Udostępnij konta użytkowników

Obsługa administracyjna tożsamości (lub obsługa administracyjna kont) to proces konfigurowania kont i tworzenia połączeń między 3 systemami, a w niektórych przypadkach także konfigurowania połączeń między użytkownikami a ich urządzeniami.

W środowisku Android Enterprise informacje o kontach są przechowywane w maksymalnie 3 różnych systemach:

  • Katalog użytkowników organizacji jest ostatecznym źródłem informacji o użytkownikach.
  • Ty (dostawca rozwiązania EMM) musisz utrzymywać co najmniej minimalny katalog użytkowników organizacji.
  • Google przechowuje niektóre informacje o kontach zarządzanego Sklepu Google Play i kontach Google, aby umożliwić zarządzanie aplikacjami za pomocą Google Play.

Zasób Users reprezentuje konto powiązane z firmą. Konto może być powiązane z konkretnym urządzeniem lub z osobą, która ma kilka urządzeń (telefon komórkowy, tablet itp.) i używa tego konta na wszystkich tych urządzeniach. W zależności od konfiguracji firmy klienta konto może zapewniać dostęp tylko do zarządzanego Sklepu Google Play lub do innych usług Google, w zależności od tego, jak skonfigurujesz firmę klienta:

  • Konta zarządzanego Sklepu Google Play zapewniają firmom przejrzysty sposób automatycznego tworzenia kont użytkowników lub urządzeń za pomocą dostawcy usług EMM. Te konta zapewniają dostęp tylko do zarządzanego Sklepu Google Play.

  • Konta Google to istniejące konta zarządzane przez Google, które wymagają synchronizacji ze źródłami kont Google.

Tabela 1. Pola i metody interfejsu Users API

 Konta zarządzanego Sklepu Google PlayKonta zarządzane przez Google
Pole
id
rodzaj
accountIdentifierUnikalny identyfikator, który tworzysz i mapujesz na identyfikator (userId) zwracany przez Google Play. Nie używaj informacji umożliwiających identyfikację osób.Nie ustawiono.
accountTypedeviceAccount, userAccountuserAccount
displayNameNazwa wyświetlana w elementach interfejsu, np. w Google Play. Nie używaj informacji umożliwiających identyfikację osób.Nie ustawiono.
managementTypeemmManagedgoogleManaged, emmManaged
primaryEmailNie ustawiono.To pole jest kluczem podstawowym, za pomocą którego zarządzasz synchronizacją kont w domenie zarządzanej przez Google z kontami użytkowników w Twoim systemie.
Metody
usuń
generateAuthenticationToken
generateToken
get
getAvailableProductSet
Insert
lista
revokeToken
setAvailableProductSet
update

Konta zarządzanego Sklepu Google Play

Istnieją 2 rodzaje kont zarządzanego Sklepu Google Play:

Konto użytkownika
Zapewnia pojedynczemu użytkownikowi dostęp do zarządzanego Sklepu Google Play na wszystkich jego urządzeniach. Musisz utworzyć konta użytkowników dla swoich użytkowników – nie mają oni danych logowania, aby samodzielnie dodać konta zarządzanego Sklepu Google Play.
Aby utworzyć konto użytkownika, wywołaj metodę Users.insert. Ustaw typ konta na userType i ustaw accountIdentifier, który jednoznacznie odwołuje się do użytkownika w firmie.
Sprawdzona metoda: nie używaj tego samego konta na więcej niż 10 urządzeniach.
Konto urządzenia
Zapewnia dostęp do zarządzanego Sklepu Google Play z jednego urządzenia. Jeśli dla konta urządzenia został wydany token uwierzytelniania, nowe żądanie tokena uwierzytelniania dla tego konta urządzenia dezaktywuje poprzedni token. Każde urządzenie musi mieć oddzielne licencje na aplikacje.
Aby utworzyć konto urządzenia, wywołaj metodę Users.insert i ustaw typ konta na deviceType.

