Kullanıcı hesaplarının temel hazırlığını yapın

Kimlik sağlama (veya hesap sağlama), hesapları oluşturma ve üç sistem arasında bağlantı kurma, bazı durumlarda ise kullanıcılar ile cihazları arasında bağlantı kurma işlemidir.

Android Enterprise ortamında, hesap bilgilerini tutan üç farklı sistem olabilir:

  • Kuruluşun kullanıcı dizini, kullanıcılarla ilgili bilgilerin kesin kaynağıdır.
  • Siz (EMM çözümü sağlayıcı) kuruluşun kullanıcılarının en azından minimum bir dizinini tutmalısınız.
  • Google, Google Play aracılığıyla uygulama yönetimi sağlamak için Managed Google Play hesapları ve Google Hesapları hakkında bazı bilgileri saklar.

Users kaynağı, bir kuruluşla ilişkili hesabı temsil eder. Hesap cihaza özel olabilir veya birden fazla cihazı (cep telefonu, tablet vb.) olan ve hesabı tüm cihazlarında kullanan bir kullanıcıyla ilişkilendirilebilir. Hesap, müşterinizin işletmesini nasıl ayarladığınıza bağlı olarak yalnızca Managed Google Play'e veya diğer Google hizmetlerine erişim sağlayabilir:

  • Managed Google Play Accounts, işletmelerin kurumsal mobilite yönetimi (EMM) çözüm sağlayıcıları aracılığıyla kullanıcı veya cihaz hesaplarını otomatik olarak oluşturmaları için şeffaf bir yöntem sunar. Bu hesaplar yalnızca Managed Google Play'e erişim sağlar.

  • Google Hesapları, Google tarafından yönetilen mevcut hesaplardır ve Google Hesabı kaynaklarıyla senkronize edilmeleri gerekir.

Tablo 1: Users API alanları ve yöntemleri

 Managed Google Play AccountsGoogle tarafından yönetilen hesaplar
Alan
id
tür
accountIdentifierOluşturduğunuz ve Google Play'den döndürülen kimlikle (userId) eşlediğiniz benzersiz bir tanımlayıcı. Kimliği tanımlayabilecek bilgiler (PII) kullanmayın.Ayarlanmadı.
accountTypedeviceAccount, userAccountuserAccount
görünen adKullanıcı arayüzü öğelerinde (ör. Google Play) gösterdiğiniz ad. Kimliği tanımlayabilecek bilgiler kullanmayın.Ayarlanmadı.
managementTypeemmManagedgoogleManaged, emmManaged
primaryEmailAyarlanmadı.Bu alan, Google tarafından yönetilen alan hesaplarından sisteminizdeki kullanıcı hesaplarına senkronizasyonu yönettiğiniz birincil anahtardır.
Yöntemler
delete
generateAuthenticationToken
generateToken
get
getAvailableProductSet
insert
list
revokeToken
setAvailableProductSet
update

Managed Google Play Accounts

İki tür Managed Google Play hesabı vardır:

Kullanıcı hesabı
Kullanıcılara, tüm cihazlarından Managed Google Play'e tek bir kullanıcı erişimi sağlar. Kullanıcılarınız için kullanıcı hesapları oluşturmanız gerekir. Kullanıcılarınızın, Managed Google Play hesaplarını kendileri eklemek için kimlik bilgileri yoktur.
Kullanıcı hesabı oluşturmak için Users.insert işlevini çağırın. Hesap türünü userType olarak ayarlayın ve kuruluş içinde kullanıcıya benzersiz şekilde referans veren bir accountIdentifier ayarlayın.
En iyi uygulama: Aynı hesabı 10'dan fazla cihazda kullanmayın.
Cihaz hesabı
Tek bir cihazdan Managed Google Play'e erişim sağlar. Bir cihaz hesabı için kimlik doğrulama jetonu verildiyse bu cihaz hesabı için yeni bir kimlik doğrulama jetonu isteği, önceki jetonu devre dışı bırakır. Her cihazın kendisine ait ayrı uygulama lisansları olmalıdır.
Cihaz hesabı oluşturmak için Users.insert işlevini çağırın ve hesap türünü deviceType olarak ayarlayın.

Kullanıcı veya cihaz kimlikleri ile ilgili Managed Google Play Accounts arasında bir eşleme oluşturup bu eşlemeyi sürdürürsünüz ve hesapları yaşam döngüleri boyunca yönetirsiniz. Kuruluşun bu Managed Google Play Accounts üzerinde doğrudan kontrolü olması gerekmez. Bu hesaplar yalnızca uygulama yönetimi için kullanılır.

