Implementa cuentas de usuario

Existen dos tipos principales de identidades de usuario para las inscripciones de Android Enterprise: cuentas de Google Play administrado y Cuentas de Google administradas. Las cuentas de Google Play administrado se centran en el dispositivo, lo que significa que no están vinculadas a la identidad de Google de un usuario específico. En cambio, las Cuentas de Google administradas están vinculadas a la identidad corporativa de Google de un usuario, lo que mejora la experiencia del usuario, ya que lo mantiene conectado en sus dispositivos.

Las cuentas de Google Play administrado solían ser el estándar. Sin embargo, ahora Google recomienda que todos los desarrollos nuevos utilicen el flujo de inscripción mejorado, que, de forma predeterminada, crea Cuentas de Google administradas.

Si bien al final de este documento se proporciona orientación sobre la implementación anterior para brindar contexto, todo desarrollo nuevo debe seguir el nuevo flujo de inscripción que se detalla aquí.

Descripción general

El flujo de inscripción de dispositivos mejorado optimiza la configuración de dispositivos aprovechando varios componentes nuevos y cambiando la forma en que se implementan los controladores de política de dispositivos (DPC) personalizados. Este nuevo enfoque requiere que las soluciones de DPC personalizadas se integren con el SDK de la API de Android Management (AMAPI) y la Política de dispositivos Android para realizar funciones de preparación de dispositivos y de inscripción de usuarios.

El SDK de AMAPI proporciona las APIs necesarias para interactuar con la Política de dispositivos Android en el dispositivo. En el servidor, las soluciones de administración de movilidad empresarial (EMM) usarán la API de Play EMM para generar los tokens de inscripción necesarios para iniciar el proceso de inscripción del dispositivo.

La aplicación Device Policy de Android ahora desempeña un papel central en el control de las operaciones del dispositivo. El SDK de la AMAPI se usa para administrar su instalación y las actualizaciones necesarias en el dispositivo. Android Device Policy también se encarga del flujo de autenticación del usuario, ya que controla la autenticación del usuario directamente y proporciona la identidad del usuario al EMM. Si Google no puede autenticar al usuario por algún motivo, se crea una nueva cuenta de Google Play administrado y se agrega al dispositivo como alternativa.

Integración de APIs

Antes de comenzar, verifica que estés usando la versión más reciente del cliente de la API de Play EMM y del SDK de la AMAPI.

Guía de implementación de la inscripción

En esta guía, se proporcionan los pasos necesarios para implementar la inscripción. Abarca la preparación del entorno, el manejo de diferentes métodos de inscripción y la administración del ciclo de vida del dispositivo.

Prepara el entorno

Antes de iniciar la configuración de la cuenta, es necesario preparar el entorno del dispositivo. Esta preparación implica actualizar Play Store a su iteración más reciente e instalar de forma silenciosa la Política de dispositivos Android (com.google.android.apps.work.clouddpc) en el dispositivo. La instalación de Android Device Policy es fundamental, ya que contiene componentes críticos del proceso de configuración de la cuenta. Los EMM no necesitan preparar el entorno de forma manual. En su lugar, deben usar EnvironmentClient, tal como se documenta en y cumplir con los ejemplos de código proporcionados.

Código de muestra

Antes de poder usar la API de AccountSetup para agregar la cuenta de trabajo en el dispositivo, el DPC primero debe verificar que el entorno del dispositivo esté listo.

• Usa EnvironmentClientFactory para crear una instancia de EnvironmentClient y llamar a prepareEnvironment o prepareEnvironmentAsync.

  val notificationReceiverServiceName = ComponentName(context,
  NotificationReceiver::class.java)
  
  // An EMM should implement android.app.admin.DeviceAdminReceiver and use that
  // class to instantiate a ComponentName
  
  val admin = ComponentName(this, com.example.dpc.DeviceAdminReceiver::class.java)
  
