توفير الهوية (أو توفير الحساب) هو عملية إعداد الحسابات وإنشاء روابط بين الأنظمة الثلاثة التي تحتفظ ببيانات المستخدمين، وفي بعض الحالات، إعداد روابط بين المستخدمين وأجهزتهم.
في بيئة Android Enterprise، تحتفظ ثلاثة أنظمة مختلفة بمعلومات حساب المستخدم:
- دليل المستخدمين الخاص بالمؤسسة هو المصدر النهائي للمعلومات حول المستخدمين.
- يجب أن يحتفظ موفِّر حلول إدارة الخدمات الجوّالة للمؤسسات (EMM) بدليل بسيط على الأقل لمستخدمي المؤسسة.
- تحتفظ Google ببعض المعلومات حول حسابات "Google Play للأعمال" وحسابات Google لتوفير خدمة إدارة التطبيقات من خلال Google Play.
يمثّل مورد Users حسابًا مرتبطًا بمؤسسة. يمكن أن يكون الحساب خاصًا بجهاز معيّن، أو يمكن ربطه بمستخدم لديه أجهزة متعددة ويستخدم الحساب على جميع هذه الأجهزة. يمكن أن يوفّر الحساب إمكانية الوصول إلى "Google Play للأعمال" فقط، أو إلى خدمات Google الأخرى، وذلك حسب طريقة إعداد مؤسسة العميل:
حسابات Google المُدارة هي حسابات حالية تديرها Google. تتطلّب هذه الحسابات من العميل إما استخدام Google كموفِّر للهوية أو ربط دليل المستخدم الخاص بمؤسسته بخدمة Google. بالنسبة إلى المؤسسات التي تستخدم حسابات Google المُدارة، تكون Google مسؤولة عن مصادقة المستخدم أثناء توفير الجهاز.
توفّر حسابات Google Play للأعمال طريقة للمؤسسات لإنشاء حسابات مستخدمين محدودة تلقائيًا من خلال موفّر حلول إدارة الخدمات الجوّالة للمؤسسات (EMM). توفّر هذه الحسابات إمكانية الوصول إلى "Google Play للأعمال" فقط. يتحمّل نظام إدارة الخدمات الجوّالة للمؤسسات (EMM) المسؤولية الكاملة عن مصادقة المستخدم عند الحاجة. بالنسبة إلى "حسابات Google Play للأعمال"، هذا هو نوع الحساب الوحيد المتاح.
الجدول 1: حقول وطُرق واجهة برمجة التطبيقات الخاصة بالمستخدمين
| حسابات Google Play للأعمال | حسابات Google المُدارة | |
|---|---|---|
| الحقل | ||
| id | ||
| النوع | ||
| accountIdentifier | معرّف فريد تنشئه وتربطه بالمعرّف (userId) الذي يتم إرجاعه من Google Play. لا تستخدِم معلومات تحديد الهوية الشخصية (PII). | لم يتم ضبطها. |
| accountType | deviceAccount, userAccount | userAccount |
| displayName | تمثّل هذه السمة الاسم الذي تعرضه في عناصر واجهة المستخدم، مثل تلك التي تظهر في Google Play. لا تستخدِم معلومات تحديد الهوية الشخصية. | لم يتم ضبطها. |
| managementType | emmManaged | googleManaged, emmManaged |
| primaryEmail | لم يتم ضبطها. | هذا الحقل هو المفتاح الأساسي الذي يمكنك من خلاله إدارة المزامنة من حسابات النطاقات المُدارة من Google إلى حسابات المستخدمين في نظامك. |
| الطُرق | ||
| حذف | ||
| generateAuthenticationToken | ||
| generateToken | ||
| الحصول على | ||
| getAvailableProductSet | ||
| insert | ||
| قائمة | ||
| revokeToken | ||
| setAvailableProductSet | ||
| تحديث | ||
في إطار التحسينات التي أجريناها على عملية تسجيل الأجهزة، سننتقل إلى استخدام حسابات Google المُدارة لجميع أجهزة Android Enterprise التي يستخدمها موظف لديه هوية مؤسسية.
بالنسبة إلى عمليات التسجيل الجديدة، ننصحك الآن باستخدام حسابات Google المُدارة بدلاً من حسابات Google Play المُدارة. مع أنّنا سنواصل إتاحة "حسابات Google Play للأعمال" للمستخدمين الحاليين، إلا أنّها تتيح الوصول إلى "متجر Google Play للأعمال" فقط. تمنح حسابات Google المُدارة المستخدمين إمكانية الوصول إلى مجموعة كاملة من خدمات Google والميزات التي تعمل على عدة أجهزة.
