Cấp phép danh tính (hoặc cấp phép tài khoản) là quá trình thiết lập tài khoản và thiết lập mối liên kết giữa ba hệ thống và trong một số trường hợp thiết lập kết nối giữa người dùng và thiết bị của họ.
Trong môi trường Android doanh nghiệp, có đến 3 hệ thống khác nhau thông tin tài khoản:
- Thư mục người dùng của tổ chức là nguồn thông tin chính thức về người dùng.
- Bạn (nhà cung cấp giải pháp EMM) phải duy trì ít nhất một thư mục tối thiểu người dùng trong tổ chức.
- Google lưu giữ một số thông tin về Tài khoản Google Play được quản lý và Tài khoản Google để cung cấp dịch vụ quản lý ứng dụng thông qua Google Play.
Tài nguyên Users
đại diện cho một tài khoản
liên kết với một doanh nghiệp. Tài khoản có thể dành riêng cho một thiết bị hoặc có thể
được liên kết với một cá nhân có nhiều thiết bị (điện thoại di động, máy tính bảng,
v.v.) và sử dụng tài khoản trên tất cả các dịch vụ đó. Tài khoản đó có thể cung cấp quyền truy cập
sang chỉ Managed Google Play hoặc các dịch vụ khác của Google, tùy thuộc vào cách bạn
thiết lập doanh nghiệp của khách hàng:
Tài khoản Managed Google Play cung cấp một cách thức minh bạch cho các doanh nghiệp để tự động tạo tài khoản người dùng hoặc tài khoản thiết bị thông qua doanh nghiệp nhà cung cấp giải pháp quản lý di động (EMM). Các tài khoản này cung cấp quyền truy cập vào chỉ có Managed Google Play.
Tài khoản Google là tài khoản hiện có do Google quản lý và cần có đồng bộ hoá với các nguồn Tài khoản Google.
Bảng 1: Các trường và phương thức API Người dùng
Tài khoản Google Play được quản lý | Tài khoản do Google quản lý | |
---|---|---|
Trường | ||
id | ||
loại | ||
accountIdentifier | Giá trị nhận dạng duy nhất mà bạn tạo và ánh xạ
vào mã nhận dạng (userId ) được trả về từ Google Play. Không sử dụng cho cá nhân
thông tin nhận dạng (PII). | Chưa đặt. |
accountType | deviceAccount, userAccount | userAccount |
Tên hiển thị | Tên bạn hiển thị trong các mục trên giao diện người dùng, chẳng hạn như trong Google Play. Không sử dụng thông tin nhận dạng cá nhân. | Chưa đặt. |
managementType | emmManaged | googleManaged, emmManaged |
primaryEmail | Chưa đặt. | Trường này là khoá chính theo mà bạn quản lý đồng bộ hoá từ tài khoản miền do Google quản lý đến người dùng trong hệ thống của bạn. |
Phương thức | ||
xóa | ||
generateAuthenticationToken | ||
generateToken | ||
get | ||
getAvailableProductSet | ||
insert | ||
danh sách | ||
revokeToken | ||
setAvailableProductSet | ||
cập nhật |
Tài khoản Google Play được quản lý
Có hai loại Tài khoản Google Play được quản lý:
- Tài khoản người dùng
- Cấp cho một người dùng duy nhất quyền truy cập vào Managed Google Play trên mọi thiết bị của họ. Bạn phải cấp phép tài khoản người dùng cho người dùng của mình vì họ không có thông tin đăng nhập tự thêm Tài khoản Google Play được quản lý.
- Để tạo tài khoản người dùng, hãy gọi
Users.insert
. Đặt loại tài khoản thànhuserType
và đặtaccountIdentifier
tham chiếu duy nhất đến người dùng trong doanh nghiệp. - Phương pháp hay nhất: Đừng dùng cùng một tài khoản trên hơn 10 tài khoản thiết bị.
- Tài khoản thiết bị
- Cung cấp quyền truy cập vào Managed Google Play từ một thiết bị duy nhất. Nếu một mã thông báo xác thực đã được phát hành cho tài khoản thiết bị, một yêu cầu mới cho mã thông báo xác thực cho tài khoản thiết bị đó sẽ huỷ kích hoạt mã thông báo trước đó. Mỗi thiết bị phải có giấy phép riêng cho các ứng dụng.
- Để tạo tài khoản thiết bị, hãy gọi
Users.insert
và đặt loại tài khoản thànhdeviceType
.
