Membuat binding perusahaan

Untuk mendaftarkan organisasi baru melalui konsol EMM, Anda perlu membuat untuk binding Enterprise. Channel Enterprises resource mewakili ikatan antara EMM dan organisasi. Anda menggunakan sebuah instance untuk memanggil operasi atas nama organisasi.

Play EMM API menyediakan tiga cara untuk membuat instance binding perusahaan:

  • Pendaftaran Managed Google Domains —Metode ini dapat digunakan sebagai pengganti kedua metode lainnya. Organisasi dengan Managed Google Domains dan organisasi yang sudah ada dan baru bekerja Google akan menggunakan UI pendaftaran yang sama. Perjalanan yang mereka ambil melalui UI akan bervariasi sesuai dengan situasi dan kebutuhan mereka. Organisasi tidak perlu mendapatkan token EMM terlebih dahulu.

  • Pendaftaran Akun Google Play Terkelola —Organisasi ingin menggunakan Akun Google Play terkelola. Anda dapat mengintegrasikan UI pendaftaran Android Google dengan konsol EMM Anda dan menyediakan cara cepat untuk membuat instance binding perusahaan yang mengikatnya ke EMM Anda. Tindakan ini akan mengaktifkan Akun Google Play terkelola untuk pengguna dan perangkat. Pendekatan ini terkadang disebut sebagai dimulai oleh EMM di API dokumentasi tambahan. Metode ini tidak digunakan lagi dan digantikan oleh Managed Google Domains metode pendaftaran sebelumnya.

  • Pendaftaran domain Google terkelola —Organisasi sudah memiliki Managed Google Domains. Admin IT selesai beberapa tugas manual, seperti memverifikasi kepemilikan domain dengan Google, token EMM, dan membuat akun layanan perusahaan. Pendekatan ini terkadang disebut sebagai dimulai oleh Google dalam dokumentasi API.

Anda dapat mendukung salah satu pendekatan di konsol EMM menggunakan Referensi Enterprises. Tabel 1 menunjukkan kolom dan operasi yang relevan dari resource ini untuk binding organisasi ke EMM.

Tabel 1: Enterprise API dan proses binding alternatif

 Akun Google Play perusahaan terkelolaManaged Google Domains Deskripsi
Kolom
id ID unik untuk organisasi, yang ditampilkan dari panggilan enroll dan completeSignup.
jenis Mengidentifikasi jenis resource menggunakan nilai string tetap, ⌘androidenterprise#enterprise.
nama Organisasi terkait dengan objek enterprise.
primaryDomainTidak ditetapkan Karena Akun Google Play perusahaan terkelola tidak terikat di model domain Google, kolom ini hanya relevan untuk model domain.
administrator[]Bukan tetapkanAdmin IT yang mendaftar ke Android menggunakan Proses pendaftaran yang dimulai EMM menjadi administrator (pemilik) untuk binding Enterprise. Dengan konsol Google Play terkelola, admin IT dapat mengundang pengguna lain dalam organisasi untuk berpartisipasi dalam tugas administrasi. Lihat Google Terkelola Pusat Bantuan Play.
administrator[].email Tidak ditetapkan
Metode
completeSignup Mengingat completionToken dan enterpriseToken, akan menampilkan resource Enterprise di isi respons.
generateSignupUrl Dengan callbackUrl, menampilkan URL dan completionToken.
daftar Mendaftarkan pemanggil dengan EMM yang token akses dikirimkan bersama permintaan.
getServiceAccount Menampilkan akun layanan dan memiliki kredensial yang lengkap.
setAccount Menetapkan akun yang akan digunakan untuk melakukan otentikasi ke API sebagai perusahaan.
batalkan pendaftaran EMM dapat memutuskan binding ke jenis perusahaan yang menggunakan pembatalan pendaftaran. Harus dipanggil menggunakan EMM kredensial untuk MSA, bukan kredensial ESA.

