Triển khai tài khoản người dùng

Có hai loại danh tính người dùng chính cho việc đăng ký Android Enterprise: Tài khoản Google Play có quản lý và Tài khoản Google có quản lý. Tài khoản Managed Google Play tập trung vào thiết bị, tức là không liên kết với danh tính Google của một người dùng cụ thể. Ngược lại, Tài khoản Google do quản lý được liên kết với danh tính Google của người dùng trong doanh nghiệp, giúp cải thiện trải nghiệm người dùng bằng cách duy trì trạng thái đăng nhập của họ trên thiết bị.

Tài khoản Google Play có quản lý từng là tiêu chuẩn. Tuy nhiên, hiện tại Google khuyến khích tất cả các hoạt động phát triển mới sử dụng quy trình đăng ký được cải tiến. Quy trình này mặc định tạo Tài khoản Google được quản lý.

Mặc dù hướng dẫn về việc triển khai cũ được cung cấp ở cuối tài liệu này để làm ngữ cảnh, nhưng mọi hoạt động phát triển mới đều phải tuân theo quy trình đăng ký mới được trình bày chi tiết tại đây.

Tổng quan

Quy trình đăng ký thiết bị được cải tiến giúp đơn giản hoá việc thiết lập thiết bị bằng cách tận dụng một số thành phần mới và thay đổi cách triển khai Trình điều khiển chính sách thiết bị (DPC) tuỳ chỉnh. Phương pháp mới này yêu cầu các giải pháp DPC tuỳ chỉnh tích hợp với Android Management API (AMAPI) SDK và Android Device Policy để thực hiện các chức năng chuẩn bị thiết bị và đăng ký người dùng.

SDK AMAPI cung cấp các API cần thiết để tương tác với Chính sách thiết bị Android trên chính thiết bị. Về phía máy chủ, các giải pháp Quản lý thiết bị di động doanh nghiệp (EMM) sẽ sử dụng Play EMM API để tạo mã thông báo đăng ký cần thiết để bắt đầu quy trình đăng ký thiết bị.

Ứng dụng Android Device Policy hiện đóng vai trò trung tâm trong việc xử lý các hoạt động phía thiết bị. AMAPI SDK được dùng để quản lý quá trình cài đặt và các bản cập nhật cần thiết trên thiết bị. Android Device Policy cũng tiếp quản quy trình xác thực người dùng, xử lý trực tiếp việc xác thực người dùng và cung cấp danh tính của người dùng cho EMM. Nếu Google không thể xác thực người dùng vì bất kỳ lý do nào, thì một tài khoản Managed Google Play mới sẽ được tạo và thêm vào thiết bị làm phương án dự phòng.

Tích hợp API

Trước khi bắt đầu, hãy xác minh rằng bạn đang sử dụng phiên bản mới nhất của ứng dụng Play EMM API và AMAPI SDK.

Hướng dẫn triển khai quy trình đăng ký

Hướng dẫn này cung cấp các bước cần thiết để triển khai quy trình đăng ký. Nội dung này đề cập đến việc chuẩn bị môi trường, xử lý các phương thức đăng ký khác nhau và quản lý vòng đời của thiết bị.

Chuẩn bị môi trường

Trước khi bắt đầu thiết lập tài khoản, bạn cần chuẩn bị môi trường thiết bị. Quá trình chuẩn bị này bao gồm việc cập nhật Cửa hàng Play lên phiên bản mới nhất và cài đặt lặng lẽ Chính sách thiết bị Android (com.google.android.apps.work.clouddpc) vào thiết bị. Bạn cần phải cài đặt Android Device Policy vì ứng dụng này chứa các thành phần quan trọng của quy trình Thiết lập tài khoản. EMM không cần chuẩn bị môi trường theo cách thủ công. Thay vào đó, họ nên sử dụng EnvironmentClient, như được ghi lại tại và tuân thủ các ví dụ về mã được cung cấp.