  EnvironmentClientFactory.create(context)
      .prepareEnvironment(
          PrepareEnvironmentRequest.builder()
              .setRoles(
                  listOf(
                      Role.builder().setRoleType(
                          Role.RoleType.DEVICE_POLICY_CONTROLLER
                      ).build()
                  )
              )
      .setAdmin(admin)
              .build(),
            notificationReceiverServiceName,
          )
  
  [Proceed with AccountSetup]
  
  

Esta operación puede tardar varios segundos o minutos, ya que es posible que se instalen o actualicen aplicaciones para verificar un entorno de trabajo adecuado. Google recomienda iniciar este proceso lo antes posible en segundo plano y mostrar la IU adecuada mientras el usuario espera. Cuando se completa la operación, el dispositivo está listo para que el DPC use la API de AccountSetup.

Flujo de inscripción

Los EMM deben dejar de usar users.generateAuthenticationToken() y users.insert() para todos los dispositivos. En cambio, los EMM deben llamar a la API en el dispositivo para realizar la autenticación del usuario final. La nueva API devolverá userId y email al DPC. Si Google no puede autenticar al usuario, se creará una Cuenta de Google administrada y se agregará al dispositivo. En este caso, Google devolverá el userId de esa cuenta.

Ahora Google introduce el uso de tokens de inscripción, que se deben pasar a la API de autenticación. Los EMM determinan cuándo y cómo crear el token, y este puede formar parte de una carga útil de inscripción existente (p.ej., un código QR o la Configuración sin intervención).

Sin embargo, Google recomienda crear el token a pedido y reemplazar la API existente para las cuentas de Google Play administrado por la nueva API para minimizar el cambio.

El flujo de inscripción personalizado mejorado del DPC incluye los siguientes pasos:

1. Crea un token de inscripción: La EMM crea un token de inscripción con la API de Play EMM.
2. Preparar el entorno: El DPC personalizado usa el flujo de trabajo Preparar el entorno para verificar que el dispositivo esté listo para la inscripción.
3. Inicia la inscripción: El DPC personalizado invoca la API de startAccountSetup en el SDK de AMAPI y pasa el token de inscripción. Nota: El DPC debe ser el propietario del dispositivo o del perfil antes de llamar a esta API.
4. Inicia la actividad de autenticación de Google: Si es necesario, el DPC personalizado invoca la API de launchAuthenticationActivity en el SDK de AMAPI y pasa AccountSetupAttempt. Esto inicia una actividad de autenticación de Google y devuelve al usuario al DPC personalizado tras una autenticación exitosa. El usuario también puede omitir este proceso. En este caso, se agregará una cuenta de Google Play administrado al dispositivo. Esta opción se puede configurar con googleAuthenticationOptions.
5. Finalize Enrollment: El SDK de AMAPI notifica al DPC personalizado el resultado de la inscripción.
6. Habilita los servicios de Google: Una vez que el dispositivo de un usuario con la Cuenta de Google administrada cumpla con las políticas empresariales, el EMM debe llamar a Devices.setState(). Esta acción habilita el acceso a los servicios de Google para la cuenta en el dispositivo. Sin esta llamada, Play Store y otros servicios de Google no funcionarán.

Configuración de la cuenta: código de muestra

1. Para iniciar un intento de configuración de la cuenta, la app que realiza la llamada puede usar AccountSetupClient y llamar al método startAccountSetup() o startAccountSetupFuture(). Para ver un ejemplo de implementación, consulta el siguiente código de muestra:

   // Create AccountSetupClient
   val client = AccountSetupClientFactory.create(
       this,
       activityResultRegistry
   )
   lifecycle.addObserver(client.lifecycleObserver)
   
   // Create adminComponent
   val notificationReceiver = ComponentName(this, AccountSetupNotificationReceiver::class.java)
   // Helper method to get enrollment token created with Play EMM API
   val enrollmentToken = getEnrollmentToken()
   val request =
             StartAccountSetupRequest.builder()
                 .setEnrollmentToken(enteredText)
                 .setNotificationReceiverServiceComponentName(notificationReceiver)
                 .setAdminComponentName(
                     ComponentName(this, com.example.dpc.DeviceAdminReceiver::class.java))
                 .build()
   try {
       val accountSetupAttempt = client.startAccountSetup(request)
       // handle attempt
   } catch (e: Exception) {
       // handle exception
   }
     ```
   

2. Implementa la interfaz AccountSetupListener y proporciona una implementación para controlar las actualizaciones de estado recibidas.

