Pengelolaan Akses dan Identitas (umumnya disebut IAM) adalah praktik memberikan akses ke resource yang tepat kepada individu yang tepat untuk alasan yang tepat. Seri ini membahas praktik umum IAM dan individu yang tunduk padanya, termasuk hal berikut:
- Identitas perusahaan: Identitas yang Anda kelola untuk karyawan organisasi. Identitas ini digunakan untuk login ke workstation, mengakses email, atau menggunakan aplikasi perusahaan. Identitas perusahaan juga dapat mencakup non-karyawan seperti kontraktor atau partner yang memerlukan akses ke resource perusahaan.
- Identitas pelanggan: Identitas yang Anda kelola untuk pengguna agar dapat berinteraksi dengan situs atau aplikasi yang ditujukan untuk pelanggan.
- Identitas layanan: Identitas yang Anda kelola untuk memungkinkan aplikasi berinteraksi dengan aplikasi lain atau platform yang mendasarinya.
Anda mungkin perlu memberikan akses ke resource berikut:
- Layanan Google seperti Google Cloud, Google Analytics, atau Google Workspace
- Resource di Google Cloud, seperti project, bucket Cloud Storage, atau mesin virtual (VM)
- Aplikasi atau resource kustom yang dikelola oleh aplikasi tersebut
Panduan dalam seri ini menguraikan pembahasan IAM menjadi beberapa bagian berikut:
- Pengelolaan identitas perusahaan, pelanggan, dan layanan membentuk fondasi IAM. Topiknya adalah kotak 4, 5, dan 6 (warna hijau).
- Mengandalkan pengelolaan identitas sebagai landasannya, kotak 2 dan 3 (warna biru) menunjukkan topik pengelolaan akses. Topik-topik ini mencakup pengelolaan akses ke layanan Google, ke resource Google Cloud, serta beban kerja dan aplikasi kustom Anda.
- Kotak 1 (berwarna kuning) menunjukkan topik pengelolaan akses yang berada di luar cakupan panduan ini. Untuk mempelajari pengelolaan akses untuk Google Workspace, Google Marketing Platform, dan layanan lainnya, lihat masing-masing dokumentasi produk.
Pengelolaan identitas
Manajemen identitas berfokus pada proses berikut:
- Menyediakan, mengelola, memigrasikan, dan mencabut akses identitas, pengguna, dan grup.
- Mengaktifkan autentikasi aman ke layanan Google dan ke beban kerja kustom Anda.
Proses dan teknologi berbeda, tergantung apakah Anda berurusan dengan identitas perusahaan, identitas aplikasi, atau identitas pelanggan.
Mengelola identitas perusahaan
Identitas perusahaan adalah identitas yang Anda kelola untuk karyawan organisasi. Karyawan menggunakan identitas ini untuk login ke workstation, mengakses email, atau menggunakan aplikasi perusahaan.
Dalam konteks pengelolaan identitas perusahaan, berikut adalah persyaratan umum:
- Mengelola satu tempat untuk mengelola identitas di seluruh organisasi Anda.
- Memungkinkan karyawan menggunakan identitas tunggal dan single sign-on di beberapa aplikasi dalam lingkungan komputasi hybrid.
- Menerapkan kebijakan seperti autentikasi multi-faktor atau kerumitan sandi untuk semua karyawan.
- Memenuhi kriteria kepatuhan yang mungkin berlaku untuk bisnis Anda.
Google Workspace dan Cloud Identity adalah produk Google yang memungkinkan Anda memenuhi persyaratan ini serta mengelola identitas dan kebijakan secara terpusat.
Jika Anda menggunakan layanan Google di konteks hybrid atau multi-cloud, untuk memenuhi persyaratan ini, Anda mungkin harus mengintegrasikan kemampuan IAM Google dengan solusi pengelolaan identitas eksternal atau penyedia identitas seperti Active Directory. Dokumen Arsitektur referensi menjelaskan cara Google Workspace atau Cloud Identity memungkinkan Anda mewujudkan integrasi tersebut.
Beberapa karyawan Anda mungkin mengandalkan akun Gmail atau akun pengguna konsumen lainnya untuk mengakses resource perusahaan. Namun, penggunaan jenis akun pengguna ini mungkin tidak mematuhi persyaratan atau kebijakan individual, sehingga Anda dapat memigrasikan pengguna ini ke Google Workspace atau Cloud Identity. Untuk mengetahui detail selengkapnya, lihat Menilai akun pengguna yang ada dan Menilai rencana orientasi.
Untuk membantu Anda mengadopsi Google Workspace atau Cloud Identity, lihat panduan penilaian dan perencanaan kami untuk mendapatkan panduan tentang cara mengakses persyaratan Anda dan cara mendekati proses penggunaan.
Mengelola identitas aplikasi
Identitas aplikasi adalah identitas yang Anda kelola untuk memungkinkan aplikasi berinteraksi dengan aplikasi lain atau dengan platform yang mendasarinya.
Dalam konteks pengelolaan identitas aplikasi, berikut ini adalah persyaratan umum:
- Melakukan integrasi dengan API pihak ketiga dan solusi autentikasi.