Bạn tạo và duy trì mối liên kết giữa danh tính người dùng hoặc thiết bị và Tài khoản Google Play được quản lý tương ứng và bạn quản lý các tài khoản thông qua vòng đời của chúng. Tổ chức không cần bất kỳ quyền kiểm soát trực tiếp nào đối với những dữ liệu này được quản lý, vì các tài khoản này chỉ dành cho mục đích ứng dụng Google Cloud.
Yêu cầu đối với bảng điều khiển và máy chủ EMM
Tài khoản Google Play được quản lý được tạo theo yêu cầu, theo chương trình và sử dụng API EMM của Google Play và API khung Android trên các thành phần của Giải pháp EMM (bảng điều khiển EMM, máy chủ EMM và DPC). Các thành phần này tương tác tại thời gian chạy để tạo một tài khoản người dùng và cấp phép hồ sơ công việc trên thiết bị mục tiêu. Bảng điều khiển hoặc máy chủ EMM của bạn phải:
Đưa ra cơ chế tạo mã nhận dạng tài khoản ẩn danh riêng biệt (trường
accountIdentifier
) để sử dụng trong lệnh gọi đếnUsers.insert
. Ví dụ: bạn có thể sử dụng một số giá trị nội bộ cho người dùng ("sanjeev237389") hoặc số thẻ tài sản bí ẩn ("nội dung#44448"). Tránh sử dụng thẻ cá nhân thông tin nhận dạng (PII) cho mã nhận dạng tài khoản.Lưu trữ mối liên kết giữa
userId
(trả về từinsert
cuộc gọi) vàaccountIdentifier
mà bạn chọn.
Để biết các yêu cầu đối với DPC, hãy xem Xây dựng chính sách thiết bị bộ điều khiển dành cho thiết bị di động.
Tạo tài khoản người dùng Managed Google Play
- Người dùng đăng nhập vào DPC của bạn bằng thông tin đăng nhập (thường) của công ty.
- DPC yêu cầu thông tin chi tiết về người dùng từ máy chủ hoặc bảng điều khiển EMM.
Giả sử hệ thống của bạn không xác định được người dùng:
- Gửi yêu cầu tạo Tài khoản Google Play được quản lý mới bằng cách gọi
Users.insert
có giá trị choaccountIdentifier
,displayName
vàaccountType
mới.- Hệ thống của bạn phải tạo
accountIdentifier
. Mã nhận dạng tài khoản phải là một giá trị duy nhất trên hệ thống của bạn. Không sử dụng PII cho mã nhận dạng tài khoản. displayName
xuất hiện trong trình chuyển đổi tài khoản của Google Play Lưu trữ và nên có ý nghĩa nào đó đối với người dùng (nhưng không phải là PII về thông tin nhận dạng cá nhân người dùng). Ví dụ: tên này có thể chứa tên tổ chức hoặc tên chung liên quan đến EMM.- Đặt
accountType
thànhuserAccount
hoặcdeviceAccount
. Đáp Bạn có thể dùnguserAccount
trên nhiều thiết bị, trong khideviceAccount
dành riêng cho một thiết bị.accountType
được chỉ định có thể làdeviceType
hoặcuserType
. - Đặt
managementType
thànhemmManaged
.
- Hệ thống của bạn phải tạo
- Google Play sẽ xử lý yêu cầu, tạo tài khoản và
sẽ trả về một
userId
. - Lưu trữ mối liên kết giữa
accountIdentifier
vàuserId
trong kho dữ liệu của bạn. - Gọi
Users.generateAuthenticationToken
vớiuserId
vàenterpriseId
. Google Play trả về một mã thông báo xác thực có thể dùng một lần và phải được dùng trong một vài phút. - Chuyển tiếp mã thông báo xác thực tới DPC của bạn một cách an toàn.
- Gửi yêu cầu tạo Tài khoản Google Play được quản lý mới bằng cách gọi
- DPC cung cấp hồ sơ công việc và thêm tài khoản vào hồ sơ công việc hoặc thiết bị.
- Người dùng có thể truy cập Managed Google Play trong hồ sơ công việc hoặc thiết bị.
Tài khoản quản trị viên
Khi một quản trị viên tạo một doanh nghiệp bằng Managed Google Play Tài khoản, Tài khoản Google mà họ sử dụng không được là tài khoản G Suite. Tài khoản họ sử dụng trở thành chủ sở hữu của doanh nghiệp và chủ sở hữu có thể thêm các chủ sở hữu khác và quản trị viên trong Managed Google Play Console.
