ملاحظة مهمة: لم نعد نقبل عمليات التسجيل الجديدة لواجهة برمجة تطبيقات Play لخدمة إدارة الأجهزة الجوّالة للمؤسسات (EMM). مزيد من المعلومات

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

إدارة حسابات المستخدمين

إدارة الهوية (أو إدارة الحسابات) هي عملية إعداد الحسابات وإنشاء روابط بين الأنظمة الثلاثة، وفي بعض الحالات، إعداد روابط بين المستخدمين وأجهزتهم.

في بيئة Android Enterprise، قد تحتوي ثلاثة أنظمة مختلفة على معلومات الحساب:

دليل المستخدم في المؤسسة هو المصدر النهائي للمعلومات عن المستخدمين.
عليك (موفّر حلّ إدارة الخدمات الجوّالة للمؤسسات) الاحتفاظ بدليل أساسي على الأقل لمستخدمي المؤسسة.
تحتفظ Google ببعض المعلومات عن حسابات Google Play للأعمال وحسابات Google لتوفير إدارة التطبيقات من خلال Google Play.

يمثّل مصدر Users حسابًا مرتبطًا بمؤسسة. يمكن أن يكون الحساب خاصًا بجهاز معيّن، أو يمكن ربطه بمستخدم فردي لديه أجهزة متعدّدة (هاتف جوّال وجهاز لوحي وما إلى ذلك) ويستخدم الحساب على جميعها. يمكن أن يوفّر الحساب إمكانية الوصول إلى Google Play للأعمال فقط، أو إلى خدمات Google الأخرى، وذلك حسب طريقة إعداد مؤسسة العميل:

توفّر حسابات Google Play للأعمال وسيلة شفافة للمؤسسات لإنشاء حسابات المستخدمين أو الأجهزة تلقائيًا من خلال موفّر حلّ إدارة الخدمات الجوّالة للمؤسسات. توفّر هذه الحسابات إمكانية الوصول إلى Google Play للأعمال فقط.
حسابات Google هي حسابات حالية تديرها Google، وتتطلّب المزامنة مع مصادر حساب Google.

الجدول 1: حقول وطُرق واجهة برمجة التطبيقات Users

	حسابات Google Play للأعمال	حسابات Google المُدارة
الحقل
id
النوع
accountIdentifier	معرّف فريد تنشئه وتربطه برقم التعريف (`userId`) الذي يعرضه Google Play. لا تستخدِم معلومات تكشف الهوية الشخصية.	لم يتم ضبطه.
accountType	deviceAccount وuserAccount	userAccount
displayName	الاسم الذي تعرضه في عناصر واجهة المستخدم، مثل Google Play. لا تستخدِم معلومات تكشف الهوية الشخصية.	لم يتم ضبطه.
managementType	emmManaged	googleManaged وemmManaged
primaryEmail	لم يتم ضبطه.	هذا الحقل هو المفتاح الأساسي الذي تستخدمه لإدارة المزامنة من حسابات النطاق المُدارة من Google إلى حسابات المستخدمين في نظامك.
الطُرق
حذف
generateAuthenticationToken
generateToken
الحصول على
getAvailableProductSet
insert
قائمة
revokeToken
setAvailableProductSet
تحديث

حسابات Google Play للأعمال

هناك نوعان من حسابات Google Play للأعمال:

حساب المستخدم: يوفّر للمستخدم إمكانية الوصول إلى Google Play للأعمال من جميع أجهزته. عليك توفير حسابات المستخدمين لمستخدميك، لأنّهم لا يملكون بيانات الاعتماد اللازمة لإضافة حسابات Google Play للأعمال بأنفسهم.; لإنشاء حساب مستخدم، عليك استدعاء Users.insert. اضبط نوع الحساب على userType، واضبط accountIdentifier الذي يشير بشكلٍ فريد إلى المستخدم داخل المؤسسة.; أفضل الممارسات: لا تستخدِم الحساب نفسه على أكثر من 10 أجهزة.
حساب الجهاز: يوفّر إمكانية الوصول إلى Google Play للأعمال من جهاز واحد. إذا تم إصدار رمز مصادقة لحساب جهاز، يؤدي طلب رمز مصادقة جديد لهذا الحساب إلى إيقاف الرمز السابق. يجب أن يكون لكل جهاز تراخيص تطبيقات منفصلة خاصة به.; لإنشاء حساب جهاز، عليك استدعاء Users.insert وضبط نوع الحساب على deviceType.

