تأمین هویت (یا تأمین حساب ) فرآیند راهاندازی حسابها و برقراری ارتباط بین سه سیستمی است که دادههای کاربر را نگهداری میکنند و در برخی موارد برقراری ارتباط بین کاربران و دستگاههایشان.
در یک محیط سازمانی اندروید، سه سیستم مختلف اطلاعات حساب کاربری را نگه میدارند:
- فهرست کاربران سازمان منبع قطعی اطلاعات در مورد کاربران است.
- شما (ارائه دهنده راه حل EMM) باید حداقل یک فهرست راهنمای کاربران سازمان را حفظ کنید.
- Google برخی از اطلاعات مربوط به حسابهای Google Play مدیریت شده و حسابهای Google را برای ارائه مدیریت برنامه از طریق Google Play حفظ میکند.
یک منبع Users یک حساب مرتبط با یک شرکت را نشان می دهد. این حساب میتواند مختص یک دستگاه باشد یا میتواند با فردی مرتبط باشد که چندین دستگاه دارد و از حساب در همه آنها استفاده میکند. بسته به نحوه راهاندازی شرکت مشتری ، این حساب میتواند فقط به Google Play مدیریت شده یا سایر خدمات Google دسترسی داشته باشد:
حسابهای مدیریتشده Google، حسابهای موجود هستند که توسط Google مدیریت میشوند. این حسابها از مشتری میخواهند که یا از Google به عنوان ارائهدهنده هویت خود استفاده کند یا فهرست راهنمای کاربر سازمان خود را به Google پیوند دهد. برای شرکتهایی که از حسابهای Google مدیریتشده استفاده میکنند، Google مسئول احراز هویت کاربر در حین تهیه دستگاه است.
حسابهای Google Play مدیریتشده راهی را برای شرکتها فراهم میکند تا بهطور خودکار حسابهای کاربری محدودی را از طریق ارائهدهنده راهحل مدیریت تحرک سازمانی (EMM) ایجاد کنند. این حسابها فقط به Google Play مدیریت شده دسترسی دارند. EMM به طور کامل مسئول احراز هویت کاربر در صورت نیاز است. برای شرکتهای مدیریت شده حسابهای Google Play، این تنها نوع حساب موجود است.
جدول 1: فیلدها و روش های API کاربران
| حساب های Google Play مدیریت شده | حساب های Google مدیریت شده | |
|---|---|---|
| میدان | ||
| شناسه | ||
| مهربان | ||
| شناسه حساب | یک شناسه منحصربهفرد که ایجاد میکنید و به شناسه ( userId ) بازگردانده شده از Google Play نگاشت میکنید. از اطلاعات شناسایی شخصی (PII) استفاده نکنید. | تنظیم نشده است. |
| نوع حساب | حساب دستگاه، حساب کاربری | حساب کاربری |
| نمایش نام | نامی که در موارد رابط کاربری نمایش داده میشود، مانند Google Play. از اطلاعات قابل شناسایی شخصی استفاده نکنید. | تنظیم نشده است. |
| نوع مدیریت | emmمدیریت شد | googleManaged, emmManaged |
| ایمیل اولیه | تنظیم نشده است. | این فیلد کلید اصلی است که توسط آن همگام سازی را از حساب های دامنه مدیریت شده توسط Google با حساب های کاربری در سیستم خود مدیریت می کنید. |
| روش ها | ||
| حذف کنید | ||
| generateAuthenticationToken | ||
| GenerationToken | ||
| دریافت کنید | ||
| getAvailableProductSet | ||
| درج کنید | ||
| فهرست | ||
| revokeToken | ||
| setAvailableProductSet | ||
| به روز رسانی کنید | ||
به عنوان بخشی از بهبودهای ثبت نام دستگاه خود، در حال انتقال به استفاده از حسابهای Google مدیریتشده برای همه دستگاههای Android Enterprise هستیم که توسط کارمندی با هویت شرکتی استفاده میشود.
برای ثبتنامهای جدید، اکنون توصیه میکنیم از حسابهای Google مدیریتشده بهجای حسابهای مدیریتشده Google Play استفاده کنید. در حالی که ما همچنان از حسابهای مدیریتشده Google Play برای کاربران فعلی پشتیبانی میکنیم، آنها فقط دسترسی به فروشگاه مدیریتشده Google Play را فراهم میکنند. حسابهای مدیریتشده Google به کاربران امکان دسترسی به مجموعه کامل خدمات Google و ویژگیهای بین دستگاهی را میدهد.
