Tworzenie powiązania firmowego

Aby zarejestrować nową organizację w konsoli EMM, musisz utworzyć powiązanie firmowe. Zasób Enterprises reprezentuje powiązanie między usługą EMM a organizacją. Możesz jej używać do wywoływania operacji w imieniu organizacji.

Interfejs Play EMM API udostępnia 3 sposoby tworzenia powiązania firmowego:

  • Rejestracja w zarządzanej domenie Google – tej metody można użyć zamiast obu innych metod. Organizacje z dotychczasową zarządzaną domeną Google i organizacją, które rozpoczynają współpracę z Google, będą korzystać z tego samego interfejsu rejestracji. Sposób korzystania z interfejsu zależy od sytuacji i potrzeb. Organizacja nie musi uzyskać tokena EMM z wyprzedzeniem.

  • Rejestracja w zarządzanym Sklepie Google Play – organizacja chce korzystać z kont zarządzanego Sklepu Google Play. Możesz zintegrować interfejs Google do rejestracji na Androidzie z konsolą EMM i umożliwić organizacjom szybkie utworzenie instancji wiązania firmowego, która łączy je z usługą EMM. Spowoduje to włączenie kont zarządzanego Sklepu Google Play dla użytkowników i urządzeń. W dokumentacji interfejsu API to podejście jest czasami określane jako zainicjowane przez EMM. Ta metoda jest wycofywana i jest wycofywana z poprzedniej metody rejestracji w zarządzanej domenie Google.

  • Rejestracja w zarządzanej domenie Google – organizacja ma już zarządzaną domenę Google. Administratorzy IT mogą wykonać kilka ręcznych zadań, takich jak weryfikacja własności domeny w Google, uzyskanie tokena EMM i utworzenie firmowego konta usługi. W dokumentacji interfejsu API to podejście jest czasami określane jako zainicjowane przez Google.

Oba te rozwiązania możesz obsługiwać w konsoli EMM, korzystając z zasobów Enterprises. Tabela 1 przedstawia odpowiednie pola i operacje tego zasobu na potrzeby powiązania organizacji z dostawcami usług EMM.

Tabela 1. Interfejsy API dla firm i alternatywne procesy wiązania

 Grupa kont zarządzanego Sklepu Google PlayZarządzana domena Google Opis
Field
id Unikalny identyfikator organizacji zwracany z wywołań enroll i completeSignup.
rodzaj Określa typ zasobu przy użyciu ustalonej wartości ciągu znaków, Includeandroidenterprise#enterpriseconsole.
nazwa Organizacja powiązana z obiektem enterprise.
primaryDomainNie ustawiono Firmy z zarządzanymi kontami Google Play nie są powiązane z modelem domen Google, więc to pole dotyczy tylko zarządzanych domen Google.
administrator[]Nie ustawionoAdministrator IT, który zarejestruje się w systemie Android przy użyciu procesu rejestracji zainicjowanego w usługach EMM, staje się administratorem (właścicielem) powiązania firmowego. Za pomocą zarządzanej konsoli Google Play administrator IT może zapraszać innych użytkowników w organizacji do wykonywania zadań administracyjnych. Więcej informacji znajdziesz w Centrum pomocy zarządzanego Sklepu Google Play.
administrator[].email Nie ustawiono
Metody
completeSignup Przy podanych atrybutach completionToken i enterpriseToken zwraca w treści odpowiedzi zasób Enterprises.
generateSignupUrl Przy podanym callbackUrl zwraca adres URL i element completionToken.
zarejestruj Rejestruje rozmówcę u dostawcy usług EMM, którego token został przesłany w żądaniu.
getServiceAccount Zwraca konto usługi i dane logowania.
setAccount Ustawia konto jako firma, która będzie używana do uwierzytelniania w interfejsie API.
wyrejestrować (się) Za pomocą wyrejestrowania dostawcy usług EMM mogą usunąć powiązanie z dowolnym typem firmy. Musi zostać wywołana przy użyciu danych logowania EMM dla MSA, a nie danych logowania ESA.

