Aby zarejestrować nową organizację w konsoli EMM, musisz utworzyć powiązanie firmowe. Zasób Enterprises
reprezentuje powiązanie między usługą EMM a organizacją. Możesz jej używać do wywoływania operacji w imieniu organizacji.
Interfejs Play EMM API udostępnia 3 sposoby tworzenia powiązania firmowego:
Rejestracja w zarządzanej domenie Google – tej metody można użyć zamiast obu innych metod. Organizacje z dotychczasową zarządzaną domeną Google i organizacją, które rozpoczynają współpracę z Google, będą korzystać z tego samego interfejsu rejestracji. Sposób korzystania z interfejsu zależy od sytuacji i potrzeb. Organizacja nie musi uzyskać tokena EMM z wyprzedzeniem.
Rejestracja w zarządzanym Sklepie Google Play – organizacja chce korzystać z kont zarządzanego Sklepu Google Play. Możesz zintegrować interfejs Google do rejestracji na Androidzie z konsolą EMM i umożliwić organizacjom szybkie utworzenie instancji wiązania firmowego, która łączy je z usługą EMM. Spowoduje to włączenie kont zarządzanego Sklepu Google Play dla użytkowników i urządzeń. W dokumentacji interfejsu API to podejście jest czasami określane jako zainicjowane przez EMM. Ta metoda jest wycofywana i jest wycofywana z poprzedniej metody rejestracji w zarządzanej domenie Google.
Rejestracja w zarządzanej domenie Google – organizacja ma już zarządzaną domenę Google. Administratorzy IT mogą wykonać kilka ręcznych zadań, takich jak weryfikacja własności domeny w Google, uzyskanie tokena EMM i utworzenie firmowego konta usługi. W dokumentacji interfejsu API to podejście jest czasami określane jako zainicjowane przez Google.
Oba te rozwiązania możesz obsługiwać w konsoli EMM, korzystając z zasobów Enterprises
. Tabela 1 przedstawia odpowiednie pola i operacje tego zasobu na potrzeby powiązania organizacji z dostawcami usług EMM.
Tabela 1. Interfejsy API dla firm i alternatywne procesy wiązania
Grupa kont zarządzanego Sklepu Google Play | Zarządzana domena Google | Opis | |
---|---|---|---|
Field | |||
id | Unikalny identyfikator organizacji zwracany z wywołań enroll i completeSignup. | ||
rodzaj | Określa typ zasobu przy użyciu ustalonej wartości ciągu znaków, Includeandroidenterprise#enterpriseconsole. | ||
nazwa | Organizacja powiązana z obiektem enterprise . | ||
primaryDomain | Nie ustawiono | Firmy z zarządzanymi kontami Google Play nie są powiązane z modelem domen Google, więc to pole dotyczy tylko zarządzanych domen Google. | |
administrator[] | Nie ustawiono | Administrator IT, który zarejestruje się w systemie Android przy użyciu procesu rejestracji zainicjowanego w usługach EMM, staje się administratorem (właścicielem) powiązania firmowego. Za pomocą zarządzanej konsoli Google Play administrator IT może zapraszać innych użytkowników w organizacji do wykonywania zadań administracyjnych. Więcej informacji znajdziesz w Centrum pomocy zarządzanego Sklepu Google Play. | |
administrator[].email | Nie ustawiono | ||
Metody | |||
completeSignup | Przy podanych atrybutach completionToken i enterpriseToken zwraca w treści odpowiedzi zasób Enterprises. | ||
generateSignupUrl | Przy podanym callbackUrl zwraca adres URL i element completionToken . | ||
zarejestruj | Rejestruje rozmówcę u dostawcy usług EMM, którego token został przesłany w żądaniu. | ||
getServiceAccount | Zwraca konto usługi i dane logowania. | ||
setAccount | Ustawia konto jako firma, która będzie używana do uwierzytelniania w interfejsie API. | ||
wyrejestrować (się) | Za pomocą wyrejestrowania dostawcy usług EMM mogą usunąć powiązanie z dowolnym typem firmy. Musi zostać wywołana przy użyciu danych logowania EMM dla MSA, a nie danych logowania ESA. |
Rejestracja kont w zarządzanym Sklepie Google Play
Ta metoda rejestracji została wycofana. Użyj metody rejestracji w zarządzanej domenie Google.