بهبود ثبت نام
حسابهای مدیریتشده Google هویت کاربر را با Google مشخص میکند. این کار تجربههای بین دستگاهی، مانند دست زدن به کار، اعلانها و اشتراکگذاری در نزدیکی را فعال میکند. این ویژگیها در فضای سازمانی، جایی که کاربران اغلب از چندین دستگاه استفاده میکنند، اهمیت فزایندهای دارند.
شرکتهایی که از Google بهعنوان ارائهدهنده هویت خود استفاده نمیکنند، اکنون اکیداً توصیه میشود که ارائهدهنده هویت موجود خود را به Google مرتبط کنند. این امکان ایجاد حسابهای Google مدیریتشده را برای کارمندان در طول فرآیند الزامآوری فراهم میکند. شرکتها باید از همان ارائهدهنده هویتی که برای EMM خود استفاده میکنند، استفاده کنند.
ما تغییرات زیر را اعمال کرده ایم:
احراز هویت کاربر نهایی در هنگام ثبت نام دستگاه اکنون توسط Google/Android انجام می شود. کنترلکننده خطمشی دستگاه EMM (DPC) نیاز دارد که Android کاربر را در نقطه مناسب احراز هویت کند و سپس Android هویت کاربر وارد شده را به DPC برمیگرداند.
EMM هنگام درخواست احراز هویت کاربر باید یک رمز ثبت نام را به Android ارسال کند. این نشانه با یک تماس API به Android Enterprise API برگردانده میشود و ممکن است در محموله ثبت نام QR، NFC یا صفر لمسی رمزگذاری شود.
در حالی که Android اکنون احراز هویت را انجام میدهد و هویت کاربر را در اختیار EMM قرار میدهد، همچنان این مسئولیت EMM است که هویت کاربر را به گروه یا ساختار سازمانی صحیح ترسیم کند. این نقشه برداری برای اعمال سیاست های مناسب در دستگاه ضروری است. بنابراین، شرکت ها باید به پیوند دادن فهرست کاربران سازمان خود به EMM خود ادامه دهند.
سرپرستان فناوری اطلاعات می توانند ویژگی جدید تأیید هویت کاربر نهایی ارائه شده توسط Google را فعال یا غیرفعال کنند. برای ارائه بهترین تجربه به کاربران، از جمله ویژگیهای بین دستگاهی، توصیه میکنیم که مدیران فناوری اطلاعات فهرست راهنمای کاربر سازمان خود را به Google پیوند دهند. بدون این پیوند، کاربران حسابهای Google Play را مدیریت خواهند کرد و به تجربههای بین دستگاهی دسترسی نخواهند داشت.
یک الزام جدید برای همه EMM ها ارائه اطلاعات اضافی هنگام ایجاد نشانه های ثبت نام و ورود به سیستم است. به طور خاص، اکنون باید مشخص کنید که آیا یک دستگاه بدون کاربر (مانند کیوسک یا دستگاه اختصاصی) است یا خیر.
مزایا
فرآیند جدید بهبودهای کلیدی زیر را ارائه می دهد:
ثبت نام ساده: تعداد مراحل دستی و پیچیدگی را در مقایسه با روش های استاندارد کاهش می دهد.
پشتیبانی از حساب Google: اکنون میتوانید از حسابهای Google با همه روشهای تأمین استفاده کنید. این نیاز به حسابهای مدیریت شده Google Play را حذف میکند.
تجربه کاربری پیشرفته: با حسابهای Google مدیریتشده، تجربه Android غنیتری به دست میآورید که شامل ویژگیهای قدرتمند بین دستگاهی مانند اشتراکگذاری و کپی-پیست است.
پیاده سازی حساب های کاربری
برای یادگیری نحوه ادامه با این جریان ثبت نام جدید، به پیاده سازی حساب های کاربری مراجعه کنید.
