پیاده سازی حساب های کاربری

دو نوع هویت کاربر اصلی برای ثبت‌نام‌های شرکتی Android وجود دارد: حساب‌های Google Play مدیریت‌شده و حساب‌های مدیریت‌شده Google. حساب‌های مدیریت‌شده Google Play دستگاه محور هستند، به این معنی که به هویت Google کاربر خاصی وابسته نیستند. در مقابل، حساب‌های مدیریت‌شده Google به هویت Google شرکتی کاربر پیوند داده می‌شود، که تجربه کاربر را با وارد نگه داشتن آنها در دستگاه‌هایشان بهبود می‌بخشد.

حساب‌های مدیریت‌شده Google Play قبلاً استاندارد بودند. با این حال، Google اکنون همه توسعه‌های جدید را تشویق می‌کند تا از جریان ثبت‌نام بهبودیافته استفاده کنند، که پیش‌فرض ایجاد حساب‌های مدیریت‌شده Google است.

در حالی که راهنمایی برای اجرای قدیمی‌تر در انتهای این سند برای زمینه ارائه شده است، همه توسعه‌های جدید باید از جریان ثبت نام جدید که در اینجا شرح داده شده است پیروی کنند.

نمای کلی

جریان ثبت نام بهبودیافته دستگاه، راه‌اندازی دستگاه را با استفاده از چندین مؤلفه جدید و تغییر نحوه پیاده‌سازی کنترل‌کننده‌های خط مشی دستگاه (DPC) ساده می‌کند. این رویکرد جدید به راه‌حل‌های سفارشی DPC برای ادغام با Android Management API (AMAPI) SDK و Android Device Policy برای انجام عملیات آماده‌سازی دستگاه و ثبت‌نام کاربر نیاز دارد.

AMAPI SDK API های لازم را برای تعامل با سیاست دستگاه Android در خود دستگاه فراهم می کند. در سمت سرور، راه‌حل‌های Enterprise Mobility Management (EMM) از Play EMM API برای تولید نشانه‌های ثبت‌نام مورد نیاز برای شروع فرآیند ثبت‌نام دستگاه استفاده می‌کنند.

برنامه Android Device Policy اکنون نقش اصلی را در مدیریت عملیات سمت دستگاه بر عهده می گیرد. AMAPI SDK برای مدیریت نصب و به روز رسانی های لازم در دستگاه استفاده می شود. Android Device Policy جریان احراز هویت کاربر را نیز در اختیار می گیرد و مستقیماً احراز هویت کاربر را مدیریت می کند و هویت کاربر را در اختیار EMM قرار می دهد. اگر گوگل به هر دلیلی نتواند کاربر را احراز هویت کند، یک حساب Google Play مدیریت شده جدید ایجاد می شود و به عنوان بازگشتی به دستگاه اضافه می شود.

یکپارچه سازی API

قبل از شروع، بررسی کنید که از آخرین نسخه کلاینت Play EMM API و AMAPI SDK استفاده می‌کنید.

راهنمای اجرای ثبت نام

این راهنما مراحل لازم برای اجرای ثبت نام را ارائه می دهد. این شامل آماده سازی محیط، مدیریت روش های مختلف ثبت نام و مدیریت چرخه عمر دستگاه می شود.

محیط را آماده کنید

قبل از شروع تنظیمات حساب، لازم است محیط دستگاه را آماده کنید. این آماده‌سازی مستلزم به‌روزرسانی فروشگاه Play به آخرین نسخه آن و نصب بی‌صدا خط‌مشی دستگاه Android ( com.google.android.apps.work.clouddpc ) بر روی دستگاه است. نصب خط مشی دستگاه Android ضروری است زیرا اجزای حیاتی فرآیند تنظیم حساب را در خود جای داده است. EMM ها نیازی به آماده سازی محیط دستی ندارند. در عوض، آنها باید از EnvironmentClient استفاده کنند، همانطور که در نمونه های کد ارائه شده مستند شده و به آن پایبند باشند.