Mã mẫu

Trước khi có thể sử dụng API AccountSetup để thêm tài khoản công việc vào thiết bị, trước tiên, DPC phải xác minh rằng môi trường thiết bị đã sẵn sàng.

• Dùng EnvironmentClientFactory để khởi tạo một EnvironmentClient và gọi prepareEnvironment hoặc prepareEnvironmentAsync

  val notificationReceiverServiceName = ComponentName(context,
  NotificationReceiver::class.java)
  
  // An EMM should implement android.app.admin.DeviceAdminReceiver and use that
  // class to instantiate a ComponentName
  
  val admin = ComponentName(this, com.example.dpc.DeviceAdminReceiver::class.java)
  
  EnvironmentClientFactory.create(context)
      .prepareEnvironment(
          PrepareEnvironmentRequest.builder()
              .setRoles(
                  listOf(
                      Role.builder().setRoleType(
                          Role.RoleType.DEVICE_POLICY_CONTROLLER
                      ).build()
                  )
              )
      .setAdmin(admin)
              .build(),
            notificationReceiverServiceName,
          )
  
  [Proceed with AccountSetup]
  
  

Thao tác này có thể mất vài giây hoặc vài phút, vì các ứng dụng có thể được cài đặt hoặc cập nhật để xác minh môi trường hoạt động phù hợp. Google đề xuất bắt đầu quy trình này càng sớm càng tốt ở chế độ nền và cho thấy giao diện người dùng phù hợp trong khi người dùng chờ đợi. Khi thao tác hoàn tất, thiết bị sẽ sẵn sàng để DPC sử dụng AccountSetup API.

Quy trình đăng ký

EMM phải ngừng sử dụng users.generateAuthenticationToken() và users.insert() cho tất cả các thiết bị. Thay vào đó, EMM phải gọi API trên thiết bị để thực hiện quy trình xác thực người dùng cuối. API mới sẽ trả về userId và email cho DPC. Nếu Google không thể xác thực người dùng, thì một Tài khoản Google do quản lý sẽ được tạo và thêm vào thiết bị. Trong trường hợp này, Google sẽ trả về userId của tài khoản đó.

Giờ đây, Google giới thiệu việc sử dụng mã thông báo đăng ký. Bạn phải truyền mã thông báo này đến API xác thực. EMM xác định thời điểm và cách tạo mã thông báo, đồng thời mã thông báo này có thể là một phần của tải trọng đăng ký hiện có (ví dụ: mã QR hoặc cấu hình Zero-touch).

Tuy nhiên, Google đề xuất tạo mã thông báo theo yêu cầu và thay thế API hiện có cho Tài khoản Google Play được quản lý bằng API mới để giảm thiểu thay đổi.

Quy trình đăng ký DPC tuỳ chỉnh được cải tiến bao gồm các bước sau:

1. Tạo mã thông báo đăng ký: EMM tạo mã thông báo đăng ký bằng Play EMM API.
2. Chuẩn bị môi trường: DPC tuỳ chỉnh sử dụng quy trình Chuẩn bị môi trường để xác minh rằng thiết bị đã sẵn sàng cho quá trình đăng ký.
3. Bắt đầu đăng ký: DPC tuỳ chỉnh gọi API startAccountSetup trong AMAPI SDK, truyền mã thông báo đăng ký. Lưu ý: DPC phải là chủ sở hữu thiết bị hoặc chủ sở hữu hồ sơ trước khi gọi API này.
4. Khởi chạy hoạt động xác thực của Google: Nếu cần, DPC tuỳ chỉnh sẽ gọi API launchAuthenticationActivity trong SDK AMAPI, truyền AccountSetupAttempt. Thao tác này sẽ bắt đầu một hoạt động xác thực của Google, đưa người dùng trở lại DPC tuỳ chỉnh sau khi xác thực thành công. Người dùng cũng có thể bỏ qua quy trình này. Trong trường hợp này, một tài khoản Managed Google Play sẽ được thêm vào thiết bị. Bạn có thể định cấu hình lựa chọn này bằng googleAuthenticationOptions.
5. Hoàn tất quy trình đăng ký: AMAPI SDK sẽ thông báo cho DPC tuỳ chỉnh về kết quả đăng ký.
6. Bật các dịch vụ của Google: Sau khi thiết bị của người dùng có Tài khoản Google do quản lý tuân thủ các chính sách của doanh nghiệp, EMM phải gọi Devices.setState(). Thao tác này cho phép tài khoản trên thiết bị truy cập vào các dịch vụ của Google. Nếu không có lệnh gọi này, Cửa hàng Play và các dịch vụ khác của Google sẽ không hoạt động.