تحسينات على عملية التسجيل
تحدّد حسابات Google المُدارة هوية المستخدم لدى Google. يتيح ذلك تجارب على أجهزة متعددة، مثل نقل المهام والإشعارات والمشاركة مع الأجهزة القريبة. وتزداد أهمية هذه الميزات في مجال المؤسسات، حيث يستخدم المستخدمون غالبًا أجهزة متعددة.
ننصح المؤسسات التي لا تستخدم Google كموفِّر للهوية بشدة بربط موفِّر الهوية الحالي بحساب Google. يتيح ذلك إنشاء حسابات Google مُدارة للموظفين أثناء عملية الربط. على المؤسسات استخدام موفِّر الهوية نفسه الذي تستخدمه مع إدارة الخدمات الجوّالة للمؤسسات (EMM).
أجرينا التغييرات التالية:
تتولّى Google أو Android الآن عملية مصادقة المستخدم النهائي أثناء تسجيل الجهاز. تتطلّب "وحدة التحكّم في سياسات الأجهزة" (DPC) التابعة لإدارة الخدمات الجوّالة للمؤسسات (EMM) أن يصادق نظام Android على المستخدم في الوقت المناسب، ثم يعرض نظام Android هوية المستخدم الذي سجّل الدخول على "وحدة التحكّم في سياسات الأجهزة".
يجب أن يمرِّر نظام إدارة الخدمات الجوّالة للمؤسسات (EMM) رمز تسجيل إلى Android عند طلب مصادقة المستخدم. يتم عرض هذا الرمز المميز من خلال طلب إلى واجهة برمجة التطبيقات Android Enterprise، وقد يتم ترميزه ضمن حمولة رمز الاستجابة السريعة أو الاتصال عبر المجال القريب (NFC) أو التسجيل بدون لمس.
على الرغم من أنّ نظام التشغيل Android يتولّى الآن عملية المصادقة ويقدّم هوية المستخدم إلى إدارة الخدمات الجوّالة للمؤسسات (EMM)، تظلّ مسؤولية إدارة الخدمات الجوّالة للمؤسسات (EMM) هي ربط هوية المستخدم بالمجموعة أو البنية التنظيمية الصحيحة. هذه العملية ضرورية لتطبيق السياسات المناسبة على الجهاز. لذلك، على المؤسسات مواصلة ربط دليل المستخدمين الخاص بمؤسستها بحلول إدارة الخدمات الجوّالة للمؤسسات (EMM).
يمكن لمشرفي تكنولوجيا المعلومات تفعيل ميزة مصادقة المستخدم النهائي الجديدة التي توفّرها Google أو إيقافها. لتقديم أفضل تجربة للمستخدمين، بما في ذلك الميزات المتوافقة مع أجهزة متعددة، ننصح مشرفي تكنولوجيا المعلومات بربط دليل المستخدمين الخاص بمؤسستهم بحساب Google. بدون هذا الربط، سيحصل المستخدمون على حسابات Google Play مُدارة ولن يتمكّنوا من الاستفادة من تجارب الاستخدام على أجهزة متعددة.
هناك شرط جديد على جميع موفّري إدارة الخدمات الجوّالة للمؤسسات (EMM) وهو تقديم معلومات إضافية عند إنشاء رموز التسجيل والدخول. وعليك تحديد ما إذا كان الجهاز بدون مستخدم (مثل جهاز كشك أو جهاز مخصّص) أم لا.
المزايا
توفّر العملية الجديدة التحسينات الرئيسية التالية:
التسجيل المبسَّط: يقلّل هذا الخيار عدد الخطوات اليدوية والتعقيد مقارنةً بالطرق العادية.
إتاحة حسابات Google: يمكنك الآن استخدام حسابات Google مع جميع طرق توفير الأجهزة. ويؤدي ذلك إلى إزالة الحاجة إلى "حسابات Google Play للأعمال".
تجربة مستخدم محسّنة: من خلال حسابات Google المُدارة، يمكنك الاستفادة من تجربة Android أكثر ثراءً تتضمّن ميزات فعّالة على جميع الأجهزة، مثل المشاركة والنسخ واللصق.
تنفيذ حسابات المستخدمين
للتعرّف على كيفية المتابعة باستخدام مسار التسجيل الجديد هذا، اطّلِع على تنفيذ حسابات المستخدمين.