Rejestracja kont w zarządzanym Sklepie Google Play

Ta metoda rejestracji została wycofana. Użyj metody rejestracji w zarządzanej domenie Google.

Rejestracja w zarządzanej domenie Google

Proces rejestracji możesz zintegrować w konsoli EMM:

Rejestracja administratora w zarządzanym Sklepie Google Play
Rysunek 1. Procedura rejestracji zarządzanej domeny Google

Administrator IT inicjuje proces tworzenia firmy. Aby to zrobić, administrator IT:

  1. Zaloguj się w konsoli EMM.
  2. kliknie lub wybierze Skonfiguruj Androida i nastąpi przekierowanie do hostowanego przez Google interfejsu rejestracji;
  3. Zawiera szczegółowe informacje o firmie w interfejsie rejestracji.
  4. zostanie przekierowany do konsoli EMM.

Adres e-mail administratora IT jest teraz połączony z kontem Google, które jest kontem administratora zarządzanej domeny Google.

Sprawdzona metoda: aby zapewnić bezpieczeństwo konta administratora, postępuj zgodnie ze wskazówkami Google dotyczącymi bezpieczeństwa.

Wymagania wstępne

Dla administratorów IT

  • Dostęp do konsoli EMM i uprawnienia niezbędne do dokonywania właściwego wyboru w konsoli (np. Zarządzaj Androidem w menu).

  • Służbowy adres e-mail. Powinna ona należeć do domeny należącej do organizacji, a nie do domeny współdzielonej, np. Gmail.com

Konsola EMM

Aby można było wdrożyć zarządzany proces rejestracji w domenie Google, konsola EMM musi mieć możliwość:

  • Podczas wywoływania wywołań w interfejsach API EMM Play używaj danych logowania MSA. Obowiązkowe powiadomienie służy do wywoływania wielu operacji w imieniu administratora IT do czasu skonfigurowania konta usługi korporacyjnej organizacji (ESA).

  • Przekieruj przez bezpieczny adres URL do zewnętrznej witryny udostępnionej przez Google, aby rozpocząć proces rejestracji i ukończyć proces rejestracji.

  • mieć możliwość skonfigurowania za pomocą danych logowania ESA po rejestracji; Korzystając z konsoli EMM, możesz tworzyć wiele firm w witrynie dowolnej organizacji, więc musisz powiązać każde enterpriseId z osobnym kontem usługi i danymi logowania. Rozważ utworzenie kont usługi dla organizacji przez wywołanie Enterprises.getServiceAccount i obsługę zarządzania kluczami za pomocą interfejsów API Serviceaccountkeys. Więcej informacji znajdziesz w sekcji Automatyczne tworzenie kont usługi dla firm.

Proces rejestracji na urządzeniu z Androidem wymaga udostępnienia bezpiecznej usługi (https) do użytku w konsoli w czasie działania. Adres URL tej bezpiecznej usługi może być lokalnym adresem URL i zawierać informacje o sesji lub inne unikalne informacje identyfikacyjne, o ile jest poprawnie utworzony, aby system mógł je przeanalizować. Na przykład:

https://localhost:8080/enrollmentcomplete?session=12345

Proces rejestracji

Proces rejestracji powinien potrwać mniej niż 5 minut. W poniższych krokach przyjęto, że serwer hostujący callbackUrl działa. W tych krokach zakładamy też, że konsola zawiera komponent interfejsu, na przykład opcję menu Zarządzaj Androidem, która rozpoczyna proces rejestracji, gdy uwierzytelniony administrator IT wybierze tę opcję.

12-etapowy proces rejestracji firmy z zarządzanymi kontami Google Play
Rysunek 2. 12-etapowy proces tworzenia powiązania z zarządzaną domeną Google

  1. Administrator IT wysyła prośbę o rejestrację w konsoli EMM.

  2. Wywołaj metodę Enterprises.generateSignupUrl, podając callbackURL jako jedyny parametr. Przykład: 

    https://localhost:8080/enrollcomplete?session=12345

  3. Odpowiedź będzie zawierać adres URL rejestracji (ważny przez 30 minut) i token ukończenia. Wyodrębnij i zapisz token ukończenia.