Tworzysz i utrzymujesz mapowanie między tożsamościami użytkowników lub urządzeń a odpowiednimi kontami zarządzanego Sklepu Google Play oraz zarządzasz tymi kontami przez cały ich cykl życia. Organizacja nie musi mieć bezpośredniej kontroli nad tymi kontami zarządzanego Sklepu Google Play, ponieważ konta te służą wyłącznie do zarządzania aplikacjami.

Wymagania dotyczące konsol i serwerów EMM

Konta zarządzanego Sklepu Google Play są tworzone na żądanie, programowo, za pomocą interfejsów Google Play EMM API i Android Framework API w komponentach rozwiązania EMM (konsola EMM, serwer EMM i DPC). Te komponenty współdziałają w czasie działania, aby utworzyć konto użytkownika i udostępnić profil służbowy na urządzeniu docelowym.

Konsola lub serwer EMM musi:

  • zapewniać mechanizm tworzenia unikalnych anonimowych identyfikatorów kont (pole accountIdentifier), które będą używane w wywołaniu metody Users.insert. Możesz na przykład użyć wewnętrznej wartości dla użytkownika („sanjeev237389”) lub nieczytelnego numeru tagu zasobu („asset#44448”). Nie używaj informacji umożliwiających identyfikację osób jako identyfikatora konta.

  • przechowywać mapowanie między identyfikatorem userId (zwróconym przez wywołanie insert) a wybranym przez Ciebie identyfikatorem accountIdentifier.

Wymagania dotyczące DPC znajdziesz w artykule Tworzenie kontrolera zasad urządzeń.

Tworzenie konta użytkownika zarządzanego Sklepu Google Play

  1. Użytkownik loguje się w DPC, używając (zwykle) danych logowania do konta firmowego.
  2. DPC wysyła do serwera lub konsoli EMM prośbę o podanie szczegółowych informacji o użytkowniku. Jeśli użytkownik jest nieznany w Twoim systemie:
    1. Prześlij prośbę o utworzenie nowego konta zarządzanego Sklepu Google Play, wywołując metodę Users.insert z wartościami dla nowych pól accountIdentifier, displayName, i accountType.
      • Twój system musi utworzyć accountIdentifier. Identyfikator konta musi być unikalną wartością w Twoim systemie. Nie używaj informacji umożliwiających identyfikację osób jako identyfikatora konta.
      • displayName jest wyświetlana w przełączniku kont w Sklepie Google Play i powinna mieć dla użytkownika jakieś znaczenie (ale nie powinna zawierać informacji umożliwiających identyfikację osób). Nazwa może na przykład zawierać nazwę organizacji lub ogólną nazwę związaną z EMM.
      • Ustaw accountType na userAccount lub deviceAccount. userAccount może być używane na wielu urządzeniach, a deviceAccount jest powiązane z jednym urządzeniem. Określony accountType może mieć wartość deviceType lub userType.
      • Ustaw managementType na emmManaged.
    2. Google Play przetwarza żądanie, tworzy konto i zwraca userId.
    3. Zapisz mapowanie między accountIdentifier a userId w magazynie danych.
    4. Wywołaj metodę Users.generateAuthenticationToken z parametrami userId i enterpriseId. Google Play zwraca token uwierzytelniania, którego można użyć tylko raz i w ciągu kilku minut.
    5. Bezpiecznie prześlij token uwierzytelniania do DPC.
  3. DPC udostępnia profil służbowy i dodaje konto do profilu służbowego lub urządzenia.
  4. Użytkownik może uzyskać dostęp do zarządzanego Sklepu Google Play w profilu służbowym lub na urządzeniu.

Konta administratorów

Gdy administrator tworzy firmę z kontami zarządzanego Sklepu Google Play Accounts, używane przez niego konto Google nie może być kontem Google Workspace. Używane przez niego konto staje się kontem właściciela firmy, a właściciel może dodawać kolejnych właścicieli i administratorów w konsoli zarządzanego Sklepu Google Play.

Zarówno Enterprises.get jak i Enterprises.completeSignup zwracają listę adresów e-mail administratorów powiązanych z firmą (tylko w przypadku firm z kontami zarządzanego Sklepu Google Play).