EMM konsolları ve sunucularıyla ilgili şartlar

Managed Google Play Accounts, EMM çözümünüzün bileşenlerinde (EMM konsolu, EMM sunucusu ve DPC) Google Play EMM API'leri ve Android çerçeve API'leri kullanılarak isteğe bağlı olarak programatik bir şekilde oluşturulur. Bu bileşenler, çalışma zamanında etkileşime girerek kullanıcı hesabı oluşturur ve hedef cihazda iş profilini sağlar .

EMM konsolunuz veya sunucunuz:

  • Users.insert çağrısında kullanılacak benzersiz anonim hesap tanımlayıcıları (accountIdentifier alanı) oluşturma mekanizması sağlayın. Örneğin, kullanıcı için dahili bir değer ("sanjeev237389") veya şifreli bir öğe etiketi numarası ("asset#44448") kullanabilirsiniz. Hesap tanımlayıcısı için kimliği tanımlayabilecek bilgiler (PII) kullanmaktan kaçının.

  • userId (insert çağrısından döndürülen) ile seçtiğiniz accountIdentifier arasındaki eşlemeyi saklayın.

DPC'nizle ilgili koşullar için Cihaz politikası denetleyici oluşturma başlıklı makaleyi inceleyin.

Managed Google Play kullanıcı hesabı oluşturma

  1. Kullanıcı, genellikle kurumsal kimlik bilgilerini kullanarak DPC'nizde oturum açar.
  2. DPC, EMM sunucusundan veya konsolundan kullanıcıyla ilgili ayrıntıları ister. Kullanıcının sisteminizde bilinmediğini varsayarsak:
    1. Users.insert numaralı telefonu arayarak yeni accountIdentifier, displayName ve accountType değerleriyle yeni bir Managed Google Play hesabı isteğinde bulunun.
      • Sisteminiz accountIdentifier oluşturmalıdır. Hesap tanımlayıcısı, sisteminizde benzersiz bir değer olmalıdır. Hesap tanımlayıcısı için kimliği tanımlayabilecek bilgiler (PII) kullanmayın.
      • displayName, Google Play Store'un hesap değiştiricisinde gösterilir ve kullanıcı için bir anlam ifade etmelidir (ancak kullanıcıyla ilgili kimliği tanımlayabilecek bilgiler içermemelidir). Örneğin, kuruluş adı veya EMM ile ilgili genel bir ad kullanılabilir.
      • accountType öğesini userAccount veya deviceAccount olarak ayarlayın. userAccount birden fazla cihazda kullanılabilirken deviceAccount tek bir cihaza özeldir. Belirtilen accountType, deviceType veya userType olabilir.
      • managementType değerini emmManaged olarak ayarlayın.
    2. Google Play, isteği işler, hesabı oluşturur ve userId döndürür.
    3. accountIdentifier ile userId arasındaki eşlemeyi veri deponuzda saklayın.
    4. userId ve enterpriseId ile Users.generateAuthenticationToken'ı arayın. Google Play, bir kez kullanılabilen ve birkaç dakika içinde kullanılması gereken bir kimlik doğrulama jetonu döndürür.
    5. Doğrulama jetonunu DPC'nize güvenli bir şekilde yönlendirin.
  3. DPC, iş profilini hazırlayıp hesabı iş profiline veya cihaza ekler.
  4. Kullanıcı, iş profilinde veya cihazda Managed Google Play'e erişebilir.

Yönetici hesapları

Bir yönetici Managed Google Play Accounts ile bir grup oluşturduğunda kullandığı Google Hesabı, Google Workspace hesabı olamaz. Kullanılan hesap, işletmenin sahibi olur ve sahip, Managed Google Play Console'da daha fazla sahip ve yönetici ekleyebilir.

Hem Enterprises.get hem de Enterprises.completeSignup bir kuruluşla ilişkili yönetici e-posta adreslerinin listesini döndürür (yalnızca Managed Google Play Accounts grupları).

Hesap yaşam döngülerini yönetme

Managed Google Play Accounts dağıtımında, kullanıcı ve cihaz hesabı yaşam döngülerinden siz sorumlusunuz. Bu nedenle, bu hesapları oluşturur, günceller ve silersiniz.

Hesapları, cihaz temel hazırlığı sırasında oluşturursunuz. Bu süreçte DPC uygulamanız ve EMM konsolunuz kullanılır. Talimatlar için Managed Google Play Accounts yöntemine bakın.