    Sprawdzona metoda: powiąż token ukończenia z administratorem IT, który zainicjował rejestrację.

  4. Wyodrębnij url z odpowiedzi generateSignupURL.

  5. Przekieruj użytkownika na adres URL wyodrębniony w kroku 4.

  6. Administrator IT wykonuje proces konfiguracji w interfejsie rejestracji, aby utworzyć powiązanie firmowe:

    1. Administrator IT wpisuje informacje o sobie i swojej organizacji oraz ustawia hasło, jeśli nie ma jeszcze konta Google.

    2. Administrator IT wyświetla nazwę EMM i potwierdza, że organizacja będzie powiązana z tym dostawcą usług EMM.

    3. Administrator IT akceptuje Warunki korzystania z usług Google.

  7. Interfejs rejestracji generuje URL wywołania zwrotnego na podstawie adresu URL podanego w kroku 2.

  8. Interfejs rejestracji przekierowuje administratora IT na adres URL wywołania zwrotnego. Wyodrębnij token przedsiębiorstwa i zapisz go w adresie URL. Przykład: 

    https://localhost:8080/enrollcomplete?session=12345&enterpriseToken=5h3jCC903lop1

  9. Zadzwoń pod numer Enterprises.completeSignup. Przekażę instrukcje: completionToken (krok 3) i enterpriseToken (krok 8).

  10. Wywołanie zwraca instancję Enterprises w treści odpowiedzi. Zapisz id, name i adres e-mail administratora (jeśli istnieje) do użycia w przyszłości.

  11. Utwórz firmowe konto usługi (ESA). Dane uwierzytelniające ESA to adres e-mail i klucz prywatny. ESA można utworzyć na 2 sposoby:

    • Sprawdzona metoda: utwórz ESA w sposób zautomatyzowany za pomocą interfejsu Play EMM API.
    • Wyświetl stronę z instrukcjami dla administratora IT, aby utworzył ESA w konsoli interfejsów API Google. Więcej informacji znajdziesz w sekcji Tworzenie konta usługi (poinstruuj administratora, aby jako rolę wybrał projekt > Edytujący i zaznacz pole pobierania klucza prywatnego). Gdy administrator utworzy ESA, skonfiguruj konsolę za pomocą danych logowania klucza prywatnego ESA

  12. Korzystając z danych logowania MSA, wywołaj setAccount, aby skonfigurować ESA dla tej organizacji.

Proces rejestracji został zakończony

  • Nowa zarządzana domena Google jest powiązana z Twoim dostawcą usług EMM.
  • Konto Google administratora IT jest skonfigurowane jako administrator domeny i ma dostęp do strony https://play.google.com/work, aby zarządzać aplikacjami organizacji.
  • Konsola EMM może używać ESA do zarządzania danymi organizacji za pomocą interfejsu Google Play EMM API.

Automatyczne tworzenie ESA

Aby uprościć zarządzanie kluczami w przypadku elastycznych reklam w wyszukiwarce, do generowania kont usługi dla organizacji użyj interfejsu Google Play EMM API, a nie konsoli Google Cloud. Konta usługi wygenerowane za pomocą interfejsu Play EMM API:

  • nie są widoczne w żadnym projekcie Cloud Console należącym do Ciebie lub organizacji; muszą być zarządzane automatycznie;
  • Są usuwane po wyrejestrowaniu organizacji.

Aby programowo wygenerować konto usługi:

  1. Wywołaj Enterprises.getServiceAccount z enterpriseId (zobacz krok 10 w procesie rejestracji) i określ typ klucza (keyType), którego chcesz użyć (googleCredentials, pkcs12). System zwraca nazwę konta usługi i klucz prywatny konta usługi (w tych samych formatach zwracanych przez Konsolę interfejsów API Google).

  2. Wywołaj Enterprises.setAccount i ustaw konto usługi dla organizacji.

Sprawdzona metoda: poproś administratora IT o zmianę danych logowania do ESA. Aby to zrobić w konsoli EMM, użyj istniejącego ESA, aby wywołać setAccount.

