उपयोगकर्ता खातों का प्रावधान करें

आइडेंटिटी प्रॉविज़निंग (या खाता प्रॉविज़निंग) का मतलब है, खाते सेट अप करना और तीनों सिस्टम के बीच कनेक्शन बनाना. इसके अलावा, कुछ मामलों में उपयोगकर्ताओं और उनके डिवाइसों के बीच कनेक्शन सेट अप करना.

Android Enterprise एनवायरमेंट में, तीन अलग-अलग सिस्टम में खाते की जानकारी होती है:

• संगठन की उपयोगकर्ता डायरेक्ट्री, उपयोगकर्ताओं के बारे में जानकारी का मुख्य सोर्स होती है.
• आपको (ईएमएम सलूशन देने वाली कंपनी) संगठन के उपयोगकर्ताओं की कम से कम एक डायरेक्ट्री बनाए रखनी होगी.
• Google, मैनेज किए जा रहे Google Play खातों और Google खातों के बारे में कुछ जानकारी बनाए रखता है, ताकि Google Play के ज़रिए ऐप्लिकेशन मैनेजमेंट की सुविधा दी जा सके.

---

एक Users संसाधन, किसी एंटरप्राइज़ से जुड़े खाते को दिखाता है. यह खाता किसी डिवाइस के लिए खास हो सकता है या किसी ऐसे व्यक्ति से जुड़ा हो सकता है जिसके पास एक से ज़्यादा डिवाइस (मोबाइल फ़ोन, टैबलेट वगैरह) हैं और वह इन सभी डिवाइसों पर इस खाते का इस्तेमाल करता है. खाते से सिर्फ़ मैनेज किए जा रहे Google Play को ऐक्सेस किया जा सकता है या Google की अन्य सेवाओं को भी. यह इस बात पर निर्भर करता है कि आपने अपने ग्राहक के एंटरप्राइज़ को कैसे सेट अप किया है:

• मैनेज किए जा रहे Google Play खातों की मदद से, एंटरप्राइज़ अपने ईएमएम सलूशन देने वाली कंपनी के ज़रिए, उपयोगकर्ता या डिवाइस खाते अपने-आप बना सकते हैं. इससे एंटरप्राइज़ मोबिलिटी मैनेजमेंट (ईएमएम) सलूशन देने वाली कंपनी को पारदर्शिता मिलती है. इन खातों से सिर्फ़ मैनेज किए जा रहे Google Play को ऐक्सेस किया जा सकता है.

• Google खाते मौजूदा खाते होते हैं, जिन्हें Google मैनेज करता है. इनके लिए, Google खाते के सोर्स के साथ सिंक्रनाइज़ेशन ज़रूरी होता है.

पहली टेबल: Users API के फ़ील्ड और तरीके

	मैनेज किए जा रहे Google Play खाते	Google से मैनेज किए जा रहे खाते
फ़ील्ड
आईडी
टाइप
accountIdentifier	यह एक यूनीक आइडेंटिफ़ायर है, जिसे Google Play से मिले आईडी (userId) के लिए बनाया और मैप किया जाता है. व्यक्तिगत पहचान से जुड़ी जानकारी (पीआईआई) का इस्तेमाल न करें.	सेट नहीं है.
accountType	deviceAccount, userAccount	userAccount
displayName	यह वह नाम है जो Google Play जैसे यूज़र इंटरफ़ेस (यूआई) आइटम में दिखता है. व्यक्तिगत पहचान से जुड़ी जानकारी का इस्तेमाल न करें.	सेट नहीं है.
managementType	emmManaged	googleManaged, emmManaged
primaryEmail	सेट नहीं है.	यह फ़ील्ड, प्राइमरी कुंजी है. इसकी मदद से, Google से मैनेज किए जा रहे डोमेन खातों से आपके सिस्टम में मौजूद उपयोगकर्ता खातों तक सिंक्रनाइज़ेशन को मैनेज किया जाता है.
तरीके
मिटाएं
generateAuthenticationToken
generateToken
सदस्यता लें
getAvailableProductSet
इंसर्ट करें
सूची
revokeToken
setAvailableProductSet
अपडेट करें

---

मैनेज किए जा रहे Google Play खाते

मैनेज किए जा रहे Google Play खाते दो तरह के होते हैं:

उपयोगकर्ता खाता

इससे किसी एक उपयोगकर्ता को अपने सभी डिवाइसों से, मैनेज किए जा रहे Google Play को ऐक्सेस करने की सुविधा मिलती है. आपको अपने उपयोगकर्ताओं के लिए उपयोगकर्ता खाते उपलब्ध कराने होंगे. उनके पास, मैनेज किए जा रहे Google Play खाते खुद जोड़ने के क्रेडेंशियल नहीं होते.