3. Extiende NotificationReceiverService y proporciona la instancia AccountSetupListener creada en el paso 2 anulando getAccountSetupListener().

   // Handles account setup changes
   class AccountSetupNotificationReceiver :
         NotificationReceiverService(),
         AccountSetupListener {
   
       override fun getAccountSetupListener(): AccountSetupListener = this
   
       override fun onAccountSetupChanged(accountSetupAttempt:
     AccountSetupAttempt) {
   
           when (accountSetupAttempt.state.kind) {
               StateCase.ADDED_ACCOUNT -> {
                   val enterpriseAccount = state.addedAccount()
                   val userId = enterpriseAccount.userId
                   val deviceId = enterpriseAccount.deviceId
                   // Handle account added state.
   
               }
               StateCase.AUTHENTICATION_ACTIVITY_LAUNCH_REQUIRED -> {
                   val request = LaunchAuthenticationActivityRequest.builder()
               .setAccountSetupAttempt(accountSetupAttempt)
               .build();
                   // Send the attempt to the foreground activity to call:
                   accountSetupClient.launchAuthenticationActivity(request)
               }
               StateCase.ACCOUNT_SETUP_ERROR -> {
                   // Handle error state.
                   val failureReason = state.accountSetupError().failureReason
               }
               else -> {
                   // Handle unknown account setup attempt state.
               }
           }
       }
   }
   
     ```
   

4. Agrega la clase NotificationReceiverService extendida a tu AndroidManifest.xml y verifica que se haya exportado.

     <application>
       <service
           android:name = ".accountsetup.AccountSetupNotificationReceiver"
           android:exported = "true" />
     </application>
   

   Si tu app se segmenta para el SDK 30 o versiones posteriores, se necesita un elemento queries en AndroidManifest.xml para especificar que interactuará con ADP.

     <queries>
       <package android:name="com.google.android.apps.work.clouddpc" />
     </queries>
   

Orientación para las pruebas

En esta sección, se proporciona un conjunto de lineamientos y prácticas recomendadas para probar tu implementación.

Prueba PrepareEnvironment

1. Obtén el estado actual del dispositivo: El EMM ejecuta

   adb shell dumpsys package com.google.android.apps.work.clouddpc | grep versionName
   

   para obtener la versión de Android Device Policy presente en el dispositivo Si no se instala la Política de dispositivos Android, se espera un resultado vacío.

2. Integra PrepareEnvironment: El DPC personalizado invoca la API de prepareEnvironment en el SDK de AMAPI y pasa la solicitud correcta.

3. Espera el resultado de PrepareEnvironment: El DPC personalizado espera a que se complete prepareEnvironment.

4. Confirma que PrepareEnvironment se ejecutó correctamente: Cuando se complete, el EMM se volverá a ejecutar.

   adb shell dumpsys package com.google.android.apps.work.clouddpc | grep versionName
   

   En esta ocasión, la versión de Android Device Policy debe ser superior a la del paso 1.

Cómo probar la autenticación de la Cuenta de Google

1. Crea una empresa de prueba: El EMM crea una empresa de Google con un dominio de prueba vinculada a un EMM de prueba, con enterprises.generateSignupUrl.
2. Habilita la autenticación de Google: El EMM habilita la autenticación de Google para la empresa de prueba siguiendo estas instrucciones en la Consola del administrador de Google.
3. Crea un token de inscripción: La EMM crea un token de inscripción con la API de Play EMM con el tipo userDevice.
4. Inicia la inscripción: El DPC personalizado invoca la API de startAccountSetup en el SDK de AMAPI y pasa el token de inscripción.
5. Se requiere iniciar la actividad: El SDK de AMAPI notifica al DPC personalizado que se debe iniciar una actividad para autenticar al usuario.
6. Autentica al usuario: El DPC personalizado invoca launchAuthenticationActivity para iniciar la actividad. El usuario se autentica con una Cuenta de Google administrada (parte de la empresa creada en el paso 1).
7. Finalize Enrollment: El SDK de AMAPI notifica al DPC personalizado el resultado de la inscripción.