Bir hesabın bilgilerini değiştirmek için Users.update'i çağırın.

Bir hesabı silmek için Users.delete'i çağırın.

Yöneticiler, tek tek hesapları silemez ancak Managed Google Play Accounts içeren bir kuruluşu silebilir. Bu işlem yapıldığında, Kaydı silme, yeniden kaydetme, silme başlıklı makalede açıklandığı gibi, cihaz ve kuruluşla ilişkili kullanıcı hesapları sonunda silinir.

Hesabın süresinin dolması

Hesapların veya jetonlarının süresi zaman zaman dolabilir. Bunun çeşitli nedenleri olabilir:

  • Hesabı cihaza eklemek için alınan kimlik doğrulama jetonunun süresi dolmuş.
  • Hesap veya işletme silinmiş olabilir.
  • Cihaz hesaplarında, hesap yeni bir cihaza eklendiği için eski cihazda devre dışı bırakılmıştır.
  • Otomatik kötüye kullanım kontrolleri tetiklenir.
  • Bir cihaz 270 günden uzun süre çevrimdışı kalırsa toplu temizleme işlemi nedeniyle bilgileri silinebilir.

Çoğu durumda (EMM, bir cihaz hesabını kasıtlı olarak yeni bir cihaza taşımıyorsa) en iyi uygulama, EMM sunucusundan yeni bir jeton istemek için Play EMM API'yi kullanmak, hesabın ve kuruluşun durumunu ve döndürülen hataları not etmek, ardından cihazda uygun işlemi yapmaktır. Örneğin, jetonu yenileyin veya hata kurtarılamıyorsa cihazı sıfırlayın ya da kaydını silin.

Jetonu düzgün şekilde yenilemek için:

  1. Hesap için yeni bir kimlik doğrulama jetonu istemek üzereusers.generateAuthenticationToken numaralı telefonu arayın.
  2. Çağrı başarılı olursa mevcut hesabı kaldırın ve DPC destek kitaplığını kullanarak yeni hesabı ekleyin.
  3. Arama başarısız olursa hesabı cihazdan kaldırın ve users.insert kullanarak yeni bir kullanıcı oluşturun, kimlik doğrulama jetonu oluşturun ve hesabı cihaza ekleyin.

Google Play Hizmetleri 9.0.00 sürümü, yayın işlemiyle hesabın süresinin dolduğunu DPC'nize bildirir:

  1. Yönetilen Google Play Hesabı bir cihazda geçersiz kılındığında DPC, aşağıdaki işlemle ilgili bir yayın alır: 

    com.google.android.gms.auth.ACCOUNT_REAUTH_REQUIRED

    Yayın amacı, Parcelable adlı bir ek içeriyor. Bu ek, geçersiz kılınan hesabın account nesnesidir.Account

  2. DPC, geçersiz kılınan hesabı belirlemek için EMM sunucusuyla Account#name kontrol eder.

  3. BT yöneticisi, başlangıçta cihazı sağlarken kullanılan akışla aynı şekilde yeni kimlik bilgileri veya yeni bir hesap ister.

Google Hesapları

Google Hesapları'nı kullanan kuruluşlarda, EMM'nin çözümündeki kullanıcı hesapları, başka bir Google hizmetiyle (ör. Google Workspace) ilişkili mevcut kullanıcı hesaplarını yansıtır. Bu hesaplar, Google'ın arka uç hizmetleri hesabın oluşturulması ve hesapla ilgili bilgiler için kaynak olduğundan googleManaged (Tablo 1) olarak sınıflandırılır.

EMM olarak, konsolunuzda Google Cloud Directory Sync (GCDS) ve Admin SDK Directory API gibi araçları kullanarak sisteminizdeki kullanıcı hesaplarının Google alanı hesabı kaynaklarıyla oluşturulmasını ve sürekli senkronize edilmesini kolaylaştıracak mekanizmalar sağlayabilirsiniz. Çeşitli yaklaşımlara genel bir bakış için. Google tarafından yönetilen alan kimliği modeli, kullanıcı hesabının bir iş profili bağlamında kullanıcının cihazlarından herhangi birinde sağlanabilmesi için önce çözümünüz bağlamında (EMM konsolu, EMM sunucusu, belki bir veri deposunda) bulunmasını gerektirir.