Rejestracja w zarządzanej domenie Google
Proces rejestracji możesz zintegrować w konsoli EMM:
Administrator IT inicjuje proces tworzenia firmy. Aby to zrobić, administrator IT:
- Zaloguj się w konsoli EMM.
- kliknie lub wybierze Skonfiguruj Androida i nastąpi przekierowanie do hostowanego przez Google interfejsu rejestracji;
- Zawiera szczegółowe informacje o firmie w interfejsie rejestracji.
- zostanie przekierowany do konsoli EMM.
Adres e-mail administratora IT jest teraz połączony z kontem Google, które jest kontem administratora zarządzanej domeny Google.
Sprawdzona metoda: aby zapewnić bezpieczeństwo konta administratora, postępuj zgodnie ze wskazówkami Google dotyczącymi bezpieczeństwa.
Wymagania wstępne
Dla administratorów IT
Dostęp do konsoli EMM i uprawnienia niezbędne do dokonywania właściwego wyboru w konsoli (np. Zarządzaj Androidem w menu).
Służbowy adres e-mail. Powinna ona należeć do domeny należącej do organizacji, a nie do domeny współdzielonej, np. Gmail.com
Konsola EMM
Aby można było wdrożyć zarządzany proces rejestracji w domenie Google, konsola EMM musi mieć możliwość:
Podczas wywoływania wywołań w interfejsach API EMM Play używaj danych logowania MSA. Obowiązkowe powiadomienie służy do wywoływania wielu operacji w imieniu administratora IT do czasu skonfigurowania konta usługi korporacyjnej organizacji (ESA).
Przekieruj przez bezpieczny adres URL do zewnętrznej witryny udostępnionej przez Google, aby rozpocząć proces rejestracji i ukończyć proces rejestracji.
mieć możliwość skonfigurowania za pomocą danych logowania ESA po rejestracji; Korzystając z konsoli EMM, możesz tworzyć wiele firm w witrynie dowolnej organizacji, więc musisz powiązać każde
enterpriseId
z osobnym kontem usługi i danymi logowania. Rozważ utworzenie kont usługi dla organizacji przez wywołanieEnterprises.getServiceAccount
i obsługę zarządzania kluczami za pomocą interfejsów APIServiceaccountkeys
. Więcej informacji znajdziesz w sekcji Automatyczne tworzenie kont usługi dla firm.
Proces rejestracji na urządzeniu z Androidem wymaga udostępnienia bezpiecznej usługi (https) do użytku w konsoli w czasie działania. Adres URL tej bezpiecznej usługi może być lokalnym adresem URL i zawierać informacje o sesji lub inne unikalne informacje identyfikacyjne, o ile jest poprawnie utworzony, aby system mógł je przeanalizować. Na przykład:
https://localhost:8080/enrollmentcomplete?session=12345
Proces rejestracji
Proces rejestracji powinien potrwać mniej niż 5 minut. W poniższych krokach przyjęto, że serwer hostujący callbackUrl
działa. W tych krokach zakładamy też, że konsola zawiera komponent interfejsu, na przykład opcję menu Zarządzaj Androidem, która rozpoczyna proces rejestracji, gdy uwierzytelniony administrator IT wybierze tę opcję.
Administrator IT wysyła prośbę o rejestrację w konsoli EMM.
Wywołaj metodę
Enterprises.generateSignupUrl
, podająccallbackURL
jako jedyny parametr. Przykład:https://localhost:8080/enrollcomplete?session=12345
Odpowiedź będzie zawierać adres URL rejestracji (ważny przez 30 minut) i token ukończenia. Wyodrębnij i zapisz token ukończenia.
Sprawdzona metoda: powiąż token ukończenia z administratorem IT, który zainicjował rejestrację.