उपयोगकर्ता खाता बनाने के लिए, Users.insert को कॉल करें. खाते का टाइप userType पर सेट करें. साथ ही, accountIdentifier सेट करें. यह एंटरप्राइज़ में उपयोगकर्ता की यूनीक पहचान होती है.

सबसे सही तरीका: एक ही खाते का इस्तेमाल 10 से ज़्यादा डिवाइसों पर न करें.

डिवाइस खाता

इससे किसी एक डिवाइस से, मैनेज किए जा रहे Google Play को ऐक्सेस करने की सुविधा मिलती है. अगर किसी डिवाइस खाते के लिए पुष्टि करने वाला टोकन जारी किया गया है, तो उस डिवाइस खाते के लिए पुष्टि करने वाले टोकन का नया अनुरोध करने पर, पिछला टोकन डीऐक्टिवेट हो जाता है. हर डिवाइस के लिए, ऐप्लिकेशन के अलग-अलग लाइसेंस होने चाहिए.

डिवाइस खाता बनाने के लिए, Users.insert को कॉल करें और खाते का टाइप deviceType पर सेट करें.

उपयोगकर्ता या डिवाइस की पहचान और उससे जुड़े मैनेज किए जा रहे Google Play खातों के बीच मैपिंग बनाई और बनाए रखी जाती है. साथ ही, खातों को उनकी लाइफ़साइकल के दौरान मैनेज किया जाता है. संगठन को इन मैनेज किए जा रहे Google Play खातों पर सीधे तौर पर कंट्रोल करने की ज़रूरत नहीं होती, क्योंकि ये खाते सिर्फ़ ऐप्लिकेशन मैनेजमेंट के लिए होते हैं.

ईएमएम कंसोल और सर्वर के लिए ज़रूरी शर्तें

मैनेज किए जा रहे Google Play खाते, Google Play EMM API और Android फ़्रेमवर्क API का इस्तेमाल करके, ईएमएम सलूशन (ईएमएम कंसोल, ईएमएम सर्वर, और डीपीसी) के कॉम्पोनेंट में प्रोग्राम के ज़रिए बनाए जाते हैं. ये कॉम्पोनेंट, रनटाइम पर इंटरैक्ट करके उपयोगकर्ता खाता बनाते हैं और टारगेट डिवाइस पर वर्क प्रोफ़ाइल उपलब्ध कराते हैं.

आपके ईएमएम कंसोल या सर्वर में ये चीज़ें होनी चाहिए:

• गुमनाम खाते के यूनीक आइडेंटिफ़ायर (accountIdentifier फ़ील्ड) बनाने का तरीका उपलब्ध होना चाहिए, ताकि Users.insert को कॉल किया जा सके. उदाहरण के लिए, उपयोगकर्ता के लिए कोई इंटरनल वैल्यू ("sanjeev237389") या कोई क्रिप्टिक ऐसेट टैग नंबर ("asset#44448") इस्तेमाल किया जा सकता है. खाते के आइडेंटिफ़ायर के लिए, व्यक्तिगत पहचान से जुड़ी जानकारी (पीआईआई) का इस्तेमाल न करें.

• userId (insert कॉल से मिला) और आपके चुने गए accountIdentifier के बीच मैपिंग सेव होनी चाहिए.

अपने डीपीसी के लिए ज़रूरी शर्तें जानने के लिए, डिवाइस पॉलिसी कंट्रोलर बनाना लेख पढ़ें.

