ID 프로비저닝 (또는 계정 프로비저닝)은 계정을 설정하고 사용자 데이터를 보유한 세 시스템 간의 연결을 설정하는 프로세스이며, 경우에 따라 사용자와 기기 간의 연결을 설정하는 프로세스입니다.
Android 엔터프라이즈 환경에서는 세 가지 시스템이 사용자 계정 정보를 보유합니다.
- 조직의 사용자 디렉터리는 사용자에 관한 정보의 확실한 소스입니다.
- EMM 솔루션 제공업체는 조직 사용자의 최소 디렉터리를 유지해야 합니다.
- Google은 Google Play를 통해 앱 관리를 제공하기 위해 관리 Google Play 계정 및 Google 계정에 관한 일부 정보를 유지합니다.
Users 리소스는 기업과 연결된 계정을 나타냅니다. 계정은 기기에만 해당할 수도 있고, 여러 기기를 사용하고 모든 기기에서 계정을 사용하는 개인과 연결될 수도 있습니다. 고객의 기업을 설정하는 방법에 따라 계정에서 관리 Google Play에만 액세스할 수 있거나 다른 Google 서비스에 액세스할 수 있습니다.
관리 Google 계정은 Google에서 관리하는 기존 계정입니다. 이러한 계정에서는 고객이 Google을 ID 공급업체로 사용하거나 조직의 사용자 디렉터리를 Google에 연결해야 합니다. 관리 Google 계정을 사용하는 기업의 경우 기기 프로비저닝 중에 사용자를 인증하는 책임은 Google에 있습니다.
기업용 Managed Google Play 계정을 사용하면 기업이 기업 모바일 관리 (EMM) 솔루션 제공업체를 통해 제한된 사용자 계정을 자동으로 만들 수 있습니다. 이러한 계정은 Managed Google Play에 대한 액세스 권한만 제공합니다. EMM은 필요할 때 사용자를 인증할 전적인 책임이 있습니다. 기업용 관리 Google Play 계정의 경우 이 유형의 계정만 사용할 수 있습니다.
표 1: 사용자 API 필드 및 메서드
| Managed Google Play 계정 | 관리 Google 계정 | |
|---|---|---|
| 필드 | ||
| id | ||
| kind | ||
| accountIdentifier | Google Play에서 반환된 ID (userId)에 매핑되는 고유 식별자입니다. 개인 식별 정보 (PII)를 사용하지 마세요. | 설정되지 않았습니다. |
| accountType | deviceAccount, userAccount | userAccount |
| displayName | Google Play와 같은 UI 항목에 표시되는 이름입니다. 개인 식별 정보를 사용하지 마세요. | 설정되지 않았습니다. |
| managementType | emmManaged | googleManaged, emmManaged |
| primaryEmail | 설정되지 않았습니다. | 이 필드는 Google 관리 도메인 계정에서 시스템의 사용자 계정으로 동기화를 관리하는 기본 키입니다. |
| 메서드 | ||
| delete | ||
| generateAuthenticationToken | ||
| generateToken | ||
| get | ||
| getAvailableProductSet | ||
| insert | ||
| list | ||
| revokeToken | ||
| setAvailableProductSet | ||
| update | ||
기기 등록 개선의 일환으로 회사 ID가 있는 직원이 사용하는 모든 Android Enterprise 기기에 관리 Google 계정을 사용하도록 전환하고 있습니다.
이제 신규 등록의 경우 관리 Google Play 계정보다 관리 Google 계정을 사용하는 것이 좋습니다. 기존 사용자를 위한 관리 Google Play 계정은 계속 지원되지만 관리 Google Play 스토어에만 액세스할 수 있습니다. 관리 Google 계정을 사용하면 사용자가 전체 Google 서비스 및 교차 기기 기능에 액세스할 수 있습니다.
등록 개선사항
관리 Google 계정은 Google에서 사용자의 ID를 설정합니다. 이를 통해 작업 인계, 알림, 근처 공유와 같은 교차 기기 환경을 사용할 수 있습니다. 이러한 기능은 사용자가 여러 기기를 사용하는 경우가 많은 엔터프라이즈 공간에서 점점 더 중요해지고 있습니다.
Google을 ID 공급업체로 사용하지 않는 기업은 이제 기존 ID 공급업체를 Google에 연결하는 것이 적극 권장됩니다. 이렇게 하면 바인딩 프로세스 중에 직원의 관리 Google 계정을 만들 수 있습니다. 기업은 EMM에서 사용하는 것과 동일한 ID 공급업체를 사용해야 합니다.
다음과 같이 변경되었습니다.
기기 등록 중 최종 사용자 인증은 이제 Google/Android에서 처리합니다. EMM의 기기 정책 컨트롤러 (DPC)는 Android가 적절한 시점에 사용자를 인증하도록 요구하며, 그러면 Android는 로그인한 사용자의 ID를 DPC에 반환합니다.