يمكنك إنشاء خريطة بين هويات المستخدمين أو الأجهزة وحسابات Google Play للأعمال المقابلة والاحتفاظ بها، كما يمكنك إدارة الحسابات خلال دورة حياتها. لا تحتاج المؤسسة إلى أي تحكّم مباشر في حسابات Google Play للأعمال هذه، لأنّها مخصّصة لإدارة التطبيقات فقط.

متطلبات وحدات تحكّم وخوادم إدارة الخدمات الجوّالة للمؤسسات

يتم إنشاء حسابات Google Play للأعمال عند الطلب وبشكلٍ آلي باستخدام Google Play EMM APIs وAndroid framework APIs على مستوى مكوّنات حلّ إدارة الخدمات الجوّالة للمؤسسات (وحدة تحكّم إدارة الخدمات الجوّالة للمؤسسات وخادم إدارة الخدمات الجوّالة للمؤسسات ووحدة التحكّم بسياسة الجهاز). تتفاعل هذه المكوّنات في وقت التشغيل لإنشاء حساب مستخدم و توفير ملف العمل على جهاز الاختبار .

يجب أن تتوفر في وحدة تحكّم أو خادم إدارة الخدمات الجوّالة للمؤسسات ما يلي:

آلية لإنشاء معرّفات حسابات مجهولة فريدة (الحقل accountIdentifier) لاستخدامها في استدعاء Users.insert. على سبيل المثال، يمكنك استخدام قيمة داخلية للمستخدم ("sanjeev237389") أو رقم علامة مواد عرض غير واضح ("asset#44448"). تجنَّب استخدام معلومات تكشف الهوية الشخصية لمعرّف الحساب.
تخزين الربط بين userId (الذي يتم عرضه من استدعاء insert) وaccountIdentifier الذي تختاره.

لمعرفة متطلبات وحدة التحكّم بسياسة الجهاز، يُرجى الاطّلاع على مقالة إنشاء وحدة تحكّم بسياسة الجهاز.

إنشاء حساب مستخدم على Google Play للأعمال

يسجِّل المستخدم الدخول إلى وحدة التحكّم بسياسة الجهاز باستخدام (عادةً) بيانات اعتماد الشركة.
تطلب وحدة التحكّم بسياسة الجهاز تفاصيل عن المستخدم من خادم أو وحدة تحكّم إدارة الخدمات الجوّالة للمؤسسات. بافتراض أنّ المستخدم غير معروف لنظامك:
1. أرسِل طلبًا للحصول على حساب جديد على Google Play للأعمال من خلال استدعاء Users.insert باستخدام قيم جديدة لـ accountIdentifier وdisplayName وaccountType.
  - يجب أن ينشئ نظامك accountIdentifier. يجب أن يكون معرّف الحساب قيمة فريدة على مستوى نظامك. لا تستخدِم معلومات تكشف الهوية الشخصية لمعرّف الحساب.
  - يظهر displayName في أداة تبديل الحسابات في "متجر Google Play"، ويجب أن يكون له معنى للمستخدم (ولكن لا يتضمّن معلومات تكشف الهوية الشخصية عن المستخدم). على سبيل المثال، يمكن أن يتضمّن الاسم اسم المؤسسة أو اسمًا عامًا مرتبطًا بإدارة الخدمات الجوّالة للمؤسسات.
  - اضبط accountType على userAccount أو deviceAccount. يمكن استخدام userAccount على أجهزة متعدّدة، بينما يكون deviceAccount خاصًا بجهاز واحد. يمكن أن يكون accountType المحدّد deviceType أو userType.
  - اضبط managementType على emmManaged.
2. يعالج Google Play الطلب وينشئ الحساب ويعرض userId.
3. خزِّن الربط بين accountIdentifier وuserId في مخزن البيانات.
4. استدعِ Users.generateAuthenticationToken باستخدام userId وenterpriseId. يعرض Google Play رمز مصادقة يمكن استخدامه مرة واحدة، ويجب استخدامه في غضون بضع دقائق.
5. أرسِل رمز المصادقة بشكلٍ آمن إلى وحدة التحكّم بسياسة الجهاز.
توفّر وحدة التحكّم بسياسة الجهاز ملف العمل وتضيف الحساب إلى ملف العمل أو الجهاز.
يمكن للمستخدم الوصول إلى Google Play للأعمال داخل ملف العمل أو الجهاز.