Pendaftaran Akun Google Play Terkelola

Metode pendaftaran ini tidak digunakan lagi. Gunakan pengelolaan domain Google terkelola sebagai gantinya.

Pendaftaran Managed Google Domains

Anda dapat mengintegrasikan proses pendaftaran di konsol EMM:

Pendaftaran admin Akun Google Play Terkelola
Gambar 1. Pendaftaran Managed Google Domains

Admin IT memulai proses pembuatan perusahaan. Untuk melakukannya, IT admin:

  1. Login ke konsol EMM.
  2. Mengklik atau memilih Konfigurasi Android (misalnya) dan dialihkan ke UI pendaftaran yang dihosting oleh Google.
  3. Memberikan detail tentang perusahaan di UI pendaftaran.
  4. Dialihkan ke konsol EMM Anda.

Alamat email admin IT kini ditautkan ke Akun Google yang merupakan admin untuk Managed Google Domains.

Praktik terbaik: Ikuti keamanan Google untuk membantu menjaga akun admin Anda aman.

Prasyarat

Untuk admin IT

  • Akses ke konsol EMM dan izin yang diperlukan untuk melakukan tindakan yang tepat di konsol Anda (misalnya, Kelola Android, sebagai pilihan menu).

  • Alamat email kantor. Ini harus menjadi bagian dari domain yang dimiliki oleh organisasi, bukan domain bersama seperti Gmail.com

Untuk konsol EMM

Untuk menerapkan alur pendaftaran domain Google terkelola, konsol EMM Anda harus bisa:

  • Gunakan kredensial MSA saat memanggil panggilan di Play EMM API. MSA Anda digunakan untuk memanggil banyak operasi atas nama admin IT hingga akun layanan perusahaan (ESA) organisasi ditetapkan.

  • Tangani pengalihan melalui URL aman ke situs eksternal yang disediakan Google untuk memulai alur pendaftaran dan menyelesaikan proses pendaftaran.

  • Dapat dikonfigurasi dengan kredensial ESA setelah pendaftaran. Karena EMM Anda konsol dapat digunakan untuk membuat banyak perusahaan dalam Anda memerlukan cara untuk mengaitkan setiap enterpriseId dengan layanannya sendiri akun dan kredensial. Pertimbangkan untuk membuat akun layanan untuk organisasi/pengaturan dengan memanggil Enterprises.getServiceAccount dan menangani manajemen kunci menggunakan Serviceaccountkeys API. Lihat Membuat akun layanan perusahaan secara terprogram untuk mengetahui detail selengkapnya.

Proses pendaftaran Android mengharuskan Anda menyediakan layanan (https) yang aman untuk penggunaan konsol Anda pada saat {i>runtime<i}. URL ke layanan aman ini dapat berupa URL lokal dan dapat mencakup sesi atau informasi pengenal unik lainnya, selama hal itu tersusun dengan baik sehingga sistem dapat menguraikannya. Contoh:

https://localhost:8080/enrollmentcomplete?session=12345

Proses pendaftaran

Proses pendaftaran dirancang untuk memakan waktu kurang dari 5 menit. Langkah-langkah di bawah ini mengasumsikan bahwa server yang menghosting callbackUrl sudah aktif dan berjalan. Langkah-langkah ini mengasumsikan bahwa konsol Anda menyertakan komponen UI, seperti pemilihan menu dengan Kelola Android sebagai opsi, yang memulai proses pendaftaran saat admin IT yang diotentikasi akan memilih opsi tersebut.

Proses 12 langkah untuk mendaftarkan Akun Google Play terkelola perusahaan
Gambar 2. Proses 12 langkah untuk membuat binding ke server Domain Google

  1. Admin IT memulai permintaan pendaftaran di konsol EMM Anda.

  2. Panggil Enterprises.generateSignupUrl dengan callbackURL sebagai satu-satunya parameter. Contoh: 

    https://localhost:8080/enrollcomplete?session=12345

  3. Respons akan berisi URL pendaftaran (berlaku selama 30 menit) dan token penyelesaian proyek. Ekstrak dan simpan token penyelesaian.