EMM은 사용자 인증을 요청할 때 등록 토큰을 Android에 전달해야 합니다. 이 토큰은 Android Enterprise API에 대한 API 호출에 의해 반환되며 QR, NFC 또는 제로터치 등록 페이로드 내에 인코딩될 수 있습니다.
이제 Android에서 인증을 처리하고 사용자 ID를 EMM에 제공하지만 사용자 ID를 올바른 그룹 또는 조직 구조에 매핑하는 것은 여전히 EMM의 책임입니다. 이 매핑은 기기에 적절한 정책을 적용하는 데 필수적입니다. 따라서 기업은 조직의 사용자 디렉터리를 EMM에 계속 연결해야 합니다.
IT 관리자는 Google에서 제공하는 새로운 최종 사용자 인증 기능을 사용 설정하거나 사용 중지할 수 있습니다. IT 관리자는 교차 기기 기능을 비롯해 사용자에게 최상의 환경을 제공하기 위해 조직의 사용자 디렉터리를 Google에 연결하는 것이 좋습니다. 이 링크가 없으면 사용자는 기업용 관리 Google Play 계정을 보유하게 되며 기기 간 환경에 액세스할 수 없습니다.
모든 EMM의 새로운 요구사항은 등록 및 로그인 토큰을 생성할 때 추가 정보를 제공하는 것입니다. 이제 기기가 사용자 없는 기기 (예: 키오스크 또는 전용 기기)인지 여부를 표시해야 합니다.
이점
새로운 프로세스에는 다음과 같은 주요 개선사항이 있습니다.
간소화된 등록: 표준 방법과 비교하여 수동 단계 수와 복잡성이 줄어듭니다.
Google 계정 지원: 이제 모든 프로비저닝 방법으로 Google 계정을 사용할 수 있습니다. 이렇게 하면 관리 Google Play 계정이 필요하지 않습니다.
사용자 환경 개선: 관리 Google 계정을 사용하면 공유, 복사 및 붙여넣기와 같은 강력한 교차 기기 기능이 포함된 풍부한 Android 환경을 이용할 수 있습니다.
사용자 계정 구현
이 새로운 등록 흐름을 진행하는 방법을 알아보려면 사용자 계정 구현을 참고하세요.
관리 Google 계정의 수명 주기
Google 계정을 사용하는 조직의 경우 EMM 솔루션의 사용자 계정은 다른 Google 서비스(예: Google Workspace)와 연결된 기존 사용자 계정을 반영합니다. 이러한 계정은 Google의 백엔드 서비스가 계정 생성 및 정보의 소스이므로 googleManaged(표 1)입니다.
EMM은 콘솔에서 Google Cloud 디렉터리 동기화(GCDS) 및 Google Admin SDK Directory API와 같은 도구를 사용하여 시스템에 있는 사용자 계정을 Google 도메인 계정 소스와 생성하고 지속적으로 동기화하는 메커니즘을 제공할 수 있습니다. 다양한 접근 방식에 관한 개요는 Google 관리 도메인 ID 모델에서는 사용자 계정이 직장 프로필 컨텍스트에서 사용자의 기기에 프로비저닝되기 전에 솔루션 (EMM 콘솔, EMM 서버, 데이터 저장소) 컨텍스트에 있어야 합니다.
ID 프로비저닝 중에 조직의 Google 관리 도메인이 사용자 계정으로 채워집니다. 경우에 따라 사용자의 기존 온라인 ID(예: Microsoft Exchange 계정)가 Google 계정과 동기화됩니다.
고객 계정 동기화
Google 계정 배포에서 조직은 GCDS 도구를 사용하여 G Suite 도메인의 데이터를 LDAP 디렉터리의 데이터와 동기화할 수 있습니다. 또는 조직에서 액세스 권한을 부여하는 경우 GCDS를 사용하여 조직을 대신하여 이 작업을 수행할 수 있습니다.
GCDS 도구는 Google 디렉터리 API를 호출하고 사용자 이름을 동기화하지만 비밀번호는 동기화하지 않습니다.
조직에서 Microsoft Active Directory를 사용하고 사용자의 G Suite 비밀번호를 Active Directory 비밀번호와 동기화 상태로 유지하려는 경우 조직 또는 관리자가 GCDS와 함께 G Suite 비밀번호 동기화 (GSPS) 도구를 사용할 수 있습니다.
관리자를 위한 GCDS 안내는 동기화를 위해 G Suite 도메인 준비하기를 참고하세요.
Google Directory API
Google 계정 배포에서는 Google Directory API를 사용하여 Active Directory, 비밀번호 또는 둘 다를 동기화할 수 있습니다.
디렉터리 전용 동기화를 위해 Directory API 사용 조직의 관리 Google 도메인에 대한 읽기 전용 액세스 권한이 있는 경우 Google Directory API를 사용하여 Google에서 사용자 이름 (비밀번호는 아님)과 같은 Google 계정 정보를 가져올 수 있습니다. 사용자의 Google 계정에 데이터를 쓸 수 없으므로 조직은 계정 수명 주기에 대한 전적인 책임을 집니다.