حسابات المشرفين

عندما ينشئ مشرف مؤسسة باستخدام حسابات Google Play للأعمال، لا يمكن أن يكون حساب Google الذي يستخدمه حساب Google Workspace. يصبح الحساب الذي يستخدمه مالكًا للمؤسسة، ويمكن للمالك إضافة المزيد من المالكين والمشرفين في وحدة تحكّم Google Play للأعمال.

تعرض كلّ من Enterprises.get و Enterprises.completeSignup قائمة بعناوين البريد الإلكتروني للمشرفين المرتبطة بمؤسسة (المؤسسات التي تتضمّن حسابات Google Play للأعمال فقط).

إدارة دورات حياة الحسابات

في عملية نشر حسابات Google Play للأعمال، تكون مسؤولاً عن دورات حياة حسابات المستخدمين والأجهزة، ما يعني أنّك تنشئ هذه الحسابات وتعدّلها وتحذفها.

يمكنك إنشاء الحسابات أثناء توفير الجهاز، وهي عملية تتضمّن تطبيق وحدة التحكّم بسياسة الجهاز ووحدة تحكّم إدارة الخدمات الجوّالة للمؤسسات. للحصول على التعليمات، يُرجى الاطّلاع على طريقة حسابات Google Play للأعمال المُدارة.

لتغيير معلومات الحساب، استدعِ Users.update.

لحذف حساب، استدعِ Users.delete.

لا يمكن للمشرفين حذف حسابات فردية، ولكن يمكنهم حذف مؤسسة تتضمّن حسابات Google Play للأعمال. عند إجراء ذلك، يتم في النهاية حذف حسابات الأجهزة والمستخدمين المرتبطة بالمؤسسة، كما هو موضّح في مقالة إلغاء التسجيل وإعادة التسجيل والحذف.

انتهاء صلاحية الحساب

تنتهي صلاحية الحسابات أو الرموز المميّزة الخاصة بها في بعض الأحيان، ويمكن أن يحدث ذلك لعدد من الأسباب:

انتهت صلاحية رمز المصادقة الذي تم الحصول عليه لإضافة الحساب إلى الجهاز.
تم حذف الحساب أو المؤسسة.
بالنسبة إلى حسابات الأجهزة، تمت إضافة الحساب إلى جهاز جديد، وبالتالي تم إيقافه على الجهاز القديم.
تم تفعيل عمليات التحقّق التلقائية من إساءة الاستخدام.
إذا كان الجهاز غير متصل بالإنترنت لأكثر من 270 يومًا، قد يتم حذف معلوماته بسبب عملية تنظيف مجمّعة.

في معظم الحالات (ما لم يكن حلّ إدارة الخدمات الجوّالة للمؤسسات ينقل حساب جهاز عن قصد إلى جهاز جديد)، من أفضل الممارسات استخدام Play EMM API لطلب رمز مميّز جديد من خادم إدارة الخدمات الجوّالة للمؤسسات، وتدوين حالة الحساب والمؤسسة وأي أخطاء يتم عرضها، ثم اتخاذ الإجراء المناسب على الجهاز. على سبيل المثال، يمكنك تجديد الرمز المميّز، أو إعادة ضبط الجهاز أو إلغاء تسجيله إذا لم يكن من الممكن استرداد الخطأ.

لتجديد الرمز المميّز بشكلٍ صحيح، عليك اتّباع الخطوات التالية:

استدعِ users.generateAuthenticationToken لطلب رمز مصادقة جديد للحساب.
إذا نجح الاستدعاء، أزِل الحساب الحالي وأضِف الحساب الجديد باستخدام مكتبة دعم وحدة التحكّم بسياسة الجهاز.
إذا لم ينجح الاستدعاء، أزِل الحساب من الجهاز وأنشئ مستخدمًا جديدًا باستخدام users.insert، وأنشئ رمز مصادقة وأضِف الحساب إلى الجهاز.