کد نمونه

قبل از اینکه بتوانید از AccountSetup API برای اضافه کردن حساب کاری روی دستگاه استفاده کنید، DPC باید ابتدا بررسی کند که محیط دستگاه آماده است.

• از EnvironmentClientFactory برای نمونه سازی EnvironmentClient و فراخوانی prepareEnvironment یا prepareEnvironmentAsync استفاده کنید.

  val notificationReceiverServiceName = ComponentName(context,
  NotificationReceiver::class.java)
  
  // An EMM should implement android.app.admin.DeviceAdminReceiver and use that
  // class to instantiate a ComponentName
  
  val admin = ComponentName(this, com.example.dpc.DeviceAdminReceiver::class.java)
  
  EnvironmentClientFactory.create(context)
      .prepareEnvironment(
          PrepareEnvironmentRequest.builder()
              .setRoles(
                  listOf(
                      Role.builder().setRoleType(
                          Role.RoleType.DEVICE_POLICY_CONTROLLER
                      ).build()
                  )
              )
      .setAdmin(admin)
              .build(),
            notificationReceiverServiceName,
          )
  
  [Proceed with AccountSetup]
  
  

این عملیات ممکن است چند ثانیه یا چند دقیقه طول بکشد، زیرا ممکن است برنامه‌ها برای تأیید یک محیط کاری مناسب نصب یا به‌روزرسانی شوند. گوگل توصیه می‌کند این فرآیند را هر چه زودتر در پس‌زمینه شروع کنید و در زمانی که کاربر منتظر است، رابط کاربری مناسب را نشان دهید. پس از اتمام عملیات، دستگاه برای DPC برای استفاده از AccountSetup API آماده است.

جریان ثبت نام

EMM ها باید استفاده از users.generateAuthenticationToken() و users.insert() را برای همه دستگاه ها متوقف کنند. درعوض، EMM ها باید API روی دستگاه را برای احراز هویت کاربر نهایی فراخوانی کنند. API جدید userId و email به DPC برمی گرداند. اگر Google نتواند کاربر را احراز هویت کند، یک حساب Google Play مدیریت شده ایجاد و به دستگاه اضافه می شود. در این صورت گوگل userId آن حساب را برمی گرداند.

گوگل اکنون استفاده از توکن های ثبت نام را معرفی می کند که باید به API احراز هویت منتقل شوند. EMM ها زمان و نحوه ایجاد رمز را تعیین می کنند و می تواند بخشی از بار ثبت نام موجود باشد (مثلاً یک کد QR یا پیکربندی Zero-touch).

با این حال، گوگل توصیه می‌کند که توکن در صورت تقاضا ایجاد کنید و API موجود برای حساب‌های مدیریت‌شده Google Play را با API جدید جایگزین کنید تا تغییرات را به حداقل برسانید.

جریان ثبت نام DPC سفارشی بهبود یافته شامل مراحل زیر است:

1. ایجاد رمز ثبت نام: EMM یک رمز ثبت نام با استفاده از Play EMM API ایجاد می کند.
2. Prepare Environment: DPC سفارشی از جریان Prepare Environment برای تأیید اینکه دستگاه برای ثبت نام آماده است استفاده می کند.
3. شروع ثبت نام: DPC سفارشی API startAccountSetup را در AMAPI SDK فراخوانی می کند و رمز ثبت نام را ارسال می کند. توجه: قبل از تماس با این API، DPC باید یا مالک دستگاه یا مالک نمایه باشد.
4. راه‌اندازی فعالیت احراز هویت Google: در صورت لزوم، DPC سفارشی API launchAuthenticationActivity را در AMAPI SDK فراخوانی می‌کند و AccountSetupAttempt ارسال می‌کند. این یک فعالیت احراز هویت Google را شروع می‌کند و پس از احراز هویت موفق، کاربر را به DPC سفارشی برمی‌گرداند. کاربر همچنین می تواند از این فرآیند صرف نظر کند. در این صورت یک حساب Google Play مدیریت شده به دستگاه اضافه می شود. این گزینه را می توان با استفاده از googleAuthenticationOptions پیکربندی کرد.
5. نهایی کردن ثبت نام: AMAPI SDK نتیجه ثبت نام را به DPC سفارشی اطلاع می دهد.
6. فعال کردن سرویس‌های Google: هنگامی که دستگاه کاربر دارای حساب مدیریت‌شده Google با خط‌مشی‌های سازمانی مطابقت دارد، EMM باید Devices.setState() فراخوانی کند. این عمل دسترسی به خدمات Google را برای حساب موجود در دستگاه امکان پذیر می کند. بدون این تماس، فروشگاه Play و سایر سرویس‌های Google کار نمی‌کنند.