Cả Enterprises.get
và
Enterprises.completeSignup
trả về danh sách các địa chỉ email của quản trị viên được liên kết với một doanh nghiệp
(chỉ dành cho doanh nghiệp có Tài khoản Google Play được quản lý).
Quản lý vòng đời tài khoản
Trong quá trình triển khai Tài khoản Google Play được quản lý, bạn chịu trách nhiệm về người dùng và vòng đời tài khoản thiết bị, tức là bạn tạo, cập nhật và xoá các tài khoản này.
Bạn tạo các tài khoản trong quá trình cấp phép thiết bị, một quá trình liên quan đến Ứng dụng DPC và bảng điều khiển EMM của bạn. Để biết hướng dẫn, hãy xem tài khoản Google Play được quản lý .
Để thay đổi thông tin của tài khoản, hãy gọi Users.update.
Để xoá tài khoản, hãy gọi Users.delete.
Quản trị viên không thể xoá từng tài khoản riêng lẻ nhưng có thể xoá một doanh nghiệp có Tài khoản Google Play được quản lý. Khi họ làm việc này, thiết bị và tài khoản người dùng liên kết với doanh nghiệp cuối cùng sẽ bị xoá, vì như mô tả trong phần Huỷ đăng ký, đăng ký lại, xóa.
Hết hạn tài khoản
Đôi khi, tài khoản hoặc mã thông báo của chúng hết hạn, điều này có thể xảy ra vì một số lý do:
- Mã thông báo xác thực mà thu được để thêm tài khoản vào thiết bị đã hết hạn.
- Tài khoản hoặc doanh nghiệp đó đã bị xoá.
- Đối với tài khoản thiết bị, tài khoản đó đã được thêm vào một thiết bị mới và do đó bị tắt trên thiết bị cũ.
- Đã kích hoạt chế độ tự động kiểm tra hành vi sai trái.
Trong hầu hết các trường hợp (trừ phi EMM cố ý di chuyển một tài khoản thiết bị sang một tài khoản mới thiết bị), phương pháp hay nhất là sử dụng API EMM của Play để yêu cầu một mã thông báo mới từ máy chủ EMM, ghi lại trạng thái của tài khoản, doanh nghiệp và mọi trả về lỗi và sau đó có hành động thích hợp đối với thiết bị. Ví dụ: làm mới mã thông báo hoặc nếu lỗi không thể khôi phục được, hãy đặt lại hoặc huỷ đăng ký thiết bị.
Dịch vụ Google Play phiên bản 9.0.00 thông báo cho bạn DPC mà tài khoản đã hết hạn bằng thao tác phát sóng:
Khi Tài khoản Managed Google Play không hợp lệ trên một thiết bị, DPC nhận thông báo truyền tin bằng thao tác sau:
com.google.android.gms.auth.ACCOUNT_REAUTH_REQUIRED
Ý định truyền tin chứa phần phụ
Parcelable
có tênaccount
, trong đó làAccount
đối tượng của tài khoản bị mất hiệu lực.DPC kiểm tra
Account#name
với máy chủ EMM để xác định tài khoản không hợp lệ.DPC yêu cầu thông tin xác thực mới hoặc tài khoản mới, theo cùng quy trình dùng để cấp phép cho thiết bị ban đầu.
Tài khoản Google
Đối với các tổ chức sử dụng Tài khoản Google, tài khoản người dùng trong EMM
giải pháp phản ánh tài khoản người dùng hiện có được liên kết với một dịch vụ khác của Google
(ví dụ: G Suite). Các tài khoản này là googleManaged
(Bảng 1) vì
Các dịch vụ phụ trợ của Google là nguồn tạo ra và cung cấp thông tin
về tài khoản.
Là nhà quản lý thiết bị di động doanh nghiệp (EMM), bạn có thể cung cấp các cơ chế trong bảng điều khiển của mình để hỗ trợ việc tạo và đồng bộ hoá liên tục các tài khoản người dùng có trong hệ thống của bạn với Nguồn tài khoản miền mua qua Google bằng các công cụ như Google Cloud Directory Sync (GCDS) và API Thư mục SDK dành cho quản trị viên của Google. để biết tổng quan về nhiều phương pháp tiếp cận). Mô hình nhận dạng miền do Google quản lý yêu cầu tài khoản người dùng tồn tại trong bối cảnh giải pháp của bạn (bảng điều khiển EMM, máy chủ EMM (có thể là trong kho dữ liệu) trước khi được cấp phép trên thiết bị của người dùng trong ngữ cảnh hồ sơ công việc.
