Cấp phép cho tài khoản người dùng

Cung cấp danh tính (hoặc cung cấp tài khoản) là quy trình thiết lập tài khoản và thiết lập mối kết nối giữa 3 hệ thống, đồng thời trong một số trường hợp, thiết lập mối kết nối giữa người dùng và thiết bị của họ.

Trong môi trường doanh nghiệp Android, có đến 3 hệ thống khác nhau lưu giữ thông tin tài khoản:

  • Thư mục người dùng của tổ chức là nguồn thông tin chính xác về người dùng.
  • Bạn (nhà cung cấp giải pháp EMM) phải duy trì ít nhất một thư mục tối thiểu về người dùng của tổ chức.
  • Google duy trì một số thông tin về Tài khoản Managed Google Play và Tài khoản Google để cung cấp dịch vụ quản lý ứng dụng thông qua Google Play.

Tài nguyên Users đại diện cho một tài khoản được liên kết với một doanh nghiệp. Tài khoản có thể dành riêng cho một thiết bị hoặc có thể được liên kết với một cá nhân có nhiều thiết bị (điện thoại di động, máy tính bảng, v.v.) và sử dụng tài khoản trên tất cả các thiết bị đó. Tài khoản này có thể chỉ cấp quyền truy cập vào Managed Google Play hoặc cấp quyền truy cập vào các dịch vụ khác của Google, tuỳ thuộc vào cách bạn thiết lập doanh nghiệp của khách hàng:

  • Managed Google Play cung cấp một phương thức minh bạch để các doanh nghiệp tự động tạo tài khoản người dùng hoặc thiết bị thông qua nhà cung cấp giải pháp quản lý di động dành cho doanh nghiệp (EMM). Những tài khoản này chỉ cung cấp quyền truy cập vào Managed Google Play.

  • Tài khoản Google là những tài khoản hiện có do Google quản lý và cần được đồng bộ hoá với các nguồn Tài khoản Google.

Bảng 1: Các trường và phương thức của Users API

 Tài khoản Managed Google PlayTài khoản được quản lý của Google
Trường
id
loại
accountIdentifierGiá trị nhận dạng riêng biệt mà bạn tạo và liên kết với mã nhận dạng (userId) do Google Play trả về. Không sử dụng thông tin nhận dạng cá nhân (PII).Chưa đặt.
accountTypedeviceAccount, userAccountuserAccount
Tên hiển thịTên mà bạn hiển thị trong các mục trên giao diện người dùng, chẳng hạn như trong Google Play. Không sử dụng thông tin nhận dạng cá nhân.Chưa đặt.
managementTypeemmManagedgoogleManaged, emmManaged
primaryEmailChưa đặt.Trường này là khoá chính mà bạn dùng để quản lý quá trình đồng bộ hoá từ tài khoản miền do Google quản lý sang tài khoản người dùng trong hệ thống của bạn.
Phương thức
xoá
generateAuthenticationToken
generateToken
get
getAvailableProductSet
insert
danh sách
revokeToken
setAvailableProductSet
cập nhật

Tài khoản Managed Google Play

Có 2 loại tài khoản Managed Google Play:

Tài khoản người dùng
Cho phép một người dùng truy cập vào Managed Google Play trên tất cả thiết bị của họ. Bạn phải cung cấp tài khoản người dùng cho người dùng của mình – họ không có thông tin đăng nhập để tự thêm Tài khoản Managed Google Play.
Để tạo tài khoản người dùng, hãy gọi Users.insert. Đặt loại tài khoản thành userType và đặt accountIdentifier, trong đó tham chiếu duy nhất đến người dùng trong doanh nghiệp.
Cách hay nhất: Không sử dụng cùng một tài khoản trên quá 10 thiết bị.
Tài khoản trên thiết bị
Cho phép truy cập vào Managed Google Play từ một thiết bị duy nhất. Nếu mã thông báo xác thực đã được cấp cho một tài khoản thiết bị, thì yêu cầu mới về mã thông báo xác thực cho tài khoản thiết bị đó sẽ huỷ kích hoạt mã thông báo trước đó. Mỗi thiết bị phải có giấy phép riêng cho các ứng dụng.
Để tạo tài khoản thiết bị, hãy gọi Users.insert và đặt loại tài khoản thành deviceType.