मैनेज किया जा रहा Google Play उपयोगकर्ता खाता बनाना

1. कोई उपयोगकर्ता, कॉर्पोरेट क्रेडेंशियल का इस्तेमाल करके (आम तौर पर) आपके डीपीसी में साइन इन करता है.
2. डीपीसी, ईएमएम सर्वर या कंसोल से उपयोगकर्ता के बारे में जानकारी का अनुरोध करता है. मान लें कि आपका सिस्टम उपयोगकर्ता को नहीं पहचानता:
   1. मैनेज किए जा रहे Google Play खाते के लिए अनुरोध सबमिट करें. इसमें नए accountIdentifier, displayName, और accountType की वैल्यू शामिल करें.Users.insert
      • आपके सिस्टम को accountIdentifier बनाना होगा. खाते का आइडेंटिफ़ायर, आपके सिस्टम में यूनीक वैल्यू होनी चाहिए. खाते के आइडेंटिफ़ायर के लिए, पीआईआई का इस्तेमाल न करें.
      • displayName, Google Play Store के खाते के स्विचर में दिखता है. इसका उपयोगकर्ता के लिए कोई मतलब होना चाहिए. हालांकि, इसमें उपयोगकर्ता के बारे में पीआईआई शामिल नहीं होना चाहिए. उदाहरण के लिए, नाम में संगठन का नाम या ईएमएम से जुड़ा कोई सामान्य नाम शामिल हो सकता है.
      • accountType को userAccount या deviceAccount पर सेट करें. userAccount का इस्तेमाल एक से ज़्यादा डिवाइसों पर किया जा सकता है, जबकि deviceAccount सिर्फ़ एक डिवाइस के लिए होता है. निर्दिष्ट accountType deviceType या userType हो सकता है.
      • managementType को emmManaged पर सेट करें.
   2. Google Play, अनुरोध को प्रोसेस करता है, खाता बनाता है, और userId दिखाता है.
   3. अपने डेटास्टोर में, accountIdentifier और userId के बीच मैपिंग सेव करें.
   4. userId और enterpriseId के साथ Users.generateAuthenticationToken को कॉल करें. Google Play, पुष्टि करने वाला एक टोकन दिखाता है. इसका इस्तेमाल सिर्फ़ एक बार किया जा सकता है और इसे कुछ ही मिनटों में इस्तेमाल करना ज़रूरी है.
   5. पुष्टि करने वाले टोकन को सुरक्षित तरीके से अपने डीपीसी को फ़ॉरवर्ड करें.
3. डीपीसी, वर्क प्रोफ़ाइल उपलब्ध कराता है और खाते को वर्क प्रोफ़ाइल या डिवाइस में जोड़ता है.
4. उपयोगकर्ता, वर्क प्रोफ़ाइल या डिवाइस में मैनेज किए जा रहे Google Play को ऐक्सेस कर सकता है.

एडमिन खाते

जब कोई एडमिन मैनेज किए जा रहे Google Play खातों के साथ कोई एंटरप्राइज़ बनाता है, तो वह Google खाता इस्तेमाल नहीं किया जा सकता जो Google Workspace खाता हो. वह खाता, एंटरप्राइज़ का मालिक बन जाता है. मालिक, मैनेज किए जा रहे Google Play कंसोल में और मालिक और एडमिन जोड़ सकता है.

Enterprises.get और Enterprises.completeSignup , दोनों ही एडमिन के ईमेल पतों की सूची दिखाते हैं. ये ईमेल पते, किसी एंटरप्राइज़ (सिर्फ़ मैनेज किए जा रहे Google Play खातों वाले एंटरप्राइज़) से जुड़े होते हैं.

खाते की लाइफ़साइकल मैनेज करना

मैनेज किए जा रहे Google Play खातों को डिप्लॉय करने पर, उपयोगकर्ता और डिवाइस खाते की लाइफ़साइकल की ज़िम्मेदारी आपकी होती है. इसका मतलब है कि आपको ये खाते बनाने, अपडेट करने, और मिटाने होते हैं.

डिवाइस प्रॉविज़निंग के दौरान, खाते बनाए जाते हैं. इस प्रोसेस में, आपका डीपीसी ऐप्लिकेशन और ईएमएम कंसोल शामिल होता है. निर्देशों के लिए, मैनेज किए जा रहे Google Play खातों का तरीका देखें.

खाते की जानकारी बदलने के लिए, Users.update को कॉल करें.

खाता मिटाने के लिए, Users.delete को कॉल करें.

एडमिन, अलग-अलग खाते नहीं मिटा सकते. हालांकि, वे मैनेज किए जा रहे Google Play खातों वाले एंटरप्राइज़ को मिटा सकते हैं. ऐसा करने पर, एंटरप्राइज़ से जुड़े डिवाइस और उपयोगकर्ता खाते मिट जाते हैं. इसके बारे में, सदस्यता रद्द करना, फिर से रजिस्टर करना, मिटाना लेख में बताया गया है.

