כדי להגדיר את משאב הארגון Cloud de Confiance by S3NS , צריך להשתמש בחשבון סופר-אדמין ב-Google Workspace או ב-Cloud Identity. בדף הזה מתוארות שיטות מומלצות לשימוש בחשבונות סופר-אדמין ב-Google Workspace או ב-Cloud Identity עם משאב Cloud de Confiance by S3NS הארגון שלכם.
סוגי חשבונות
לחשבון סופר-אדמין ב-Google Workspace יש קבוצה של יכולות אדמיניסטרטיביות שכוללת את Cloud Identity. כך מקבלים קבוצה אחת של אמצעי בקרה לניהול זהויות שאפשר להשתמש בהם בכל שירותי Google, כמו מסמכים, גיליונות אלקטרוניים, Cloud de Confianceוכו'.
חשבון Cloud Identity מספק רק פונקציונליות של אימות וניהול זהויות, ללא קשר ל-Google Workspace.
הקצאת התפקיד 'אדמין ארגוני'
אחרי שרוכשים משאב ארגון חדש, צריך להגדיר אדמינים של הארגון. לתפקיד הזה יש קבוצה קטנה יותר של הרשאות שנועדו לניהול הפעולות היומיומיות בארגון.
כדאי גם ליצור קבוצת אדמינים פרטית בחשבון הסופר-אדמין שלכם ב-Google Workspace או ב-Cloud Identity. Cloud de Confiance מוסיפים לקבוצה הזו את המשתמשים עם תפקיד אדמין בארגון, אבל לא את המשתמש עם תפקיד סופר-אדמין. מקצים לקבוצה הזו את התפקיד 'אדמין ארגוני' במערכת לניהול הזהויות והרשאות הגישה (IAM), או קבוצת משנה מוגבלת של הרשאות התפקיד.
מומלץ להפריד בין חשבון הסופר-אדמין לבין קבוצת האדמינים של הארגון. סופר-אדמינים יכולים להקצות את תפקיד האדמין הארגוני למשתמש המתאים ביותר לניהול המשאב הארגוני והתוכן שלו.
במאמר בקרת גישה למשאבי ארגון באמצעות IAM מוסבר איך לנהל את בקרת הגישה למשאב הארגון באמצעות מדיניות הרשאות.
הגדרת תפקידים מתאימים
ב-Google Workspace וב-Cloud Identity יש תפקידי אדמין עם פחות הרשאות מתפקיד הסופר-אדמין. מומלץ לפעול לפי העיקרון של הרשאות מינימליות ולהעניק למשתמשים את קבוצת ההרשאות המינימלית שהם צריכים כדי לנהל משתמשים וקבוצות.
המלצות לשימוש בחשבון סופר-אדמין
לחשבון הסופר-אדמין ב-Google Workspace וב-Cloud Identity יש מערכת הרשאות חזקה שלא נחוצה לניהול היומיומי של הארגון. כדאי להטמיע מדיניות שתאבטח את חשבונות הסופר-אדמין ותקטין את הסיכוי שהמשתמשים ינסו להשתמש בהם לפעולות יומיומיות, למשל:
החלת אימות רב-שלבי על חשבונות סופר-אדמין ועל כל החשבונות עם הרשאות מורחבות.
משתמשים במפתח אבטחה או במכשיר פיזי אחר לאימות כדי לאכוף אימות דו-שלבי.
בחשבון הסופר-אדמין הראשוני, חשוב לוודא שמפתח האבטחה נשמר במקום בטוח, רצוי במיקום הפיזי שלכם.
לתת לסופר-אדמינים חשבון נפרד שדורש התחברות נפרדת. לדוגמה, למשתמשת alice@example.com יכול להיות חשבון סופר-אדמין alice-admin@example.com.
- אם אתם מסנכרנים עם פרוטוקול זהויות של צד שלישי, הקפידו להחיל את אותה מדיניות השעיה על Cloud Identity ועל הזהות התואמת של הצד השלישי.
אם יש לכם חשבון Google Workspace ארגוני או חשבון Cloud Identity Premium, אתם יכולים לאכוף תקופה קצרה של כניסה מהירה לכל חשבונות הסופר-אדמין.
פועלים לפי ההנחיות שמפורטות בשיטות המומלצות לשמירה על אבטחה בחשבונות של אדמינים.
התראות על קריאות ל-API
אתם יכולים להשתמש ב-Google Cloud Observability כדי להגדיר התראות שיודיעו לכם כשמתבצעת קריאה ל-API של SetIamPolicy(). הפעולה הזו תשלח התראה כשמישהו ישנה מדיניות כלשהי של הרשאה.
תהליך שחזור החשבון
מוודאים שאדמינים ארגוניים מכירים את תהליך שחזור החשבון של סופר-אדמין. התהליך הזה יעזור לכם לשחזר את החשבון במקרה שפרטי הכניסה של הסופר-אדמין אבדו או נפרצו.
משאבים של כמה ארגונים
מומלץ להשתמש בתיקיות כדי לנהל חלקים בארגון שרוצים לנהל בנפרד. אם רוצים להשתמש בכמה משאבים של הארגון, צריך כמה חשבונות Google Workspace או Cloud Identity. מידע על ההשלכות של שימוש בכמה חשבונות Google Workspace ו-Cloud Identity זמין במאמר ניהול של כמה משאבי ארגון.