راه اندازی حساب - کد نمونه

1. برای شروع تلاش برای راه‌اندازی حساب، برنامه تماس‌گیرنده می‌تواند از AccountSetupClient استفاده کند و روش startAccountSetup() یا startAccountSetupFuture() فراخوانی کند. برای اجرای نمونه، نمونه کد زیر را ببینید:

   // Create AccountSetupClient
   val client = AccountSetupClientFactory.create(
       this,
       activityResultRegistry
   )
   lifecycle.addObserver(client.lifecycleObserver)
   
   // Create adminComponent
   val notificationReceiver = ComponentName(this, AccountSetupNotificationReceiver::class.java)
   // Helper method to get enrollment token created with Play EMM API
   val enrollmentToken = getEnrollmentToken()
   val request =
             StartAccountSetupRequest.builder()
                 .setEnrollmentToken(enteredText)
                 .setNotificationReceiverServiceComponentName(notificationReceiver)
                 .setAdminComponentName(
                     ComponentName(this, com.example.dpc.DeviceAdminReceiver::class.java))
                 .build()
   try {
       val accountSetupAttempt = client.startAccountSetup(request)
       // handle attempt
   } catch (e: Exception) {
       // handle exception
   }
     ```
   

2. رابط AccountSetupListener را پیاده سازی کنید و یک پیاده سازی برای نحوه مدیریت به روز رسانی های وضعیت دریافتی ارائه دهید.

3. NotificationReceiverService گسترش دهید و نمونه AccountSetupListener ایجاد شده در مرحله 2 را با لغو getAccountSetupListener() ارائه دهید.

   // Handles account setup changes
   class AccountSetupNotificationReceiver :
         NotificationReceiverService(),
         AccountSetupListener {
   
       override fun getAccountSetupListener(): AccountSetupListener = this
   
       override fun onAccountSetupChanged(accountSetupAttempt:
     AccountSetupAttempt) {
   
           when (accountSetupAttempt.state.kind) {
               StateCase.ADDED_ACCOUNT -> {
                   val enterpriseAccount = state.addedAccount()
                   val userId = enterpriseAccount.userId
                   val deviceId = enterpriseAccount.deviceId
                   // Handle account added state.
   
               }
               StateCase.AUTHENTICATION_ACTIVITY_LAUNCH_REQUIRED -> {
                   val request = LaunchAuthenticationActivityRequest.builder()
               .setAccountSetupAttempt(accountSetupAttempt)
               .build();
                   // Send the attempt to the foreground activity to call:
                   accountSetupClient.launchAuthenticationActivity(request)
               }
               StateCase.ACCOUNT_SETUP_ERROR -> {
                   // Handle error state.
                   val failureReason = state.accountSetupError().failureReason
               }
               else -> {
                   // Handle unknown account setup attempt state.
               }
           }
       }
   }
   
     ```
   

4. کلاس توسعه یافته NotificationReceiverService را به AndroidManifest.xml خود اضافه کنید و تأیید کنید که صادر شده است.

     <application>
       <service
           android:name = ".accountsetup.AccountSetupNotificationReceiver"
           android:exported = "true" />
     </application>
   

   اگر برنامه شما SDK 30 یا بالاتر را هدف قرار می‌دهد، یک عنصر query در AndroidManifest.xml مورد نیاز است تا مشخص کند که با ADP تعامل داشته باشد.

