사용자 계정 구현

Android Enterprise 등록에는 관리 Google Play 계정과 관리 Google 계정이라는 두 가지 기본 사용자 ID 유형이 있습니다. 관리 Google Play 계정은 기기 중심이므로 특정 사용자의 Google ID에 연결되지 않습니다. 반면 관리 Google 계정은 사용자의 회사 Google ID에 연결되어 사용자가 기기에 로그인된 상태를 유지하여 사용자 환경을 개선합니다.

이전에는 관리 Google Play 계정이 표준이었습니다. 하지만 이제 Google에서는 모든 신규 개발에서 개선된 등록 흐름을 사용하도록 권장하며, 이 흐름은 기본적으로 관리 Google 계정을 만듭니다.

이 문서의 끝에 이전 구현에 관한 안내가 제공되지만 모든 신규 개발은 여기에 자세히 설명된 새로운 등록 흐름을 따라야 합니다.

개요

개선된 기기 등록 흐름은 여러 새로운 구성요소를 활용하고 맞춤 기기 정책 컨트롤러 (DPC)가 구현되는 방식을 변경하여 기기 설정을 간소화합니다. 이 새로운 접근 방식에서는 맞춤 DPC 솔루션이 Android Management API (AMAPI) SDK 및 Android Device Policy와 통합되어 기기 준비 및 사용자 등록 기능을 실행해야 합니다.

AMAPI SDK는 기기 자체에서 Android 기기 정책과 상호작용하는 데 필요한 API를 제공합니다. 서버 측에서 엔터프라이즈 모바일 관리 (EMM) 솔루션은 Play EMM API를 사용하여 기기 등록 프로세스를 시작하는 데 필요한 등록 토큰을 생성합니다.

이제 Android Device Policy 애플리케이션이 기기 측 작업을 처리하는 데 중심적인 역할을 합니다. AMAPI SDK는 기기에서의 설치 및 필요한 업데이트를 관리하는 데 사용됩니다. Android Device Policy는 사용자 인증 흐름도 인계받아 사용자 인증을 직접 처리하고 EMM에 사용자 ID를 제공합니다. 어떤 이유로든 Google에서 사용자를 인증할 수 없는 경우 새 관리 Google Play 계정이 생성되어 대체 계정으로 기기에 추가됩니다.

API 통합

시작하기 전에 최신 버전의 Play EMM API 클라이언트와 AMAPI SDK를 사용하고 있는지 확인하세요.

등록 구현 가이드

이 가이드에서는 등록을 구현하는 데 필요한 단계를 제공합니다. 환경 준비, 다양한 등록 방법 처리, 기기 수명 주기 관리를 다룹니다.

환경 준비

계정 설정을 시작하기 전에 기기 환경을 준비해야 합니다. 이 준비에는 Play 스토어를 최신 버전으로 업데이트하고 Android Device Policy(com.google.android.apps.work.clouddpc)를 기기에 자동으로 설치하는 작업이 포함됩니다. Android Device Policy 설치는 계정 설정 프로세스의 중요한 구성요소를 포함하므로 필수입니다. EMM은 환경을 수동으로 준비하지 않아도 됩니다. 대신 EnvironmentClient를 사용하고 제공된 코드 예시를 따라야 합니다.

샘플 코드

AccountSetup API를 사용하여 기기에 직장 계정을 추가하려면 먼저 DPC가 기기 환경이 준비되었는지 확인해야 합니다.

• EnvironmentClientFactory를 사용하여 EnvironmentClient를 인스턴스화하고 prepareEnvironment 또는 prepareEnvironmentAsync를 호출합니다.

  val notificationReceiverServiceName = ComponentName(context,
  NotificationReceiver::class.java)
  
  // An EMM should implement android.app.admin.DeviceAdminReceiver and use that
  // class to instantiate a ComponentName
  
  val admin = ComponentName(this, com.example.dpc.DeviceAdminReceiver::class.java)
  
  EnvironmentClientFactory.create(context)
      .prepareEnvironment(
          PrepareEnvironmentRequest.builder()
              .setRoles(
                  listOf(
                      Role.builder().setRoleType(
                          Role.RoleType.DEVICE_POLICY_CONTROLLER
                      ).build()
                  )
              )
      .setAdmin(admin)
              .build(),
            notificationReceiverServiceName,
          )
  
  [Proceed with AccountSetup]
  
  

애플리케이션이 적절한 작업 환경을 확인하기 위해 설치되거나 업데이트될 수 있으므로 이 작업은 몇 초 또는 몇 분 정도 걸릴 수 있습니다. Google에서는 이 프로세스를 백그라운드에서 최대한 빨리 시작하고 사용자가 기다리는 동안 적절한 UI를 표시할 것을 권장합니다. 작업이 완료되면 기기에서 DPC가 AccountSetup API를 사용할 수 있습니다.