- Mengaktifkan autentikasi di seluruh lingkungan dalam skenario hybrid atau multi-cloud.
- Mencegah kebocoran kredensial.
Google Cloud memungkinkan Anda mengelola identitas aplikasi dan memenuhi persyaratan ini menggunakan akun layanan Google Cloud dan akun layanan Kubernetes. Untuk informasi selengkapnya tentang akun layanan dan praktik terbaik untuk menggunakannya, lihat Memahami akun layanan.
Mengelola identitas pelanggan
Identitas pelanggan adalah identitas yang Anda kelola bagi pengguna agar mereka dapat berinteraksi dengan situs atau aplikasi yang ditampilkan kepada pelanggan. Mengelola identitas pelanggan dan aksesnya juga disebut sebagai pengelolaan akses dan identitas pelanggan (CIAM).
Dalam konteks pengelolaan identitas pelanggan, berikut adalah persyaratan umum:
- Memungkinkan pelanggan mendaftar untuk membuat akun baru, tetapi mencegah penyalahgunaan, yang mungkin mencakup deteksi dan pemblokiran pembuatan akun bot.
- Mendukung proses login dengan profil sosial dan integrasi dengan penyedia identitas pihak ketiga.
- Mendukung autentikasi multi-faktor dan menerapkan persyaratan kompleksitas sandi.
Dengan Identity Platform, Anda dapat mengelola identitas pelanggan dan memenuhi persyaratan ini. Untuk mengetahui detail selengkapnya tentang set fitur dan cara mengintegrasikan Identity Platform dengan aplikasi kustom, lihat dokumentasi Identity Platform.
Pengelolaan Akses
Pengelolaan akses berfokus pada proses berikut:
- Memberikan atau mencabut akses ke sumber daya tertentu untuk identitas.
- Mengelola peran dan izin.
- Mendelegasikan kemampuan administratif kepada individu tepercaya.
- Menerapkan kontrol akses.
- Mengaudit akses yang dilakukan oleh identitas.
Mengelola akses ke layanan Google
Organisasi Anda mungkin mengandalkan kombinasi layanan Google. Misalnya, Anda dapat menggunakan Google Workspace untuk kolaborasi, Google Cloud untuk men-deploy workload kustom, dan Google Analytics untuk mengukur metrik keberhasilan iklan.
Dengan Google Workspace atau Cloud Identity, Anda dapat mengontrol identitas perusahaan mana yang dapat menggunakan layanan Google secara terpusat. Dengan membatasi akses ke layanan tertentu, Anda menetapkan kontrol akses tingkat dasar. Selanjutnya, Anda dapat menggunakan kemampuan pengelolaan akses setiap layanan tersebut untuk mengonfigurasi kontrol akses yang lebih terperinci.
Untuk mengetahui detail selengkapnya, baca cara mengontrol siapa yang dapat mengakses Google Workspace dan layanan Google.
Mengelola akses ke Google Cloud
Di Google Cloud, Anda dapat menggunakan IAM untuk memberikan akses terperinci ke resource tertentu kepada identitas perusahaan. Dengan menggunakan IAM, Anda dapat menerapkan prinsip keamanan hak istimewa terendah, di mana Anda memberikan izin identitas ini untuk hanya mengakses resource yang Anda tentukan.
Untuk mengetahui informasi selengkapnya, baca dokumentasi Terraform.
Mengelola akses ke workload dan aplikasi Anda
Beban kerja dan aplikasi kustom Anda mungkin berbeda berdasarkan audiens yang dituju:
- Beberapa beban kerja dapat melayani pengguna perusahaan—misalnya, aplikasi lini bisnis internal, dasbor, atau sistem pengelolaan konten.
- Aplikasi lain mungkin melayani pelanggan Anda, misalnya, situs, portal layanan mandiri pelanggan, atau backend untuk aplikasi seluler.
Cara yang tepat untuk mengelola akses, menerapkan kontrol akses, dan mengaudit akses bergantung pada audiens dan cara Anda men-deploy aplikasi.
Untuk mempelajari lebih lanjut cara melindungi aplikasi dan workload lain yang mengakomodasi pengguna perusahaan, lihat dokumentasi IAP.
Anda juga dapat mengintegrasikan Login dengan Google secara langsung atau menggunakan protokol standar seperti OAuth 2.0 atau OpenID Connect.
Anda dapat mengetahui cara menerapkan akses ke API dalam dokumentasi Istio dan Cloud Endpoints. Anda dapat menggunakan kedua produk tersebut baik untuk pengguna perusahaan maupun pengguna akhir.
Langkah selanjutnya
- Pahami konsep dan kemampuan pengelolaan identitas dengan membaca bagian Konsep.
- Pelajari panduan preskriptif yang perlu dipertimbangkan dalam arsitektur atau desain Anda dengan membaca bagian Praktik terbaik.
- Pelajari cara menilai persyaratan Anda dan mengidentifikasi desain yang sesuai dengan membaca bagian Menilai dan merencanakan.