Bạn tạo và duy trì mối liên kết giữa danh tính người dùng hoặc danh tính thiết bị và Tài khoản Managed Google Play tương ứng, đồng thời quản lý các tài khoản đó trong suốt vòng đời của chúng. Tổ chức không cần có quyền kiểm soát trực tiếp đối với những tài khoản Managed Google Play này, vì các tài khoản này chỉ dùng để quản lý ứng dụng.

Yêu cầu đối với bảng điều khiển và máy chủ EMM

Tài khoản Managed Google Play được tạo theo yêu cầu, theo phương thức lập trình, bằng cách sử dụng API EMM của Google Play và API khung Android trên các thành phần của giải pháp EMM (bảng điều khiển EMM, máy chủ EMM và DPC). Các thành phần này tương tác trong thời gian chạy để tạo tài khoản người dùng và cung cấp hồ sơ công việc trên thiết bị mục tiêu.

Bảng điều khiển hoặc máy chủ EMM của bạn phải:

  • Cung cấp một cơ chế để tạo giá trị nhận dạng tài khoản ẩn danh duy nhất (trường accountIdentifier) để sử dụng trong lệnh gọi đến Users.insert. Ví dụ: bạn có thể sử dụng một số giá trị nội bộ cho người dùng ("sanjeev237389") hoặc một số thẻ tài sản khó hiểu ("asset#44448"). Tránh sử dụng thông tin nhận dạng cá nhân (PII) cho giá trị nhận dạng tài khoản.

  • Lưu trữ mối liên kết giữa userId (trả về từ lệnh gọi insert) và accountIdentifier mà bạn chọn.

Để biết các yêu cầu đối với DPC, hãy xem phần Tạo một trình điều khiển chính sách thiết bị.

Tạo tài khoản người dùng Managed Google Play

  1. Người dùng đăng nhập vào DPC của bạn bằng thông tin đăng nhập của công ty (thường là vậy).
  2. DPC yêu cầu thông tin chi tiết về người dùng từ máy chủ hoặc bảng điều khiển EMM. Giả sử hệ thống của bạn không nhận dạng được người dùng:
    1. Gửi yêu cầu về Tài khoản Managed Google Play mới bằng cách gọi Users.insert với các giá trị cho accountIdentifier, displayNameaccountType mới.
      • Hệ thống của bạn phải tạo accountIdentifier. Giá trị nhận dạng tài khoản phải là một giá trị riêng biệt trong hệ thống của bạn. Không sử dụng thông tin nhận dạng cá nhân cho giá trị nhận dạng tài khoản.
      • displayName xuất hiện trong trình chuyển đổi tài khoản của Cửa hàng Google Play và phải có ý nghĩa đối với người dùng (nhưng không phải là thông tin nhận dạng cá nhân về người dùng). Ví dụ: tên có thể bao gồm tên tổ chức hoặc tên chung liên quan đến EMM.
      • Đặt accountType thành userAccount hoặc deviceAccount. Bạn có thể dùng userAccount trên nhiều thiết bị, còn deviceAccount chỉ dùng được trên một thiết bị. accountType mà bạn chỉ định có thể là deviceType hoặc userType.
      • Đặt managementType thành emmManaged.
    2. Google Play xử lý yêu cầu, tạo tài khoản và trả về một userId.
    3. Lưu trữ mối liên kết giữa accountIdentifieruserId trong kho dữ liệu của bạn.
    4. Gọi Users.generateAuthenticationToken bằng userIdenterpriseId. Google Play trả về một mã thông báo xác thực có thể dùng một lần và phải được dùng trong vòng vài phút.
    5. Chuyển tiếp mã xác thực một cách an toàn đến DPC.
  3. DPC cung cấp hồ sơ công việc và thêm tài khoản vào hồ sơ công việc hoặc thiết bị.
  4. Người dùng có thể truy cập vào Managed Google Play trong hồ sơ công việc hoặc thiết bị.

