ज़रूरी जानकारी: अब हम Play EMM API (एपीआई) के लिए नए रजिस्ट्रेशन स्वीकार नहीं कर रहे हैं. ज़्यादा जानें.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

पहचान और उपयोगकर्ता खाते

आइडेंटिटी प्रॉविज़निंग (या खाता प्रॉविज़निंग) एक ऐसी प्रोसेस है जिसमें खाते सेट अप किए जाते हैं. साथ ही, उपयोगकर्ता का डेटा सेव करने वाले तीन सिस्टम के बीच कनेक्शन बनाए जाते हैं. इसके अलावा, कुछ मामलों में उपयोगकर्ताओं और उनके डिवाइसों के बीच कनेक्शन भी सेट अप किए जाते हैं.

Android Enterprise एनवायरमेंट में, तीन अलग-अलग सिस्टम में उपयोगकर्ता खाते की जानकारी सेव की जाती है:

संगठन की उपयोगकर्ता डायरेक्ट्री, उपयोगकर्ताओं के बारे में जानकारी का मुख्य सोर्स होती है.
ईएमएम सलूशन देने वाली कंपनी के तौर पर, आपको संगठन के उपयोगकर्ताओं की कम से कम एक डायरेक्ट्री बनाए रखनी होगी.
Google, मैनेज किए जा रहे Google Play खातों और Google खातों के बारे में कुछ जानकारी सेव रखता है, ताकि Google Play के ज़रिए ऐप्लिकेशन मैनेजमेंट की सुविधा दी जा सके.

एक Users रिसॉर्स, किसी एंटरप्राइज़ से जुड़े खाते को दिखाता है. यह खाता, किसी डिवाइस के लिए खास हो सकता है या किसी ऐसे व्यक्ति से जुड़ा हो सकता है जिसके पास कई डिवाइस हैं और वह उन सभी डिवाइसों पर इस खाते का इस्तेमाल करता है. खाते से, सिर्फ़ मैनेज किए जा रहे Google Play को ऐक्सेस किया जा सकता है या Google की अन्य सेवाओं को भी. यह इस बात पर निर्भर करता है कि आपने अपने ग्राहक के एंटरप्राइज़ को कैसे सेट अप किया है:

मैनेज किए जा रहे Google खाते, मौजूदा खाते होते हैं जिन्हें Google मैनेज करता है. इन खातों के लिए, ग्राहक को या तो Google को अपनी पहचान देने वाली सेवा के तौर पर इस्तेमाल करना होगा या अपने संगठन की उपयोगकर्ता डायरेक्ट्री को Google से लिंक करना होगा. मैनेज किए जा रहे Google खातों का इस्तेमाल करने वाले एंटरप्राइज़ के लिए, डिवाइस प्रॉविज़निंग के दौरान उपयोगकर्ता की पुष्टि करने की ज़िम्मेदारी Google की होती है.
मैनेज किए जा रहे Google Play खातों की मदद से, एंटरप्राइज़ अपने एंटरप्राइज़ मोबिलिटी मैनेजमेंट (ईएमएम) सलूशन देने वाली कंपनी के ज़रिए, सीमित उपयोगकर्ता खाते अपने-आप बना सकते हैं. इन खातों से, सिर्फ़ मैनेज किए जा रहे Google Play को ऐक्सेस किया जा सकता है. ज़रूरत पड़ने पर, उपयोगकर्ता की पुष्टि करने की पूरी ज़िम्मेदारी ईएमएम की होती है. मैनेज किए जा रहे Google Play खातों का इस्तेमाल करने वाले एंटरप्राइज़ के लिए, सिर्फ़ इस तरह के खाते उपलब्ध होते हैं.