Zarządzanie cyklem życia kont

W przypadku wdrożenia kont zarządzanego Sklepu Google Play odpowiadasz za cykl życia kont użytkowników i urządzeń, co oznacza, że tworzysz, aktualizujesz i usuwasz te konta.

Konta tworzysz podczas obsługi administracyjnej urządzenia. Jest to proces, w którym uczestniczy aplikacja DPC i konsola EMM. Instrukcje znajdziesz w artykule Metoda kont zarządzanego Sklepu Google Play.

Aby zmienić informacje o koncie, wywołaj metodę Users.update.

Aby usunąć konto, wywołaj metodę Users.delete.

Administratorzy nie mogą usuwać poszczególnych kont, ale mogą usunąć firmę z kontami zarządzanego Sklepu Google Play. Gdy to zrobią, konta urządzeń i użytkowników powiązane z firmą zostaną ostatecznie usunięte zgodnie z opisem w artykule Wyrejestrowywanie, ponowne rejestrowanie i usuwanie.

Wygasanie kont

Czasami konta lub ich tokeny wygasają. Może to nastąpić z kilku powodów:

W większości przypadków (chyba że EMM celowo przenosi konto urządzenia na nowe urządzenie) najlepszym rozwiązaniem jest użycie interfejsu Google Play EMM API do wysłania do serwera EMM prośby o nowy token, sprawdzenie stanu konta i firmy oraz wszelkich zwróconych błędów, a następnie podjęcie odpowiednich działań na urządzeniu. Możesz na przykład odnowić token lub, jeśli nie można naprawić błędu, zresetować urządzenie lub wyrejestrować je.

Aby prawidłowo odnowić token:

  1. Wywołaj metodę users.generateAuthenticationToken, aby poprosić o nowy token uwierzytelniania dla konta.
  2. Jeśli wywołanie się powiedzie, usuń istniejące konto i dodaj nowe konto za pomocą biblioteki obsługi DPC.
  3. Jeśli wywołanie się nie powiedzie, usuń konto z urządzenia i utwórz nowego użytkownika za pomocą metody users.insert, wygeneruj token uwierzytelniania i dodaj konto do urządzenia.

Usługi Google Play w wersji 9.0.00 powiadamiają DPC o wygaśnięciu konta za pomocą działania broadcast:

  1. Gdy konto zarządzanego Sklepu Google Play zostanie unieważnione na urządzeniu, DPC otrzyma broadcast z tym działaniem: 

    com.google.android.gms.auth.ACCOUNT_REAUTH_REQUIRED

    Intencja broadcast zawiera dodatkowy element Parcelable o nazwie account, który jest obiektem Account unieważnionego konta.

  2. DPC sprawdza Account#name na serwerze EMM, aby zidentyfikować unieważnione konto.

  3. DPC wysyła prośbę o nowe dane logowania lub nowe konto, korzystając z tego samego procesu, który został użyty do początkowego udostępnienia urządzenia.

Konta Google

W przypadku organizacji, które używają kont Google, konta użytkowników w rozwiązaniu EMM odzwierciedlają istniejące konta użytkowników powiązane z inną usługą Google (np. Google Workspace). Te konta są googleManaged (tabela 1), ponieważ usługi backendu Google są źródłem informacji o koncie.

Jako EMM możesz udostępnić w konsoli mechanizmy ułatwiające tworzenie i bieżącą synchronizację kont użytkowników przechowywanych w Twoim systemie ze źródłami kont w domenie Google za pomocą narzędzi takich jak Google Cloud Directory Sync (GCDS) i Admin SDK Directory API. Przeczytaj omówienie różnych podejść. Model tożsamości w domenie zarządzanej przez Google wymaga, aby konto użytkownika istniało w kontekście Twojego rozwiązania (konsola EMM, serwer EMM, być może w magazynie danych), zanim będzie można je udostępnić na dowolnym urządzeniu użytkownika w kontekście profilu służbowego.