    Praktik terbaik: Kaitkan token penyelesaian dengan admin IT yang memulai pendaftaran.

  4. Ekstrak url dari respons generateSignupURL.

  5. Alihkan ke URL yang diekstrak di langkah 4.

  6. Admin IT mengikuti alur penyiapan di UI pendaftaran untuk membuat binding perusahaan:

    1. Admin IT memasukkan detail tentang diri mereka sendiri dan organisasi mereka serta menetapkan sandi jika mereka belum memiliki Akun Google.

    2. Admin IT akan melihat nama EMM, dan mereka mengonfirmasi bahwa organisasi Anda akan terikat dengan EMM ini.

    3. Admin IT menyetujui persyaratan layanan Google.

  7. UI pendaftaran menghasilkan URL callback berdasarkan URL yang ditentukan di langkah 2.

  8. UI pendaftaran mengalihkan admin IT ke URL callback. Ekstrak dan simpan token Enterprise ke URL. Contoh: 

    https://localhost:8080/enrollcomplete?session=12345&enterpriseToken=5h3jCC903lop1

  9. Panggil Enterprises.completeSignup, meneruskan completionToken (langkah 3) dan enterpriseToken (langkah 8).

  10. Panggilan akan mengembalikan Instance Enterprises dalam isi respons. Simpan id, name, dan email administrator (jika sekarang) untuk penggunaan di masa depan.

  11. Buat akun layanan perusahaan (ESA). Kredensial ESA berbentuk alamat email dan kunci pribadi. Ada dua cara untuk membuat ESA:

    • Praktik terbaik: Membuat ESA secara terprogram, menggunakan Play EMM API.
    • Menampilkan halaman yang menginstruksikan admin IT untuk membuat ESA di Google Konsol API. Lihat Membuat Layanan Akun untuk informasi lebih rinci (instruksikan administrator untuk memilih proyek > Editor sebagai perannya dan memeriksa download kunci pribadi boks). Setelah admin IT membuat ESA, konfigurasikan konsol Anda dengan kredensial kunci pribadi ESA

  12. Menggunakan kredensial MSA Anda, panggil setAccount untuk ditetapkan ESA untuk organisasi ini.

Proses pendaftaran selesai

  • Managed Google Domains baru akan dikaitkan dengan EMM Anda.
  • Akun Google admin IT dikonfigurasi sebagai admin domain dan dapat mengakses https://play.google.com/work untuk mengelola aplikasi organisasi.
  • Konsol EMM Anda dapat menggunakan ESA untuk mengelola data organisasi melalui API EMM Google Play.

Membuat ESA secara terprogram

Guna menyederhanakan pengelolaan kunci untuk ESA, gunakan Google Play EMM API untuk membuat akun layanan untuk organisasi, bukan Konsol Google Cloud. Layanan akun yang dibuat melalui Play EMM API:

  • Tidak terlihat di project Konsol Cloud mana pun yang termasuk Anda atau organisasi tersebut; harus dikelola secara terprogram.
  • Dihapus saat Anda batalkan pendaftaran organisasi/pengaturan.

Untuk membuat akun layanan secara terprogram:

  1. Panggil Enterprises.getServiceAccount dengan enterpriseId (lihat langkah 10 di bagian Pendaftaran proses) dan tentukan jenis kunci (keyType) yang Anda inginkan (googleCredentials, pkcs12). Sistem akan menampilkan nama akun layanan dan kunci pribadi untuk layanan tersebut akun Anda (dalam format sama yang ditampilkan oleh Konsol API Google).

  2. Panggil Enterprises.setAccount dan menetapkan akun layanan untuk organisasi.

Praktik terbaik: Dukungan yang meminta admin IT mengubah kredensial ESA. Yang akan dilakukan ini di konsol EMM, gunakan ESA yang ada untuk memanggil setAccount.