टेबल 1: Users API के फ़ील्ड और तरीके

	मैनेज किए जा रहे Google Play खाते	मैनेज किए जा रहे Google खाते
फ़ील्ड
आईडी
टाइप
accountIdentifier	यह एक यूनीक आइडेंटिफ़ायर है, जिसे Google Play से मिले आईडी (`userId`) से मैप किया जाता है. इसे आपको बनाना होता है. व्यक्तिगत पहचान से जुड़ी जानकारी (पीआईआई) का इस्तेमाल न करें.	सेट नहीं है.
accountType	deviceAccount, userAccount	userAccount
displayName	यह वह नाम है जो Google Play जैसे यूज़र इंटरफ़ेस (यूआई) वाले आइटम में दिखता है. व्यक्तिगत पहचान से जुड़ी जानकारी का इस्तेमाल न करें.	सेट नहीं है.
managementType	emmManaged	googleManaged, emmManaged
primaryEmail	सेट नहीं है.	यह फ़ील्ड, प्राइमरी कुंजी है. इसकी मदद से, Google से मैनेज किए जा रहे डोमेन खातों से आपके सिस्टम में मौजूद उपयोगकर्ता खातों तक सिंक्रनाइज़ेशन को मैनेज किया जाता है.
तरीके
मिटाएं
generateAuthenticationToken
generateToken
सदस्यता लें
getAvailableProductSet
इंसर्ट करें
सूची
revokeToken
setAvailableProductSet
अपडेट करें

हम डिवाइस के एनरोलमेंट की प्रोसेस में सुधार कर रहे हैं. इसके तहत, हम कॉर्पोरेट आइडेंटिटी वाले कर्मचारी के इस्तेमाल किए जाने वाले सभी Android Enterprise डिवाइसों के लिए, मैनेज किए जा रहे Google खातों का इस्तेमाल करने की प्रोसेस पर माइग्रेट कर रहे हैं.

नए एनरोलमेंट के लिए, अब हम मैनेज किए जा रहे Google Play खातों के बजाय, मैनेज किए जा रहे Google खातों का इस्तेमाल करने का सुझाव देते हैं. हम मौजूदा उपयोगकर्ताओं के लिए, मैनेज किए जा रहे Google Play खातों के लिए अब भी सहायता उपलब्ध करा रहे हैं. हालांकि, इनसे सिर्फ़ मैनेज किए जा रहे Google Play स्टोर को ऐक्सेस किया जा सकता है. मैनेज किए जा रहे Google खातों की मदद से, उपयोगकर्ताओं को Google की सभी सेवाओं और अलग-अलग डिवाइसों पर काम करने वाली सुविधाओं का ऐक्सेस मिलता है.

एनरोलमेंट की प्रोसेस में किए गए सुधार

मैनेज किए जा रहे Google खातों की मदद से, Google पर उपयोगकर्ता की पहचान की पुष्टि की जाती है. इससे, अलग-अलग डिवाइसों पर काम करने वाली सुविधाएं मिलती हैं. जैसे, टास्क हैंड-ऑफ़, सूचनाएं, और आस-पास मौजूद लोगों के साथ शेयर करने की सुविधा. एंटरप्राइज़ के लिए ये सुविधाएं ज़्यादा अहम होती हैं, क्योंकि यहां उपयोगकर्ता अक्सर एक से ज़्यादा डिवाइसों का इस्तेमाल करते हैं.

ऐसे एंटरप्राइज़ जो Google को अपनी पहचान देने वाली सेवा के तौर पर इस्तेमाल नहीं करते हैं, उन्हें अब अपनी मौजूदा पहचान देने वाली सेवा को Google से लिंक करने का सुझाव दिया जाता है. इससे, बाइंडिंग की प्रोसेस के दौरान कर्मचारियों के लिए, मैनेज किए जा रहे Google खाते बनाए जा सकते हैं. एंटरप्राइज़ को इसके लिए, उसी पहचान देने वाली सेवा का इस्तेमाल करना चाहिए जिसका इस्तेमाल वे अपने ईएमएम के साथ करते हैं.

