Nutzerkonten bereitstellen

Identitätsbereitstellung (oder Kontobereitstellung) ist der Prozess zum Einrichten von Konten und zum Herstellen von Verbindungen zwischen den drei Systemen. In einigen Fällen werden auch Verbindungen zwischen Nutzern und ihren Geräten eingerichtet.

In einer Android Enterprise-Umgebung werden Kontoinformationen in bis zu drei verschiedenen Systemen gespeichert:

  • Das Nutzerverzeichnis der Organisation ist die maßgebliche Informationsquelle für Nutzer.
  • Sie (der EMM-Lösungsanbieter) müssen mindestens ein minimales Verzeichnis der Nutzer der Organisation führen.
  • Google speichert einige Informationen zu Managed Google Play-Konten und Google-Konten, um die App-Verwaltung über Google Play zu ermöglichen.

Eine Users-Ressource stellt ein Konto dar, das mit einem Unternehmen verknüpft ist. Das Konto kann für ein bestimmtes Gerät oder für eine Person mit mehreren Geräten (Smartphone, Tablet usw.) gelten, die das Konto auf allen Geräten verwendet. Das Konto kann je nach Einrichtung des Unternehmens des Kunden Zugriff auf Managed Google Play oder auf andere Google-Dienste bieten:

  • Konten für Managed Google Play bieten Unternehmen eine transparente Möglichkeit, Nutzer- oder Gerätekonten automatisch über ihren EMM-Lösungsanbieter (Enterprise Mobility Management) zu erstellen. Mit diesen Konten kann nur auf Managed Google Play zugegriffen werden.

  • Google-Konten sind bestehende Konten, die von Google verwaltet werden. Sie müssen mit Google-Konto-Quellen synchronisiert werden.

Tabelle 1: Felder und Methoden der Users API

 Managed Google Play-KontenVon Google verwaltete Konten
Feld
id
Typ
accountIdentifierEine eindeutige Kennung, die Sie erstellen und der von Google Play zurückgegebenen ID (userId) zuordnen. Verwenden Sie keine personenidentifizierbaren Informationen.Nicht definiert.
accountTypedeviceAccount, userAccountuserAccount
displayNameDer Name, der in UI-Elementen wie Google Play angezeigt wird. Verwenden Sie keine personenidentifizierbaren Informationen.Nicht definiert.
managementTypeemmManagedgoogleManaged, emmManaged
primaryEmailNicht definiert.Dieses Feld ist der Primärschlüssel, mit dem Sie die Synchronisierung von Google-verwalteten Domainkonten mit Nutzerkonten in Ihrem System verwalten.
Methoden
Löschen
generateAuthenticationToken
generateToken
get
getAvailableProductSet
insert
list
revokeToken
setAvailableProductSet
update

Managed Google Play-Konten

Es gibt zwei Arten von Managed Google Play-Konten:

Nutzerkonto
Ein einzelner Nutzer kann von allen seinen Geräten aus auf Managed Google Play zugreifen. Sie müssen Nutzerkonten für Ihre Nutzer bereitstellen, da sie nicht die Anmeldedaten haben, um selbst Managed Google Play-Konten hinzuzufügen.
Rufen Sie Users.insert auf, um ein Nutzerkonto zu erstellen. Legen Sie den Kontotyp auf userType und eine accountIdentifier fest, die den Nutzer innerhalb des Unternehmens eindeutig identifiziert.
Best Practice: Verwenden Sie dasselbe Konto nicht auf mehr als 10 Geräten.
Gerätekonto
Bietet Zugriff auf Managed Google Play über ein einzelnes Gerät. Wenn für ein Geräte-Konto ein Authentifizierungstoken ausgestellt wurde, wird das vorherige Token durch eine neue Anfrage für ein Authentifizierungstoken für dieses Geräte-Konto deaktiviert. Jedes Gerät sollte eigene Lizenzen für Apps haben.
Rufen Sie zum Erstellen eines Gerätekontos Users.insert auf und legen Sie den Kontotyp auf deviceType fest.

Sie erstellen und verwalten eine Zuordnung zwischen den Nutzer- oder Geräteidentitäten und den entsprechenden Konten für Managed Google Play und verwalten die Konten während ihres gesamten Lebenszyklus. Die Organisation benötigt keine direkte Kontrolle über diese Konten für Managed Google Play, da die Konten ausschließlich für die App-Verwaltung verwendet werden.