Thiết lập tài khoản – mã mẫu

1. Để bắt đầu quá trình thiết lập tài khoản, ứng dụng gọi có thể sử dụng AccountSetupClient và gọi phương thức startAccountSetup() hoặc startAccountSetupFuture(). Để xem ví dụ về cách triển khai, hãy xem đoạn mã mẫu sau:

   // Create AccountSetupClient
   val client = AccountSetupClientFactory.create(
       this,
       activityResultRegistry
   )
   lifecycle.addObserver(client.lifecycleObserver)
   
   // Create adminComponent
   val notificationReceiver = ComponentName(this, AccountSetupNotificationReceiver::class.java)
   // Helper method to get enrollment token created with Play EMM API
   val enrollmentToken = getEnrollmentToken()
   val request =
             StartAccountSetupRequest.builder()
                 .setEnrollmentToken(enteredText)
                 .setNotificationReceiverServiceComponentName(notificationReceiver)
                 .setAdminComponentName(
                     ComponentName(this, com.example.dpc.DeviceAdminReceiver::class.java))
                 .build()
   try {
       val accountSetupAttempt = client.startAccountSetup(request)
       // handle attempt
   } catch (e: Exception) {
       // handle exception
   }
     ```
   

2. Triển khai giao diện AccountSetupListener và cung cấp một cách triển khai để xử lý các thông tin cập nhật trạng thái đã nhận.

3. Mở rộng NotificationReceiverService và cung cấp thực thể AccountSetupListener được tạo ở bước 2 bằng cách ghi đè getAccountSetupListener().

   // Handles account setup changes
   class AccountSetupNotificationReceiver :
         NotificationReceiverService(),
         AccountSetupListener {
   
       override fun getAccountSetupListener(): AccountSetupListener = this
   
       override fun onAccountSetupChanged(accountSetupAttempt:
     AccountSetupAttempt) {
   
           when (accountSetupAttempt.state.kind) {
               StateCase.ADDED_ACCOUNT -> {
                   val enterpriseAccount = state.addedAccount()
                   val userId = enterpriseAccount.userId
                   val deviceId = enterpriseAccount.deviceId
                   // Handle account added state.
   
               }
               StateCase.AUTHENTICATION_ACTIVITY_LAUNCH_REQUIRED -> {
                   val request = LaunchAuthenticationActivityRequest.builder()
               .setAccountSetupAttempt(accountSetupAttempt)
               .build();
                   // Send the attempt to the foreground activity to call:
                   accountSetupClient.launchAuthenticationActivity(request)
               }
               StateCase.ACCOUNT_SETUP_ERROR -> {
                   // Handle error state.
                   val failureReason = state.accountSetupError().failureReason
               }
               else -> {
                   // Handle unknown account setup attempt state.
               }
           }
       }
   }
   
     ```
   

4. Thêm lớp NotificationReceiverService mở rộng vào AndroidManifest.xml và xác minh rằng lớp đó đã được xuất.

     <application>
       <service
           android:name = ".accountsetup.AccountSetupNotificationReceiver"
           android:exported = "true" />
     </application>
   

   Nếu ứng dụng của bạn nhắm đến SDK 30 trở lên, thì bạn cần có một phần tử truy vấn trong AndroidManifest.xml để chỉ định rằng ứng dụng sẽ tương tác với ADP.