Wyodrębnij
url
z odpowiedzigenerateSignupURL
.Przekieruj użytkownika na adres URL wyodrębniony w kroku 4.
Administrator IT wykonuje proces konfiguracji w interfejsie rejestracji, aby utworzyć powiązanie firmowe:
Administrator IT wpisuje informacje o sobie i swojej organizacji oraz ustawia hasło, jeśli nie ma jeszcze konta Google.
Administrator IT wyświetla nazwę EMM i potwierdza, że organizacja będzie powiązana z tym dostawcą usług EMM.
Administrator IT akceptuje Warunki korzystania z usług Google.
Interfejs rejestracji generuje URL wywołania zwrotnego na podstawie adresu URL podanego w kroku 2.
Interfejs rejestracji przekierowuje administratora IT na adres URL wywołania zwrotnego. Wyodrębnij token przedsiębiorstwa i zapisz go w adresie URL. Przykład:
https://localhost:8080/enrollcomplete?session=12345&enterpriseToken=5h3jCC903lop1
Zadzwoń pod numer
Enterprises.completeSignup
. Przekażę instrukcje:completionToken
(krok 3) ienterpriseToken
(krok 8).Wywołanie zwraca instancję
Enterprises
w treści odpowiedzi. Zapiszid
,name
i adres e-mail administratora (jeśli istnieje) do użycia w przyszłości.Utwórz firmowe konto usługi (ESA). Dane uwierzytelniające ESA to adres e-mail i klucz prywatny. ESA można utworzyć na 2 sposoby:
- Sprawdzona metoda: utwórz ESA w sposób zautomatyzowany za pomocą interfejsu Play EMM API.
- Wyświetl stronę z instrukcjami dla administratora IT, aby utworzył ESA w konsoli interfejsów API Google. Więcej informacji znajdziesz w sekcji Tworzenie konta usługi (poinstruuj administratora, aby jako rolę wybrał projekt > Edytujący i zaznacz pole pobierania klucza prywatnego). Gdy administrator utworzy ESA, skonfiguruj konsolę za pomocą danych logowania klucza prywatnego ESA
Korzystając z danych logowania MSA, wywołaj
setAccount
, aby skonfigurować ESA dla tej organizacji.
Proces rejestracji został zakończony
- Nowa zarządzana domena Google jest powiązana z Twoim dostawcą usług EMM.
- Konto Google administratora IT jest skonfigurowane jako administrator domeny i ma dostęp do strony https://play.google.com/work, aby zarządzać aplikacjami organizacji.
- Konsola EMM może używać ESA do zarządzania danymi organizacji za pomocą interfejsu Google Play EMM API.
Automatyczne tworzenie ESA
Aby uprościć zarządzanie kluczami w przypadku elastycznych reklam w wyszukiwarce, do generowania kont usługi dla organizacji użyj interfejsu Google Play EMM API, a nie konsoli Google Cloud. Konta usługi wygenerowane za pomocą interfejsu Play EMM API:
- nie są widoczne w żadnym projekcie Cloud Console należącym do Ciebie lub organizacji; muszą być zarządzane automatycznie;
- Są usuwane po wyrejestrowaniu organizacji.
Aby programowo wygenerować konto usługi:
Wywołaj
Enterprises.getServiceAccount
zenterpriseId
(zobacz krok 10 w procesie rejestracji) i określ typ klucza (keyType
), którego chcesz użyć (googleCredentials, pkcs12). System zwraca nazwę konta usługi i klucz prywatny konta usługi (w tych samych formatach zwracanych przez Konsolę interfejsów API Google).Wywołaj
Enterprises.setAccount
i ustaw konto usługi dla organizacji.
Sprawdzona metoda: poproś administratora IT o zmianę danych logowania do ESA. Aby to zrobić w konsoli EMM, użyj istniejącego ESA, aby wywołać setAccount
.