시나리오 1 및 SAML 기반 SSO 인증 시나리오에 이 상황이 자세히 설명되어 있습니다.
이러한 방식으로 Directory API를 사용하는 방법에 관한 자세한 내용은 Directory API 문서의 모든 계정 사용자 가져오기를 참고하세요.
디렉터리 및 선택적 비밀번호 동기화를 위해 Directory API를 사용합니다. 조직의 관리 Google 도메인에 대한 읽기-쓰기 액세스 권한이 있는 경우 Google Directory API를 사용하여 사용자 이름, 비밀번호, 기타 Google 계정 정보를 가져올 수 있습니다. 이 정보를 업데이트하고 자체 데이터베이스와 동기화할 수 있으며, 고객에게 제공하는 솔루션에 따라 계정 수명 주기에 대한 전체 또는 부분적인 책임이 있을 수 있습니다.
시나리오 2에 이 상황이 자세히 설명되어 있습니다.
Directory API를 사용하여 사용자 계정 정보를 관리하는 방법에 대한 자세한 내용은 Directory API: 사용자 계정 개발자 가이드를 참고하세요.
Google 계정 시나리오
다음 섹션에서는 몇 가지 일반적인 Google 계정 ID 프로비저닝 시나리오를 설명합니다.
시나리오 1: 고객이 계정 수명 주기를 담당하는 경우
이 시나리오에서는 고객이 사용자의 Google 계정을 만들고 유지관리합니다.
조직의 LDAP 디렉터리에서 사용자 계정 정보를 가져오고 Google Directory API를 사용하여 Google에서 가져온 Google 계정 데이터와 이 정보를 상호 연관시킵니다.
조직은 계정 수명 주기에 대한 모든 책임을 집니다. 예를 들어 새 Google 계정이 생성되면 조직에서 사용자를 LDAP 디렉터리에 추가합니다. 다음에 데이터베이스를 LDAP 디렉터리에 동기화하면 데이터베이스에서 이 새 사용자에 관한 정보를 수신합니다.
이 시나리오에서는 다음과 같습니다.
- Google 계정에 대한 읽기 전용 액세스 권한이 있습니다.
- 데이터베이스에서 Google 계정 이름을 획득하지만 LDAP 사용자 이름이나 비밀번호는 획득하지 않습니다.
- Google Directory API를 사용하여 고객의 사용자 기본 계정 정보를 가져옵니다. (사용자가 사용할 수 있는 정보는
Users.get에 의해 반환되는 요청의 쓰기 불가능한 정보입니다.) 이 정보를 사용하여 사용자의 Google 계정이 있는지 확인하여 사용자가 기기에 인증할 수 있도록 합니다. - 고객은 GCDS 도구를 사용하여 단방향 동기화를 실행하여 사용자의 Google 계정을 채웁니다. (조직은 ID 프로비저닝이 완료된 후 자체 지속적인 동기화를 위해 GCDS를 사용할 수도 있습니다.) 선택적으로 조직은 GSPS 도구를 사용하여 사용자 이름뿐만 아니라 비밀번호도 동기화할 수 있습니다.
시나리오 2: 계정 수명 주기를 담당하는 EMM
이 시나리오에서는 고객을 대신하여 Google 계정을 만드는 프로세스를 처리하며 사용자의 계정 수명 주기를 관리합니다.
예를 들어 조직의 LDAP 디렉터리에서 사용자 정보가 변경되면 사용자의 Google 계정을 업데이트해야 합니다. 이 시나리오에서는 GCDS가 사용되지 않습니다.
이 시나리오에서는 다음과 같습니다.
- Google 계정에 대한 읽기-쓰기 액세스 권한이 있습니다.
- 데이터베이스가 Google 계정 이름과 LDAP 사용자 이름 (선택적으로 비밀번호 해시)을 획득합니다.
- 고객을 대신하여 Google Directory API를 사용하여 조직 사용자의 계정 정보를 읽고 씁니다. (사용 가능한 정보는
Users.get요청에 의해 반환된 쓰기 불가능한 정보입니다.) 이 정보를 사용하여 사용자의 Google 계정이 있는지 확인하여 사용자가 기기에 인증할 수 있도록 합니다. - GCDS 도구를 사용하지 않습니다.
SAML 기반 SSO 인증 시나리오
Google 계정 배포에서 귀하 또는 고객은 ID 공급업체 (IdP)와 함께 보안 보장 마크업 언어 (SAML)를 사용하여 각 사용자와 연결된 Google 계정을 인증할 수 있습니다. 사용자가 기기에 로그인할 때 사용자 인증에 필요한 사용자의 Google 계정이 있는지 확인하는 데 Google 계정 이름을 사용합니다. 예를 들어 시나리오 2에서 SAML을 사용할 수 있습니다. 이 기능을 설정하는 방법에 관한 자세한 내용은 G Suite 계정에 싱글 사인온 (SSO) 설정을 참고하세요.