چرخه حیات حسابهای Google مدیریتشده
برای سازمانهایی که از حسابهای Google استفاده میکنند، حسابهای کاربری در راهحل EMM، حسابهای کاربری موجود مرتبط با سرویس Google دیگر (مانند Google Workspace) را منعکس میکند. این حسابها googleManaged هستند ( جدول 1 ) زیرا خدمات پشتیبان Google منبع ایجاد حساب و اطلاعات مربوط به آن هستند.
بهعنوان یک EMM، میتوانید با استفاده از ابزارهایی مانند Google Cloud Directory Sync (GCDS) و Google Admin SDK Directory API ، مکانیسمهایی را در کنسول خود برای تسهیل ایجاد و همگامسازی مداوم حسابهای کاربری موجود در سیستم خود با منابع حساب دامنه Google آنها فراهم کنید. برای مروری بر رویکردهای مختلف مدل هویت دامنه مدیریتشده توسط Google مستلزم آن است که حساب کاربری در زمینه راهحل شما (کنسول EMM، سرور EMM، شاید در یک فروشگاه داده) وجود داشته باشد، قبل از اینکه بتوان آن را در هر یک از دستگاههای کاربر در چارچوب نمایه کاری ارائه کرد.
در طول ارائه هویت، دامنه مدیریت شده توسط Google سازمان با حساب های کاربری پر می شود. در برخی موارد، هویتهای آنلاین موجود کاربران (به عنوان مثال، حسابهای Microsoft Exchange آنها) با حسابهای Google آنها همگامسازی میشود.
همگام سازی حساب های مشتری
در استقرار حسابهای Google، سازمان میتواند از ابزار GCDS برای همگامسازی دادههای دامنه G Suite خود با دادههای فهرست LDAP خود استفاده کند. از طرف دیگر، اگر سازمان به شما اجازه دسترسی بدهد، میتوانید از GCDS برای انجام این کار از طرف سازمان استفاده کنید.
ابزار GCDS Google Directory API را فراخوانی میکند و نامهای کاربری را همگامسازی میکند، اما رمزهای عبور را نه.
اگر سازمانی از Microsoft Active Directory استفاده میکند و میخواهد گذرواژههای G Suite کاربران را با گذرواژههای Active Directory همگام نگه دارد، آنها – یا شما – میتوانند از ابزار G Suite Password Sync (GSPS) با GCDS استفاده کنند.
برای دستورالعملهای GCDS برای سرپرستان، به آمادهسازی دامنه G Suite برای همگامسازی مراجعه کنید.
Google Directory API
در استقرار حسابهای Google، میتوانید از Google Directory API برای همگامسازی دایرکتوریهای فعال، گذرواژهها یا هر دو استفاده کنید:
استفاده از Directory API برای همگام سازی فقط دایرکتوری. اگر به دامنه Google مدیریت شده سازمان دسترسی فقط خواندنی دارید، میتوانید از Google Directory API برای دریافت اطلاعات حساب Google، مانند نامهای کاربری (اما نه گذرواژه) از Google استفاده کنید. از آنجایی که نمیتوانید هیچ دادهای را در حسابهای Google کاربران بنویسید، سازمان مسئولیت کامل چرخه عمر حساب را بر عهده دارد.
سناریو 1 و سناریوهای احراز هویت SSO مبتنی بر SAML این وضعیت را کاملتر توصیف می کنند.
برای اطلاعات در مورد استفاده از Directory API به این روش، به بازیابی همه کاربران حساب در اسناد Directory API مراجعه کنید.
استفاده از Directory API برای همگام سازی دایرکتوری و رمز عبور اختیاری. اگر به دامنه Google مدیریت شده سازمان دسترسی خواندن و نوشتن دارید، میتوانید از Google Directory API برای دریافت نامهای کاربری، گذرواژهها و سایر اطلاعات حساب Google استفاده کنید. میتوانید این اطلاعات را بهروزرسانی کرده و با پایگاه داده خود همگامسازی کنید، و ممکن است مسئولیت کامل یا جزئی چرخه عمر حساب، بسته به راهحلی که به مشتری خود ارائه میدهید، داشته باشید.
سناریوی 2 این وضعیت را کاملتر توصیف می کند.
برای اطلاعات بیشتر در مورد استفاده از Directory API برای مدیریت اطلاعات حساب کاربری، به راهنمای برنامهنویس Directory API: User Accounts مراجعه کنید.