     <queries>
       <package android:name="com.google.android.apps.work.clouddpc" />
     </queries>
   

Hướng dẫn kiểm thử

Phần này cung cấp một bộ nguyên tắc và các phương pháp hay nhất để kiểm thử việc triển khai của bạn.

Kiểm tra PrepareEnvironment

1. Lấy trạng thái hiện tại của thiết bị: EMM chạy

   adb shell dumpsys package com.google.android.apps.work.clouddpc | grep versionName
   

   để lấy phiên bản Android Device Policy có trên thiết bị. Nếu bạn chưa cài đặt Chính sách thiết bị Android, thì hệ thống sẽ trả về một đầu ra trống.

2. Tích hợp PrepareEnvironment: DPC tuỳ chỉnh sẽ gọi API prepareEnvironment trong AMAPI SDK, truyền yêu cầu chính xác.

3. Await PrepareEnvironment result: DPC tuỳ chỉnh đợi prepareEnvironment hoàn tất.

4. Xác nhận thành công PrepareEnvironment: Khi hoàn tất, EMM sẽ chạy lại

   adb shell dumpsys package com.google.android.apps.work.clouddpc | grep versionName
   

   Lần này, phiên bản Chính sách thiết bị Android phải cao hơn phiên bản ở bước 1.

Kiểm thử quy trình xác thực Tài khoản Google

1. Tạo doanh nghiệp thử nghiệm: EMM tạo một miền thử nghiệm cho doanh nghiệp trên Google được liên kết với một EMM thử nghiệm, có enterprises.generateSignupUrl.
2. Bật tính năng xác thực bằng Google: EMM cho phép xác thực bằng Google cho doanh nghiệp kiểm thử theo các hướng dẫn này trong Bảng điều khiển dành cho quản trị viên của Google.
3. Tạo mã thông báo đăng ký: EMM tạo mã thông báo đăng ký bằng Play EMM API có loại userDevice.
4. Bắt đầu đăng ký: DPC tuỳ chỉnh gọi API startAccountSetup trong AMAPI SDK, truyền mã thông báo đăng ký.
5. Cần có hoạt động khởi chạy: SDK AMAPI thông báo cho DPC tuỳ chỉnh rằng một hoạt động phải được khởi chạy để xác thực người dùng.
6. Xác thực người dùng: DPC tuỳ chỉnh sẽ gọi launchAuthenticationActivity để bắt đầu hoạt động. Người dùng xác thực bằng Tài khoản Google được quản lý (thuộc doanh nghiệp được tạo ở bước 1).
7. Hoàn tất quy trình đăng ký: AMAPI SDK sẽ thông báo cho DPC tuỳ chỉnh về kết quả đăng ký.

Thử bỏ qua bước xác thực bằng Google

Chúng ta sẽ sử dụng chế độ thiết lập như mô tả trước đó.

Lần này, ở bước 7, người dùng nhấn vào Bỏ qua thay vì xác thực bằng Tài khoản Google của họ. Quá trình đăng ký hoàn tất thành công, với một tài khoản dịch vụ trên thiết bị (tức là AuthenticationType là Anonymous).

Kiểm thử các thiết bị không có người dùng

Quy trình đăng ký DPC tuỳ chỉnh được cải tiến sẽ sử dụng các bước sau khi tắt tính năng xác thực của Google:

1. Tạo một doanh nghiệp kiểm thử: Đây có thể là doanh nghiệp giống như doanh nghiệp bạn đã tạo trước đó.
2. Tạo mã thông báo đăng ký: EMM tạo một enrollmenttoken bằng Play EMM API có loại userlessDevice.
3. Bắt đầu đăng ký: DPC tuỳ chỉnh gọi API startAccountSetup trong AMAPI SDK, truyền mã thông báo đăng ký.
4. Hoàn tất quy trình đăng ký: AMAPI SDK sẽ thông báo cho DPC tuỳ chỉnh về kết quả đăng ký.

Tài khoản Google Play có quản lý

Tài khoản người dùng

Cho phép một người dùng truy cập vào Managed Google Play trên tất cả thiết bị của họ. Bạn phải cấp phép tài khoản người dùng cho người dùng. Họ không có thông tin đăng nhập để tự thêm Tài khoản Google Play có quản lý.