Anforderungen an EMM-Konsolen und ‑Server

Managed Google Play-Konten werden bei Bedarf programmatisch über die Google Play EMM APIs und Android-Framework-APIs in den Komponenten Ihrer EMM-Lösung (EMM-Konsole, EMM-Server und DPC) erstellt. Diese Komponenten interagieren zur Laufzeit, um ein Nutzerkonto zu erstellen und das Arbeitsprofil auf dem Zielgerät bereitzustellen.

Ihre EMM-Konsole oder Ihr EMM-Server muss folgende Anforderungen erfüllen:

  • Stellen Sie einen Mechanismus zum Erstellen eindeutiger anonymer Konto-IDs (Feld accountIdentifier) bereit, die im Aufruf von Users.insert verwendet werden. Sie können beispielsweise einen internen Wert für den Nutzer („sanjeev237389“) oder eine kryptische Asset-Tag-Nummer („asset#44448“) verwenden. Verwenden Sie keine personenidentifizierbaren Informationen für die Konto-ID.

  • Speichern Sie die Zuordnung zwischen dem userId (das vom insert-Aufruf zurückgegeben wird) und dem von Ihnen ausgewählten accountIdentifier.

Informationen zu den Anforderungen an Ihren DPC finden Sie unter Device Policy Controller erstellen.

Managed Google Play-Nutzerkonto erstellen

  1. Ein Nutzer meldet sich (in der Regel) mit seinen geschäftlichen Anmeldedaten in Ihrem DPC an.
  2. Das DPC fordert Details zum Nutzer vom EMM-Server oder der EMM-Konsole an. Angenommen, der Nutzer ist Ihrem System nicht bekannt:
    1. Rufen Sie Users.insert an und geben Sie die Werte für die neue accountIdentifier, displayName und accountType an, um ein neues Managed Google Play-Konto zu beantragen.
      • Ihr System muss die accountIdentifier erstellen. Die Konto-ID muss in Ihrem System eindeutig sein. Verwenden Sie keine personenidentifizierbaren Informationen für die Konto-ID.
      • Die displayName wird in der Kontoauswahl des Google Play Stores angezeigt und sollte für den Nutzer eine Bedeutung haben (aber keine personenbezogenen Daten des Nutzers enthalten). Der Name kann beispielsweise den Namen der Organisation oder einen generischen Namen enthalten, der sich auf das EMM bezieht.
      • Legen Sie accountType auf userAccount oder deviceAccount fest. Eine userAccount kann auf mehreren Geräten verwendet werden, während eine deviceAccount nur für ein einzelnes Gerät gilt. Die angegebene accountType kann deviceType oder userType sein.
      • Legen Sie den Wert managementType auf emmManaged fest.
    2. Google Play verarbeitet die Anfrage, erstellt das Konto und gibt userId zurück.
    3. Speichern Sie die Zuordnung zwischen der accountIdentifier und der userId in Ihrem Datenspeicher.
    4. Rufe Users.generateAuthenticationToken mit dem userId und dem enterpriseId auf. Google Play gibt ein einmalig verwendbares Authentifizierungstoken zurück, das innerhalb weniger Minuten verwendet werden muss.
    5. Leiten Sie das Authentifizierungstoken sicher an Ihren Geräteinhaber weiter.
  3. Der DPC stellt das Arbeitsprofil bereit und fügt dem Arbeitsprofil oder dem Gerät das Konto hinzu.
  4. Der Nutzer kann im Arbeitsprofil oder auf dem Gerät auf Managed Google Play zugreifen.

Administratorkonten

Wenn ein Administrator eine Kontogruppe für Managed Google Play erstellt, darf das verwendete Google-Konto kein Google Workspace-Konto sein. Das Konto, das er verwendet, wird zum Inhaber des Unternehmens. Der Inhaber kann in der Managed Google Play Console weitere Inhaber und Administratoren hinzufügen.

Sowohl Enterprises.get als auch Enterprises.completeSignup geben eine Liste von Administrator-E-Mail-Adressen zurück, die mit einem Unternehmen verknüpft sind (nur Unternehmen mit Kontogruppen für Managed Google Play).

Kontolebenszyklen verwalten

Bei einer Bereitstellung von Konten für Managed Google Play sind Sie für den Lebenszyklus von Nutzer- und Gerätekonten verantwortlich. Das bedeutet, dass Sie diese Konten erstellen, aktualisieren und löschen.