Tài khoản quản trị viên

Khi quản trị viên tạo một doanh nghiệp có Tài khoản Google Play được quản lý, Tài khoản Google mà họ sử dụng không thể là tài khoản Google Workspace. Tài khoản mà họ sử dụng sẽ trở thành chủ sở hữu của doanh nghiệp và chủ sở hữu có thể thêm nhiều chủ sở hữu và quản trị viên khác trong bảng điều khiển Google Play được quản lý.

Cả Enterprises.getEnterprises.completeSignup đều trả về danh sách địa chỉ email của quản trị viên được liên kết với một doanh nghiệp (chỉ những doanh nghiệp có Tài khoản Managed Google Play).

Quản lý vòng đời của tài khoản

Trong quá trình triển khai Tài khoản Managed Google Play, bạn chịu trách nhiệm về vòng đời của tài khoản người dùng và thiết bị, tức là bạn tạo, cập nhật và xoá các tài khoản này.

Bạn tạo tài khoản trong quá trình cấp phép thiết bị, một quy trình liên quan đến ứng dụng DPC và bảng điều khiển EMM. Để biết hướng dẫn, hãy xem phương thức Managed Google Play Accounts.

Để thay đổi thông tin của một tài khoản, hãy gọi Users.update.

Để xoá một tài khoản, hãy gọi Users.delete.

Quản trị viên không thể xoá từng tài khoản, nhưng có thể xoá một doanh nghiệp có Tài khoản Managed Google Play. Khi họ làm như vậy, thiết bị và tài khoản người dùng được liên kết với doanh nghiệp cuối cùng sẽ bị xoá, như mô tả trong phần Huỷ đăng ký, đăng ký lại, xoá.

Tài khoản hết hạn

Đôi khi, tài khoản hoặc mã thông báo của tài khoản hết hạn. Điều này có thể xảy ra vì một số lý do:

  • Mã thông báo xác thực đã hết hạn. Mã thông báo này được dùng để thêm tài khoản vào thiết bị.
  • Tài khoản hoặc doanh nghiệp đã bị xoá.
  • Đối với tài khoản trên thiết bị, tài khoản đó đã được thêm vào một thiết bị mới và do đó bị vô hiệu hoá trên thiết bị cũ.
  • Hệ thống sẽ kích hoạt quy trình kiểm tra hành vi sai trái tự động.
  • Nếu một thiết bị không có kết nối mạng trong hơn 270 ngày, thông tin của thiết bị đó có thể bị xoá do quy trình dọn dẹp hàng loạt.

Trong hầu hết các trường hợp (trừ phi EMM cố ý di chuyển tài khoản thiết bị sang một thiết bị mới), phương pháp hay nhất là sử dụng Play EMM API để yêu cầu mã thông báo mới từ máy chủ EMM, ghi lại trạng thái của tài khoản và doanh nghiệp cũng như mọi lỗi được trả về, sau đó thực hiện hành động thích hợp trên thiết bị. Ví dụ: gia hạn mã thông báo hoặc nếu không khôi phục được lỗi, hãy đặt lại hoặc huỷ đăng ký thiết bị.

Để gia hạn mã thông báo đúng cách, bạn nên:

  1. Gọi users.generateAuthenticationToken để yêu cầu mã thông báo xác thực mới cho tài khoản.
  2. Nếu lệnh gọi thành công, hãy xoá tài khoản hiện có và thêm tài khoản mới bằng thư viện hỗ trợ DPC.
  3. Nếu lệnh gọi không thành công, hãy xoá tài khoản khỏi thiết bị và tạo một người dùng mới bằng users.insert, tạo mã thông báo xác thực và thêm tài khoản vào thiết bị.