Prueba la omisión de la autenticación de Google

Usaremos la configuración descrita anteriormente.

Esta vez, en el paso 7, el usuario presiona Omitir en lugar de autenticarse con su Cuenta de Google. La inscripción se completa correctamente, con una cuenta de servicio en el dispositivo (es decir, AuthenticationType es anónimo).

Cómo probar dispositivos sin usuarios

El flujo de inscripción de DPC personalizado mejorado utiliza los siguientes pasos cuando la autenticación de Google está inhabilitada:

1. Crea una empresa de prueba: Puede ser la misma empresa que creaste anteriormente.
2. Crea un token de inscripción: La EMM crea un token de inscripción con la API de Play EMM con el tipo userlessDevice.
3. Inicia la inscripción: El DPC personalizado invoca la API de startAccountSetup en el SDK de AMAPI y pasa el token de inscripción.
4. Finalize Enrollment: El SDK de AMAPI notifica al DPC personalizado el resultado de la inscripción.

Cuentas de Google Play administrado

Cuenta de usuario

Proporciona acceso de un solo usuario a Google Play administrado desde todos sus dispositivos. Debes aprovisionar cuentas de usuario para tus usuarios. No tienen las credenciales para agregar Cuentas de Google Play administradas por sí mismos.

Para crear una cuenta de usuario, llama a Users.insert. Establece el tipo de cuenta en userType y configura un accountIdentifier, que hace referencia de forma única al usuario dentro de la empresa.

Práctica recomendada: No uses la misma cuenta en más de 10 dispositivos.

Cuenta del dispositivo

Proporciona acceso a Google Play administrado desde un solo dispositivo. Si se emitió un token de autenticación para una cuenta de dispositivo, una nueva solicitud de un token de autenticación para esa cuenta de dispositivo desactiva el token anterior. Cada dispositivo debe tener sus propias licencias independientes para las apps.

Para crear una cuenta de dispositivo, llama a Users.insert y configura el tipo de cuenta como deviceType.

Creas y mantienes una asignación entre las identidades de los usuarios o dispositivos y las Cuentas de Google Play administradas correspondientes, y administras las cuentas durante su ciclo de vida. La organización no necesita ningún control directo sobre estas cuentas de Google Play administrado, ya que existen exclusivamente para la administración de aplicaciones.

Crea una cuenta de usuario de Google Play administrado

1. Un usuario accede a tu DPC con credenciales corporativas.
2. El DPC solicita detalles sobre el usuario al servidor o la consola de EMM.

Si se supone que el usuario es desconocido para tu sistema, haz lo siguiente:

1. Llama a Users.insert para enviar una solicitud de una nueva cuenta de Google Play administrado con valores para los nuevos accountIdentifier, displayName y accountType.
• Tu sistema debe crear el accountIdentifier. El identificador de la cuenta debe ser un valor único en todo tu sistema. No uses PII para el identificador de la cuenta.
• El displayName se muestra en el selector de cuentas de Google Play Store y debe tener algún significado para el usuario (pero no debe incluir PII sobre el usuario). Por ejemplo, el nombre podría incluir el nombre de la organización o un nombre genérico relacionado con el EMM.
• Establece accountType en userAccount o deviceAccount. Un userAccount es específico de un solo dispositivo. El accountType especificado puede ser deviceType o userType.
• Establece managementType en emmManaged.
2. Google Play procesa la solicitud, crea la cuenta y devuelve un userId.
3. Almacena la asignación entre el accountIdentifier y el userId en tu almacén de datos.
4. Llama a Users.generateAuthenticationToken con userId y enterpriseId. Google Play devuelve un token de autenticación que se puede usar una sola vez y que se debe usar en un plazo de unos minutos.
5. Reenvía de forma segura el token de autenticación a tu DPC.
3. El DPC aprovisiona el perfil de trabajo y agrega la cuenta al perfil de trabajo o al dispositivo.
4. El usuario puede acceder a Google Play administrado desde el perfil de trabajo o el dispositivo.