खाते की समयसीमा खत्म होना

कभी-कभी खातों या उनके टोकन की समयसीमा खत्म हो जाती है. ऐसा कई वजहों से हो सकता है:

• डिवाइस में खाता जोड़ने के लिए मिला पुष्टि करने वाला टोकन की समयसीमा खत्म हो गई है.
• खाता या एंटरप्राइज़ मिटा दिया गया है.
• डिवाइस खातों के लिए, खाता किसी नए डिवाइस में जोड़ा गया है. इसलिए, पुराने डिवाइस पर यह बंद कर दिया गया है.
• गलत इस्तेमाल की पहचान करने के लिए, अपने-आप होने वाली जांच ट्रिगर हो गई हैं.
• अगर कोई डिवाइस 270 दिनों से ज़्यादा समय तक ऑफ़लाइन रहता है, तो बैच क्लीनअप प्रोसेस की वजह से उसकी जानकारी मिट सकती है.

ज़्यादातर मामलों में (जब तक ईएमएम, डिवाइस खाते को जान-बूझकर किसी नए डिवाइस पर ट्रांसफ़र नहीं कर रहा है), सबसे सही तरीका यह है कि ईएमएम सर्वर से नया टोकन पाने के लिए, Play EMM API का इस्तेमाल किया जाए. साथ ही, खाते और एंटरप्राइज़ की स्थिति और मिली गड़बड़ियों को नोट किया जाए. इसके बाद, डिवाइस पर ज़रूरी कार्रवाई की जाए. उदाहरण के लिए, टोकन रिन्यू करें या अगर गड़बड़ी ठीक नहीं की जा सकती, तो डिवाइस को रीसेट करें या उसकी सदस्यता रद्द करें.

टोकन को सही तरीके से रिन्यू करने के लिए, आपको यह करना चाहिए:

1. खाते के लिए पुष्टि करने वाला नया टोकन पाने का अनुरोध करने के लिए, users.generateAuthenticationToken को कॉल करें.
2. अगर कॉल पूरा हो जाता है, तो मौजूदा खाता हटाएं और डीपीसी सहायता लाइब्रेरी का इस्तेमाल करके, नया खाता जोड़ें.
3. अगर कॉल पूरा नहीं होता है, तो डिवाइस से खाता हटाएं और नया उपयोगकर्ता बनाने के लिए users.insert का इस्तेमाल करें. इसके बाद, पुष्टि करने वाला टोकन जनरेट करें और खाते को डिवाइस में जोड़ें.

Google Play services का वर्शन 9.0.00, ब्रॉडकास्ट ऐक्शन का इस्तेमाल करके आपके डीपीसी को सूचना देता है कि खाते की समयसीमा खत्म हो गई है:

1. जब किसी डिवाइस पर मैनेज किए जा रहे Google Play खाते को अमान्य कर दिया जाता है, तो डीपीसी को ब्रॉडकास्ट मिलता है. इसमें यह ऐक्शन शामिल होता है:

   com.google.android.gms.auth.ACCOUNT_REAUTH_REQUIRED

   ब्रॉडकास्ट इंटेंट में, एक Parcelable एक्स्ट्रा शामिल होता है जिसका नाम account है, जो अमान्य किए गए खाते का Account ऑब्जेक्ट होता है.

2. डीपीसी, अमान्य किए गए खाते की पहचान करने के लिए, ईएमएम सर्वर के साथ Account#name की जांच करता है.

3. डीपीसी, नए क्रेडेंशियल या नए खाते का अनुरोध करता है. इसके लिए, डिवाइस को शुरू में उपलब्ध कराने के लिए इस्तेमाल किए गए फ़्लो का ही इस्तेमाल किया जाता है.

---

Google खाते

Google खातों का इस्तेमाल करने वाले संगठनों के लिए, ईएमएम के सलूशन में मौजूद उपयोगकर्ता खाते, Google की किसी अन्य सेवा (उदाहरण के लिए, Google Workspace) से जुड़े मौजूदा उपयोगकर्ता खातों की तरह होते हैं. ये खाते googleManaged (पहली टेबल) होते हैं, क्योंकि Google की बैकएंड सेवाएं, खाते को बनाने और उसकी जानकारी का सोर्स होती हैं.

