Implementare gli account utente

Esistono due tipi principali di identità utente per le registrazioni Android Enterprise: account Google Play gestiti e account Google gestiti. Gli account Google Play gestiti sono incentrati sul dispositivo, il che significa che non sono collegati all'identità Google di un utente specifico. Al contrario, gli Account Google gestiti sono collegati all'identità Google aziendale di un utente, il che migliora l'esperienza utente mantenendo l'accesso ai suoi dispositivi.

Gli account Google Play gestiti erano lo standard. Tuttavia, Google ora incoraggia tutti i nuovi sviluppi a utilizzare il flusso di registrazione migliorato, che prevede la creazione di account Google gestiti per impostazione predefinita.

Sebbene alla fine di questo documento vengano fornite indicazioni per l'implementazione precedente a scopo di contesto, tutto il nuovo sviluppo deve seguire il nuovo flusso di registrazione descritto qui.

Panoramica

Il flusso di registrazione dei dispositivi migliorato semplifica la configurazione dei dispositivi sfruttando diversi nuovi componenti e modificando la modalità di implementazione dei controller dei criteri dei dispositivi (DPC) personalizzati. Questo nuovo approccio richiede l'integrazione di soluzioni DPC personalizzate con l'SDK dell'API Android Management (AMAPI) e Android Device Policy per eseguire le funzioni di preparazione del dispositivo e registrazione degli utenti.

L'SDK AMAPI fornisce le API necessarie per interagire con Android Device Policy sul dispositivo stesso. Sul lato server, le soluzioni Enterprise Mobility Management (EMM) utilizzeranno l'API Play EMM per generare i token di registrazione necessari per avviare la procedura di registrazione del dispositivo.

L'applicazione Android Device Policy ora svolge un ruolo centrale nella gestione delle operazioni lato dispositivo. L'SDK AMAPI viene utilizzato per gestire l'installazione e gli aggiornamenti necessari sul dispositivo. Android Device Policy assume anche il controllo del flusso di autenticazione dell'utente, gestendo l'autenticazione dell'utente direttamente e fornendo l'identità dell'utente all'EMM. Se Google non riesce ad autenticare l'utente per qualsiasi motivo, viene creato un nuovo account Google Play gestito e aggiunto al dispositivo come fallback.

Integrazione API

Prima di iniziare, verifica di utilizzare l'ultima versione del client API Play EMM e dell'SDK AMAPI.

Guida all'implementazione della registrazione

Questa guida fornisce i passaggi necessari per implementare la registrazione. Tratta la preparazione dell'ambiente, la gestione di diversi metodi di registrazione e la gestione del ciclo di vita del dispositivo.

Prepara l'ambiente

Prima di avviare la configurazione dell'account, è necessario preparare l'ambiente del dispositivo. Questa preparazione prevede l'aggiornamento del Play Store alla sua ultima iterazione e l'installazione silenziosa di Android Device Policy (com.google.android.apps.work.clouddpc) sul dispositivo. L'installazione di Android Device Policy è essenziale perché contiene componenti critici del processo di configurazione dell'account. I provider EMM non devono eseguire la preparazione manuale dell'ambiente. Devono invece utilizzare EnvironmentClient, come documentato in e rispettare gli esempi di codice forniti.

Codice di esempio

Prima di poter utilizzare l'API AccountSetup per aggiungere l'account di lavoro sul dispositivo, il DPC deve prima verificare che l'ambiente del dispositivo sia pronto.