Zarządzaj kluczami konta usługi
Konta usługi zwrócone z Enterprises.getServiceAccount
są tworzone przez Google w przejrzysty sposób. Jako dostawca usług EMM nie masz dostępu do tych kont. Możesz jednak zintegrować interfejs API Serviceaccountkeys
ze swoją konsolą, aby umożliwić organizacjom zarządzanie własnymi, automatycznie generowanymi kluczami ESA i kluczami.
Interfejs API Serviceaccountkeys pozwala organizacji wstawiać, usuwać i wyświetlać aktywne dane logowania do kont usługi. Te interfejsy API muszą być wywoływane z wykorzystaniem autoryzacji jako ESA ustawione dla organizacji i pochodzące z tego regionu: getServiceAccount
. Oznacza to, że po wywołaniu przez organizację Enterprises.setAccount
(przy użyciu konta usługi wygenerowanego przez Enterprises.getServiceAccount
) tylko ta organizacja jest uprawniona do wywoływania wywołań interfejsu API Serviceaccountkeys w celu zarządzania kontem.
Tabela 2. Interfejs Serviceaccountkeys API
Pola | |
id | Nieprzejrzysty, unikalny identyfikator klucza usługi ServiceAccountKey przypisany przez serwer. |
rodzaj | Identyfikuje zasób za pomocą stałego ciągu znaków androidenterprise#serviceAccountKey . |
typ | Format pliku generowanych danych kluczy. Akceptowane wartości:
|
dane | Ciąg tekstowy zawierający treść pliku prywatnych danych logowania. Pole wypełnione po utworzeniu. Nie przechowywane przez Google. |
Metody | |
usuń | Usuń i unieważnij określone dane logowania do konta usługi (określone przy użyciu enterpriseId i keyId ).
|
Insert | Wygeneruj nowe dane logowania dla konta usługi powiązanego z firmą. |
lista | Wyświetl listę wszystkich aktywnych danych logowania do konta usługi powiązanego z firmą. Zwraca tylko identyfikator i typ klucza. |
Powiadomienia
Aby otrzymywać powiadomienia z programów ESA wygenerowanych automatycznie, zadzwoń pod numer Enterprises.pullNotificationSet
.
Więcej informacji znajdziesz w artykule Konfigurowanie powiadomień EMM.
Rejestracja w zarządzanej domenie Google
Aby zarządzać urządzeniami należącymi do zarządzanej domeny Google, musisz ustanowić połączenie (nazywane powiązaniem) między konsolą EMM, organizacją i Google.
Wymagania wstępne
Organizacja musi mieć zarządzaną domenę Google, token rejestracji EMM i firmowe konto usługi (ESA). Instrukcje dla administratorów IT dotyczące uzyskiwania tych informacji znajdziesz w Centrum pomocy Androida Enterprise.
Zarządzana domena Google
Jeśli administrator IT organizacji zadeklarował domenę zarządzaną podczas rejestracji w Google Workspace, może włączyć zarządzanie urządzeniami z Androidem w konsoli administracyjnej Google. Jeśli organizacja nie ma zarządzanej domeny Google, jej administrator musi przejść jednorazową rejestrację internetową w Google.
Token EMM
Administratorzy IT mogą uzyskać token EMM z konsoli administracyjnej Google (w sekcji Urządzenia > Urządzenia mobilne i punkty końcowe > Ustawienia > Integracja z rozwiązaniami innych firm).
ESA
Administrator IT organizacji może utworzyć ESA, zwykle przy użyciu konsoli Google Cloud w projekcie powiązanym z konsolą EMM. ESA obejmują nazwę, identyfikator i klucz, które uwierzytelniają konto pod kątem działań podejmowanych w jego imieniu. Identyfikator ma format podobny do adresu e-mail – nazwa konta usługi poprzedza symbol @, a następnie nazwa projektu wraz z informacjami o usługach Google (na przykład:some-orgs-esa@myemmconsole313302.iam.gserviceaccount.com).
Proces rejestracji
- Administrator IT otrzymuje token EMM z konsoli administracyjnej Google.
- Administrator IT udostępnia Ci token EMM, dzięki czemu możesz zarządzać Androidem w jego domenie.