Dịch vụ Google Play phiên bản 9.0.00 sẽ thông báo cho trình kiểm soát chính sách thiết bị (DPC) của bạn rằng tài khoản đã hết hạn bằng cách sử dụng thao tác truyền tin:

  1. Khi Tài khoản Managed Google Play bị vô hiệu hoá trên một thiết bị, DPC sẽ nhận được một thông báo truyền tin với thao tác sau: 

    com.google.android.gms.auth.ACCOUNT_REAUTH_REQUIRED

    Ý định truyền tin chứa một phần bổ sung Parcelable có tên account, đây là đối tượng Account của tài khoản không hợp lệ.

  2. DPC kiểm tra Account#name với máy chủ EMM để xác định tài khoản không hợp lệ.

  3. DPC sẽ yêu cầu thông tin đăng nhập mới hoặc tài khoản mới, theo cùng một quy trình được dùng để cung cấp thiết bị ban đầu.

Tài khoản Google

Đối với những tổ chức sử dụng Tài khoản Google, tài khoản người dùng trong giải pháp EMM sẽ phản ánh tài khoản người dùng hiện có được liên kết với một dịch vụ khác của Google (ví dụ: Google Workspace). Đây là những tài khoản googleManaged (Bảng 1) vì các dịch vụ phụ trợ của Google là nguồn để tạo và cung cấp thông tin về tài khoản.

Là một EMM, bạn có thể cung cấp các cơ chế trong bảng điều khiển của mình để tạo điều kiện thuận lợi cho việc tạo và liên tục đồng bộ hoá tài khoản người dùng trong hệ thống của bạn với các nguồn tài khoản miền Google bằng các công cụ như Google Cloud Directory Sync (GCDS)Admin SDK Directory API. để biết tổng quan về nhiều phương pháp. Mô hình danh tính miền do Google quản lý yêu cầu tài khoản người dùng phải tồn tại trong bối cảnh giải pháp của bạn (bảng điều khiển EMM, máy chủ EMM, có thể là trong kho dữ liệu) trước khi có thể được cung cấp trên bất kỳ thiết bị nào của người dùng trong bối cảnh hồ sơ công việc.

Trong quá trình cấp danh tính, miền do Google quản lý của tổ chức sẽ được điền sẵn thông tin tài khoản người dùng. Trong một số trường hợp, danh tính trực tuyến hiện có của người dùng (ví dụ: tài khoản Microsoft Exchange) sẽ được đồng bộ hoá với Tài khoản Google của họ.

Sau lần đồng bộ hoá ban đầu, nhưng trước khi các ứng dụng được phân phối đến thiết bị của người dùng, người dùng phải kích hoạt Tài khoản Google của họ, như mô tả trong phần Kích hoạt tài khoản trên thiết bị. Việc kích hoạt này cho phép thiết bị truy cập vào Managed Google Play.

Đồng bộ hoá tài khoản khách hàng

Trong quá trình triển khai Tài khoản Google, tổ chức có thể sử dụng công cụ GCDS để đồng bộ hoá dữ liệu trong miền Google Workspace của họ với dữ liệu trong thư mục LDAP. Ngoài ra, bạn có thể sử dụng GCDS để thực hiện việc này thay cho tổ chức, nếu tổ chức cấp cho bạn quyền truy cập.

Công cụ GCDS gọi Google Directory API và đồng bộ hoá tên người dùng, nhưng không đồng bộ hoá mật khẩu.

Nếu tổ chức sử dụng Microsoft Active Directory và muốn mật khẩu Google Workspace của người dùng đồng bộ hoá với mật khẩu Active Directory, hãy xem bài viết Chuẩn bị sử dụng tính năng Đồng bộ hoá mật khẩu.