Kimlik temel hazırlığı sırasında, kuruluşun Google tarafından yönetilen alanına kullanıcı hesapları eklenir. Bazı durumlarda, kullanıcıların mevcut online kimlikleri (ör. Microsoft Exchange hesapları) Google Hesaplarıyla senkronize edilir.

İlk senkronizasyondan sonra ancak uygulamalar kullanıcının cihazına dağıtılmadan önce kullanıcının, Cihazlarda hesapları etkinleştirme başlıklı makalede açıklandığı şekilde Google Hesabını etkinleştirmesi gerekir. Bu etkinleştirme, cihazın Managed Google Play'e erişmesine olanak tanır.

Müşteri hesaplarını senkronize etme

Google Hesapları dağıtımında kuruluş, Google Workspace alanındaki verileri LDAP dizinindeki verilerle senkronize etmek için GCDS aracını kullanabilir. Alternatif olarak, kuruluş size erişim izni verirse bu işlemi kuruluş adına yapmak için GCDS'yi kullanabilirsiniz.

GCDS aracı, Google Directory API'yi çağırır ve kullanıcı adlarını senkronize eder ancak şifreleri senkronize etmez.

Kuruluş Microsoft Active Directory kullanıyorsa ve kullanıcıların Google Workspace şifrelerini Active Directory şifreleriyle senkronize tutmak istiyorsa Password Sync'i kullanmaya hazırlanma başlıklı makaleyi inceleyin.

Yöneticiler için GCDS talimatlarını Google Hesabınızı yetkilendirme başlıklı makalede bulabilirsiniz.

Google Directory API

Google Hesapları dağıtımında, Google Directory API'yi kullanarak etkin dizinleri, şifreleri veya her ikisini de senkronize edebilirsiniz:

  • Yalnızca dizin senkronizasyonu için Directory API'yi kullanma Kuruluşun yönetilen Google alanına salt okuma erişiminiz varsa Google'dan kullanıcı adları gibi Google Hesabı bilgilerini (ancak şifreleri değil) almak için Google Directory API'yi kullanabilirsiniz. Kullanıcıların Google Hesaplarına veri yazamadığınız için kuruluş, hesap yaşam döngülerinden tamamen sorumludur.

    Senaryo 1 ve SAML tabanlı TOA kimlik doğrulama senaryoları bu durumu daha ayrıntılı bir şekilde açıklar.

    Directory API'yi bu şekilde kullanma hakkında bilgi edinmek için Directory API dokümanlarındaki Tüm hesap kullanıcılarını alma başlıklı makaleyi inceleyin.

  • Dizin ve isteğe bağlı şifre senkronizasyonu için Directory API'yi kullanma. Kuruluşun yönetilen Google alanına okuma/yazma erişiminiz varsa kullanıcı adlarını, şifreleri ve diğer Google Hesabı bilgilerini almak için Google Directory API'yi kullanabilirsiniz. Bu bilgileri güncelleyip kendi veritabanınızla senkronize edebilirsiniz. Müşterinize sunduğunuz çözüme bağlı olarak hesap yaşam döngülerinden tamamen veya kısmen sorumlu olabilirsiniz.

    2. senaryo bu durumu daha ayrıntılı bir şekilde açıklar.

    Kullanıcı hesabı bilgilerini yönetmek için Directory API'yi kullanma hakkında daha fazla bilgi edinmek için Directory API: Kullanıcı Hesapları başlıklı geliştirici kılavuzuna bakın.

Google Hesapları senaryoları

Aşağıda, Google Hesapları ile ilgili kimlik sağlama işlemlerinde sık karşılaşılan birkaç senaryo açıklanmaktadır.

1. senaryo: Hesap yaşam döngülerinden müşteri sorumludur

Directory API'yi (salt okuma erişimiyle) ve GCDS'yi kullanma

Bu senaryoda müşteriniz, kullanıcıları için Google Hesapları oluşturur ve bu hesapları yönetir.

Kuruluşun LDAP dizininden kullanıcı hesabı bilgilerini alırsınız ve bunları Google Directory API aracılığıyla Google'dan aldığınız Google Hesabı verileriyle ilişkilendirirsiniz.

Hesap yaşam döngülerinden tamamen kuruluş sorumludur. Örneğin, yeni bir Google Hesabı oluşturulduğunda kuruluş, kullanıcıyı LDAP dizinine ekler. Veritabanınızı LDAP diziniyle bir sonraki senkronize edişinizde veritabanınız bu yeni kullanıcıyla ilgili bilgileri alır.