등록 흐름

EMM은 모든 기기에서 users.generateAuthenticationToken() 및 users.insert() 사용을 중단해야 합니다. 대신 EMM은 온디바이스 API를 호출하여 최종 사용자 인증을 실행해야 합니다. 새 API는 userId 및 email를 DPC에 반환합니다. Google에서 사용자를 인증할 수 없는 경우 관리 Google Play 계정이 생성되어 기기에 추가됩니다. 이 경우 Google은 해당 계정의 userId을 반환합니다.

이제 Google에서는 인증 API에 전달해야 하는 등록 토큰 사용을 도입합니다. EMM은 토큰을 생성하는 시기와 방법을 결정하며 기존 등록 페이로드 (예: QR 코드 또는 제로터치 구성)의 일부일 수 있습니다.

하지만 변경사항을 최소화하려면 필요할 때 토큰을 만들고 관리 Google Play 계정의 기존 API를 새 API로 대체하는 것이 좋습니다.

개선된 맞춤 DPC 등록 흐름에는 다음 단계가 포함됩니다.

1. 등록 토큰 생성: EMM은 Play EMM API를 사용하여 등록 토큰을 생성합니다.
2. 환경 준비: 맞춤 DPC는 환경 준비 흐름을 사용하여 기기가 등록 준비가 되었는지 확인합니다.
3. 등록 시작: 맞춤 DPC는 AMAPI SDK에서 startAccountSetup API를 호출하여 등록 토큰을 전달합니다. 참고: 이 API를 호출하기 전에 DPC가 기기 소유자 또는 프로필 소유자여야 합니다.
4. Google 인증 활동 실행: 필요한 경우 맞춤 DPC가 AMAPI SDK에서 launchAuthenticationActivity API를 호출하여 AccountSetupAttempt를 전달합니다. 이렇게 하면 Google 인증 활동이 시작되고 인증이 성공하면 사용자가 맞춤 DPC로 돌아갑니다. 사용자는 이 프로세스를 건너뛸 수도 있습니다. 이 경우 관리 Google Play 계정이 기기에 추가됩니다. 이 옵션은 googleAuthenticationOptions를 사용하여 구성할 수 있습니다.
5. 등록 완료: AMAPI SDK는 등록 결과를 맞춤 DPC에 알립니다.
6. Google 서비스 사용 설정: 관리 Google 계정이 있는 사용자의 기기가 엔터프라이즈 정책을 준수하면 EMM은 Devices.setState()를 호출해야 합니다. 이 작업을 통해 기기의 계정에서 Google 서비스에 액세스할 수 있습니다. 이 호출이 없으면 Play 스토어와 기타 Google 서비스가 작동하지 않습니다.

계정 설정 - 샘플 코드

1. 계정 설정 시도를 시작하기 위해 호출 앱은 AccountSetupClient를 사용하여 startAccountSetup() 또는 startAccountSetupFuture() 메서드를 호출할 수 있습니다. 구현 예는 다음 코드 샘플을 참고하세요.

   // Create AccountSetupClient
   val client = AccountSetupClientFactory.create(
       this,
       activityResultRegistry
   )
   lifecycle.addObserver(client.lifecycleObserver)
   
   // Create adminComponent
   val notificationReceiver = ComponentName(this, AccountSetupNotificationReceiver::class.java)
   // Helper method to get enrollment token created with Play EMM API
   val enrollmentToken = getEnrollmentToken()
   val request =
             StartAccountSetupRequest.builder()
                 .setEnrollmentToken(enteredText)
                 .setNotificationReceiverServiceComponentName(notificationReceiver)
                 .setAdminComponentName(
                     ComponentName(this, com.example.dpc.DeviceAdminReceiver::class.java))
                 .build()
   try {
       val accountSetupAttempt = client.startAccountSetup(request)
       // handle attempt
   } catch (e: Exception) {
       // handle exception
   }
     ```
   

2. AccountSetupListener 인터페이스를 구현하고 수신된 상태 업데이트를 처리하는 방법에 관한 구현을 제공합니다.

3. getAccountSetupListener()를 재정의하여 NotificationReceiverService를 확장하고 2단계에서 생성된 AccountSetupListener 인스턴스를 제공합니다.