हमने ये बदलाव किए हैं:

डिवाइस एनरोलमेंट के दौरान, अब Google/Android, एंड यूज़र की पुष्टि करता है. ईएमएम के डिवाइस पॉलिसी कंट्रोलर (डीपीसी) के लिए ज़रूरी है कि Android, सही समय पर उपयोगकर्ता की पुष्टि करे. इसके बाद, Android, लॉग-इन किए गए उपयोगकर्ता की पहचान की जानकारी, डीपीसी को भेजता है.
उपयोगकर्ता की पुष्टि का अनुरोध करते समय, ईएमएम को Android को एनरोलमेंट टोकन भेजना होगा. यह टोकन, Android Enterprise API को एपीआई कॉल करके मिलता है. इसे क्यूआर, एनएफ़सी या ज़ीरो-टच एनरोलमेंट पेलोड में एनकोड किया जा सकता है.

अब Android, पुष्टि की प्रोसेस को मैनेज करता है और ईएमएम को उपयोगकर्ता की पहचान की जानकारी देता है. हालांकि, उपयोगकर्ता की पहचान को सही ग्रुप या संगठन के स्ट्रक्चर से मैप करने की ज़िम्मेदारी अब भी ईएमएम की है. डिवाइस पर सही नीतियां लागू करने के लिए, यह मैपिंग ज़रूरी है. इसलिए, एंटरप्राइज़ को अपने संगठन की उपयोगकर्ता डायरेक्ट्री को अपने ईएमएम से लिंक करना जारी रखना होगा.

आईटी एडमिन, Google की ओर से उपलब्ध कराई गई, एंड-यूज़र की पुष्टि करने की नई सुविधा को चालू या बंद कर सकते हैं. उपयोगकर्ताओं को बेहतर अनुभव देने के लिए, हमारा सुझाव है कि आईटी एडमिन, अपने संगठन की उपयोगकर्ता डायरेक्ट्री को Google से लिंक करें. इससे उपयोगकर्ताओं को अलग-अलग डिवाइसों पर काम करने वाली सुविधाएं मिलेंगी. इस लिंक के बिना, उपयोगकर्ताओं के पास मैनेज किए जा रहे Google Play खाते होंगे और उन्हें अलग-अलग डिवाइसों पर काम करने वाली सुविधाओं का ऐक्सेस नहीं मिलेगा.

सभी ईएमएम के लिए, एनरोलमेंट और साइन-इन टोकन बनाते समय, अतिरिक्त जानकारी देना ज़रूरी है. खास तौर पर, अब आपको यह बताना होगा कि कोई डिवाइस, उपयोगकर्ता के बिना इस्तेमाल किया जा रहा है या नहीं. जैसे, कीऑस्क या खास डिवाइस.

फ़ायदे

नई प्रोसेस में ये अहम सुधार किए गए हैं:

आसान एनरोलमेंट: यह प्रोसेस, स्टैंडर्ड तरीकों की तुलना में, मैन्युअल तरीके से किए जाने वाले चरणों की संख्या और जटिलता को कम करती है.
Google खाते की सुविधा: अब सभी प्रॉविज़निंग तरीकों के साथ, Google खातों का इस्तेमाल किया जा सकता है. इससे, मैनेज किए जा रहे Google Play खातों की ज़रूरत खत्म हो जाती है.
बेहतर उपयोगकर्ता अनुभव: मैनेज किए जा रहे Google खातों की मदद से, आपको Android का बेहतर अनुभव मिलता है. इसमें अलग-अलग डिवाइसों पर काम करने वाली सुविधाएं शामिल हैं. जैसे, शेयर करना और कॉपी-पेस्ट करना.

उपयोगकर्ता खातों को लागू करना

एनरोलमेंट के इस नए फ़्लो को लागू करने का तरीका जानने के लिए, उपयोगकर्ता खाते लागू करना लेख पढ़ें.

मैनेज किए जा रहे Google खातों का लाइफ़साइकल

ऐसे संगठन जो Google खातों का इस्तेमाल करते हैं उनके ईएमएम सलूशन में मौजूद उपयोगकर्ता खाते, Google की किसी अन्य सेवा (जैसे, Google Workspace) से जुड़े मौजूदा उपयोगकर्ता खातों की तरह होते हैं. ये खाते googleManaged (टेबल 1) होते हैं, क्योंकि Google की बैकएंड सेवाएं, खाते को बनाने और उसकी जानकारी का सोर्स होती हैं.