• Utilizza EnvironmentClientFactory per creare un'istanza di EnvironmentClient e chiama prepareEnvironment o prepareEnvironmentAsync

  val notificationReceiverServiceName = ComponentName(context,
  NotificationReceiver::class.java)
  
  // An EMM should implement android.app.admin.DeviceAdminReceiver and use that
  // class to instantiate a ComponentName
  
  val admin = ComponentName(this, com.example.dpc.DeviceAdminReceiver::class.java)
  
  EnvironmentClientFactory.create(context)
      .prepareEnvironment(
          PrepareEnvironmentRequest.builder()
              .setRoles(
                  listOf(
                      Role.builder().setRoleType(
                          Role.RoleType.DEVICE_POLICY_CONTROLLER
                      ).build()
                  )
              )
      .setAdmin(admin)
              .build(),
            notificationReceiverServiceName,
          )
  
  [Proceed with AccountSetup]
  
  

Questa operazione potrebbe richiedere diversi secondi o minuti, poiché le applicazioni potrebbero essere installate o aggiornate per verificare un ambiente di lavoro corretto. Google consiglia di avviare questa procedura il prima possibile in background e di mostrare un'interfaccia utente appropriata mentre l'utente attende. Al termine dell'operazione, il dispositivo è pronto per l'utilizzo dell'API AccountSetup da parte del DPC.

Flusso di registrazione

Gli EMM devono interrompere l'utilizzo di users.generateAuthenticationToken() e users.insert() per tutti i dispositivi. Le EMM devono invece chiamare l'API on-device per eseguire l'autenticazione dell'utente finale. La nuova API restituirà userId e email al DPC. Se Google non riesce ad autenticare l'utente, verrà creato un account Google Play gestito e aggiunto al dispositivo. In questo caso, Google restituirà l'userId di quell'account.

Google ora introduce l'utilizzo di token di registrazione, che devono essere passati all'API di autenticazione. Gli EMM determinano quando e come creare il token, che può far parte di un payload di registrazione esistente (ad es. un codice QR o la configurazione zero-touch).

Tuttavia, Google consiglia di creare il token su richiesta e sostituire l'API esistente per gli account Google Play gestiti con la nuova API per ridurre al minimo la modifica.

Il flusso di registrazione DPC personalizzato migliorato prevede i seguenti passaggi:

1. Crea token di registrazione: la soluzione EMM crea un token di registrazione utilizzando l'API Play EMM.
2. Prepara ambiente:il DPC personalizzato utilizza il flusso Prepara ambiente per verificare che il dispositivo sia pronto per la registrazione.
3. Avvia registrazione: il DPC personalizzato richiama l'API startAccountSetup nell'SDK AMAPI, passando il token di registrazione. Nota: il DPC deve essere il proprietario del dispositivo o del profilo prima di chiamare questa API.
4. Avvia l'attività di autenticazione Google:se necessario, il DPC personalizzato richiama l'API launchAuthenticationActivity nell'SDK AMAPI, passando AccountSetupAttempt. Inizia un'attività di autenticazione Google, che riporta l'utente al DPC personalizzato dopo l'autenticazione riuscita. L'utente può anche saltare questo processo. In questo caso, al dispositivo verrà aggiunto un account Google Play gestito. Questa opzione può essere configurata utilizzando googleAuthenticationOptions.
5. Finalizza la registrazione:l'SDK AMAPI comunica al DPC personalizzato il risultato della registrazione.
6. Attiva i servizi Google:una volta che il dispositivo di un utente con l'Account Google gestito è conforme ai criteri aziendali, l'EMM deve chiamare Devices.setState(). Questa azione consente l'accesso ai servizi Google per l'account sul dispositivo. Senza questa chiamata, il Play Store e altri servizi Google non funzioneranno.

Configurazione account - codice di esempio

1. Per avviare un tentativo di configurazione dell'account, l'app di chiamata può utilizzare AccountSetupClient e chiamare il metodo startAccountSetup() o startAccountSetupFuture(). Per un'implementazione di esempio, vedi il seguente esempio di codice:

   // Create AccountSetupClient
   val client = AccountSetupClientFactory.create(
       this,
       activityResultRegistry
   )
   lifecycle.addObserver(client.lifecycleObserver)
   
   // Create adminComponent
   val notificationReceiver = ComponentName(this, AccountSetupNotificationReceiver::class.java)
   // Helper method to get enrollment token created with Play EMM API
   val enrollmentToken = getEnrollmentToken()
   val request =
             StartAccountSetupRequest.builder()
                 .setEnrollmentToken(enteredText)
                 .setNotificationReceiverServiceComponentName(notificationReceiver)
                 .setAdminComponentName(
                     ComponentName(this, com.example.dpc.DeviceAdminReceiver::class.java))
                 .build()
   try {
       val accountSetupAttempt = client.startAccountSetup(request)
       // handle attempt
   } catch (e: Exception) {
       // handle exception
   }
     ```
   

2. Implementa l'interfaccia AccountSetupListener e fornisci un'implementazione per la gestione degli aggiornamenti di stato ricevuti.