   // Handles account setup changes
   class AccountSetupNotificationReceiver :
         NotificationReceiverService(),
         AccountSetupListener {
   
       override fun getAccountSetupListener(): AccountSetupListener = this
   
       override fun onAccountSetupChanged(accountSetupAttempt:
     AccountSetupAttempt) {
   
           when (accountSetupAttempt.state.kind) {
               StateCase.ADDED_ACCOUNT -> {
                   val enterpriseAccount = state.addedAccount()
                   val userId = enterpriseAccount.userId
                   val deviceId = enterpriseAccount.deviceId
                   // Handle account added state.
   
               }
               StateCase.AUTHENTICATION_ACTIVITY_LAUNCH_REQUIRED -> {
                   val request = LaunchAuthenticationActivityRequest.builder()
               .setAccountSetupAttempt(accountSetupAttempt)
               .build();
                   // Send the attempt to the foreground activity to call:
                   accountSetupClient.launchAuthenticationActivity(request)
               }
               StateCase.ACCOUNT_SETUP_ERROR -> {
                   // Handle error state.
                   val failureReason = state.accountSetupError().failureReason
               }
               else -> {
                   // Handle unknown account setup attempt state.
               }
           }
       }
   }
   
     ```
   

4. AndroidManifest.xml에 확장된 NotificationReceiverService 클래스를 추가하고 내보내는지 확인합니다.

     <application>
       <service
           android:name = ".accountsetup.AccountSetupNotificationReceiver"
           android:exported = "true" />
     </application>
   

   앱이 SDK 30 이상을 타겟팅하는 경우 AndroidManifest.xml에 ADP와 상호작용할 것임을 지정하는 queries 요소가 필요합니다.

     <queries>
       <package android:name="com.google.android.apps.work.clouddpc" />
     </queries>
   

테스트 안내

이 섹션에서는 구현을 테스트하기 위한 가이드라인과 권장사항을 제공합니다.

PrepareEnvironment 테스트

1. 기기의 현재 상태 가져오기: EMM은

   adb shell dumpsys package com.google.android.apps.work.clouddpc | grep versionName
   

   기기에 있는 Android Device Policy의 버전을 가져옵니다. Android 기기 정책이 설치되어 있지 않으면 빈 출력이 예상됩니다.

2. PrepareEnvironment 통합: 맞춤 DPC가 AMAPI SDK에서 prepareEnvironment API를 호출하여 올바른 요청을 전달합니다.

3. PrepareEnvironment 결과 대기: 맞춤 DPC가 prepareEnvironment가 완료될 때까지 기다립니다.

4. PrepareEnvironment 성공 확인: 완료되면 EMM이 다시 실행됩니다.

   adb shell dumpsys package com.google.android.apps.work.clouddpc | grep versionName
   

   이번에는 Android 기기 정책 버전이 1단계보다 높아야 합니다.

Google 계정 인증 테스트

1. 테스트 엔터프라이즈 만들기: EMM은 enterprises.generateSignupUrl를 사용하여 테스트 EMM에 연결된 테스트 도메인 Google 엔터프라이즈를 만듭니다.
2. Google 인증 사용 설정: EMM은 Google 관리 콘솔에서 이 안내에 따라 테스트 엔터프라이즈의 Google 인증을 사용 설정합니다.
3. 등록 토큰 생성: EMM은 유형이 userDevice인 Play EMM API를 사용하여 등록 토큰을 생성합니다.
4. 등록 시작: 맞춤 DPC는 AMAPI SDK에서 startAccountSetup API를 호출하여 등록 토큰을 전달합니다.
5. 활동 실행 필요: AMAPI SDK는 사용자를 인증하기 위해 활동을 실행해야 한다고 맞춤 DPC에 알립니다.
6. 사용자 인증: 맞춤 DPC가 launchAuthenticationActivity를 호출하여 활동을 시작합니다. 사용자는 관리 Google 계정(1단계에서 만든 기업의 일부)으로 인증합니다.
7. 등록 완료: AMAPI SDK는 등록 결과를 맞춤 DPC에 알립니다.