Zarządzaj kluczami konta usługi

Konta usługi zwrócone z Enterprises.getServiceAccount są tworzone przez Google w przejrzysty sposób. Jako dostawca usług EMM nie masz dostępu do tych kont. Możesz jednak zintegrować interfejs API Serviceaccountkeys ze swoją konsolą, aby umożliwić organizacjom zarządzanie własnymi, automatycznie generowanymi kluczami ESA i kluczami.

Interfejs API Serviceaccountkeys pozwala organizacji wstawiać, usuwać i wyświetlać aktywne dane logowania do kont usługi. Te interfejsy API muszą być wywoływane z wykorzystaniem autoryzacji jako ESA ustawione dla organizacji i pochodzące z tego regionu: getServiceAccount. Oznacza to, że po wywołaniu przez organizację Enterprises.setAccount (przy użyciu konta usługi wygenerowanego przez Enterprises.getServiceAccount) tylko ta organizacja jest uprawniona do wywoływania wywołań interfejsu API Serviceaccountkeys w celu zarządzania kontem.

Tabela 2. Interfejs Serviceaccountkeys API

Pola
idNieprzejrzysty, unikalny identyfikator klucza usługi ServiceAccountKey przypisany przez serwer.
rodzajIdentyfikuje zasób za pomocą stałego ciągu znaków androidenterprise#serviceAccountKey.
typFormat pliku generowanych danych kluczy. Akceptowane wartości:
  • googleCredentials
  • pkcs12
daneCiąg tekstowy zawierający treść pliku prywatnych danych logowania. Pole wypełnione po utworzeniu. Nie przechowywane przez Google.
Metody
usuńUsuń i unieważnij określone dane logowania do konta usługi (określone przy użyciu enterpriseId i keyId).
InsertWygeneruj nowe dane logowania dla konta usługi powiązanego z firmą.
listaWyświetl listę wszystkich aktywnych danych logowania do konta usługi powiązanego z firmą. Zwraca tylko identyfikator i typ klucza.

Powiadomienia

Aby otrzymywać powiadomienia z programów ESA wygenerowanych automatycznie, zadzwoń pod numer Enterprises.pullNotificationSet. Więcej informacji znajdziesz w artykule Konfigurowanie powiadomień EMM.

Rejestracja w zarządzanej domenie Google

Aby zarządzać urządzeniami należącymi do zarządzanej domeny Google, musisz ustanowić połączenie (nazywane powiązaniem) między konsolą EMM, organizacją i Google.

Wymagania wstępne

Organizacja musi mieć zarządzaną domenę Google, token rejestracji EMM i firmowe konto usługi (ESA). Instrukcje dla administratorów IT dotyczące uzyskiwania tych informacji znajdziesz w Centrum pomocy Androida Enterprise.

Zarządzana domena Google

Jeśli administrator IT organizacji zadeklarował domenę zarządzaną podczas rejestracji w Google Workspace, może włączyć zarządzanie urządzeniami z Androidem w konsoli administracyjnej Google. Jeśli organizacja nie ma zarządzanej domeny Google, jej administrator musi przejść jednorazową rejestrację internetową w Google.

Token EMM

Administratorzy IT mogą uzyskać token EMM z konsoli administracyjnej Google (w sekcji Urządzenia > Urządzenia mobilne i punkty końcowe > Ustawienia > Integracja z rozwiązaniami innych firm).

ESA

Administrator IT organizacji może utworzyć ESA, zwykle przy użyciu konsoli Google Cloud w projekcie powiązanym z konsolą EMM. ESA obejmują nazwę, identyfikator i klucz, które uwierzytelniają konto pod kątem działań podejmowanych w jego imieniu. Identyfikator ma format podobny do adresu e-mail – nazwa konta usługi poprzedza symbol @, a następnie nazwa projektu wraz z informacjami o usługach Google (na przykład:some-orgs-esa@myemmconsole313302.iam.gserviceaccount.com).