- W konsoli EMM użyj tokena EMM, aby wywołać stronę
Enterprises.enroll
. Powiąże to rozwiązanie z Androidem organizacji z domeną Google.- Metoda
enroll
zwraca unikalny identyfikatorenterpriseId
, który możesz pobrać później (tylko w przypadku zarządzanych domen Google) za pomocą metodylist
. - Opcjonalnie możesz przechowywać informacje o powiązaniu (
enterpriseId
,primaryDomain
) w magazynie danych, aby uniknąć wywoływania interfejsu API w celu uzyskania tych szczegółów. W kontekście kont Google unikalny klucz, który identyfikuje organizację u dostawcy usług EMM i Google, toprimaryDomain
.
- Metoda
- Aby wywoływać specyficzne dla organizacji wywołania interfejsu Google Play EMM API:
- Utwórz ESA w imieniu organizacji lub administrator utworzy ESA i Ci ją udostępni.
- W konsoli EMM zadzwoń pod numer
setAccount
, wpisującenterpriseId
i adres e-mail ESA. Umożliwi to ESA uwierzytelnianie w interfejsie API jako firma.
Przykład
Oto przykład rejestracji organizacji w przypadku primaryDomainName
, serviceAccountEmail
i authenticationToken
:
public void bind(String primaryDomainName, String serviceAccountEmail, String authenticationToken) throws IOException { Enterprise enterprise = new Enterprise(); enterprise.setPrimaryDomain(primaryDomainName); Enterprise result = androidEnterprise.enterprises() .enroll(authenticationToken, enterprise) .execute(); EnterpriseAccount enterpriseAccount = new EnterpriseAccount(); enterpriseAccount.setAccountEmail(serviceAccountEmail); androidEnterprise.enterprises() .setAccount(result.getId(), enterpriseAccount) .execute(); }
W tym przykładzie użyto biblioteki klienta dla języka Java i klasy usługi AndroidEnterprise
z pakietu com.google.api.services.androidenterprise.model
. Procedura przedstawiona w przykładzie można podsumować w następujący sposób:
- Utwórz nowy obiekt
AndroidEnterprise
z parametrami podanymi przezbind
, klasą modelu zawierającą nazwę domeny podstawowej, adres e-mail konta usługi i token rejestracji EMM. - Podaj nazwę domeny podstawowej nowo utworzonego obiektu firmowego.
- Wywołaj metodę rejestracji, podając obiekt przedsiębiorstwa i token rejestracji.
- Utwórz nowy obiekt EnterpriseAccount z identyfikatorem ESA klienta (
serviceAccountEmail
). - Skonfiguruj konto, podając zarówno pola
enterpriseId
(zwrócone w kroku 3), jak ienterpriseAccount
.
Opcjonalnie możesz przechowywać informacje o powiązaniu (enterpriseId
, primaryDomain
) w magazynie danych, aby uniknąć wywoływania interfejsu API w celu uzyskania tych szczegółów. W kontekście kont Google primaryDomain
organizacji to unikalny klucz identyfikujący organizację u dostawców usług EMM i Google.
Konfigurowanie wdrożenia lokalnego
Jeśli organizacja chce, aby jej dane pozostawały w witrynie, a nie dla Ciebie, musisz zadbać o to, aby Twoje serwery nigdy nie widziały aktywnego zestawu danych logowania do ESA. Aby to zrobić, wygeneruj i zapisz w witrynie zestaw danych logowania ESA:
- Wykonaj proces rejestracji:
- Zgodnie z instrukcjami w kroku 11 użyj obowiązkowego powiadomienia, aby zadzwonić pod numer
getServiceAccount
. Spowoduje to wygenerowanie danych logowania do ESA. - Jak pokazano w kroku 12, użyj narzędzia
setAccount
w ESA, aby ustawić je jako ESA dla tej organizacji.
- Zgodnie z instrukcjami w kroku 11 użyj obowiązkowego powiadomienia, aby zadzwonić pod numer
- Przekaż ESA na lokalny serwer organizacji.