Để xem hướng dẫn về GCDS dành cho quản trị viên, hãy xem bài viết Uỷ quyền cho Tài khoản Google của bạn.

Google Directory API

Trong quá trình triển khai Tài khoản Google, bạn có thể sử dụng Google Directory API để đồng bộ hoá các thư mục đang hoạt động, mật khẩu hoặc cả hai:

  • Sử dụng Directory API để chỉ đồng bộ hoá thư mục. Nếu có quyền truy cập chỉ đọc vào miền Google được quản lý của tổ chức, bạn có thể sử dụng Google Directory API để lấy thông tin Tài khoản Google, chẳng hạn như tên người dùng (nhưng không phải mật khẩu) từ Google. Vì bạn không thể ghi bất kỳ dữ liệu nào vào Tài khoản Google của người dùng, nên tổ chức hoàn toàn chịu trách nhiệm về vòng đời của tài khoản.

    Tình huống 1các tình huống xác thực SSO dựa trên SAML mô tả đầy đủ hơn về tình huống này.

    Để biết thông tin về cách sử dụng Directory API theo cách này, hãy xem phần Truy xuất tất cả người dùng tài khoản trong tài liệu về Directory API.

  • Sử dụng Directory API để đồng bộ hoá thư mục và mật khẩu (không bắt buộc). Nếu có quyền đọc-ghi đối với miền Google được quản lý của tổ chức, bạn có thể sử dụng Google Directory API để lấy tên người dùng, mật khẩu và các thông tin khác về Tài khoản Google. Bạn có thể cập nhật thông tin này và đồng bộ hoá với cơ sở dữ liệu của riêng mình, đồng thời bạn có thể chịu trách nhiệm một phần hoặc toàn bộ đối với vòng đời của tài khoản, tuỳ thuộc vào giải pháp mà bạn đang cung cấp cho khách hàng.

    Tình huống 2 mô tả đầy đủ hơn về trường hợp này.

    Để biết thêm thông tin về cách sử dụng Directory API để quản lý thông tin tài khoản người dùng, hãy xem Directory API: Tài khoản người dùng trong hướng dẫn dành cho nhà phát triển.

Các trường hợp sử dụng Tài khoản Google

Dưới đây là một số trường hợp điển hình về việc cấp danh tính cho Tài khoản Google.

Trường hợp 1: Khách hàng chịu trách nhiệm về vòng đời của tài khoản

Sử dụng Directory API (chỉ có quyền truy cập đọc) và GCDS

Trong trường hợp này, khách hàng của bạn sẽ tạo và duy trì Tài khoản Google cho người dùng của họ.

Bạn nhận được thông tin tài khoản người dùng từ thư mục LDAP của tổ chức và liên kết thông tin này với dữ liệu trong Tài khoản Google mà bạn nhận được từ Google thông qua Directory API của Google.

Tổ chức chịu hoàn toàn trách nhiệm đối với vòng đời của tài khoản. Ví dụ: khi một Tài khoản Google mới được tạo, tổ chức sẽ thêm người dùng vào thư mục LDAP của họ. Vào lần tiếp theo bạn đồng bộ hoá cơ sở dữ liệu với thư mục LDAP, cơ sở dữ liệu của bạn sẽ nhận được thông tin về người dùng mới này.

Trong tình huống này:

  • Bạn chỉ có quyền đọc đối với Tài khoản Google.
  • Cơ sở dữ liệu của bạn thu thập tên Tài khoản Google, nhưng không thu thập tên người dùng hoặc mật khẩu LDAP.
  • Bạn sử dụng Google Directory API để lấy thông tin cơ bản về tài khoản của người dùng là khách hàng. (Thông tin bạn có thể xem là thông tin không thể ghi được do yêu cầu Users.get trả về). Bạn sử dụng thông tin này để xác minh rằng Tài khoản Google của người dùng tồn tại để người dùng có thể xác thực vào thiết bị của họ.
  • Khách hàng của bạn sử dụng công cụ GCDS để thực hiện quy trình đồng bộ hoá một chiều nhằm điền sẵn thông tin người dùng vào Tài khoản Google. (Có thể tổ chức cũng sử dụng GCDS để tiếp tục đồng bộ hoá sau khi hoàn tất việc cấp danh tính.) Ngoài ra, tổ chức cũng có thể sử dụng công cụ GSPS để đồng bộ hoá không chỉ tên người dùng mà còn cả mật khẩu.