     <queries>
       <package android:name="com.google.android.apps.work.clouddpc" />
     </queries>
   

راهنمای تست

این بخش مجموعه ای از دستورالعمل ها و بهترین روش ها را برای آزمایش پیاده سازی شما ارائه می دهد.

Test PrepareEnvironment

1. دریافت وضعیت فعلی دستگاه: EMM اجرا می شود

   adb shell dumpsys package com.google.android.apps.work.clouddpc | grep versionName
   

   برای دریافت نسخه خط مشی دستگاه Android موجود در دستگاه. اگر خط مشی دستگاه Android نصب نشده باشد، خروجی خالی انتظار می رود.

2. یکپارچه سازی PrepareEnvironment: DPC سفارشی API prepareEnvironment در AMAPI SDK فراخوانی می کند و درخواست صحیح را ارسال می کند.

3. Await PrepareEnvironment نتیجه: DPC سفارشی منتظر می ماند تا prepareEnvironment کامل شود.

4. تأیید موفقیت PrepareEnvironment: پس از تکمیل، EMM دوباره اجرا می شود

   adb shell dumpsys package com.google.android.apps.work.clouddpc | grep versionName
   

   این بار نسخه Android Device Policy باید بالاتر از مرحله 1 باشد.

احراز هویت حساب Google را آزمایش کنید

1. ایجاد شرکت آزمایشی: EMM یک دامنه آزمایشی شرکت Google ایجاد می‌کند که به یک EMM آزمایشی مرتبط است، با enterprises.generateSignupUrl .
2. فعال کردن احراز هویت Google: EMM احراز هویت Google را برای شرکت آزمایشی با پیروی از این دستورالعمل‌ها در کنسول Google Admin فعال می‌کند.
3. ایجاد رمز ثبت نام: EMM با استفاده از Play EMM API با نوع userDevice یک رمز ثبت نام ایجاد می کند.
4. شروع ثبت نام: DPC سفارشی API startAccountSetup را در AMAPI SDK فراخوانی می کند و رمز ثبت نام را ارسال می کند.
5. فعالیت راه‌اندازی مورد نیاز: AMAPI SDK به DPC سفارشی اطلاع می‌دهد که یک فعالیت باید برای احراز هویت کاربر راه‌اندازی شود.
6. احراز هویت کاربر: DPC سفارشی برای شروع فعالیت، launchAuthenticationActivity فراخوانی می کند. کاربر با یک حساب Google مدیریت شده (بخشی از شرکت ایجاد شده در مرحله 1) احراز هویت می کند.
7. نهایی کردن ثبت نام: AMAPI SDK نتیجه ثبت نام را به DPC سفارشی اطلاع می دهد.

رد شدن از احراز هویت Google را آزمایش کنید

ما از تنظیمات قبلی استفاده خواهیم کرد.

این بار، در مرحله 7، کاربر به جای احراز هویت با حساب Google خود، Skip را فشار می دهد. ثبت نام با یک حساب سرویس در دستگاه (یعنی AuthenticationType ناشناس است) با موفقیت کامل شد.

دستگاه های بدون کاربر را تست کنید

هنگامی که احراز هویت Google غیرفعال است، جریان ثبت نام سفارشی DPC بهبود یافته از مراحل زیر استفاده می کند:

1. ایجاد یک شرکت آزمایشی: این می تواند همان شرکتی باشد که قبلا ایجاد شده بود.
2. ایجاد رمز ثبت نام: EMM با استفاده از Play EMM API با نوع userlessDevice یک رمز ثبت نام ایجاد می کند.
3. شروع ثبت نام: DPC سفارشی API startAccountSetup را در AMAPI SDK فراخوانی می کند و رمز ثبت نام را ارسال می کند.
4. نهایی کردن ثبت نام: AMAPI SDK نتیجه ثبت نام را به DPC سفارشی اطلاع می دهد.

حساب‌های Google Play مدیریت شده

حساب کاربری

دسترسی یک کاربر به Google Play مدیریت شده را از همه دستگاه های خود فراهم می کند. شما باید حساب های کاربری را برای کاربران خود تهیه کنید. آنها اعتبار لازم برای اضافه کردن حساب های مدیریت شده Google Play را ندارند.