Sie erstellen die Konten während der Gerätebereitstellung. Dieser Prozess umfasst Ihre DPC-App und Ihre EMM-Konsole. Eine Anleitung finden Sie unter Managed Google Play-Konten.

Wenn Sie die Informationen eines Kontos ändern möchten, rufen Sie Users.update auf.

Rufen Sie Users.delete auf, um ein Konto zu löschen.

Administratoren können keine einzelnen Konten löschen, aber eine Enterprise mit Managed Google Play-Konten. Wenn sie dies tun, werden die mit dem Unternehmen verknüpften Geräte- und Nutzerkonten schließlich gelöscht, wie unter Registrierung aufheben, neu registrieren, löschen beschrieben.

Ablauf des Kontos

Konten oder ihre Tokens laufen gelegentlich ab. Das kann aus verschiedenen Gründen passieren:

  • Das Authentifizierungstoken, das zum Hinzufügen des Kontos zum Gerät abgerufen wurde, ist abgelaufen.
  • Das Konto oder Unternehmen wurde gelöscht.
  • Bei Gerätekonten wurde das Konto einem neuen Gerät hinzugefügt und ist daher auf dem alten Gerät deaktiviert.
  • Automatische Missbrauchsprüfungen werden ausgelöst.
  • Wenn ein Gerät länger als 270 Tage offline ist, können seine Informationen aufgrund eines Batch-Bereinigungsprozesses gelöscht werden.

In den meisten Fällen (es sei denn, der EMM verschiebt ein Gerätekonto absichtlich auf ein neues Gerät) ist es am besten, mit der Google Play EMM API ein neues Token vom EMM-Server anzufordern, den Zustand des Kontos und des Unternehmens sowie alle zurückgegebenen Fehler zu notieren und dann entsprechende Maßnahmen auf dem Gerät zu ergreifen. Erneuern Sie beispielsweise das Token oder setzen Sie das Gerät zurück oder heben Sie die Registrierung auf, wenn der Fehler nicht behoben werden kann.

So erneuern Sie das Token richtig:

  1. Rufen Sie users.generateAuthenticationToken auf, um ein neues Authentifizierungstoken für das Konto anzufordern.
  2. Wenn der Aufruf erfolgreich ist, entfernen Sie das vorhandene Konto und fügen Sie das neue Konto mit der DPC-Supportbibliothek hinzu.
  3. Wenn der Aufruf fehlschlägt, entfernen Sie das Konto vom Gerät, erstellen Sie einen neuen Nutzer mit users.insert, generieren Sie ein Authentifizierungstoken und fügen Sie das Konto dem Gerät hinzu.

In Google Play-Dienste-Version 9.0.00 wird Ihr DPC über die Broadcast-Aktion benachrichtigt, dass das Konto abgelaufen ist:

  1. Wenn das Managed Google Play-Konto auf einem Gerät ungültig wird, empfängt der DPC einen Broadcast mit der folgenden Aktion: 

    com.google.android.gms.auth.ACCOUNT_REAUTH_REQUIRED

    Der Broadcast-Intent enthält ein Parcelable-Extra mit dem Namen account, das das Account-Objekt des ungültigen Kontos ist.

  2. Der DPC prüft Account#name beim EMM-Server, um das ungültige Konto zu identifizieren.

  3. Der DPC fordert entweder neue Anmeldedaten oder ein neues Konto an. Dabei wird derselbe Ablauf verwendet, der auch bei der Ersteinrichtung des Geräts zum Einsatz kommt.

Google-Konten

Bei Organisationen, die Google-Konten verwenden, spiegeln Nutzerkonten in der EMM-Lösung vorhandene Nutzerkonten, die mit einem anderen Google-Dienst (z. B. Google Workspace) verknüpft sind. Diese Konten sind googleManaged (Tabelle 1), da die Backend-Dienste von Google die Quelle für die Erstellung und die Informationen zum Konto sind.

Als EMM können Sie in Ihrer Konsole Mechanismen bereitstellen, um die Erstellung und laufende Synchronisierung von Nutzerkonten in Ihrem System mit ihren Google-Domainkontoquellen mithilfe von Tools wie Google Cloud Directory Sync (GCDS) und der Google Admin SDK Directory API zu ermöglichen. Hier finden Sie eine Übersicht über verschiedene Ansätze. Das von Google verwaltete Identitätsmodell für Domains erfordert, dass das Nutzerkonto im Kontext Ihrer Lösung (EMM-Konsole, EMM-Server, möglicherweise in einem Datenspeicher) vorhanden ist, bevor es im Kontext eines Arbeitsprofils auf einem der Geräte des Nutzers bereitgestellt werden kann.