Bu senaryoda:

  • Google Hesaplarına salt okuma erişiminiz var.
  • Veritabanınız Google Hesabı adlarını alır ancak LDAP kullanıcı adlarını veya şifrelerini almaz.
  • Müşterinizin kullanıcılarıyla ilgili temel hesap bilgilerini almak için Google Directory API'yi kullanıyorsunuz. (Size sunulan bilgiler, Users.get isteğiyle döndürülen yazılabilir olmayan bilgilerdir). Bu bilgileri, kullanıcıların Google Hesaplarının mevcut olduğunu doğrulamak için kullanırsınız. Böylece kullanıcılar cihazlarının kimliğini doğrulayabilir.
  • Müşteriniz, kullanıcıların Google Hesaplarını doldurmak için GCDS aracını kullanarak tek yönlü senkronizasyon gerçekleştirir. (Kuruluş, kimlik sağlama tamamlandıktan sonra kendi devam eden senkronizasyonu için de GCDS'yi kullanıyor olabilir.) İsteğe bağlı olarak, kuruluşlar yalnızca kullanıcı adlarını değil, şifreleri de senkronize etmek için GSPS aracını kullanabilir.

2. senaryo: EMM, hesap yaşam döngülerinden sorumludur

Directory API'yi okuma/yazma erişimiyle kullanma

Bu senaryoda, müşteriniz adına Google Hesabı oluşturma sürecini yönetirsiniz ve kullanıcıların hesap yaşam döngülerinden siz sorumlusunuzdur.

Örneğin, kuruluşun LDAP dizinindeki kullanıcı bilgileri değiştiğinde kullanıcının Google Hesabı'nı güncellemekten siz sorumlusunuz. Bu senaryoda GCDS kullanılmaz.

Bu senaryoda:

  • Google Hesapları'na okuma/yazma erişiminiz olmalıdır.
  • Veritabanınız Google Hesabı adlarını ve LDAP kullanıcı adlarını (isteğe bağlı olarak şifre karmaları) alır.
  • Müşteriniz adına Google Directory API'yi kullanarak kuruluş kullanıcılarının hesap bilgilerini okur ve yazar. (Size sunulan bilgiler, bir Users.get isteğiyle döndürülen yazılamayan bilgilerdir). Bu bilgileri, kullanıcıların Google Hesaplarının mevcut olduğunu doğrulamak için kullanırsınız. Böylece kullanıcılar cihazlarının kimliğini doğrulayabilir.
  • GCDS aracı kullanılmıyor.

SAML tabanlı TOA kimlik doğrulama senaryoları

Google Hesapları dağıtımında, siz veya müşteriniz her kullanıcıyla ilişkili Google Hesabı'nın kimliğini doğrulamak için bir kimlik sağlayıcı (IdP) ile birlikte Güvenlik Onayı Biçimlendirme Dili (SAML) kullanabilirsiniz. Kullanıcıların cihazlarında oturum açtıklarında kullanıcı kimlik doğrulaması için gerekli olan, kullanıcıların Google Hesaplarının mevcut olduğunu doğrulama amacıyla Google Hesabı adlarını kullanırsınız. Örneğin, SAML 2. Senaryo'da kullanılabilir. Bu ayarı yapma hakkında ayrıntılı bilgi için TOA hakkında başlıklı makaleyi inceleyin.

Cihazlarda hesapları etkinleştirme

Uygulamaların Managed Google Play aracılığıyla kullanıcı cihazına dağıtılması için kullanıcının cihaz temel hazırlığı sırasında cihazda oturum açması gerekir:

  • Managed Google Play Hesapları cihaz temel hazırlığı işleminde DPC'niz, kullanıcıyı EMM konsolunuz tarafından kabul edilen kimlik bilgilerini (genellikle kurumsal e-posta kimlik bilgileri) kullanarak oturum açmaya yönlendirir.
  • Google Hesapları dağıtımında, KYS'niz kullanıcıyı Google Hesabı oturum açma kimlik bilgilerini girmeye yönlendirir. Bu kimlik bilgileri genellikle kullanıcıların GCDS veya GSPS ile senkronize edildiklerinde ya da bir kuruluş kimlik doğrulama için IdP kullandığında kurumsal alanlarında oturum açmak için kullandıkları kimlik bilgileriyle eşleşir. Bu işlem, kullanıcının Google Hesabı'nı etkinleştirir, benzersiz bir cihaz kimliği oluşturur ve kullanıcının Google Hesabı kimliği ile cihazının cihaz kimliğini bağlar.