برای ایجاد یک حساب کاربری، با Users.insert تماس بگیرید. نوع حساب را روی userType تنظیم کنید و یک accountIdentifier تنظیم کنید که به طور منحصر به فرد به کاربر در سازمان ارجاع دهد.

بهترین روش: از یک حساب کاربری در بیش از 10 دستگاه استفاده نکنید.

حساب دستگاه

دسترسی به Google Play مدیریت شده را از یک دستگاه فراهم می کند. اگر یک رمز احراز هویت برای یک حساب دستگاه صادر شده باشد، یک درخواست جدید برای یک نشانه احراز هویت برای آن حساب دستگاه، رمز قبلی را غیرفعال می کند. هر دستگاه باید مجوزهای جداگانه خود را برای برنامه ها داشته باشد.

برای ایجاد حساب دستگاه، با Users.insert تماس بگیرید و نوع حساب را روی deviceType تنظیم کنید.

شما یک نقشه بین هویت کاربر یا دستگاه و حساب‌های مدیریت شده Google Play مربوطه ایجاد و نگهداری می‌کنید و حساب‌ها را در طول چرخه عمرشان مدیریت می‌کنید. سازمان نیازی به کنترل مستقیم روی این حساب‌های مدیریت‌شده Google Play ندارد، زیرا این حساب‌ها صرفاً برای مدیریت برنامه‌ها وجود دارند.

یک حساب کاربری مدیریت شده در Google Play ایجاد کنید

1. یک کاربر با استفاده از اعتبارنامه شرکتی وارد DPC شما می شود.
2. DPC جزئیات مربوط به کاربر را از سرور یا کنسول EMM درخواست می کند.

با فرض اینکه کاربر برای سیستم شما ناشناخته است:

1. با تماس با Users.insert با مقادیر مربوط به accountIdentifier ، displayName و accountType جدید، درخواست حساب مدیریت شده Google Play را ارسال کنید.
• سیستم شما باید accountIdentifier ایجاد کند. شناسه حساب باید یک مقدار منحصر به فرد در سراسر سیستم شما باشد. از PII برای شناسه حساب استفاده نکنید.
• displayName در تغییردهنده حساب Google Play Store نشان داده می‌شود و باید برای کاربر معنی داشته باشد (اما نه PII در مورد کاربر). به عنوان مثال، نام می تواند شامل نام سازمان یا نام عمومی مربوط به EMM باشد.
• accountType روی userAccount یا deviceAccount تنظیم کنید. حساب userAccount مختص یک دستگاه واحد است. accountType مشخص شده می تواند deviceType یا userType باشد.
• managementType روی emmManaged تنظیم کنید.
2. Google Play درخواست را پردازش می‌کند، حساب ایجاد می‌کند و userId را برمی‌گرداند.
3. نقشه بین accountIdentifier و userId را در datastore خود ذخیره کنید.
4. Users.generateAuthenticationToken را با userId و enterpriseId فراخوانی کنید. Google Play یک رمز احراز هویت را برمی گرداند که می تواند یک بار استفاده شود و باید در عرض چند دقیقه استفاده شود.
5. رمز احراز هویت را ایمن به DPC خود فوروارد کنید.
3. DPC نمایه کاری را ارائه می کند و حساب را به نمایه کاری یا دستگاه اضافه می کند.
4. کاربر می تواند در نمایه کاری یا دستگاه به Google Play مدیریت شده دسترسی داشته باشد.

حساب های مدیریت

وقتی سرپرستی با حساب‌های مدیریت‌شده Google Play شرکتی ایجاد می‌کند ، حساب Google که استفاده می‌کند نمی‌تواند یک حساب G Suite باشد. حسابی که آنها استفاده می‌کنند مالک شرکت می‌شود و مالک می‌تواند مالکان و سرپرستان بیشتری را در کنسول مدیریت‌شده Google Play اضافه کند.