ईएमएम के तौर पर, आपके पास अपने कंसोल में ऐसे तरीके उपलब्ध कराने का विकल्प होता है जिनसे आपके सिस्टम में मौजूद उपयोगकर्ता खातों को, Google के डोमेन खाते के सोर्स के साथ बनाया और लगातार सिंक्रनाइज़ किया जा सके. इसके लिए, Google Cloud डायरेक्ट्री सिंक (जीसीडीएस) और Google Admin SDK डायरेक्ट्री एपीआई जैसे टूल का इस्तेमाल किया जा सकता है. अलग-अलग तरीकों की खास जानकारी के लिए, देखें. Google से मैनेज किए जा रहे डोमेन आइडेंटिटी मॉडल के लिए ज़रूरी है कि उपयोगकर्ता खाता, आपके सलूशन (ईएमएम कंसोल, ईएमएम सर्वर, शायद डेटास्टोर में) के संदर्भ में मौजूद हो. इसके बाद ही, इसे वर्क प्रोफ़ाइल के संदर्भ में, उपयोगकर्ता के किसी भी डिवाइस पर उपलब्ध कराया जा सकता है.

आइडेंटिटी प्रॉविज़निंग के दौरान, संगठन का Google से मैनेज किया जा रहा डोमेन, उपयोगकर्ता खातों से भर जाता है. कुछ मामलों में, उपयोगकर्ताओं की मौजूदा ऑनलाइन आइडेंटिटी (उदाहरण के लिए, उनके Microsoft Exchange खाते) को उनके Google खातों के साथ सिंक्रनाइज़ किया जाता है.

शुरुआती सिंक्रनाइज़ेशन के बाद, लेकिन उपयोगकर्ता के डिवाइस पर ऐप्लिकेशन डिस्ट्रिब्यूट करने से पहले, उपयोगकर्ता को अपना Google खाता चालू करना होगा. इसके बारे में, डिवाइसों पर खाते चालू करना लेख में बताया गया है. खाता चालू करने के बाद, डिवाइस को मैनेज किए जा रहे Google Play को ऐक्सेस करने की अनुमति मिल जाती है.

ग्राहक खातों को सिंक्रनाइज़ करना

Google खातों को डिप्लॉय करने पर, संगठन, GCDS टूल का इस्तेमाल करके, अपने Google Workspace डोमेन में मौजूद डेटा को अपने एलडीएपी डायरेक्ट्री में मौजूद डेटा के साथ सिंक्रनाइज़ कर सकता है. इसके अलावा, अगर संगठन आपको ऐक्सेस देता है, तो आपके पास संगठन की ओर से GCDS का इस्तेमाल करके यह काम करने का विकल्प होता है.

GCDS टूल, Google Directory API को कॉल करता है और उपयोगकर्ता नामों को सिंक्रनाइज़ करता है. हालांकि, यह पासवर्ड को सिंक्रनाइज़ नहीं करता.

अगर संगठन, Microsoft Active Directory का इस्तेमाल करता है और उपयोगकर्ताओं के Google Workspace पासवर्ड को उनके Active Directory पासवर्ड के साथ सिंक्रनाइज़ रखना चाहता है, तो पासवर्ड सिंक का इस्तेमाल करने की तैयारी करना लेख पढ़ें.

एडमिन के लिए GCDS के निर्देशों के लिए, अपना Google खाता ऑथराइज़ करना लेख पढ़ें.

Google Directory API

Google खातों को डिप्लॉय करने पर, Google Directory API का इस्तेमाल करके, ऐक्टिव डायरेक्ट्री, पासवर्ड या दोनों को सिंक्रनाइज़ किया जा सकता है:

• सिर्फ़ डायरेक्ट्री को सिंक्रनाइज़ करने के लिए, Directory API का इस्तेमाल करना. अगर आपके पास संगठन के मैनेज किए जा रहे Google डोमेन का रीड-ओनली ऐक्सेस है, तो Google Directory API का इस्तेमाल करके, Google से Google खाते की जानकारी पाई जा सकती है. जैसे, उपयोगकर्ता नाम (लेकिन पासवर्ड नहीं). आपके पास उपयोगकर्ताओं के Google खातों में कोई डेटा लिखने की अनुमति नहीं होती. इसलिए, खाते की लाइफ़साइकल की पूरी ज़िम्मेदारी संगठन की होती है.

  पहली स्थिति और एसएएमएल-आधारित एसएसओ पुष्टि करने की स्थितियों में, इस स्थिति के बारे में ज़्यादा जानकारी दी गई है.