Bei der Identitätsbereitstellung wird die von Google verwaltete Domain der Organisation mit Nutzerkonten gefüllt. In einigen Fällen werden die vorhandenen Onlineidentitäten der Nutzer (z. B. ihre Microsoft Exchange-Konten) mit ihren Google-Konten synchronisiert.

Nach der ersten Synchronisierung, aber bevor Apps auf das Gerät eines Nutzers verteilt werden, muss der Nutzer sein Google-Konto aktivieren, wie unter Konten auf Geräten aktivieren beschrieben. Durch diese Aktivierung kann auf dem Gerät auf Managed Google Play zugegriffen werden.

Kundenkonten synchronisieren

Bei einer Google-Konten-Bereitstellung kann die Organisation das GCDS-Tool verwenden, um die Daten in ihrer Google Workspace-Domain mit den Daten in ihrem LDAP-Verzeichnis zu synchronisieren. Alternativ können Sie GCDS verwenden, um dies im Namen der Organisation zu tun, wenn die Organisation Ihnen Zugriff gewährt.

Das GCDS-Tool ruft die Google Directory API auf und synchronisiert Nutzernamen, aber keine Passwörter.

Wenn die Organisation Microsoft Active Directory verwendet und die Google Workspace-Passwörter der Nutzer mit ihren Active Directory-Passwörtern synchronisiert werden sollen, lesen Sie den Hilfeartikel Vorbereiten der Verwendung von Password Sync.

Eine Anleitung für Administratoren finden Sie unter Google-Konto autorisieren.

Google Directory API

Bei einer Bereitstellung von Google-Konten können Sie die Google Directory API verwenden, um Active Directorys, Passwörter oder beides zu synchronisieren:

  • Directory API für die reine Verzeichnissynchronisierung verwenden Wenn Sie schreibgeschützten Zugriff auf die verwaltete Google-Domain der Organisation haben, können Sie die Google Directory API verwenden, um Google-Kontoinformationen wie Nutzernamen (aber nicht Passwörter) von Google abzurufen. Da Sie keine Daten in die Google-Konten der Nutzer schreiben können, ist die Organisation vollständig für den Lebenszyklus der Konten verantwortlich.

    Szenario 1 und SAML-basierte SSO-Authentifizierungsszenarien beschreiben diese Situation genauer.

    Informationen zur Verwendung der Directory API auf diese Weise finden Sie in der Directory API-Dokumentation unter Alle Kontonutzer abrufen.

  • Verwenden der Directory API für die Verzeichnis- und optionale Passwortsynchronisierung Wenn Sie Lese- und Schreibzugriff auf die verwaltete Google-Domain der Organisation haben, können Sie die Google Directory API verwenden, um Nutzernamen, Passwörter und andere Google-Konto-Informationen abzurufen. Sie können diese Informationen aktualisieren und mit Ihrer eigenen Datenbank synchronisieren. Je nach der Lösung, die Sie Ihrem Kunden anbieten, sind Sie möglicherweise ganz oder teilweise für den Lebenszyklus des Kontos verantwortlich.

    Szenario 2 beschreibt diese Situation genauer.

    Weitere Informationen zur Verwendung der Directory API zum Verwalten von Nutzerkontoinformationen finden Sie im Entwicklerleitfaden Directory API: User Accounts.

Szenarien für Google-Konten

Nachfolgend werden einige typische Szenarien für die Identitätsbereitstellung für Google-Konten beschrieben.

Szenario 1: Kunde ist für den Lebenszyklus von Konten verantwortlich

Directory API (mit Lesezugriff) und GCDS verwenden

In diesem Szenario erstellt und verwaltet Ihr Kunde Google-Konten für seine Nutzer.

Sie rufen Nutzerkontoinformationen aus dem LDAP-Verzeichnis der Organisation ab und gleichen sie mit Google-Kontodaten ab, die Sie von Google über die Google Directory API erhalten.

Die Organisation ist vollständig für den Lebenszyklus von Konten verantwortlich. Wenn beispielsweise ein neues Google-Konto erstellt wird, fügt die Organisation den Nutzer ihrem LDAP-Verzeichnis hinzu. Wenn Sie Ihre Datenbank das nächste Mal mit dem LDAP-Verzeichnis synchronisieren, erhält sie Informationen zu diesem neuen Nutzer.

