O provisionamento de identidade (ou provisionamento de conta) é o processo de configuração de contas e estabelecimento de conexões entre os três sistemas que armazenam dados do usuário e, em alguns casos, de conexões entre usuários e dispositivos.
Em um ambiente Android Enterprise, três sistemas diferentes armazenam informações da conta de usuário:
- O diretório de usuários da organização é a fonte definitiva de informações sobre os usuários.
- Você (o provedor de soluções de EMM) precisa manter pelo menos um diretório mínimo dos usuários da organização.
- O Google mantém algumas informações sobre contas do Google Play gerenciado e Contas do Google para oferecer gerenciamento de apps no Google Play.
Um recurso Users representa uma conta associada a uma empresa. A conta pode ser específica de um dispositivo ou associada a uma pessoa que tem vários dispositivos e usa a conta em todos eles. A conta pode dar acesso apenas ao Google Play gerenciado ou
a outros Serviços do Google, dependendo de como você configura a
empresa do cliente:
As Contas do Google gerenciadas são contas atuais gerenciadas pelo Google. Essas contas exigem que o cliente use o Google como provedor de identidade ou vincule o diretório de usuários da organização ao Google. Para empresas que usam Contas do Google gerenciadas, o Google é responsável por autenticar o usuário durante o provisionamento do dispositivo.
As contas do Google Play gerenciado oferecem às empresas uma maneira de criar automaticamente contas de usuário limitadas com o provedor de soluções de gerenciamento de mobilidade empresarial (EMM). Essas contas dão acesso somente ao Google Play gerenciado. A EMM é totalmente responsável por autenticar o usuário quando necessário. Para pacotes de contas do Google Play gerenciado, esse é o único tipo de conta disponível.
Tabela 1: campos e métodos da API Users
| contas do managed Google Play | Contas do Google gerenciadas | |
|---|---|---|
| Campo | ||
| ID | ||
| kind | ||
| accountIdentifier | Um identificador exclusivo que você cria e mapeia para o ID (userId) retornado pelo Google Play. Não use informações de identificação pessoal (PII). | Não definido |
| accountType | deviceAccount, userAccount | userAccount |
| displayName | O nome que você mostra em itens da interface, como no Google Play. Não use informações de identificação pessoal. | Não definido |
| managementType | emmManaged | googleManaged, emmManaged |
| primaryEmail | Não definido | Este campo é a chave primária pela qual você gerencia a sincronização de contas de domínio gerenciadas pelo Google para contas de usuário no seu sistema. |
| Métodos | ||
| excluir | ||
| generateAuthenticationToken | ||
| generateToken | ||
| get | ||
| getAvailableProductSet | ||
| insert | ||
| list | ||
| revokeToken | ||
| setAvailableProductSet | ||
| update | ||
Como parte das melhorias no registro de dispositivos, estamos migrando para o uso de Contas do Google gerenciadas em todos os dispositivos Android Enterprise usados por um funcionário com uma identidade corporativa.
Para novas inscrições, agora recomendamos o uso de Contas do Google gerenciadas em vez de contas do Google Play gerenciadas. Embora continuemos oferecendo suporte a contas do Google Play gerenciado para usuários atuais, elas só dão acesso à loja do Google Play gerenciado. As Contas do Google gerenciadas dão aos usuários acesso ao pacote completo de serviços do Google e recursos multidispositivo.
Melhorias no registro
As Contas do Google gerenciadas estabelecem a identidade de um usuário com o Google. Isso permite experiências entre dispositivos, como transferência de tarefas, notificações e compartilhamento por proximidade. Esses recursos são cada vez mais importantes no espaço empresarial, em que os usuários costumam usar vários dispositivos.
Agora, as empresas que não usam o Google como provedor de identidade são fortemente recomendadas a vincular o provedor de identidade atual ao Google. Isso permite a criação de Contas do Google gerenciadas para funcionários durante o processo de vinculação. As empresas precisam usar o mesmo provedor de identidade para isso e para o EMM.
Implementamos as seguintes mudanças:
A autenticação do usuário final durante a inscrição do dispositivo agora é processada pelo Google/Android. O controlador de política de dispositivo (DPC) do EMM exige que o Android autentique o usuário no momento adequado. Em seguida, o Android retorna a identidade do usuário conectado ao DPC.