ईएमएम के तौर पर, आपके पास अपने कंसोल में ऐसे तरीके उपलब्ध कराने का विकल्प होता है जिनसे आपके सिस्टम में मौजूद उपयोगकर्ता खातों को, Google के डोमेन खाते के सोर्स के साथ बनाया और सिंक्रनाइज़ किया जा सके. इसके लिए, Google Cloud डायरेक्ट्री सिंक (जीसीडीएस) और Google Admin SDK डायरेक्ट्री एपीआई जैसे टूल का इस्तेमाल किया जा सकता है. अलग-अलग तरीकों की खास जानकारी के लिए, देखें. Google से मैनेज किए जा रहे डोमेन आइडेंटिटी मॉडल के लिए ज़रूरी है कि उपयोगकर्ता खाता, आपके सलूशन (ईएमएम कंसोल, ईएमएम सर्वर या शायद डेटा स्टोर) के संदर्भ में मौजूद हो. इसके बाद ही, इसे काम की प्रोफ़ाइल के संदर्भ में, उपयोगकर्ता के किसी भी डिवाइस पर प्रॉविज़न किया जा सकता है.

आइडेंटिटी प्रॉविज़निंग के दौरान, संगठन के Google से मैनेज किए जा रहे डोमेन में उपयोगकर्ता खाते जोड़े जाते हैं. कुछ मामलों में, उपयोगकर्ताओं की मौजूदा ऑनलाइन आइडेंटिटी (उदाहरण के लिए, उनके Microsoft Exchange खाते) को उनके Google खातों के साथ सिंक्रनाइज़ किया जाता है.

ग्राहक खातों को सिंक्रनाइज़ करना

Google खातों के डिप्लॉयमेंट में, संगठन अपने Google Workspace डोमेन में मौजूद डेटा को अपने एलडीएपी डायरेक्ट्री में मौजूद डेटा के साथ सिंक्रनाइज़ करने के लिए, जीसीडीएस टूल का इस्तेमाल कर सकता है. इसके अलावा, अगर संगठन आपको ऐक्सेस देता है, तो आप संगठन की ओर से जीसीडीएस का इस्तेमाल करके, यह काम कर सकते हैं.

जीसीडीएस टूल, Google डायरेक्ट्री एपीआई को कॉल करता है और उपयोगकर्ता नामों को सिंक्रनाइज़ करता है. हालांकि, यह पासवर्ड को सिंक्रनाइज़ नहीं करता.

अगर संगठन, Microsoft Active Directory का इस्तेमाल करता है और वह चाहता है कि उपयोगकर्ताओं के Google Workspace पासवर्ड, उनके Active Directory पासवर्ड के साथ सिंक्रनाइज़ रहें, तो पासवर्ड सिंक की सुविधा का इस्तेमाल करने की तैयारी करना लेख पढ़ें.

एडमिन के लिए जीसीडीएस के निर्देश देखने के लिए, Google Cloud डायरेक्ट्री सिंक के बारे में जानकारी लेख पढ़ें.

Google डायरेक्ट्री एपीआई

Google खातों के डिप्लॉयमेंट में, एक्टिव डायरेक्ट्री, पासवर्ड या दोनों को सिंक्रनाइज़ करने के लिए, Google डायरेक्ट्री एपीआई का इस्तेमाल किया जा सकता है:

सिर्फ़ डायरेक्ट्री सिंक के लिए, डायरेक्ट्री एपीआई का इस्तेमाल करना. अगर आपके पास संगठन के मैनेज किए जा रहे Google डोमेन का रीड-ओनली ऐक्सेस है, तो Google से Google खाते की जानकारी पाने के लिए, Google डायरेक्ट्री एपीआई का इस्तेमाल किया जा सकता है. जैसे, उपयोगकर्ता नाम (लेकिन पासवर्ड नहीं). आपके पास उपयोगकर्ताओं के Google खातों में कोई भी डेटा लिखने की अनुमति नहीं होती. इसलिए, खाते के लाइफ़साइकल की पूरी ज़िम्मेदारी संगठन की होती है.