تُعلم "خدمات Google Play" الإصدار 9.0.00 وحدة التحكّم بسياسة الجهاز بأنّ الحساب قد انتهت صلاحيته باستخدام إجراء البث:

عندما يتم إبطال حساب Google Play للأعمال على جهاز، تتلقّى وحدة التحكّم بسياسة الجهاز بثًا يتضمّن الإجراء التالي:
```
com.google.android.gms.auth.ACCOUNT_REAUTH_REQUIRED
```
يحتوي هدف البث على عنصر إضافي Parcelable باسم account، وهو كائن Account الخاص بالحساب الذي تم إبطاله.
تتحقّق وحدة التحكّم بسياسة الجهاز من Account#name باستخدام خادم إدارة الخدمات الجوّالة للمؤسسات لتحديد الحساب الذي تم إبطاله.
تطلب وحدة التحكّم بسياسة الجهاز بيانات اعتماد جديدة أو حسابًا جديدًا، باتّباع التدفق نفسه المستخدَم لـ توفير الجهاز في البداية.

حسابات Google

بالنسبة إلى المؤسسات التي تستخدم حسابات Google، تعكس حسابات المستخدمين في حلّ إدارة الخدمات الجوّالة للمؤسسات حسابات المستخدمين الحالية المرتبطة بخدمة Google أخرى (مثل Google Workspace). تكون هذه الحسابات googleManaged (الجدول 1) لأنّ خدمات Google في الخلفية هي مصدر إنشاء الحساب والمعلومات عنه.

بصفتك موفّر حلّ إدارة الخدمات الجوّالة للمؤسسات، يمكنك توفير آليات في وحدة تحكّم المشرف في Google لتسهيل إنشاء حسابات المستخدمين المخزّنة في نظامك ومزامنتها المستمرة مع مصادر حسابات نطاق Google باستخدام أدوات مثل "أداة مزامنة دليل Google Cloud" وAdmin SDK Directory API. للحصول على نظرة عامة على الطرق المختلفة، يُرجى الاطّلاع على مقالة نظرة عامة على طرق إدارة الهوية. يتطلّب نموذج هوية النطاق المُدار من Google أن يكون حساب المستخدم موجودًا في سياق الحلّ (وحدة تحكّم إدارة الخدمات الجوّالة للمؤسسات وخادم إدارة الخدمات الجوّالة للمؤسسات، وربما في مخزن بيانات) قبل أن يتم توفيره على أي من أجهزة المستخدم في سياق ملف العمل.

أثناء إدارة الهوية، تتم تعبئة نطاق Google المُدار الخاص بالمؤسسة بحسابات المستخدمين. في بعض الحالات، تتم مزامنة الهويات الحالية للمستخدمين على الإنترنت (مثل حسابات Microsoft Exchange) مع حساباتهم على Google.

بعد المزامنة الأولية، ولكن قبل توزيع التطبيقات على جهاز المستخدم، يجب أن يفعِّل المستخدم حسابه على Google، كما هو موضّح في تفعيل الحسابات على الأجهزة. يسمح هذا التفعيل للجهاز بالوصول إلى Google Play للأعمال.

مزامنة حسابات العملاء

في عملية نشر حسابات Google، يمكن للمؤسسة استخدام أداة GCDS لمزامنة البيانات في نطاق Google Workspace مع البيانات في دليل LDAP. بدلاً من ذلك، يمكنك استخدام GCDS لإجراء ذلك نيابةً عن المؤسسة، إذا منحتك المؤسسة إذن الوصول.

تستدعي أداة GCDS واجهة برمجة تطبيقات دليل Google وتزامِن أسماء المستخدمين، ولكن ليس كلمات المرور.

إذا كانت المؤسسة تستخدم Microsoft Active Directory وأرادت الإبقاء على مزامنة كلمات مرور Google Workspace للمستخدمين مع كلمات مرور Active Directory، يُرجى الاطّلاع على مقالة الاستعداد لاستخدام مزامنة كلمة المرور.

للحصول على تعليمات GCDS للمشرفين، يُرجى الاطّلاع على مقالة تفويض حسابك على Google.

Google Directory API

في عملية نشر حسابات Google، يمكنك استخدام Google Directory API لمزامنة الأدلة النشطة أو كلمات المرور أو كليهما:

استخدام Directory API للمزامنة على مستوى الدليل فقط : إذا كان لديك إذن الوصول للقراءة فقط إلى نطاق Google المُدار الخاص بالمؤسسة، يمكنك استخدام Google Directory API للحصول على معلومات حساب Google، مثل أسماء المستخدمين (ولكن ليس كلمات المرور) من Google. بما أنّه لا يمكنك كتابة أي بيانات في حسابات Google للمستخدمين، تكون المؤسسة مسؤولة بالكامل عن دورات حياة الحسابات.

