Cloud Identity bietet sichere und zuverlässige Methoden für die Identifizierung und Authentifizierung von Benutzern und die anschliessende Autorisierung des Zugriffs auf verschiedene Systeme und Daten von Google sowie Drittanbietern. Die Lösung unterstützt dabei die Multi-Faktor-Authentifizierung (MFA) über den Google Authenticator sowie Single Sign-On (SSO), um die Anzahl der Passwörter zu reduzieren, die Benutzer verwalten müssen.
Das Cloud Identity Access Management hilft weiterhin dabei, mit externen Benutzern, wie Kunden, Projektpartnern und Lieferanten, zusammenzuarbeiten, die zwar keinen vollwertigen Benutzerzugang erhalten, jedoch an gemeinsam genutzten Google-Dokumenten oder Projekten in der Google Cloud mitwirken sollen. Mit Cloud Identity stellen Unternehmen einem solchen Benutzer einen Account bereit, ohne dass zusätzliche Kosten für eine Google-Workspace-Lizenz entstehen. Sie können den User in unternehmensweite Google-Meet-Videokonferenzen einbinden, Dokumente freigeben oder auch SSO für andere Dienste des Unternehmens einrichten.
Googles IdP beschränkt sich längst nicht darauf, den Zugriff auf die hauseigenen Dienste zu regeln. Cloud Identity unterstützt die Security Assertion Markup Language (SAML) sowie die auf dem Autorisierungsframework OAuth 2.0 aufbauende Authentifizierungsschicht OpenID Connect (OIDC). Mithilfe von SAML und OIDC dient ein Cloud Identity Account der Anmeldung an vielen weiteren Webseiten, Apps und Diensten.
In der Google Admin Console finden Administratoren unter „Apps \ Web- und mobile Apps“ im Hauptfenster das Dropdown-Menü „App hinzufügen“. Dort können sie private iOS-, Android- sowie Web-Apps oder auch benutzerdefinierte SAML-Apps integrieren. Alternativ haben sie die Möglichkeit, den reichhaltigen Katalog an unterstützten Drittanbietern zu durchsuchen.
Wählen sie einen Anbieter, wie beispielsweise Atlassian, führt ein Assistent durch dessen Integration. Im ersten Schritt können Administratoren die Metadaten von Googles IdP als XML-Datei herunterladen oder aber SSO-URL, Entitäts-ID und Zertifikat mitsamt SHA-256-Fingerprint zur manuellen Einrichtung auf der Gegenseite kopieren. Im zweiten Schritt konfigurieren sie die Informationen zum Drittanbieter. Der grundsätzliche Aufbau der URLs ist dabei bereits vorbelegt. Die nötigen Informationen zur Vervollständigung liefert in der Regel der externe Anbieter.
Im dritten und letzten Schritt konfigurieren sie das Mapping von Attributen der Cloud Identity Accounts auf die Benutzerkonten im Zielsystem. Auch hier sind die zwingend erforderlichen Attribute, die das Zielsystem erwartet, bereits vorgegeben und Admins können optional weitere Attribute sowie auch Gruppenmitgliedschaften synchronisieren.
Ob das jeweilige Zielsystem das automatische Provisionieren von Benutzerkonten unterstützt, hängt vom jeweiligen Anbieter und dessen Tarifen ab. Manche Hersteller bieten Auto-Provisioning erst in höheren und damit teureren Business- oder Enterprise-Tarifen an. Doch auch bei manueller Verwaltung der Accounts im System des Drittanbieters bietet die Integration mit Cloud Identity klare Vorteile, da Benutzer nur einen Account für viele Systeme verwenden können und der IdP zentral steuert, ob Benutzer auf die Drittanbieter-Lösungen zugreifen können oder nicht. Diese Entscheidung müssen Verantwortliche nicht pauschal für alle Benutzer treffen, sondern können Berechtigungen auf die einzelnen Integrationen flexibel auf Basis von Organisationseinheiten oder Gruppen innerhalb der Google Admin Console zuweisen.
Wenn Ihr Unternehmen bereits Lösungen wie Google Workspace oder Google Cloud nutzt, bildet Cloud Identity eine solide Basis für das IAM. Doch auch wenn Sie noch auf dem Weg der Migration sind, eröffnet Cloud Identity so viele Möglichkeiten, die IT-Infrastruktur zu vereinfachen, Kosten zu senken und die Nutzererfahrung zu verbessern, dass es sinnvoll ist, die Lösung nicht nur für Googles Dienste zu nutzen, sondern bestehende Drittanbieter-Lösung für IAM und IDaaS komplett zu ersetzen. Wir helfen Ihnen gerne dabei.