مراحل نشاط حسابات Google المُدارة
بالنسبة إلى المؤسسات التي تستخدم حسابات Google، تتطابق حسابات المستخدمين في حل إدارة الخدمات الجوّالة للمؤسسات (EMM) مع حسابات المستخدمين الحالية المرتبطة بخدمة أخرى من Google (مثل Google Workspace). تُصنَّف هذه الحسابات على أنّها googleManaged
(الجدول 1) لأنّ
خدمات الخلفية من Google هي مصدر إنشاء الحسابات والمعلومات
المتعلّقة بها.
بصفتك موفّر إدارة الخدمات الجوّالة للمؤسسات (EMM)، يمكنك توفير آليات في وحدة التحكّم لتسهيل إنشاء حسابات المستخدمين المخزّنة في نظامك ومزامنتها بشكل مستمر مع مصادر حسابات نطاق Google باستخدام أدوات مثل أداة مزامنة دليل Google Cloud (GCDS) وواجهة برمجة تطبيقات دليل Google Admin SDK. يمكنك الاطّلاع على نظرة عامة حول الطرق المختلفة. يتطلّب نموذج هوية النطاق المُدارة من Google أن يكون حساب المستخدم متوفّرًا في سياق الحلّ (وحدة تحكّم إدارة الخدمات الجوّالة للمؤسسات أو خادم إدارة الخدمات الجوّالة للمؤسسات أو ربما في مخزن بيانات) قبل أن يتم توفيره على أي من أجهزة المستخدم في سياق ملف العمل.
أثناء توفير الهوية، يتم ملء نطاق Google المُدار الخاص بالمؤسسة بحسابات المستخدمين. في بعض الحالات، تتم مزامنة هويات المستخدمين الحالية على الإنترنت (مثل حساباتهم على Microsoft Exchange) مع حساباتهم على Google.
مزامنة حسابات العملاء
في عملية نشر "حسابات Google"، يمكن للمؤسسة استخدام أداة GCDS لمزامنة البيانات في نطاق G Suite مع البيانات في دليل LDAP. بدلاً من ذلك، يمكنك استخدام "أداة مزامنة دليل Google Cloud" لإجراء ذلك نيابةً عن المؤسسة، إذا منحتك المؤسسة إذن الوصول.
تستدعي أداة GCDS واجهة برمجة تطبيقات "دليل Google" وتزامِن أسماء المستخدمين، ولكن ليس كلمات المرور.
إذا كانت المؤسسة تستخدم Microsoft Active Directory وتريد الحفاظ على مزامنة كلمات مرور المستخدمين على G Suite مع كلمات مرورهم على Active Directory، يمكن للمؤسسة أو لك استخدام أداة مزامنة كلمات المرور في G Suite (GSPS) مع أداة GCDS.
للحصول على تعليمات حول GCDS للمشرفين، يُرجى الاطّلاع على إعداد نطاق G Suite للمزامنة.
Google Directory API
في عملية نشر "حسابات Google"، يمكنك استخدام Google Directory API لمزامنة أدلة Active Directory أو كلمات المرور أو كليهما:
استخدام Directory API للمزامنة التي تخص الدليل فقط إذا كان لديك إذن وصول للقراءة فقط إلى نطاق Google المُدار الخاص بالمؤسسة، يمكنك استخدام Google Directory API للحصول على معلومات حساب Google، مثل أسماء المستخدمين (وليس كلمات المرور) من Google. بما أنّه لا يمكنك كتابة أي بيانات في حسابات Google الخاصة بالمستخدمين، تكون المؤسسة مسؤولة بشكل كامل عن مراحل نشاط الحسابات.
يقدّم السيناريو 1 وسيناريوهات المصادقة للدخول الموحَّد المستنِد إلى SAML وصفًا أكثر تفصيلاً لهذه الحالة.
للحصول على معلومات حول استخدام Directory API بهذه الطريقة، يُرجى الاطّلاع على استرداد جميع مستخدمي الحساب في مستندات Directory API.
استخدام Directory API لمزامنة الدليل وكلمة المرور الاختيارية إذا كان لديك إذن القراءة والكتابة في نطاق Google المُدار الخاص بالمؤسسة، يمكنك استخدام Google Directory API للحصول على أسماء المستخدمين وكلمات المرور ومعلومات أخرى عن حساب Google. يمكنك تعديل هذه المعلومات ومزامنتها مع قاعدة البيانات الخاصة بك، وقد تتحمّل المسؤولية الكاملة أو الجزئية عن دورات حياة الحسابات، وذلك حسب الحل الذي تقدّمه لعميلك.
يوضّح السيناريو 2 هذه الحالة بشكل أكثر تفصيلاً.