Google 인증 건너뛰기 테스트

앞서 설명한 설정을 사용합니다.

이번에는 7단계에서 사용자가 Google 계정으로 인증하는 대신 건너뛰기를 누릅니다. 등록이 완료되고 기기에 서비스 계정이 있습니다 (즉, AuthenticationType이 익명임).

사용자 없는 기기 테스트

개선된 맞춤 DPC 등록 흐름은 Google 인증이 사용 중지된 경우 다음 단계를 활용합니다.

1. 테스트 엔터프라이즈 만들기: 이전에 만든 엔터프라이즈와 동일한 엔터프라이즈일 수 있습니다.
2. 등록 토큰 생성: EMM은 유형이 userlessDevice인 Play EMM API를 사용하여 등록 토큰을 생성합니다.
3. 등록 시작: 맞춤 DPC는 AMAPI SDK에서 startAccountSetup API를 호출하여 등록 토큰을 전달합니다.
4. 등록 완료: AMAPI SDK는 등록 결과를 맞춤 DPC에 알립니다.

관리 Google Play 계정

사용자 계정

모든 기기에서 관리 Google Play에 대한 단일 사용자 액세스를 제공합니다. 사용자를 위해 사용자 계정을 프로비저닝해야 합니다. 관리 Google Play 계정을 직접 추가할 수 있는 사용자 인증 정보가 없습니다.

사용자 계정을 만들려면 Users.insert을 호출합니다. 계정 유형을 userType로 설정하고 엔터프라이즈 내에서 사용자를 고유하게 참조하는 accountIdentifier를 설정합니다.

권장사항: 기기가 10개를 초과하는 경우에는 모든 기기에 같은 계정을 사용하지 않는 것이 좋습니다.

기기 계정

단일 기기에서 관리 Google Play에 액세스할 수 있습니다. 기기 계정에 인증 토큰이 발급된 경우 해당 기기 계정의 인증 토큰에 대한 새 요청은 이전 토큰을 비활성화합니다. 각 기기에는 앱을 위한 별도의 라이선스가 있어야 합니다.

기기 계정을 만들려면 Users.insert를 호출하고 계정 유형을 deviceType로 설정합니다.

사용자 또는 기기 ID와 해당 관리 Google Play 계정 간의 매핑을 만들고 유지관리하며 수명 주기를 통해 계정을 관리합니다. 계정은 순전히 애플리케이션 관리를 위해 존재하므로 조직에서 이러한 기업용 관리 Google Play 계정을 직접 관리할 필요는 없습니다.

관리 Google Play 사용자 계정 만들기

1. 사용자가 회사 사용자 인증 정보를 사용하여 DPC에 로그인합니다.
2. DPC가 EMM 서버 또는 콘솔에서 사용자에 관한 세부정보를 요청합니다.

사용자가 시스템에 알려지지 않은 경우:

1. 새 accountIdentifier, displayName, accountType 값이 포함된 Users.insert를 호출하여 새 관리 Google Play 계정을 요청합니다.
• 시스템에서 accountIdentifier를 만들어야 합니다. 계정 식별자는 시스템 전체에서 고유한 값이어야 합니다. 계정 식별자에 PII를 사용하지 마세요.
• displayName는 Google Play 스토어의 계정 전환기에 표시되며 사용자에게 의미가 있어야 합니다(사용자에 관한 개인 식별 정보는 아님). 예를 들어 이름에 조직 이름이나 EMM과 관련된 일반 이름이 포함될 수 있습니다.
• accountType을 userAccount 또는 deviceAccount로 설정합니다. userAccount는 단일 기기에만 해당합니다. 지정된 accountType은 deviceType 또는 userType일 수 있습니다.
• managementType를 emmManaged로 설정합니다.
2. Google Play는 요청을 처리하고 계정을 만들고 userId를 반환합니다.
3. accountIdentifier와 userId 간의 매핑을 데이터 스토어에 저장합니다.
4. userId 및 enterpriseId를 사용하여 Users.generateAuthenticationToken를 호출합니다. Google Play는 한 번 사용할 수 있고 몇 분 이내에 사용해야 하는 인증 토큰을 반환합니다.
5. 인증 토큰을 DPC에 안전하게 전달합니다.
3. DPC는 직장 프로필을 프로비저닝하고 계정을 직장 프로필이나 기기에 추가합니다.
4. 사용자는 직장 프로필 또는 기기 내에서 관리 Google Play에 액세스할 수 있습니다.