Để tạo tài khoản người dùng, hãy gọi Users.insert. Đặt loại tài khoản thành userType và đặt accountIdentifier. accountIdentifier này sẽ tham chiếu duy nhất đến người dùng trong doanh nghiệp.

Phương pháp hay nhất: Không sử dụng cùng một tài khoản trên quá 10 thiết bị.

Tài khoản trên thiết bị

Cho phép truy cập vào Managed Google Play từ một thiết bị duy nhất. Nếu mã thông báo xác thực đã được cấp cho một tài khoản thiết bị, thì yêu cầu mới về mã thông báo xác thực cho tài khoản thiết bị đó sẽ huỷ kích hoạt mã thông báo trước đó. Mỗi thiết bị phải có giấy phép riêng cho các ứng dụng.

Để tạo tài khoản thiết bị, hãy gọi Users.insert và đặt loại tài khoản thành deviceType.

Bạn tạo và duy trì mối liên kết giữa danh tính người dùng hoặc thiết bị và Tài khoản Google Play được quản lý tương ứng, đồng thời quản lý các tài khoản đó trong suốt vòng đời của chúng. Tổ chức không cần có quyền kiểm soát trực tiếp đối với các Tài khoản Google Play được quản lý này, vì các tài khoản này chỉ dùng để quản lý ứng dụng.

Tạo tài khoản người dùng Managed Google Play

1. Người dùng đăng nhập vào DPC bằng thông tin xác thực của công ty.
2. DPC yêu cầu thông tin chi tiết về người dùng từ máy chủ EMM hoặc bảng điều khiển.

Giả sử hệ thống của bạn không nhận dạng được người dùng:

1. Gửi yêu cầu về Tài khoản Google Play được quản lý mới bằng cách gọi Users.insert với các giá trị cho accountIdentifier, displayName và accountType mới.
• Hệ thống của bạn phải tạo accountIdentifier. Giá trị nhận dạng tài khoản phải là một giá trị duy nhất trong hệ thống của bạn. Không sử dụng thông tin nhận dạng cá nhân cho giá trị nhận dạng tài khoản.
• displayName xuất hiện trong trình chuyển đổi tài khoản của Cửa hàng Google Play và phải có ý nghĩa đối với người dùng (nhưng không phải là thông tin nhận dạng cá nhân về người dùng). Ví dụ: tên có thể bao gồm tên tổ chức hoặc tên chung liên quan đến EMM.
• Đặt accountType thành userAccount hoặc deviceAccount. userAccount chỉ dành riêng cho một thiết bị. accountType mà bạn chỉ định có thể là deviceType hoặc userType.
• Đặt managementType thành emmManaged.
2. Google Play xử lý yêu cầu, tạo tài khoản và trả về một userId.
3. Lưu trữ mối liên kết giữa accountIdentifier và userId trong kho dữ liệu của bạn.
4. Gọi Users.generateAuthenticationToken bằng userId và enterpriseId. Google Play trả về một mã thông báo xác thực có thể dùng một lần và phải được dùng trong vòng vài phút.
5. Chuyển tiếp mã xác thực một cách an toàn đến DPC của bạn.
3. DPC cung cấp hồ sơ công việc và thêm tài khoản vào hồ sơ công việc hoặc thiết bị.
4. Người dùng có thể truy cập vào Managed Google Play trong hồ sơ công việc hoặc thiết bị.

Tài khoản quản trị viên

Khi quản trị viên tạo một doanh nghiệp có Tài khoản Google Play có quản lý, Tài khoản Google mà họ sử dụng không thể là tài khoản G Suite. Tài khoản mà họ sử dụng sẽ trở thành chủ sở hữu của doanh nghiệp và chủ sở hữu có thể thêm nhiều chủ sở hữu và quản trị viên hơn trong bảng điều khiển Google Play được quản lý.