لمزيد من المعلومات حول استخدام Directory API لإدارة معلومات حساب المستخدم، يُرجى الاطّلاع على دليل المطوّر لواجهة Directory API: حسابات المستخدمين.
سيناريوهات حسابات Google
في القسم التالي، سنشرح بعض السيناريوهات النموذجية لتوفير الهوية في حسابات Google.
السيناريو 1: العميل مسؤول عن دورات حياة الحسابات
في هذا السيناريو، ينشئ العميل حسابات Google ويحافظ عليها للمستخدمين.
يمكنك الحصول على معلومات حساب المستخدم من دليل LDAP الخاص بالمؤسسة، ثم ربطها ببيانات حساب Google التي تحصل عليها من Google باستخدام Directory API من Google.
تتحمّل المؤسسة المسؤولية الكاملة عن مراحل نشاط الحسابات. على سبيل المثال، عند إنشاء حساب Google جديد، تضيف المؤسسة المستخدم إلى دليل LDAP. في المرة التالية التي تتم فيها مزامنة قاعدة البيانات مع دليل LDAP، ستتلقّى قاعدة البيانات معلومات عن هذا المستخدم الجديد.
في هذا السيناريو:
- لديك إذن بالقراءة فقط في حسابات Google.
- يكتسب قاعدة البيانات أسماء حسابات Google، ولكن ليس أسماء مستخدمي LDAP أو كلمات المرور.
- يمكنك استخدام Google Directory API للحصول على معلومات الحساب الأساسية الخاصة بمستخدمي عميلك. (المعلومات المتاحة لك هي المعلومات غير القابلة للكتابة التي يتم عرضها من خلال طلب
Users.get). تستخدِم هذه المعلومات للتأكّد من أنّ حسابات Google الخاصة بالمستخدمين متوفّرة ليتمكّن المستخدمون من إثبات ملكية أجهزتهم. - يستخدم العميل أداة GCDS لإجراء مزامنة أحادية الاتجاه من أجل ملء حسابات Google الخاصة بالمستخدمين. (من المحتمل أيضًا أنّ المؤسسة تستخدم "أداة مزامنة دليل Google Cloud" لإجراء المزامنة المستمرة بعد اكتمال عملية توفير الهوية). يمكن للمؤسسة أيضًا استخدام أداة GSPS لمزامنة أسماء المستخدمين وكلمات المرور.
السيناريو 2: إدارة EMM لدورات حياة الحسابات
في هذا السيناريو، تتولّى عملية إنشاء حسابات على Google نيابةً عن عميلك، وتكون مسؤولاً عن دورات حياة حسابات المستخدمين.
على سبيل المثال، عند تغيير معلومات المستخدم في دليل LDAP الخاص بالمؤسسة، تكون أنت المسؤول عن تعديل حساب المستخدم على Google. لا يتم استخدام أداة GCDS في هذا السيناريو.
في هذا السيناريو:
- لديك إذن بالقراءة والتعديل في حسابات Google.
- تكتسب قاعدة البيانات أسماء حسابات Google وأسماء مستخدمي LDAP (ويمكن أيضًا أن تتضمّن تجزئات كلمات المرور).
- يمكنك استخدام Google Directory API نيابةً عن عميلك لقراءة معلومات الحساب وكتابتها لمستخدمي المؤسسة. (المعلومات المتاحة لك هي المعلومات غير القابلة للكتابة التي يتم عرضها استجابةً لطلب
Users.get). تستخدِم هذه المعلومات للتأكّد من أنّ حسابات Google الخاصة بالمستخدمين متوفّرة ليتمكّن المستخدمون من إثبات ملكية أجهزتهم. - لا يتم استخدام أداة GCDS.
سيناريوهات المصادقة باستخدام الدخول المُوحَّد (SSO) المستنِد إلى SAML
في عملية نشر "حسابات Google"، يمكنك أنت أو عميلك استخدام لغة ترميز تأكيد الأمان (SAML) مع موفِّر هوية (IdP) لمصادقة حساب Google المرتبط بكل مستخدم. تستخدم أسماء حسابات Google كإثبات على أنّ حسابات المستخدمين على Google متوفّرة، وهو أمر ضروري لإثبات هوية المستخدمين عند تسجيل الدخول إلى أجهزتهم. على سبيل المثال، يمكن استخدام SAML في السيناريو 2. لمعرفة تفاصيل حول كيفية إعداد هذه الميزة، يُرجى الاطّلاع على إعداد الدخول المُوحَّد (SSO) لحسابات G Suite.