- Wykonaj te czynności na serwerze lokalnym:
- Wywołaj
Serviceaccountkeys.insert
, aby utworzyć nowy klucz dla ESA. Ten klucz prywatny nie jest przechowywany na serwerach Google i jest zwracany tylko raz podczas tworzenia konta. Nie jest dostępna w inny sposób. - Użyj nowych danych logowania ESA, aby wywołać stronę
Serviceaccountkeys.list
. Zwrócone zostaną dane uwierzytelniające aktywnego konta usługi. - Wywołaj metodę
Serviceaccountkeys.delete
, aby usunąć wszystkie dane logowania oprócz danych logowania ESA, które zostały właśnie utworzone lokalnie. - (Opcjonalnie) Wywołaj metodę
Serviceaccountkeys.list
, aby sprawdzić, czy dane logowania obecnie używane lokalnie są jedynymi prawidłowymi danymi logowania do konta usługi.
- Wywołaj
Serwer lokalny jest teraz jedynym serwerem z danymi logowania ESA. Dostęp do usługi ServiceAccountKeys
może uzyskać tylko ESA wygenerowana za pomocą usługi getServiceAccount
– MSA nie może jej wywołać.
Sprawdzona metoda: nie przechowuj danych logowania do głównego konta usługi (MSA) lokalnie. Użyj oddzielnego ESA dla każdego wdrożenia lokalnego.
Wyrejestrowywanie, ponowna rejestracja i usuwanie powiązania przedsiębiorstwa
Wyrejestruj
Aby odłączyć organizację od rozwiązania EMM, użyj adresu unenroll
. Powiązanie firmowe nie jest usuwane, gdy zostało wyrejestrowane, ale konta użytkowników zarządzane przez EMM i wszystkie powiązane z nimi dane użytkowników są usuwane po 30 dniach. Oto przykładowa implementacja:
public void unbind(String enterpriseId) throws IOException {
androidEnterprise.enterprises().unenroll(enterpriseId).execute();
}
Sprawdzona metoda: jeśli masz magazyn danych na potrzeby mapowania nazw organizacji i mapowań identyfikatorów firmowych, usuń informacje z magazynu danych po wywołaniu metody unenroll
.
Zarejestruj ponownie
Administrator IT może ponownie zarejestrować firmę za pomocą istniejącego urządzenia enterpriseId
. Aby to zrobić, muszą zalogować się na konto na poziomie właściciela i przejść proces rejestracji.
Z Twojej perspektywy proces ponownej rejestracji jest przejrzysty: nie można w ten sposób sprawdzić, czy token przedsiębiorstwa zwrócony w adresie URL przekierowania (krok 8) pochodzi z nowej organizacji, czy z organizacji, która wcześniej została zarejestrowana w innym EMM.
Jeśli organizacja była wcześniej zarejestrowana przy użyciu rozwiązania EMM, możesz rozpoznawać identyfikator powiązania przedsiębiorstwa. Użytkowników zarządzanych przez EMM i powiązane z nimi dane użytkowników możesz przywrócić, jeśli administrator ponownie zarejestruje organizację nie później niż 30 dni po jej wyrejestrowaniu. Jeśli organizacja była wcześniej zarejestrowana u innego dostawcy usług EMM, identyfikatory użytkowników zarządzanych przez EMM utworzone przez tego dostawcę nie będą dla Ciebie dostępne. Dzieje się tak, ponieważ te identyfikatory są specyficzne dla usług EMM.
Usuń
Administrator IT może usunąć organizację z zarządzanego Sklepu Google Play. W ciągu 24 godzin dane, konta, przypisane licencje i inne zasoby organizacji staną się niedostępne dla administratora, użytkowników i Ciebie. W efekcie wywołania interfejsu API będą zwracać dla parametru enterpriseId
kod stanu odpowiedzi HTTP 404 Not Found
. Aby naprawić ten błąd w konsoli EMM, przed usunięciem powiązania z organizacją poproś administratora IT o potwierdzenie.