A EMM precisa transmitir um token de inscrição para o Android ao solicitar a autenticação do usuário. Esse token é retornado por uma chamada de API para a API Android Enterprise e pode ser codificado no payload de inscrição por QR, NFC ou sem toque.
Embora o Android agora processe a autenticação e forneça a identidade do usuário para o EMM, ainda é responsabilidade do EMM mapear a identidade do usuário para o grupo ou estrutura organizacional correta. Esse mapeamento é essencial para aplicar as políticas adequadas ao dispositivo. Portanto, as empresas precisam continuar vinculando o diretório de usuários da organização ao EMM.
Os administradores de TI podem ativar ou desativar o novo recurso de autenticação do usuário final fornecido pelo Google. Para oferecer aos usuários a melhor experiência, incluindo recursos entre dispositivos, recomendamos que os administradores de TI vinculem o diretório de usuários da organização ao Google. Sem esse link, os usuários terão contas gerenciadas do Google Play e não terão acesso a experiências entre dispositivos.
Uma nova exigência para todos os EMMs é fornecer informações adicionais ao criar tokens de inscrição e de login. Especificamente, agora você precisa indicar se um dispositivo é sem usuário (como um quiosque ou dispositivo dedicado) ou não.
Vantagens
O novo processo oferece as seguintes melhorias principais:
Inscrição simplificada:reduz o número de etapas manuais e a complexidade em comparação com os métodos padrão.
Suporte à Conta do Google:agora você pode usar Contas do Google com todos os métodos de provisionamento. Isso elimina a necessidade de contas gerenciadas do Google Play.
Experiência do usuário aprimorada:com as Contas do Google gerenciadas, você tem uma experiência do Android mais completa, que inclui recursos multidispositivo eficientes, como compartilhamento e copiar e colar.
Implementação de contas de usuário
Para saber como prosseguir com esse novo fluxo de inscrição, consulte Implementar contas de usuário.
Ciclo de vida das Contas do Google gerenciadas
Para organizações que usam Contas do Google, as contas de usuário em uma solução de EMM espelham as contas de usuário associadas a outro serviço do Google, como o Google Workspace. Essas contas são googleManaged
(Tabela 1) porque
os serviços de back-end do Google são a origem da criação e das informações
sobre a conta.
Como EMM, você pode fornecer mecanismos no seu console para facilitar a criação e a sincronização contínua das contas de usuário mantidas no seu sistema com as fontes de contas do domínio do Google usando ferramentas como o Google Cloud Directory Sync (GCDS) e a API Directory do SDK Admin do Google. Para uma visão geral de várias abordagens, O modelo de identidade de domínio gerenciado pelo Google exige que a conta de usuário exista no contexto da sua solução (console EMM, servidor EMM, talvez em um repositório de dados) antes de ser provisionada em qualquer um dos dispositivos do usuário no contexto de um perfil de trabalho.
Durante o provisionamento de identidade, o domínio gerenciado pelo Google da organização é preenchido com contas de usuário. Em alguns casos, as identidades on-line atuais dos usuários (por exemplo, as contas do Microsoft Exchange) são sincronizadas com as Contas do Google.
Sincronizar contas de clientes
Em uma implantação de Contas do Google, a organização pode usar a ferramenta GCDS para sincronizar os dados no domínio do G Suite com os dados no diretório LDAP. Como alternativa, use o GCDS para fazer isso em nome da organização, se ela conceder acesso.
A ferramenta GCDS chama a API Google Directory e sincroniza nomes de usuários, mas não senhas.
Se a organização usa o Microsoft Active Directory e quer manter as senhas do G Suite dos usuários sincronizadas com as senhas do Active Directory, ela (ou você) pode usar a ferramenta G Suite Password Sync (GSPS) com o GCDS.
Para instruções do GCDS para administradores, consulte Preparar seu domínio do G Suite para a sincronização.
API Google Directory
Em uma implantação de Contas do Google, é possível usar a API Google Directory para sincronizar diretórios ativos, senhas ou ambos:
Como usar a API Directory para sincronização somente de diretório. Se você tiver acesso somente leitura ao domínio gerenciado do Google da organização, poderá usar a API Google Directory para receber informações da Conta do Google, como nomes de usuário (mas não senhas) do Google. Como não é possível gravar dados nas Contas do Google dos usuários, a organização é totalmente responsável pelos ciclos de vida das contas.