Kelola kunci akun layanan

Akun layanan yang ditampilkan dari Enterprises.getServiceAccount dibuat secara transparan oleh Google. Sebagai EMM, Anda tidak memiliki akses ke menggunakan akun layanan. Namun, Anda dapat mengintegrasikan Serviceaccountkeys ke konsol Anda agar organisasi dapat mengelola platform mereka sendiri ESA dan kunci yang dihasilkan secara terprogram.

Serviceaccountkeys API memungkinkan organisasi menyisipkan, menghapus, dan membuat daftar kredensial aktif untuk akun layanan mereka. API ini harus dipanggil saat diberi otorisasi sebagai ESA yang telah ditetapkan untuk organisasi, dan bahwa ESA harus dibuat dari getServiceAccount. Dengan kata lain, setelah organisasi memanggil Enterprises.setAccount (menggunakan akun layanan yang dibuat oleh Enterprises.getServiceAccount), hanya organisasi tersebut yang berwenang untuk memanggil panggilan di Serviceaccountkeys API untuk mengelola akun.

Tabel 2. API Serviceaccountkeys

Kolom
idID string unik buram untuk ServiceAccountKey yang ditetapkan oleh server.
jenisMengidentifikasi resource menggunakan string tetap androidenterprise#serviceAccountKey.
jenisFormat file data kunci yang dihasilkan. Nilai yang dapat diterima:
  • googleCredentials
  • pkcs12
dataString yang terdiri dari isi kredensial pribadi . Diisi saat pembuatan. Tidak disimpan oleh Google.
Metode
hapusHapus dan batalkan validasi kredensial yang ditentukan untuk akun layanan (ditentukan dengan enterpriseId dan keyId).
insertMembuat kredensial baru untuk akun layanan yang terkait dengan perusahaan.
listMenampilkan daftar semua kredensial aktif untuk akun layanan yang terkait dengan perusahaan. Hanya menampilkan ID dan jenis kunci.

Notifikasi

Anda bisa mendapatkan notifikasi dari ESA yang dihasilkan secara terprogram dengan memanggil Enterprises.pullNotificationSet. Lihat Menyiapkan notifikasi EMM untuk informasi selengkapnya.

Pendaftaran domain Google terkelola

Untuk mengelola perangkat yang termasuk dalam Managed Google Domains, Anda harus membuat (dikenal sebagai binding) antara konsol EMM, organisasi, dan Google.

Prasyarat

Organisasi harus memiliki Managed Google Domains, token pendaftaran EMM, dan akun layanan perusahaan (ESA). Petunjuk untuk admin IT tentang cara mendapatkan detail ini tersedia di Bantuan Android Enterprise Google.

Domain Google terkelola

Jika admin IT organisasi mengklaim domain saat mendaftar ke Google Workspace, mereka dapat mengaktifkan Android dari konsol Google Admin. Jika organisasi tidak memiliki Managed Google Domains, admin IT mereka harus melalui link web satu kali proses pendaftaran Anda dengan Google.

Token EMM

Admin IT dapat memperoleh token EMM dari Konsol Google Admin (di bagian Perangkat > Seluler & Endpoint > Pengaturan > Integrasi pihak ketiga).

ESA

Admin IT organisasi Anda dapat membuat ESA, biasanya melalui Konsol Google Cloud di project yang terkait dengan konsol EMM Anda. ESA memiliki nama, ID, dan kunci yang mengautentikasi akun untuk tindakan yang dilakukan atas nama mereka. ID memiliki format yang serupa dengan alamat email, dengan nama akun layanan sebelum simbol @ dan nama project berikut, beserta informasi layanan Google (misalnya, beberapa-orgs-esa@myemmconsole313302.iam.gserviceaccount.com).