Podczas obsługi administracyjnej tożsamości domena zarządzana przez Google organizacji jest wypełniana kontami użytkowników. W niektórych przypadkach istniejące tożsamości online użytkowników (np. konta Microsoft Exchange) są synchronizowane z ich kontami Google.

Po początkowej synchronizacji, ale zanim aplikacje zostaną rozpowszechnione na urządzeniu użytkownika , użytkownik musi aktywować swoje konto Google zgodnie z opisem w Aktywowanie kont na urządzeniach. Ta aktywacja umożliwia urządzeniu dostęp do zarządzanego Sklepu Google Play.

Synchronizowanie kont klientów

W przypadku wdrożenia kont Google organizacja może użyć narzędzia GCDS do synchronizowania danych w domenie Google Workspace z danymi w katalogu LDAP. Jeśli organizacja przyzna Ci dostęp, możesz też użyć GCDS w jej imieniu.

Narzędzie GCDS wywołuje interfejs Google Directory API i synchronizuje nazwy użytkowników, ale nie hasła.

Jeśli organizacja używa Microsoft Active Directory i chce synchronizować hasła Google Workspace użytkowników z hasłami Active Directory, przeczytaj artykuł Przygotowanie do korzystania z Password Sync.

Instrukcje dotyczące GCDS dla administratorów znajdziesz w artykule Autoryzowanie swojego konta Google.

Interfejs Google Directory API

W przypadku wdrożenia kont Google możesz użyć interfejsu Google Directory API do synchronizowania katalogów aktywnych, haseł lub obu tych elementów:

  • Używanie interfejsu Directory API do synchronizacji tylko katalogu. Jeśli masz dostęp tylko do odczytu do zarządzanej domeny Google organizacji, możesz użyć interfejsu Google Directory API, aby pobrać z Google informacje o kontach Google, takie jak nazwy użytkowników (ale nie hasła). Ponieważ nie możesz zapisywać żadnych danych na kontach Google użytkowników, organizacja ponosi pełną odpowiedzialność za cykl życia kont.

    Scenariusz 1 i scenariusze uwierzytelniania za pomocą logowania jednokrotnego opartego na SAML opisują tę sytuację bardziej szczegółowo.

    Informacje o korzystaniu z interfejsu Directory API w ten sposób znajdziesz w dokumentacji interfejsu Directory API w artykule Pobieranie wszystkich użytkowników konta.

  • Używanie interfejsu Directory API do synchronizacji katalogu i opcjonalnej synchronizacji haseł. Jeśli masz dostęp do odczytu i zapisu w zarządzanej domenie Google organizacji, możesz użyć interfejsu Google Directory API, aby pobrać nazwy użytkowników, hasła i inne informacje o kontach Google. Możesz aktualizować te informacje i synchronizować je z własną bazą danych. W zależności od rozwiązania, które oferujesz klientowi, możesz ponosić pełną lub częściową odpowiedzialność za cykl życia kont.

    Scenariusz 2 opisuje tę sytuację bardziej szczegółowo.

    Więcej informacji o używaniu interfejsu Directory API do zarządzania informacjami o kontach użytkowników, znajdziesz w przewodniku dla deweloperów Interfejs Directory API: konta użytkowników.

Scenariusze dotyczące kont Google

Poniżej opisujemy kilka typowych scenariuszy obsługi administracyjnej tożsamości w przypadku kont Google.

Scenariusz 1. Klient odpowiada za cykl życia kont

Korzystanie z interfejsu Directory API (z dostępem tylko do odczytu) i GCDS

W tym scenariuszu klient tworzy i utrzymuje konta Google dla swoich użytkowników.

Informacje o kontach użytkowników pobierasz z katalogu LDAP organizacji i je korelujesz z danymi na koncie Google, które otrzymujesz od Google za pomocą interfejsu Google Directory API.

Organizacja ponosi pełną odpowiedzialność za cykl życia kont. Na przykład, gdy tworzone jest nowe konto Google, organizacja dodaje użytkownika do swojego katalogu LDAP. Przy następnej synchronizacji bazy danych z katalogiem LDAP Twoja baza danych otrzyma informacje o tym nowym użytkowniku.