관리자 계정

관리자가 기업용 관리 Google Play 계정으로 기업을 만드는 경우 사용하는 Google 계정은 G Suite 계정일 수 없습니다. 사용하는 계정이 기업의 소유자가 되며, 소유자는 관리 Google Play Console에서 소유자와 관리자를 추가할 수 있습니다.

Enterprises.get와 Enterprises.completeSignup 모두 기업과 연결된 관리자 이메일 주소 목록을 반환합니다(기업용 Managed Google Play 계정이 있는 기업만 해당).

계정 수명 주기 관리

기업용 관리 Google Play 계정 배포에서는 사용자 및 기기 계정 수명 주기를 관리합니다. 즉, 이러한 계정을 생성, 업데이트, 삭제합니다.

기기 프로비저닝 중에 계정을 만듭니다. 이 프로세스에는 DPC 앱과 EMM 콘솔이 포함됩니다. 자세한 내용은 관리 Google Play 계정 메서드를 참고하세요.

계정 정보를 변경하려면 Users.update을 호출합니다.

계정을 삭제하려면 Users.delete을 호출하세요.

관리자는 개별 계정을 삭제할 수 없지만 기업용 관리 Google Play 계정이 있는 기업은 삭제할 수 있습니다. 이렇게 하면 등록 해제, 재등록, 삭제에 설명된 대로 엔터프라이즈와 연결된 기기 및 사용자 계정이 결국 삭제됩니다.

계정 만료

계정 또는 토큰이 만료되는 경우가 있습니다. 이 문제는 다음과 같은 여러 가지 이유로 발생할 수 있습니다.

• 기기에 계정을 추가하는 데 사용된 인증 토큰이 만료되었습니다.
• 계정 또는 기업이 삭제되었습니다.
• 기기 계정의 경우 계정이 새 기기에 추가되었으므로 이전 기기에서는 사용 중지됩니다.
• 자동 악용 검사가 트리거되었습니다.

또한 기기가 270일 이상 오프라인 상태로 유지되면 일괄 정리 프로세스로 인해 기기 정보가 삭제될 수 있습니다.

대부분의 경우 (EMM이 의도적으로 기기 계정을 새 기기로 이동하는 경우 제외) Play EMM API를 사용하여 EMM 서버에서 새 토큰을 요청하고, 계정 및 기업의 상태와 반환된 오류를 기록한 후 기기에서 적절한 조치를 취하는 것이 좋습니다. 예를 들어 토큰을 갱신하거나 오류를 복구할 수 없는 경우 기기를 재설정하거나 등록 해제합니다.

토큰을 올바르게 갱신하려면 다음을 수행해야 합니다.

1. users.generateAuthenticationToken을 호출합니다.
2. 호출이 성공하면 기존 계정을 삭제하고 DPC 지원 라이브러리를 사용하여 새 계정을 추가합니다.
3. 호출이 실패하면 기기에서 계정을 삭제하고 users.insert를 사용하여 새 사용자를 만들고 인증 토큰을 생성하고 기기에 계정을 추가합니다.

Google Play 서비스 버전 9.0.00은 브로드캐스트 작업을 사용하여 계정이 만료되었음을 DPC에 알립니다.

1. 관리 Google Play 계정이 기기에서 무효화되면 DPC는 다음 작업이 포함된 브로드캐스트를 수신합니다.

com.google.android.gms.auth.ACCOUNT_REAUTH_REQUIRED

2. 브로드캐스트 인텐트에는 이름이 account인 Parcelable 추가 항목이 포함되어 있으며, 이는 무효화된 계정의 Account 객체입니다.
3. DPC는 EMM 서버에서 Account#name를 확인하여 무효화된 계정을 식별합니다.
4. DPC는 처음에 기기를 프로비저닝하는 데 사용된 것과 동일한 흐름에 따라 새 사용자 인증 정보나 새 계정을 요청합니다.