Proses pendaftaran

  1. Admin IT mendapatkan token EMM dari konsol Google Admin.
  2. Admin IT membagikan token EMM dengan Anda, yang mengizinkan Anda untuk mengelola Android di domainnya.
  3. Melalui konsol EMM, gunakan token EMM untuk memanggil Enterprises.enroll. Tindakan ini akan mengikat solusi Android organisasi ke domain Google mereka.
    • Metode enroll menampilkan enterpriseId unik, yang dapat Anda ambil nanti (khusus Managed Google Domains) menggunakan Metode list.
    • Secara opsional, Anda dapat menyimpan informasi tentang binding (enterpriseId, primaryDomain) di datastore agar tidak melakukan panggilan API untuk mendapatkan spesifikasi pendukung. Dalam skenario Akun Google, primaryDomain organisasi adalah kunci unik yang mengidentifikasi organisasi ke EMM dan Google.
  4. Untuk melakukan panggilan khusus organisasi ke Google Play EMM API:
    • Anda dapat membuat ESA atas nama organisasi, atau admin membuat ESA, kemudian membagikannya dengan Anda.
    • Melalui konsol EMM, panggil setAccount, menggunakan enterpriseId dan alamat email ESA. Hal ini memungkinkan ESA untuk melakukan otentikasi ke API sebagai perusahaan.

Contoh

Berikut adalah contoh yang mendaftarkan organisasi, dengan primaryDomainName, serviceAccountEmail, dan authenticationToken:

    public void bind(String primaryDomainName, String serviceAccountEmail,
        String authenticationToken) throws IOException {

      Enterprise enterprise = new Enterprise();
      enterprise.setPrimaryDomain(primaryDomainName);

      Enterprise result = androidEnterprise.enterprises()
          .enroll(authenticationToken, enterprise)
          .execute();

      EnterpriseAccount enterpriseAccount = new EnterpriseAccount();
      enterpriseAccount.setAccountEmail(serviceAccountEmail);
      androidEnterprise.enterprises()
          .setAccount(result.getId(), enterpriseAccount)
          .execute();
    }

Contoh ini menggunakan library klien untuk Java dan Class layanan AndroidEnterprise dari com.google.api.services.androidenterprise.model paket. Prosedur yang ditampilkan dalam contoh dapat diringkas dalam langkah-langkah berikut:

  1. Membuat objek AndroidEnterprise baru dengan parameter disediakan oleh bind, class model yang berisi nama domain primer, alamat email akun layanan, dan token pendaftaran EMM.
  2. Tentukan nama domain primer objek perusahaan yang baru dibuat.
  3. Panggil metode pendaftaran, dengan memberikan objek perusahaan dan token pendaftaran.
  4. Membuat objek EnterpriseAccount baru dengan ID ESA pelanggan (serviceAccountEmail).
  5. Tetapkan akun dengan memberikan enterpriseId (yang ditampilkan di langkah 3) dan enterpriseAccount kolom.

Secara opsional, Anda dapat menyimpan informasi tentang binding (enterpriseId, primaryDomain) di datastore agar tidak melakukan panggilan API untuk mendapatkan spesifikasi pendukung. Dalam skenario Akun Google, primaryDomain organisasi kunci unik yang mengidentifikasi organisasi ke EMM dan Google.

Menyiapkan deployment lokal

Jika suatu organisasi memerlukan datanya untuk tetap berada di lokasi dan tidak dapat Anda akses, perlu memastikan server Anda tidak pernah melihat kumpulan kredensial yang aktif untuk ESA. Untuk melakukannya, buat dan simpan satu set kredensial ESA di situs:

  1. Selesaikan alur pendaftaran:
    1. Seperti yang ditunjukkan pada langkah 11, gunakan MSA untuk memanggil getServiceAccount. Ini dan menghasilkan kredensial ESA.
    2. Seperti yang ditunjukkan di langkah 12, gunakan setAccount di ESA untuk menetapkannya sebagai ESA untuk organisasi ini.
  2. Teruskan ESA ke server lokal organisasi.
  3. Lakukan langkah-langkah berikut di server lokal :
    1. Panggil Serviceaccountkeys.insert untuk membuat untuk ESA. Kunci pribadi ini tidak disimpan di server Google dan merupakan hanya dikembalikan sekali, yaitu ketika akun dibuat. Tidak dapat diakses dengan cara lain.
    2. Menggunakan kredensial ESA baru untuk memanggil Serviceaccountkeys.list. Tindakan ini akan menampilkan kredensial akun layanan yang aktif.
    3. Telepon Serviceaccountkeys.delete untuk menghapus semua kredensial kecuali kredensial ESA yang baru saja dibuat secara lokal.
    4. (Opsional) Panggilan Telepon Serviceaccountkeys.list untuk memverifikasi bahwa kredensial yang saat ini digunakan secara lokal adalah satu-satunya dan kredensial yang valid untuk akun layanan.

Server lokal kini menjadi satu-satunya server dengan kredensial ESA. Hanya ESA yang dibuat melalui getServiceAccount dapat mengakses ServiceAccountKeys—MSA Anda tidak diizinkan untuk memanggilnya.

Praktik terbaik: Jangan simpan kredensial akun layanan utama (MSA) Anda di aplikasi. Gunakan ESA terpisah untuk setiap deployment lokal.

Membatalkan pendaftaran, mendaftarkan ulang, atau menghapus binding perusahaan

Batalkan pendaftaran

Untuk melepaskan organisasi dari solusi EMM, gunakan unenroll. Perusahaan binding tidak dihapus saat dibatalkan pendaftarannya, tetapi pengguna yang dikelola EMM dan semua data pengguna yang terkait akan dihapus setelah 30 hari. Berikut ini contohnya penerapan:

    public void unbind(String enterpriseId) throws IOException {
      androidEnterprise.enterprises().unenroll(enterpriseId).execute();
    }

Praktik terbaik: Jika Anda memiliki datastore untuk nama organisasi dan perusahaan pemetaan ID binding, hapus informasi dari datastore setelah memanggil unenroll.

Daftarkan ulang

Admin IT dapat mendaftarkan ulang perusahaan menggunakan enterpriseId yang sudah ada. Kepada melakukannya, mereka masuk dengan akun tingkat pemilik dan mengikuti pendaftaran {i>checkout<i}.

Alur pendaftaran ulang transparan dari perspektif Anda: tidak ada cara untuk Tentukan apakah token perusahaan yang ditampilkan di URL pengalihan (langkah 8) berasal dari organisasi baru atau organisasi yang sebelumnya terdaftar di organisasi lain EMM.

Jika organisasi sebelumnya telah terdaftar dengan solusi EMM, Anda mungkin dapat mengenali ID binding perusahaan. Anda dapat memulihkan pengguna yang dikelola EMM dan data pengguna terkait jika admin IT mendaftarkan ulang organisasi tidak lebih dari 30 hari setelah pendaftarannya dibatalkan dari Anda. Jika suatu organisasi sebelumnya terdaftar dengan EMM yang berbeda, ID pengguna pengguna yang dikelola EMM yang dibuat oleh EMM lainnya tidak akan dapat Anda akses. Hal ini karena ID pengguna ini Khusus EMM.

Hapus

Admin IT dapat menghapus organisasinya dari Google Play terkelola. Dalam 24 jam kerja untuk data organisasi, akun, pemberian lisensi, dan resource menjadi tidak dapat diakses oleh admin, pengguna akhir, dan Anda. Sebagai seorang tersebut, panggilan API Anda akan menampilkan kode status respons 404 Not Found HTTP untuk parameter enterpriseId. Untuk menangani error ini di konsol EMM, minta konfirmasi dari admin IT sebelum menghapus pengaitan apa pun dengan organisasi/pengaturan.