Cuentas de administrador

Cuando un administrador crea una empresa con cuentas de Google Play administrado, la Cuenta de Google que usa no puede ser una cuenta de G Suite. La cuenta que usa se convierte en propietaria de la empresa, y el propietario puede agregar más propietarios y administradores en la consola de Google Play administrado.

Tanto Enterprises.get como Enterprises.completeSignup devuelven una lista de direcciones de correo electrónico de administrador asociadas a una empresa (solo empresas con cuentas de Google Play administradas).

Administra los ciclos de vida de las cuentas

En una implementación de cuentas de Google Play administrado, eres responsable de los ciclos de vida de las cuentas de usuario y de dispositivo, lo que significa que creas, actualizas y borras estas cuentas.

Creas las cuentas durante el aprovisionamiento del dispositivo, un proceso que involucra a tu app de DPC y a tu consola de EMM. Para obtener instrucciones, consulta el método de cuentas de Google Play administrado.

Para cambiar la información de una cuenta, llama a Users.update.

Para borrar una cuenta, llama al Users.delete

Los administradores no pueden borrar cuentas individuales, pero sí pueden borrar una empresa con cuentas de Google Play administradas. Cuando lo hacen, las cuentas de usuario y los dispositivos asociados con la empresa se borran con el tiempo, como se describe en Dar de baja, volver a inscribir y borrar.

Vencimiento de la cuenta

En ocasiones, las cuentas o sus tokens vencen. Esto puede suceder por varios motivos:

• El token de autenticación que se usó para agregar la cuenta al dispositivo venció.
• Se borró la cuenta o la empresa.
• En el caso de las cuentas de dispositivos, la cuenta se agregó a un dispositivo nuevo y, por lo tanto, se inhabilitó en el anterior.
• Se activaron las verificaciones automáticas de abuso.

Además, la información de un dispositivo se puede borrar debido a un proceso de limpieza por lotes si permanece sin conexión durante más de 270 días.

En la mayoría de los casos (a menos que el EMM mueva intencionalmente una cuenta de dispositivo a un dispositivo nuevo), la práctica recomendada es usar la API de Play EMM para solicitar un token nuevo del servidor del EMM, observar el estado de la cuenta y la empresa, y los errores que se hayan devuelto, y, luego, tomar las medidas adecuadas en el dispositivo. Por ejemplo, renovar el token o, si el error no se puede recuperar, restablecer o anular la inscripción del dispositivo.

Para renovar el token correctamente, debes hacer lo siguiente:

1. Llama a users.generateAuthenticationToken.
2. Si la llamada se realiza correctamente, quita la cuenta existente y agrega la cuenta nueva con la biblioteca de asistencia del DPC.
3. Si la llamada no se realiza correctamente, quita la cuenta del dispositivo y crea un usuario nuevo con users.insert, genera un token de autenticación y agrega la cuenta al dispositivo.

La versión 9.0.00 de los servicios de Google Play notifica a tu DPC que la cuenta caducó con la acción de transmisión:

1. Cuando se invalida la cuenta de Google Play administrado en un dispositivo, el DPC recibe una transmisión con la siguiente acción:

com.google.android.gms.auth.ACCOUNT_REAUTH_REQUIRED

2. El intent de transmisión contiene un extra Parcelable con el nombre account, que es el objeto Account de la cuenta invalidada.
3. El DPC verifica Account#name con el servidor del EMM para identificar la cuenta invalidada.
4. El DPC solicita nuevas credenciales o una cuenta nueva, siguiendo el mismo flujo que se usó para aprovisionar el dispositivo inicialmente.