W tym scenariuszu:

  • Masz dostęp tylko do odczytu kont Google.
  • Twoja baza danych uzyskuje nazwy kont Google, ale nie nazwy użytkowników ani hasła LDAP.
  • Używasz interfejsu Google Directory API, aby pobierać podstawowe informacje o kontach użytkowników klienta. (Informacje, które są dostępne, to informacje tylko do odczytu zwracane przez Users.get żądanie). Używasz tych informacji, aby sprawdzić, czy konta Google użytkowników istnieją, dzięki czemu użytkownicy mogą uwierzytelniać się na swoich urządzeniach.
  • Klient używa narzędzia GCDS do synchronizacji jednokierunkowej, aby wypełnić konta Google użytkowników. (Organizacja prawdopodobnie używa też GCDS do własnej bieżącej synchronizacji po zakończeniu obsługi administracyjnej tożsamości). Opcjonalnie organizacja może też użyć narzędzia GSPS do synchronizowania nie tylko nazw użytkowników, ale też haseł.

Scenariusz 2. EMM odpowiada za cykl życia kont

Korzystanie z interfejsu Directory API z uprawnieniami do odczytu i zapisu

W tym scenariuszu zajmujesz się tworzeniem kont Google w imieniu klienta i odpowiadasz za cykl życia kont użytkowników.

Na przykład, gdy informacje o użytkowniku zmienią się w katalogu LDAP organizacji, odpowiadasz za zaktualizowanie konta Google użytkownika. W tym scenariuszu nie używa się GCDS.

W tym scenariuszu:

  • Masz dostęp do odczytu i zapisu kont Google.
  • Twoja baza danych uzyskuje nazwy kont Google i nazwy użytkowników LDAP (a opcjonalnie także skróty haseł).
  • Używasz interfejsu Google Directory API w imieniu klienta, aby odczytywać i zapisywać informacje o kontach użytkowników organizacji. (Informacje , które są dostępne, to informacje tylko do odczytu zwracane przez żądanie Users.get ). Używasz tych informacji, aby sprawdzić, czy konta Google użytkowników istnieją, dzięki czemu użytkownicy mogą uwierzytelniać się na swoich urządzeniach.
  • Narzędzie GCDS nie jest używane.

Scenariusze uwierzytelniania za pomocą logowania jednokrotnego opartego na SAML

W przypadku wdrożenia kont Google Ty lub Twój klient możecie używać języka Security Assertion Markup Language (SAML) z dostawcą tożsamości (IdP) do uwierzytelniania konta Google powiązanego z każdym użytkownikiem. Używasz nazw kont Google jako potwierdzenia, że konta Google użytkowników istnieją. Jest to potrzebne do uwierzytelniania użytkowników, gdy logują się na swoich urządzeniach. Na przykład w scenariuszu 2 można użyć SAML. Szczegółowe informacje o konfiguracji znajdziesz w artykule o logowaniu jednokrotnym.

Aktywowanie kont na urządzeniach

Aby aplikacje mogły być rozpowszechniane na urządzeniu użytkownika za pomocą zarządzanego Sklepu Google Play, użytkownik musi zalogować się na urządzeniu podczas obsługi administracyjnej urządzenia:

  • W przypadku obsługi administracyjnej urządzenia z kontami zarządzanego Sklepu Google Play, DPC prowadzi użytkownika przez proces logowania za pomocą danych logowania akceptowanych przez konsolę EMM, zwykle danych logowania do konta firmowego.
  • W przypadku wdrożenia kont Google DPC prowadzi użytkownika przez proces wpisywania danych logowania do konta Google. Zwykle te dane logowania są takie same jak te, których użytkownicy używają do logowania się w domenie firmowej, gdy są synchronizowane z GCDS lub GSPS, albo gdy organizacja używa IdP do uwierzytelniania. Powoduje to aktywowanie konta Google użytkownika, wygenerowanie unikalnego identyfikatora urządzenia oraz powiązanie tożsamości konta Google użytkownika z identyfikatorem urządzenia.