هر دو Enterprises.get و Enterprises.completeSignup فهرستی از آدرس‌های ایمیل سرپرست مرتبط با یک شرکت را برمی‌گردانند (شرکت‌هایی که فقط حساب‌های Google Play مدیریت شده دارند).

چرخه عمر حساب را مدیریت کنید

در استقرار حساب‌های Google Play مدیریت شده، شما مسئول چرخه عمر حساب کاربر و دستگاه هستید، به این معنی که این حساب‌ها را ایجاد، به‌روزرسانی و حذف می‌کنید.

شما حساب‌ها را در حین تهیه دستگاه ایجاد می‌کنید، فرآیندی که شامل برنامه DPC و کنسول EMM شما می‌شود. برای دستورالعمل‌ها، روش حساب‌های مدیریت شده Google Play را ببینید.

برای تغییر اطلاعات حساب، با Users.update تماس بگیرید.

برای حذف یک حساب کاربری، با Users.delete تماس بگیرید

سرپرست‌ها نمی‌توانند حساب‌های فردی را حذف کنند، اما می‌توانند شرکتی را با حساب‌های مدیریت‌شده Google Play حذف کنند. هنگامی که آنها این کار را انجام می دهند، دستگاه و حساب های کاربری مرتبط با شرکت در نهایت حذف می شوند، همانطور که در Unenroll توضیح داده شده است، دوباره ثبت نام کنید، حذف کنید .

انقضای حساب

گاهی اوقات، حساب ها یا توکن های آنها منقضی می شود. این ممکن است به چند دلیل اتفاق بیفتد:

• رمز احراز هویت استفاده شده برای افزودن حساب به دستگاه منقضی شده است.
• حساب یا شرکت حذف شده است.
• برای حساب های دستگاه، حساب به یک دستگاه جدید اضافه شده است و بنابراین در دستگاه قدیمی غیرفعال می شود.
• بررسی های خودکار سوء استفاده آغاز شده است.

بعلاوه، اگر بیش از 270 روز آفلاین بماند، ممکن است اطلاعات دستگاه به دلیل فرآیند پاکسازی دسته ای حذف شود.

در اکثر موارد (مگر اینکه EMM عمداً یک حساب دستگاه را به دستگاه جدیدی منتقل کند)، بهترین روش استفاده از Play EMM API برای درخواست یک رمز جدید از سرور EMM، یادداشت وضعیت حساب و شرکت و هرگونه خطای برگشتی و سپس انجام اقدامات مناسب در دستگاه است. برای مثال، رمز را تمدید کنید، یا اگر خطا قابل بازیابی نیست، دستگاه را بازنشانی یا لغو ثبت کنید.

برای تمدید صحیح توکن باید:

1. با users.generateAuthenticationToken تماس بگیرید.
2. اگر تماس با موفقیت انجام شد، حساب موجود را حذف کنید و با استفاده از کتابخانه پشتیبانی DPC حساب جدید را اضافه کنید.
3. اگر تماس ناموفق بود، حساب را از دستگاه حذف کنید و یک کاربر جدید با استفاده از users.insert ایجاد کنید، یک کد تأیید اعتبار ایجاد کنید و حساب را به دستگاه اضافه کنید.

خدمات Google Play نسخه 9.0.00 به DPC شما اطلاع می دهد که حساب با استفاده از اقدام پخش منقضی شده است:

1. وقتی حساب مدیریت‌شده Google Play در دستگاهی باطل می‌شود، DPC پخشی را با عملکرد زیر دریافت می‌کند:

com.google.android.gms.auth.ACCOUNT_REAUTH_REQUIRED

2. هدف پخش شامل قسمت اضافی Parcelable با نام account است که شیء Account حساب باطل شده است.
3. DPC Account#name با سرور EMM بررسی می کند تا حساب باطل شده را شناسایی کند.
4. DPC یا اعتبار جدید یا یک حساب جدید را درخواست می کند، به دنبال همان جریانی که در ابتدا برای تهیه دستگاه استفاده می شد.