Cả Enterprises.get và Enterprises.completeSignup đều trả về danh sách địa chỉ email của quản trị viên được liên kết với một doanh nghiệp (chỉ những doanh nghiệp có Tài khoản Google do quản lý).

Quản lý vòng đời của tài khoản

Trong quá trình triển khai Tài khoản Google Play được quản lý, bạn chịu trách nhiệm về vòng đời tài khoản người dùng và thiết bị, tức là bạn tạo, cập nhật và xoá các tài khoản này.

Bạn tạo tài khoản trong quá trình cung cấp thiết bị. Đây là một quy trình liên quan đến ứng dụng DPC và bảng điều khiển EMM của bạn. Để biết hướng dẫn, hãy xem phương thức Tài khoản Managed Google Play.

Để thay đổi thông tin của một tài khoản, hãy gọi Users.update.

Để xoá tài khoản, hãy gọi Users.delete

Quản trị viên không thể xoá từng tài khoản, nhưng họ có thể xoá một doanh nghiệp có Tài khoản Google Play có quản lý. Khi họ làm như vậy, thiết bị và tài khoản người dùng được liên kết với doanh nghiệp cuối cùng sẽ bị xoá, như mô tả trong phần Huỷ đăng ký, đăng ký lại, xoá.

Tài khoản hết hạn

Đôi khi, tài khoản hoặc mã thông báo của tài khoản sẽ hết hạn. Điều này có thể xảy ra vì một vài lý do:

• Mã thông báo xác thực dùng để thêm tài khoản vào thiết bị đã hết hạn.
• Tài khoản hoặc doanh nghiệp đã bị xoá.
• Đối với tài khoản trên thiết bị, tài khoản đã được thêm vào một thiết bị mới và do đó bị vô hiệu hoá trên thiết bị cũ.
• Đã kích hoạt quy trình kiểm tra tự động để phát hiện hành vi sai trái.

Ngoài ra, thông tin của thiết bị có thể bị xoá do quy trình dọn dẹp hàng loạt nếu thiết bị không kết nối mạng trong hơn 270 ngày.

Trong hầu hết các trường hợp (trừ phi EMM cố ý di chuyển tài khoản thiết bị sang một thiết bị mới), phương pháp hay nhất là sử dụng Play EMM API để yêu cầu mã thông báo mới từ máy chủ EMM, ghi lại trạng thái của tài khoản và doanh nghiệp cũng như mọi lỗi được trả về, sau đó thực hiện hành động thích hợp trên thiết bị. Ví dụ: làm mới mã thông báo hoặc nếu không khôi phục được lỗi, hãy đặt lại hoặc huỷ đăng ký thiết bị.

Để gia hạn mã thông báo đúng cách, bạn nên:

1. Gọi users.generateAuthenticationToken.
2. Nếu lệnh gọi thành công, hãy xoá tài khoản hiện có và thêm tài khoản mới bằng thư viện hỗ trợ DPC.
3. Nếu lệnh gọi không thành công, hãy xoá tài khoản khỏi thiết bị và tạo một người dùng mới bằng users.insert, tạo mã thông báo xác thực rồi thêm tài khoản vào thiết bị.

Các dịch vụ của Google Play phiên bản 9.0.00 sẽ thông báo cho DPC của bạn rằng tài khoản đã hết hạn bằng cách sử dụng thao tác truyền tin sau:

1. Khi Tài khoản Managed Google Play bị vô hiệu hoá trên một thiết bị, DPC sẽ nhận được một thông báo truyền tin với thao tác sau:

com.google.android.gms.auth.ACCOUNT_REAUTH_REQUIRED

2. Ý định truyền tin chứa thêm Parcelable với tên account, đây là đối tượng Account của tài khoản không hợp lệ.
3. DPC kiểm tra Account#name với máy chủ EMM để xác định tài khoản không hợp lệ.
4. DPC yêu cầu thông tin đăng nhập mới hoặc tài khoản mới, theo cùng một quy trình được dùng để cung cấp thiết bị ban đầu.