Trường hợp 2: EMM chịu trách nhiệm về vòng đời của tài khoản

Sử dụng Directory API với quyền đọc-ghi

Trong trường hợp này, bạn xử lý quy trình tạo Tài khoản Google thay cho khách hàng và chịu trách nhiệm về vòng đời tài khoản của người dùng.

Ví dụ: khi thông tin người dùng thay đổi trong thư mục LDAP của tổ chức, bạn có trách nhiệm cập nhật Tài khoản Google của người dùng. GCDS không được dùng trong trường hợp này.

Trong tình huống này:

  • Bạn có quyền đọc-ghi đối với Tài khoản Google.
  • Cơ sở dữ liệu của bạn thu thập tên Tài khoản Google và tên người dùng LDAP (và có thể là hàm băm mật khẩu).
  • Bạn sử dụng Google Directory API thay mặt cho khách hàng để đọc và ghi thông tin tài khoản cho người dùng của tổ chức. (Thông tin mà bạn có được là thông tin không thể ghi do yêu cầu Users.get trả về). Bạn sử dụng thông tin này để xác minh rằng Tài khoản Google của người dùng tồn tại để người dùng có thể xác thực vào thiết bị của họ.
  • Không sử dụng công cụ GCDS.

Các trường hợp xác thực SSO dựa trên SAML

Trong quá trình triển khai Tài khoản Google, bạn hoặc khách hàng của bạn có thể sử dụng Ngôn ngữ đánh dấu xác nhận bảo mật (SAML) với một nhà cung cấp dịch vụ danh tính (IdP) để xác thực Tài khoản Google được liên kết với mỗi người dùng. Bạn sử dụng tên Tài khoản Google làm thông tin xác minh rằng Tài khoản Google của người dùng tồn tại. Thông tin này là cần thiết cho quá trình xác thực người dùng khi người dùng đăng nhập vào thiết bị của họ. Ví dụ: SAML có thể được dùng trong Trường hợp 2. Để biết thông tin chi tiết về cách thiết lập tính năng này, hãy xem bài viết Giới thiệu về SSO.

Kích hoạt tài khoản trên thiết bị

Để các ứng dụng được phân phối đến thiết bị của người dùng thông qua Managed Google Play, người dùng phải đăng nhập vào thiết bị trong quá trình cấp phép thiết bị:

  • Trong quy trình cấp phép thiết bị Tài khoản Managed Google Play, trình kiểm soát chính sách thiết bị (DPC) sẽ hướng dẫn người dùng đăng nhập bằng thông tin đăng nhập mà bảng điều khiển EMM (quản lý thiết bị di động doanh nghiệp) của bạn chấp nhận, thường là thông tin đăng nhập bằng email công ty.
  • Trong quá trình triển khai Tài khoản Google, DPC sẽ hướng dẫn người dùng nhập thông tin đăng nhập Tài khoản Google của họ. Thông thường, những thông tin đăng nhập này khớp với thông tin đăng nhập mà người dùng sử dụng để đăng nhập vào miền công ty khi được đồng bộ hoá với GCDS hoặc GSPS, hoặc khi một tổ chức sử dụng IdP để xác thực. Thao tác này sẽ kích hoạt Tài khoản Google của người dùng, tạo một mã nhận dạng thiết bị duy nhất và liên kết danh tính Tài khoản Google của người dùng với mã nhận dạng thiết bị của thiết bị mà họ dùng.