O cenário 1 e os cenários de autenticação de SSO baseado em SAML descrevem essa situação de forma mais completa.
Para informações sobre como usar a API Directory dessa forma, consulte Recuperar todos os usuários da conta na documentação da API Directory.
Usar a API Directory para sincronização de diretório e senha opcional. Se você tiver acesso de leitura e gravação ao domínio gerenciado do Google da organização, use a API Google Directory para acessar nomes de usuário, senhas e outras informações da Conta do Google. É possível atualizar essas informações e sincronizá-las com seu próprio banco de dados. Além disso, você pode ter responsabilidade total ou parcial pelos ciclos de vida das contas, dependendo da solução oferecida ao cliente.
O cenário 2 descreve essa situação com mais detalhes.
Para mais informações sobre como usar a API Directory para gerenciar informações de contas de usuário, consulte o guia para desenvolvedores API Directory: contas de usuário.
Cenários de Contas do Google
Alguns cenários típicos de provisionamento de identidade de Contas do Google são descritos na seção a seguir.
Cenário 1: o cliente é responsável pelos ciclos de vida da conta
Nesse cenário, o cliente cria e mantém Contas do Google para os usuários.
Você recebe informações da conta de usuário do diretório LDAP da organização e as correlaciona com os dados da Conta do Google que você recebe do Google usando a API Directory.
A organização é totalmente responsável pelos ciclos de vida das contas. Por exemplo, quando uma nova Conta do Google é criada, a organização adiciona o usuário ao diretório LDAP. Na próxima vez que você sincronizar seu banco de dados com o diretório LDAP, ele vai receber informações sobre esse novo usuário.
Nesse caso:
- Você tem acesso somente leitura às Contas do Google.
- Seu banco de dados adquire nomes de contas do Google, mas não nomes de usuários ou senhas do LDAP.
- Você usa a API Google Directory para receber informações básicas da conta dos usuários do cliente. As informações disponíveis para você são as informações não graváveis
retornadas por uma solicitação
Users.get. Você usa essas informações para verificar se as Contas do Google dos usuários existem para que eles possam se autenticar nos dispositivos. - Seu cliente usa a ferramenta GCDS para fazer uma sincronização unidirecional e preencher as Contas do Google dos usuários. (A organização provavelmente também usa o GCDS para a própria sincronização contínua depois que o provisionamento de identidade é concluído.) Como opção, a organização também pode usar a ferramenta GSPS para sincronizar não apenas nomes de usuário, mas também senhas.
Cenário 2: EMM responsável pelos ciclos de vida das contas
Nesse cenário, você lida com o processo de criação de Contas do Google em nome do cliente e é responsável pelos ciclos de vida das contas dos usuários.
Por exemplo, quando as informações do usuário mudam no diretório LDAP da organização, você é responsável por atualizar a Conta do Google dele. O GCDS não é usado nesse cenário.
Nesse caso:
- Você tem acesso de leitura e gravação às Contas do Google.
- Seu banco de dados adquire nomes de contas do Google e nomes de usuários do LDAP (e, opcionalmente, hashes de senha).
- Você usa a API Google Directory em nome do cliente para ler e
gravar informações da conta dos usuários da organização. As informações disponíveis para você são as não graváveis retornadas por uma solicitação
Users.get. Você usa essas informações para verificar se as Contas do Google dos usuários existem para que eles possam se autenticar nos dispositivos. - A ferramenta GCDS não é usada.
Cenários de autenticação do SSO baseado em SAML
Em uma implantação de Contas do Google, você ou seu cliente podem usar a Linguagem de marcação para autorização de segurança (SAML) com um provedor de identidade (IdP) para autenticar a Conta do Google associada a cada usuário. Você usa os nomes das Contas do Google como verificação de que as Contas do Google dos usuários existem, o que é necessário para a autenticação do usuário quando ele faz login nos dispositivos. Por exemplo, o SAML pode ser usado no cenário 2. Para mais detalhes sobre como fazer isso, consulte Configurar o logon único (SSO) em contas do G Suite.