يصف السيناريو 1 وسيناريوهات مصادقة الدخول المُوحَّد المستنِد إلى SAML هذه الحالة بشكلٍ كامل.

للحصول على معلومات عن استخدام Directory API بهذه الطريقة، يُرجى الاطّلاع على مقالة استرداد جميع مستخدمي الحساب في مستندات Directory API.
استخدام Directory API لمزامنة الدليل وكلمة المرور الاختيارية : إذا كان لديك إذن الوصول للقراءة والكتابة إلى نطاق Google المُدار الخاص بالمؤسسة، يمكنك استخدام Google Directory API للحصول على أسماء المستخدمين وكلمات المرور ومعلومات حساب Google الأخرى. يمكنك تعديل هذه المعلومات ومزامنتها مع قاعدة البيانات الخاصة بك، وقد تكون مسؤولاً بشكلٍ كامل أو جزئي عن دورات حياة الحسابات، وذلك حسب الحلّ الذي تقدّمه لعميلك.

يصف السيناريو 2 هذه الحالة بشكلٍ كامل.

لمزيد من المعلومات عن استخدام Directory API لإدارة معلومات حساب المستخدم، يُرجى الاطّلاع على دليل المطوّر Directory API: User Accounts.

سيناريوهات حسابات Google

في ما يلي بعض السيناريوهات النموذجية لإدارة الهوية في حسابات Google:

السيناريو 1: العميل مسؤول عن دورات حياة الحسابات

استخدام Directory API (مع إذن الوصول للقراءة فقط) وGCDS

في هذا السيناريو، ينشئ العميل حسابات Google لمستخدميه ويحتفظ بها.

يمكنك الحصول على معلومات حساب المستخدم من دليل LDAP الخاص بالمؤسسة، وربطها بالبيانات في حساب Google التي تحصل عليها من Google من خلال Google Directory API.

تكون المؤسسة مسؤولة بالكامل عن دورات حياة الحسابات. على سبيل المثال، عند إنشاء حساب Google جديد، تضيف المؤسسة المستخدم إلى دليل LDAP. في المرة التالية التي تتم فيها مزامنة قاعدة البيانات مع دليل LDAP، تتلقّى قاعدة البيانات معلومات عن هذا المستخدم الجديد.

في هذا السيناريو:

لديك إذن الوصول للقراءة فقط إلى حسابات Google.
تحصل قاعدة البيانات على أسماء حسابات Google، ولكن ليس أسماء المستخدمين أو كلمات المرور في LDAP.
يمكنك استخدام Google Directory API للحصول على معلومات الحساب الأساسية لمستخدمي العميل. (المعلومات المتاحة لك هي المعلومات غير القابلة للكتابة التي يعرضها Users.get طلب). يمكنك استخدام هذه المعلومات للتحقّق من وجود حسابات Google للمستخدمين حتى يتمكّنوا من المصادقة على أجهزتهم.
يستخدم العميل أداة GCDS لإجراء مزامنة أحادية الاتجاه لتعبئة حسابات Google للمستخدمين. (من المحتمل أنّ المؤسسة تستخدم أيضًا GCDS للمزامنة المستمرة الخاصة بها بعد اكتمال إدارة الهوية). اختياريًا، يمكن للمؤسسة أيضًا استخدام أداة GSPS لمزامنة أسماء المستخدمين وكلمات المرور.

السيناريو 2: إدارة الخدمات الجوّالة للمؤسسات مسؤولة عن دورات حياة الحسابات

استخدام Directory API مع إذن بالقراءة والتعديل

في هذا السيناريو، تتولّى عملية إنشاء حسابات Google نيابةً عن العميل، وتكون مسؤولاً عن دورات حياة حسابات المستخدمين.

على سبيل المثال، عندما تتغيّر معلومات المستخدم في دليل LDAP الخاص بالمؤسسة، تكون مسؤولاً عن تعديل حساب Google الخاص بالمستخدم. لا يتم استخدام GCDS في هذا السيناريو.