Proces rejestracji

  1. Administrator IT otrzymuje token EMM z konsoli administracyjnej Google.
  2. Administrator IT udostępnia Ci token EMM, dzięki czemu możesz zarządzać Androidem w jego domenie.
  3. W konsoli EMM użyj tokena EMM, aby wywołać stronę Enterprises.enroll. Powiąże to rozwiązanie z Androidem organizacji z domeną Google.
    • Metoda enroll zwraca unikalny identyfikator enterpriseId, który możesz pobrać później (tylko w przypadku zarządzanych domen Google) za pomocą metody list.
    • Opcjonalnie możesz przechowywać informacje o powiązaniu (enterpriseId, primaryDomain) w magazynie danych, aby uniknąć wywoływania interfejsu API w celu uzyskania tych szczegółów. W kontekście kont Google unikalny klucz, który identyfikuje organizację u dostawcy usług EMM i Google, to primaryDomain.
  4. Aby wywoływać specyficzne dla organizacji wywołania interfejsu Google Play EMM API:
    • Utwórz ESA w imieniu organizacji lub administrator utworzy ESA i Ci ją udostępni.
    • W konsoli EMM zadzwoń pod numer setAccount, wpisując enterpriseId i adres e-mail ESA. Umożliwi to ESA uwierzytelnianie w interfejsie API jako firma.

Przykład

Oto przykład rejestracji organizacji w przypadku primaryDomainName, serviceAccountEmail i authenticationToken:

    public void bind(String primaryDomainName, String serviceAccountEmail,
        String authenticationToken) throws IOException {

      Enterprise enterprise = new Enterprise();
      enterprise.setPrimaryDomain(primaryDomainName);

      Enterprise result = androidEnterprise.enterprises()
          .enroll(authenticationToken, enterprise)
          .execute();

      EnterpriseAccount enterpriseAccount = new EnterpriseAccount();
      enterpriseAccount.setAccountEmail(serviceAccountEmail);
      androidEnterprise.enterprises()
          .setAccount(result.getId(), enterpriseAccount)
          .execute();
    }

W tym przykładzie użyto biblioteki klienta dla języka Java i klasy usługi AndroidEnterprise z pakietu com.google.api.services.androidenterprise.model. Procedura przedstawiona w przykładzie można podsumować w następujący sposób:

  1. Utwórz nowy obiekt AndroidEnterprise z parametrami podanymi przez bind, klasą modelu zawierającą nazwę domeny podstawowej, adres e-mail konta usługi i token rejestracji EMM.
  2. Podaj nazwę domeny podstawowej nowo utworzonego obiektu firmowego.
  3. Wywołaj metodę rejestracji, podając obiekt przedsiębiorstwa i token rejestracji.
  4. Utwórz nowy obiekt EnterpriseAccount z identyfikatorem ESA klienta (serviceAccountEmail).
  5. Skonfiguruj konto, podając zarówno pola enterpriseId (zwrócone w kroku 3), jak i enterpriseAccount.

Opcjonalnie możesz przechowywać informacje o powiązaniu (enterpriseId, primaryDomain) w magazynie danych, aby uniknąć wywoływania interfejsu API w celu uzyskania tych szczegółów. W kontekście kont Google primaryDomain organizacji to unikalny klucz identyfikujący organizację u dostawców usług EMM i Google.

Konfigurowanie wdrożenia lokalnego

Jeśli organizacja chce, aby jej dane pozostawały w witrynie, a nie dla Ciebie, musisz zadbać o to, aby Twoje serwery nigdy nie widziały aktywnego zestawu danych logowania do ESA. Aby to zrobić, wygeneruj i zapisz w witrynie zestaw danych logowania ESA:

  1. Wykonaj proces rejestracji:
    1. Zgodnie z instrukcjami w kroku 11 użyj obowiązkowego powiadomienia, aby zadzwonić pod numer getServiceAccount. Spowoduje to wygenerowanie danych logowania do ESA.
    2. Jak pokazano w kroku 12, użyj narzędzia setAccount w ESA, aby ustawić je jako ESA dla tej organizacji.
  2. Przekaż ESA na lokalny serwer organizacji.
  3. Wykonaj te czynności na serwerze lokalnym:
    1. Wywołaj Serviceaccountkeys.insert, aby utworzyć nowy klucz dla ESA. Ten klucz prywatny nie jest przechowywany na serwerach Google i jest zwracany tylko raz podczas tworzenia konta. Nie jest dostępna w inny sposób.
    2. Użyj nowych danych logowania ESA, aby wywołać stronę Serviceaccountkeys.list. Zwrócone zostaną dane uwierzytelniające aktywnego konta usługi.
    3. Wywołaj metodę Serviceaccountkeys.delete, aby usunąć wszystkie dane logowania oprócz danych logowania ESA, które zostały właśnie utworzone lokalnie.
    4. (Opcjonalnie) Wywołaj metodę Serviceaccountkeys.list, aby sprawdzić, czy dane logowania obecnie używane lokalnie są jedynymi prawidłowymi danymi logowania do konta usługi.

Serwer lokalny jest teraz jedynym serwerem z danymi logowania ESA. Dostęp do usługi ServiceAccountKeys może uzyskać tylko ESA wygenerowana za pomocą usługi getServiceAccount – MSA nie może jej wywołać.

Sprawdzona metoda: nie przechowuj danych logowania do głównego konta usługi (MSA) lokalnie. Użyj oddzielnego ESA dla każdego wdrożenia lokalnego.

Wyrejestrowywanie, ponowna rejestracja i usuwanie powiązania przedsiębiorstwa

Wyrejestruj

Aby odłączyć organizację od rozwiązania EMM, użyj adresu unenroll. Powiązanie firmowe nie jest usuwane, gdy zostało wyrejestrowane, ale konta użytkowników zarządzane przez EMM i wszystkie powiązane z nimi dane użytkowników są usuwane po 30 dniach. Oto przykładowa implementacja:

    public void unbind(String enterpriseId) throws IOException {
      androidEnterprise.enterprises().unenroll(enterpriseId).execute();
    }

Sprawdzona metoda: jeśli masz magazyn danych na potrzeby mapowania nazw organizacji i mapowań identyfikatorów firmowych, usuń informacje z magazynu danych po wywołaniu metody unenroll.

Zarejestruj ponownie

Administrator IT może ponownie zarejestrować firmę za pomocą istniejącego urządzenia enterpriseId. Aby to zrobić, muszą zalogować się na konto na poziomie właściciela i przejść proces rejestracji.

Z Twojej perspektywy proces ponownej rejestracji jest przejrzysty: nie można w ten sposób sprawdzić, czy token przedsiębiorstwa zwrócony w adresie URL przekierowania (krok 8) pochodzi z nowej organizacji, czy z organizacji, która wcześniej została zarejestrowana w innym EMM.

Jeśli organizacja była wcześniej zarejestrowana przy użyciu rozwiązania EMM, możesz rozpoznawać identyfikator powiązania przedsiębiorstwa. Użytkowników zarządzanych przez EMM i powiązane z nimi dane użytkowników możesz przywrócić, jeśli administrator ponownie zarejestruje organizację nie później niż 30 dni po jej wyrejestrowaniu. Jeśli organizacja była wcześniej zarejestrowana u innego dostawcy usług EMM, identyfikatory użytkowników zarządzanych przez EMM utworzone przez tego dostawcę nie będą dla Ciebie dostępne. Dzieje się tak, ponieważ te identyfikatory są specyficzne dla usług EMM.

Usuń

Administrator IT może usunąć organizację z zarządzanego Sklepu Google Play. W ciągu 24 godzin dane, konta, przypisane licencje i inne zasoby organizacji staną się niedostępne dla administratora, użytkowników i Ciebie. W efekcie wywołania interfejsu API będą zwracać dla parametru enterpriseId kod stanu odpowiedzi HTTP 404 Not Found. Aby naprawić ten błąd w konsoli EMM, przed usunięciem powiązania z organizacją poproś administratora IT o potwierdzenie.