पहली स्थिति और एसएएमएल पर आधारित एसएसओ (SSO) की पुष्टि करने की स्थितियों में, इस बारे में ज़्यादा जानकारी दी गई है.

इस तरीके से डायरेक्ट्री एपीआई का इस्तेमाल करने के बारे में जानकारी पाने के लिए, डायरेक्ट्री एपीआई के दस्तावेज़ में, खाते के सभी उपयोगकर्ताओं को वापस पाना लेख पढ़ें.
डायरेक्ट्री और पासवर्ड सिंक के लिए, डायरेक्ट्री एपीआई का इस्तेमाल करना. पासवर्ड सिंक करना ज़रूरी नहीं है. अगर आपके पास संगठन के मैनेज किए जा रहे Google डोमेन का रीड-राइट ऐक्सेस है, तो उपयोगकर्ता नाम, पासवर्ड, और Google खाते की अन्य जानकारी पाने के लिए, Google डायरेक्ट्री एपीआई का इस्तेमाल किया जा सकता है. आपके पास इस जानकारी को अपडेट करने और इसे अपने डेटाबेस के साथ सिंक्रनाइज़ करने का विकल्प होता है. साथ ही, आपके पास खाते के लाइफ़साइकल की पूरी या आंशिक ज़िम्मेदारी हो सकती है. यह इस बात पर निर्भर करता है कि आपने अपने ग्राहक को कौनसी सेवा दी है.

दूसरी स्थिति में, इस बारे में ज़्यादा जानकारी दी गई है.

उपयोगकर्ता खाते की जानकारी मैनेज करने के लिए, डायरेक्ट्री एपीआई का इस्तेमाल करने के बारे में ज़्यादा जानने के लिए, देखें डायरेक्ट्री एपीआई: उपयोगकर्ता खाते के लिए डेवलपर की गाइड.

Google खातों से जुड़ी स्थितियां

यहां, Google खातों की आइडेंटिटी-प्रॉविज़निंग से जुड़ी कुछ सामान्य स्थितियों के बारे में बताया गया है.

पहली स्थिति: खाते के लाइफ़साइकल की ज़िम्मेदारी ग्राहक की होती है

Directory API (सिर्फ़ पढ़ने के ऐक्सेस के साथ) और GCDS का इस्तेमाल करना

इस स्थिति में, आपका ग्राहक अपने उपयोगकर्ताओं के लिए Google खाते बनाता है और उन्हें मैनेज करता है.

आपको संगठन की एलडीएपी डायरेक्ट्री से उपयोगकर्ता खाते की जानकारी मिलती है. साथ ही, Google डायरेक्ट्री एपीआई का इस्तेमाल करके, Google से मिले Google खाते के डेटा के साथ इसे कोरिलेट किया जाता है.

खाते के लाइफ़साइकल की पूरी ज़िम्मेदारी संगठन की होती है. उदाहरण के लिए, जब कोई नया Google खाता बनाया जाता है, तो संगठन उस उपयोगकर्ता को अपनी एलडीएपी डायरेक्ट्री में जोड़ता है. अगली बार जब आपका डेटाबेस, एलडीएपी डायरेक्ट्री के साथ सिंक होता है, तो आपके डेटाबेस को इस नए उपयोगकर्ता के बारे में जानकारी मिलती है.