  इस तरीके से Directory API का इस्तेमाल करने के बारे में जानकारी पाने के लिए, Directory API के दस्तावेज़ में सभी खाते के उपयोगकर्ताओं को वापस पाना लेख पढ़ें account users in the Directory API documentation.

• डायरेक्ट्री और पासवर्ड को सिंक्रनाइज़ करने के लिए, Directory API का इस्तेमाल करना. अगर आपके पास संगठन के मैनेज किए जा रहे Google डोमेन का रीड-राइट ऐक्सेस है, तो Google Directory API का इस्तेमाल करके, उपयोगकर्ता नाम, पासवर्ड, और Google खाते की अन्य जानकारी पाई जा सकती है. आपके पास इस जानकारी को अपडेट करने और इसे अपने डेटाबेस के साथ सिंक्रनाइज़ करने का विकल्प होता है. साथ ही, आपके पास खाते की लाइफ़साइकल की पूरी या आंशिक ज़िम्मेदारी हो सकती है. यह इस बात पर निर्भर करता है कि आपने अपने ग्राहक को कौनसी सेवा दी है.

  दूसरी स्थिति में, इस स्थिति के बारे में ज़्यादा जानकारी दी गई है.

  उपयोगकर्ता खाते की जानकारी मैनेज करने के लिए, Directory API का इस्तेमाल करने के बारे में ज़्यादा जानने के लिए, देखें Directory API: उपयोगकर्ता खाते के लिए डेवलपर की गाइड.

Google खातों की स्थितियां

Google खातों की आइडेंटिटी-प्रॉविज़निंग की कुछ सामान्य स्थितियां यहां बताई गई हैं.

पहली स्थिति: खाते की लाइफ़साइकल की ज़िम्मेदारी ग्राहक की होती है

इस स्थिति में, आपका ग्राहक अपने उपयोगकर्ताओं के लिए Google खाते बनाता है और उन्हें मैनेज करता है.

आपको संगठन की एलडीएपी डायरेक्ट्री से उपयोगकर्ता खाते की जानकारी मिलती है. साथ ही, Google Directory API के ज़रिए, Google से Google खाते का डेटा मिलता है. इन दोनों को आपस में जोड़ा जाता है.

खाते की लाइफ़साइकल की पूरी ज़िम्मेदारी संगठन की होती है. उदाहरण के लिए, जब कोई नया Google खाता बनाया जाता है, तो संगठन, उपयोगकर्ता को अपनी एलडीएपी डायरेक्ट्री में जोड़ता है. अगली बार जब आपका डेटाबेस, एलडीएपी डायरेक्ट्री के साथ सिंक्रनाइज़ होता है, तो आपके डेटाबेस को इस नए उपयोगकर्ता के बारे में जानकारी मिलती है.

इस स्थिति में:

• आपके पास Google खातों का रीड-ओनली ऐक्सेस होता है.
• आपके डेटाबेस को Google खाते के नाम मिलते हैं, लेकिन एलडीएपी उपयोगकर्ता नाम या पासवर्ड नहीं.
• Google Directory API का इस्तेमाल करके, अपने ग्राहक के उपयोगकर्ताओं के लिए खाते की बुनियादी जानकारी पाई जाती है. (आपके पास वह जानकारी होती है जिसे लिखा नहीं जा सकता और जो अनुरोध से वापस की जाती है) Users.get . इस जानकारी का इस्तेमाल करके, यह पुष्टि की जाती है कि उपयोगकर्ताओं के Google खाते मौजूद हैं, ताकि उपयोगकर्ता अपने डिवाइसों पर पुष्टि कर सकें.
• आपका ग्राहक, GCDS टूल का इस्तेमाल करके, एकतरफ़ा सिंक करता है, ताकि उपयोगकर्ताओं के Google खाते भर जाएं. (आइडेंटिटी प्रॉविज़निंग पूरा होने के बाद, संगठन शायद GCDS का इस्तेमाल अपने लगातार सिंक्रनाइज़ेशन के लिए भी करता है.) इसके अलावा, संगठन, GSPS टूल का इस्तेमाल करके, न सिर्फ़ उपयोगकर्ता नाम, बल्कि पासवर्ड भी सिंक्रनाइज़ कर सकता है.