3. Estendi NotificationReceiverService e fornisci l'istanza AccountSetupListener creata nel passaggio 2 eseguendo l'override di getAccountSetupListener().

   // Handles account setup changes
   class AccountSetupNotificationReceiver :
         NotificationReceiverService(),
         AccountSetupListener {
   
       override fun getAccountSetupListener(): AccountSetupListener = this
   
       override fun onAccountSetupChanged(accountSetupAttempt:
     AccountSetupAttempt) {
   
           when (accountSetupAttempt.state.kind) {
               StateCase.ADDED_ACCOUNT -> {
                   val enterpriseAccount = state.addedAccount()
                   val userId = enterpriseAccount.userId
                   val deviceId = enterpriseAccount.deviceId
                   // Handle account added state.
   
               }
               StateCase.AUTHENTICATION_ACTIVITY_LAUNCH_REQUIRED -> {
                   val request = LaunchAuthenticationActivityRequest.builder()
               .setAccountSetupAttempt(accountSetupAttempt)
               .build();
                   // Send the attempt to the foreground activity to call:
                   accountSetupClient.launchAuthenticationActivity(request)
               }
               StateCase.ACCOUNT_SETUP_ERROR -> {
                   // Handle error state.
                   val failureReason = state.accountSetupError().failureReason
               }
               else -> {
                   // Handle unknown account setup attempt state.
               }
           }
       }
   }
   
     ```
   

4. Aggiungi la classe NotificationReceiverService estesa a AndroidManifest.xml e verifica che venga esportata.

     <application>
       <service
           android:name = ".accountsetup.AccountSetupNotificationReceiver"
           android:exported = "true" />
     </application>
   

   Se la tua app ha come target l'SDK 30 o versioni successive, è necessario un elemento queries in AndroidManifest.xml per specificare che interagirà con ADP.

     <queries>
       <package android:name="com.google.android.apps.work.clouddpc" />
     </queries>
   

Indicazioni per i test

Questa sezione fornisce un insieme di linee guida e best practice per testare l'implementazione.

Test PrepareEnvironment

1. Get Device's Current State: l'EMM esegue

   adb shell dumpsys package com.google.android.apps.work.clouddpc | grep versionName
   

   per ottenere la versione di Android Device Policy presente sul dispositivo. Se il criterio Android Device Policy non è installato, è previsto un output vuoto.

2. Integra PrepareEnvironment:il DPC personalizzato richiama l'API prepareEnvironment nell'SDK AMAPI, passando la richiesta corretta.

3. Attendi il risultato di PrepareEnvironment: il DPC personalizzato attende il completamento di prepareEnvironment.

4. Conferma l'esito positivo di PrepareEnvironment: al termine, EMM viene eseguito di nuovo

   adb shell dumpsys package com.google.android.apps.work.clouddpc | grep versionName
   

   Questa volta la versione di Android Device Policy dovrebbe essere superiore a quella del passaggio 1.

Testare l'autenticazione dell'Account Google

1. Crea un'azienda di test:l'EMM crea un'azienda Google con un dominio di test collegata a un EMM di test, con enterprises.generateSignupUrl.
2. Attiva l'autenticazione Google:l'EMM attiva l'autenticazione Google per l'azienda di test seguendo queste istruzioni nella Console di amministrazione Google.
3. Crea token di registrazione:la soluzione EMM crea un token di registrazione utilizzando l'API Play EMM con il tipo userDevice.
4. Avvia registrazione: il DPC personalizzato richiama l'API startAccountSetup nell'SDK AMAPI, passando il token di registrazione.
5. Attività di avvio richiesta:l'SDK AMAPI comunica al DPC personalizzato che deve essere avviata un'attività per autenticare l'utente.
6. Autentica l'utente:il DPC personalizzato richiama launchAuthenticationActivity per avviare l'attività. L'utente esegue l'autenticazione con un Account Google gestito (parte dell'azienda creata nel passaggio 1).
7. Finalizza la registrazione:l'SDK AMAPI comunica al DPC personalizzato il risultato della registrazione.