Für dieses Beispiel gilt:

  • Sie haben nur Lesezugriff auf Google-Konten.
  • Ihre Datenbank enthält Google-Kontonamen, aber keine LDAP-Nutzernamen oder ‑Passwörter.
  • Sie verwenden die Google Directory API, um grundlegende Kontoinformationen für die Nutzer Ihres Kunden abzurufen. Die für Sie verfügbaren Informationen sind die nicht schreibbaren Informationen, die von einer Users.get-Anfrage zurückgegeben werden. Mit diesen Informationen wird überprüft, ob die Google-Konten der Nutzer vorhanden sind, damit sich Nutzer auf ihren Geräten authentifizieren können.
  • Ihr Kunde verwendet das GCDS-Tool für eine unidirektionale Synchronisierung, um die Google-Konten der Nutzer zu füllen. Die Organisation verwendet GCDS wahrscheinlich auch für die laufende Synchronisierung, nachdem die Identitätsbereitstellung abgeschlossen ist. Optional kann die Organisation auch das GSPS-Tool verwenden, um nicht nur Nutzernamen, sondern auch Passwörter zu synchronisieren.

Szenario 2: EMM für Kontolebenszyklen verantwortlich

Directory API mit Lese-/Schreibzugriff verwenden

In diesem Szenario übernehmen Sie das Erstellen von Google-Konten im Namen Ihres Kunden und sind für den Lebenszyklus der Nutzerkonten verantwortlich.

Wenn sich beispielsweise Nutzerinformationen im LDAP-Verzeichnis der Organisation ändern, sind Sie dafür verantwortlich, das Google-Konto des Nutzers zu aktualisieren. GCDS wird in diesem Szenario nicht verwendet.

Für dieses Beispiel gilt:

  • Sie haben Lese-/Schreibzugriff auf Google-Konten.
  • Ihre Datenbank enthält Google-Kontonamen und LDAP-Nutzernamen (und optional Passwort-Hashes).
  • Sie verwenden die Google Directory API im Namen Ihres Kunden, um Kontoinformationen für die Nutzer der Organisation zu lesen und zu schreiben. Die für Sie verfügbaren Informationen sind die nicht schreibbaren Informationen, die von einer Users.get-Anfrage zurückgegeben werden. Mit diesen Informationen wird überprüft, ob die Google-Konten der Nutzer vorhanden sind, damit sich Nutzer auf ihren Geräten authentifizieren können.
  • Das GCDS-Tool wird nicht verwendet.

Szenarien für die SAML-basierte SSO-Authentifizierung

Bei der Bereitstellung von Google-Konten können Sie oder Ihr Kunde SAML (Security Assertion Markup Language) mit einem Identitätsanbieter (IdP) verwenden, um das Google-Konto zu authentifizieren, das jedem Nutzer zugeordnet ist. Sie verwenden die Namen der Google-Konten als Bestätigung dafür, dass die Google-Konten der Nutzer vorhanden sind. Dies ist für die Nutzerauthentifizierung erforderlich, wenn sich Nutzer auf ihren Geräten anmelden. SAML könnte beispielsweise in Szenario 2 verwendet werden. Weitere Informationen zum Einrichten finden Sie unter Einmalanmeldung (SSO).

Konten auf Geräten aktivieren

Damit Apps über den Managed Google Play Store auf einem Nutzergerät bereitgestellt werden können, muss sich der Nutzer während der Gerätebereitstellung auf dem Gerät anmelden:

  • Bei der Gerätebereitstellung mit Managed Google Play-Konten führt Ihr DPC den Nutzer dazu an, sich mit Anmeldedaten anzumelden, die von Ihrer EMM-Konsole akzeptiert werden. Das sind in der Regel Anmeldedaten für die E-Mail-Adresse des Unternehmens.
  • Bei einer Bereitstellung von Google-Konten fordert Ihr DPC den Nutzer auf, die Anmeldedaten für sein Google-Konto einzugeben. Normalerweise stimmen diese Anmeldedaten mit denen überein, mit denen sich Nutzer in ihrer Unternehmensdomain anmelden, wenn sie mit GCDS oder GSPS synchronisiert werden oder wenn eine Organisation einen IdP für die Authentifizierung verwendet. Dadurch wird das Google-Konto des Nutzers aktiviert, eine eindeutige Geräte-ID generiert und die Identität des Google-Kontos des Nutzers mit der Geräte-ID des Geräts verknüpft.