سناریوهای حساب های Google
چند سناریو معمولی برای تامین هویت حسابهای Google در بخش زیر توضیح داده شدهاند.
سناریوی 1: مشتری مسئول چرخه عمر حساب است
در این سناریو، مشتری شما حساب های گوگل را برای کاربران خود ایجاد و نگهداری می کند.
شما اطلاعات حساب کاربری را از دایرکتوری LDAP سازمان دریافت میکنید و آن را با دادههای حساب Google که از Google با استفاده از Google Directory API دریافت میکنید مرتبط میکنید.
سازمان مسئولیت کامل چرخه عمر حساب را بر عهده دارد. به عنوان مثال، هنگامی که یک حساب Google جدید ایجاد می شود، سازمان کاربر را به فهرست LDAP خود اضافه می کند. دفعه بعد که پایگاه داده خود را با دایرکتوری LDAP همگام می کنید، پایگاه داده شما اطلاعاتی درباره این کاربر جدید دریافت می کند.
در این سناریو:
- شما به حسابهای Google دسترسی فقط خواندنی دارید.
- پایگاه داده شما نام حساب Google را دریافت می کند، اما نام کاربری یا رمز عبور LDAP ندارد.
- شما از Google Directory API برای دریافت اطلاعات اولیه حساب برای کاربران مشتری خود استفاده می کنید. (اطلاعات در دسترس شما اطلاعات غیرقابل نوشتنی است که توسط درخواست
Users.getبرگردانده می شود ). شما از این اطلاعات برای تأیید وجود حسابهای Google کاربران استفاده میکنید تا کاربران بتوانند در دستگاههای خود احراز هویت کنند. - مشتری شما از ابزار GCDS برای همگام سازی یک طرفه برای پر کردن حساب های Google کاربران استفاده می کند. (احتمالاً سازمان از GCDS برای همگام سازی مداوم خود پس از تکمیل تهیه هویت استفاده می کند.) به صورت اختیاری، سازمان همچنین می تواند از ابزار GSPS برای همگام سازی نه تنها نام های کاربری، بلکه رمزهای عبور نیز استفاده کند.
سناریو 2: EMM مسئول چرخه عمر حساب است
در این سناریو، شما فرآیند ایجاد حسابهای Google را از طرف مشتری خود انجام میدهید و مسئولیت چرخه عمر حساب کاربران را بر عهده دارید.
به عنوان مثال، هنگامی که اطلاعات کاربر در فهرست LDAP سازمان تغییر می کند، شما مسئول به روز رسانی حساب Google کاربر هستید. GCDS در این سناریو استفاده نمی شود.
در این سناریو:
- شما به حسابهای Google دسترسی خواندن و نوشتن دارید.
- پایگاه داده شما نامهای حساب Google و نامهای کاربری LDAP (و در صورت اختیاری، درهمسازی رمز عبور) را دریافت میکند.
- شما از Google Directory API از طرف مشتری خود برای خواندن و نوشتن اطلاعات حساب برای کاربران سازمان استفاده می کنید. (اطلاعات در دسترس شما اطلاعات غیرقابل نوشتنی است که توسط درخواست
Users.getبرگردانده می شود ). شما از این اطلاعات برای تأیید وجود حسابهای Google کاربران استفاده میکنید تا کاربران بتوانند در دستگاههای خود احراز هویت کنند. - ابزار GCDS استفاده نمی شود.
سناریوهای احراز هویت SSO مبتنی بر SAML
در استقرار حسابهای Google، شما یا مشتریتان ممکن است از زبان نشانهگذاری ادعای امنیتی (SAML) با ارائهدهنده هویت (IdP) برای احراز هویت حساب Google مرتبط با هر کاربر استفاده کنید. شما از نامهای حساب Google بهعنوان تأیید وجود حسابهای Google کاربران استفاده میکنید، که برای احراز هویت کاربر هنگام ورود کاربران به دستگاههای خود مورد نیاز است. برای مثال، SAML را میتوان در سناریو 2 استفاده کرد. برای جزئیات در مورد نحوه راهاندازی، به راهاندازی یک ورود به سیستم (SSO) برای حسابهای G Suite مراجعه کنید.