इस स्थिति में:

आपके पास Google खातों का रीड-ओनली ऐक्सेस होता है.
आपके डेटाबेस को Google खाते के नाम मिलते हैं. हालांकि, एलडीएपी उपयोगकर्ता नाम या पासवर्ड नहीं मिलते.
आप अपने ग्राहक के उपयोगकर्ताओं के लिए, खाते की बुनियादी जानकारी पाने के लिए, Google डायरेक्ट्री एपीआई का इस्तेमाल करते हैं. (आपके पास वह जानकारी उपलब्ध होती है जिसे लिखा नहीं जा सकता जानकारी जिसे Users.get अनुरोध से वापस किया जाता है). उपयोगकर्ता के Google खाते मौजूद हैं, यह पुष्टि करने के लिए इस जानकारी का इस्तेमाल किया जाता है, ताकि उपयोगकर्ता अपने डिवाइसों पर पुष्टि कर सकें.
आपका ग्राहक, उपयोगकर्ताओं के Google खातों में जानकारी भरने के लिए, जीसीडीएस टूल का इस्तेमाल करके, एकतरफ़ा सिंक करता है. (आइडेंटिटी प्रॉविज़निंग पूरा होने के बाद, संगठन शायद अपने मौजूदा सिंक्रनाइज़ेशन के लिए भी जीसीडीएस का इस्तेमाल करता है.) इसके अलावा, संगठन, GSPS टूल का इस्तेमाल करके, न सिर्फ़ उपयोगकर्ता नाम, बल्कि पासवर्ड भी सिंक कर सकता है.

दूसरी स्थिति: खाते के लाइफ़साइकल की ज़िम्मेदारी ईएमएम की होती है

Directory API का इस्तेमाल करके, पढ़ने और लिखने का ऐक्सेस

इस स्थिति में, Google खाते बनाने की प्रोसेस को आपका ग्राहक मैनेज करता है. साथ ही, उपयोगकर्ताओं के खाते के लाइफ़साइकल की ज़िम्मेदारी आपकी होती है.

उदाहरण के लिए, जब संगठन की एलडीएपी डायरेक्ट्री में उपयोगकर्ता की जानकारी बदलती है, तो उपयोगकर्ता के Google खाते को अपडेट करने की ज़िम्मेदारी आपकी होती है. इस स्थिति में, जीसीडीएस का इस्तेमाल नहीं किया जाता.

इस स्थिति में:

आपके पास Google खातों का रीड-राइट ऐक्सेस होता है.
आपके डेटाबेस को Google खाते के नाम और एलडीएपी उपयोगकर्ता नाम (और चाहें तो पासवर्ड हैश) मिलते हैं.
संगठन के उपयोगकर्ताओं के लिए, खाते की जानकारी पढ़ने और लिखने के लिए, Google डायरेक्ट्री एपीआई का इस्तेमाल आपके ग्राहक की ओर से किया जाता है. (आपके पास वह जानकारी उपलब्ध होती है जिसे अनुरोध से वापस किया जाता है और जिसे लिखा नहीं जा सकता Users.get). उपयोगकर्ता के Google खाते मौजूद हैं, यह पुष्टि करने के लिए इस जानकारी का इस्तेमाल किया जाता है, ताकि उपयोगकर्ता अपने डिवाइसों पर पुष्टि कर सकें.
जीसीडीएस टूल का इस्तेमाल नहीं किया जाता.

एसएएमएल पर आधारित एसएसओ (SSO) की पुष्टि करने की स्थितियां

Google खातों के डिप्लॉयमेंट में, आपके या आपके ग्राहक के पास, हर उपयोगकर्ता से जुड़े Google खाते की पुष्टि करने के लिए, पहचान देने वाली सेवा (आईडीपी) के साथ, Security Assertion Markup Language (एसएएमएल) का इस्तेमाल करने का विकल्प होता है. उपयोगकर्ता के Google खाते मौजूद हैं, यह पुष्टि करने के लिए, Google खाते के नामों का इस्तेमाल किया जाता है. उपयोगकर्ताओं के डिवाइसों में साइन इन करने पर, उपयोगकर्ता की पुष्टि के लिए यह ज़रूरी है. उदाहरण के लिए, दूसरी स्थिति में एसएएमएल का इस्तेमाल किया जा सकता है. इसे सेट अप करने के तरीके के बारे में जानने के लिए, एसएसओ (SSO) के बारे में जानकारी लेख पढ़ें.