Test di salto dell'autenticazione Google

Utilizzeremo la configurazione descritta in precedenza.

Questa volta, al passaggio 7, l'utente preme Salta anziché autenticarsi con il proprio Account Google. La registrazione viene completata correttamente, con un account di servizio sul dispositivo (ovvero AuthenticationType è anonimo).

Testare i dispositivi senza utenti

Il flusso di registrazione DPC personalizzato migliorato utilizza i seguenti passaggi quando l'autenticazione Google è disattivata:

1. Crea un'azienda di test:può essere la stessa azienda creata in precedenza.
2. Crea token di registrazione:la soluzione EMM crea un enrollmenttoken utilizzando l'API Play EMM con il tipo userlessDevice.
3. Avvia registrazione: il DPC personalizzato richiama l'API startAccountSetup nell'SDK AMAPI, passando il token di registrazione.
4. Finalizza la registrazione:l'SDK AMAPI comunica al DPC personalizzato il risultato della registrazione.

Account della versione gestita di Google Play

Account utente

Fornisce a un singolo utente l'accesso alla versione gestita di Google Play da tutti i suoi dispositivi. Devi eseguire il provisioning degli account utente per i tuoi utenti. Non dispongono delle credenziali per aggiungere autonomamente gli account Google Play gestiti.

Per creare un account utente, chiama il numero Users.insert. Imposta il tipo di account su userType e imposta un accountIdentifier, che fa riferimento in modo univoco all'utente all'interno dell'azienda.

Best practice: non utilizzare lo stesso account su più di 10 dispositivi.

Account dispositivo

Fornisce l'accesso alla versione gestita di Google Play da un unico dispositivo. Se è stato emesso un token di autenticazione per un account dispositivo, una nuova richiesta di un token di autenticazione per quell'account dispositivo disattiva il token precedente. Ogni dispositivo deve disporre di licenze separate per le app.

Per creare un account dispositivo, chiama il numero Users.insert e imposta il tipo di account su deviceType.

Crei e gestisci una mappatura tra le identità di utenti o dispositivi e gli account Google Play gestiti corrispondenti e gestisci gli account durante il loro ciclo di vita. L'organizzazione non ha bisogno di alcun controllo diretto su questi account Google Play gestiti, in quanto gli account esistono esclusivamente per la gestione delle applicazioni.

Crea un account utente Google Play gestito

1. Un utente accede al tuo controller DPC utilizzando le credenziali aziendali.
2. Il DPC richiede dettagli sull'utente dal server EMM o dalla console.

Supponendo che l'utente sia sconosciuto al tuo sistema:

1. Invia una richiesta per un nuovo account Google Play gestito chiamando il numero Users.insert con i valori per i nuovi accountIdentifier, displayName e accountType.
• Il sistema deve creare il accountIdentifier. L'identificatore dell'account deve essere un valore univoco nel sistema. Non utilizzare PII per l'identificatore dell'account.
• Il displayName viene mostrato nel selettore account del Google Play Store e deve avere un significato per l'utente (ma non deve contenere informazioni personali). Ad esempio, il nome potrebbe includere il nome dell'organizzazione o un nome generico correlato all'EMM.
• Imposta accountType su userAccount o deviceAccount. Un userAccount è specifico per un singolo dispositivo. Il accountType specificato può essere deviceType o userType.
• Imposta managementType su emmManaged.
2. Google Play elabora la richiesta, crea l'account e restituisce un userId.
3. Memorizza la mappatura tra accountIdentifier e userId nel datastore.
4. Chiama Users.generateAuthenticationToken con il userId e il enterpriseId. Google Play restituisce un token di autenticazione utilizzabile una sola volta e che deve essere utilizzato entro pochi minuti.
5. Inoltra in modo sicuro il token di autenticazione al tuo DPC.
3. Il DPC esegue il provisioning del profilo di lavoro e aggiunge l'account al profilo di lavoro o al dispositivo.
4. L'utente può accedere a Google Play gestito all'interno del profilo di lavoro o del dispositivo.