दूसरी स्थिति: खाते की लाइफ़साइकल की ज़िम्मेदारी ईएमएम की होती है

इस स्थिति में, आपके ग्राहक की ओर से Google खाते बनाने की प्रोसेस को आप हैंडल करते हैं. साथ ही, उपयोगकर्ताओं के खाते की लाइफ़साइकल की ज़िम्मेदारी आपकी होती है.

उदाहरण के लिए, जब संगठन की एलडीएपी डायरेक्ट्री में उपयोगकर्ता की जानकारी बदलती है, तो उपयोगकर्ता के Google खाते को अपडेट करने की ज़िम्मेदारी आपकी होती है. इस स्थिति में, GCDS का इस्तेमाल नहीं किया जाता.

इस स्थिति में:

• आपके पास Google खातों का रीड-राइट ऐक्सेस होता है.
• आपके डेटाबेस को Google खाते के नाम और एलडीएपी उपयोगकर्ता नाम (और इसके अलावा, पासवर्ड हैश) मिलते हैं.
• अपने ग्राहक की ओर से, संगठन के उपयोगकर्ताओं के लिए खाते की जानकारी पढ़ने और लिखने के लिए, Google Directory API का इस्तेमाल किया जाता है. (आपके पास वह जानकारी होती है जिसे Users.get के अनुरोध से वापस किया जाता है और जिसे लिखा नहीं जा सकता ). इस जानकारी का इस्तेमाल करके, यह पुष्टि की जाती है कि उपयोगकर्ताओं के Google खाते मौजूद हैं, ताकि उपयोगकर्ता अपने डिवाइसों पर पुष्टि कर सकें.
• GCDS टूल का इस्तेमाल नहीं किया जाता.

एसएएमएल-आधारित एसएसओ पुष्टि करने की स्थितियां

Google खातों को डिप्लॉय करने पर, आपके या आपके ग्राहक के पास, हर उपयोगकर्ता से जुड़े Google खाते की पुष्टि करने के लिए, आइडेंटिटी प्रोवाइडर (आईडीपी) के साथ Security Assertion Markup Language (एसएएमएल) का इस्तेमाल करने का विकल्प होता है. उपयोगकर्ताओं के Google खाते मौजूद हैं, इसकी पुष्टि करने के लिए, Google खाते के नामों का इस्तेमाल किया जाता है. उपयोगकर्ताओं के डिवाइसों में साइन इन करने पर, उपयोगकर्ता की पुष्टि के लिए यह ज़रूरी है. उदाहरण के लिए, दूसरी स्थिति में एसएएमएल का इस्तेमाल किया जा सकता है. इसे सेट अप करने के तरीके के बारे में जानने के लिए, एसएसओ के बारे में जानकारी लेख पढ़ें.

डिवाइसों पर खाते चालू करना

मैनेज किए जा रहे Google Play के ज़रिए, किसी उपयोगकर्ता के डिवाइस पर ऐप्लिकेशन डिस्ट्रिब्यूट करने के लिए, उपयोगकर्ता को डिवाइस प्रॉविज़निंग के दौरान डिवाइस में साइन इन करना होगा:

• मैनेज किए जा रहे Google Play खातों के डिवाइस प्रॉविज़निंग में, आपका डीपीसी, ईएमएम कंसोल से स्वीकार किए गए क्रेडेंशियल का इस्तेमाल करके, उपयोगकर्ता को साइन इन करने के लिए गाइड करता है. आम तौर पर, ये क्रेडेंशियल कॉर्पोरेट ईमेल के होते हैं.
• Google खातों को डिप्लॉय करने पर, आपका डीपीसी, उपयोगकर्ता को Google खाते के साइन-इन क्रेडेंशियल डालने के लिए गाइड करता है. आम तौर पर, ये क्रेडेंशियल उन क्रेडेंशियल से मैच करते हैं जिनका इस्तेमाल करके, उपयोगकर्ता अपने कॉर्पोरेट डोमेन में साइन इन करते हैं. ऐसा तब होता है, जब उन्हें GCDS या GSPS के साथ सिंक्रनाइज़ किया जाता है या जब कोई संगठन, पुष्टि करने के लिए आईडीपी का इस्तेमाल करता है. इससे उपयोगकर्ता का Google खाता चालू हो जाता है, डिवाइस का यूनीक आईडी जनरेट होता है, और उपयोगकर्ता की Google खाते की आइडेंटिटी और उसके डिवाइस का आईडी बाइंड हो जाता है.