Account amministratore

Quando un amministratore crea un'azienda con account Google Play gestiti, l'Account Google utilizzato non può essere un account G Suite. L'account che utilizza diventa proprietario dell'azienda e il proprietario può aggiungere altri proprietari e amministratori nella console Google Play gestita.

Sia Enterprises.get che Enterprises.completeSignup restituiscono un elenco di indirizzi email amministratore associati a un'azienda (solo aziende con account Google Play gestiti).

Gestire i cicli di vita degli account

In un'implementazione di account Google Play gestiti, sei responsabile dei cicli di vita degli account utente e dispositivo, il che significa che crei, aggiorni ed elimini questi account.

Gli account vengono creati durante il provisioning dei dispositivi, un processo che coinvolge l'app DPC e la console EMM. Per istruzioni, vedi il metodo Account Google Play gestiti.

Per modificare i dati di un account, chiama il numero Users.update.

Per eliminare un account, chiama il numero Users.delete

Gli amministratori non possono eliminare i singoli account, ma possono eliminare un'azienda con account Google Play gestiti. In questo caso, i dispositivi e gli account utente associati all'azienda vengono eliminati, come descritto in Annullare la registrazione, registrarla di nuovo, eliminare.

Scadenza dell'account

Di tanto in tanto, gli account o i relativi token scadono. Questo può accadere per diversi motivi:

• Il token di autenticazione utilizzato per aggiungere l'account al dispositivo è scaduto.
• L'account o l'organizzazione è stato eliminato.
• Per gli account dispositivo, l'account è stato aggiunto a un nuovo dispositivo ed è quindi disattivato su quello precedente.
• Sono stati attivati controlli automatici per rilevare abusi.

Inoltre, le informazioni di un dispositivo potrebbero essere eliminate a causa di un processo di pulizia batch se rimane offline per più di 270 giorni.

Nella maggior parte dei casi (a meno che l'EMM non sposti intenzionalmente un account dispositivo su un nuovo dispositivo), la best practice consiste nell'utilizzare l'API Play EMM per richiedere un nuovo token dal server EMM, annotare lo stato dell'account e dell'azienda e gli eventuali errori restituiti, quindi intraprendere l'azione appropriata sul dispositivo. Ad esempio, rinnova il token o, se l'errore non è recuperabile, ripristina o annulla la registrazione del dispositivo.

Per rinnovare correttamente il token, devi:

1. Chiama il numero users.generateAuthenticationToken.
2. Se la chiamata va a buon fine, rimuovi l'account esistente e aggiungi il nuovo account utilizzando la libreria di supporto DPC.
3. Se la chiamata non va a buon fine, rimuovi l'account dal dispositivo e crea un nuovo utente utilizzando users.insert, genera un token di autenticazione e aggiungi l'account al dispositivo.

La versione 9.0.00 di Google Play Services comunica al tuo DPC che l'account è scaduto utilizzando l'azione di trasmissione:

1. Quando l'account Google Play gestito viene invalidato su un dispositivo, il DPC riceve una trasmissione con la seguente azione:

com.google.android.gms.auth.ACCOUNT_REAUTH_REQUIRED

2. L'intent di trasmissione contiene l'extra Parcelable con il nome account, che è l'oggetto Account dell'account invalidato.
3. Il DPC esegue i controlli Account#name con il server EMM per identificare l'account invalidato.
4. Il DPC richiede nuove credenziali o un nuovo account, seguendo lo stesso flusso utilizzato per provisioning del dispositivo inizialmente.