Trong quá trình cấp phép danh tính, miền do Google quản lý của tổ chức sẽ điền sẵn tài khoản người dùng. Trong một số trường hợp, danh tính trực tuyến hiện có của người dùng (ví dụ: tài khoản Microsoft Exchange của họ) được đồng bộ hoá với Tài khoản Google.
Sau lần đồng bộ hoá ban đầu, nhưng trước khi ứng dụng được phân phối đến thiết bị, người dùng phải kích hoạt Tài khoản Google của họ, như được mô tả trong Kích hoạt các tài khoản trên thiết bị. Kích hoạt này cho phép thiết bị truy cập Managed Google Play.
Đồng bộ hoá tài khoản khách hàng
Trong quá trình triển khai Tài khoản Google, tổ chức có thể dùng công cụ GCDS để đồng bộ hóa dữ liệu trong miền G Suite của họ với dữ liệu trong LDAP của họ thư mục. Ngoài ra, bạn có thể dùng GCDS để thực hiện việc này trên nếu tổ chức cấp cho bạn quyền truy cập.
Công cụ GCDS gọi Google Directory API và đồng bộ hoá tên người dùng, nhưng không mật khẩu.
Nếu tổ chức sử dụng Microsoft Active Directory và muốn giữ lại thông tin Mật khẩu G Suite sẽ đồng bộ hóa với mật khẩu Active Directory của họ, sau đó họ hoặc bạn có thể sử dụng Đồng bộ hoá mật khẩu G Suite (GSPS) bằng GCDS.
Để xem hướng dẫn về GCDS dành cho quản trị viên, hãy xem bài viết Chuẩn bị miền G Suite của bạn để đồng bộ hoá.
API Google Directory
Trong quá trình triển khai Tài khoản Google, bạn có thể sử dụng Google Directory API để đồng bộ hoá các thư mục, mật khẩu đang hoạt động hoặc cả hai:
Sử dụng Directory API để chỉ đồng bộ hoá thư mục. Nếu bạn có chế độ chỉ đọc quyền truy cập vào miền Google được quản lý của tổ chức, bạn có thể sử dụng Directory API để lấy thông tin Tài khoản Google, chẳng hạn như tên người dùng (nhưng không phải mật khẩu) khỏi Google. Vì bạn không thể ghi bất kỳ dữ liệu nào cho người dùng Tài khoản Google, tổ chức hoàn toàn chịu trách nhiệm về thời gian hoạt động của tài khoản chu kỳ.
Tình huống 1 và trường hợp xác thực đăng nhập một lần (SSO) dựa trên SAML hãy mô tả tình huống này đầy đủ hơn.
Để biết thông tin về cách sử dụng API Thư mục theo cách này, hãy xem phần Truy xuất tất cả người dùng tài khoản ở tài liệu về API Thư mục.
Sử dụng API Thư mục để đồng bộ hoá thư mục và mật khẩu (không bắt buộc). Nếu bạn có quyền truy cập đọc-ghi đối với miền Google được quản lý của tổ chức, bạn có thể sử dụng Google Directory API để nhận tên người dùng, mật khẩu và các thông tin khác Thông tin về Tài khoản Google. Bạn có thể cập nhật và đồng bộ hoá thông tin này với cơ sở dữ liệu của riêng bạn và bạn có thể chịu hoàn toàn hoặc một phần trách nhiệm đối với chu kỳ hoạt động của tài khoản, tuỳ thuộc vào giải pháp bạn đang cung cấp cho khách hàng.
Tình huống 2 sẽ mô tả tình huống này đầy đủ hơn.
Để biết thêm về việc sử dụng Directory API để quản lý thông tin tài khoản người dùng, hãy xem Directory API: User Account (API Thư mục: Tài khoản người dùng) hướng dẫn của nhà phát triển.
Các trường hợp sử dụng Tài khoản Google
Mô tả một số trường hợp cấp phép danh tính điển hình của Tài khoản Google bên dưới.
Trường hợp 1: Khách hàng chịu trách nhiệm về vòng đời của tài khoản
Trong trường hợp này, khách hàng của bạn tạo và duy trì Tài khoản Google cho người dùng.
Bạn nhận được thông tin tài khoản người dùng từ thư mục LDAP của tổ chức và bạn liên kết thông tin này với dữ liệu trong Tài khoản Google mà bạn nhận được từ Google thông qua Directory API (API Thư mục).
Tổ chức này hoàn toàn chịu trách nhiệm về vòng đời của tài khoản. Ví dụ: khi một Tài khoản Google mới được tạo, tổ chức sẽ thêm người dùng vào LDAP của họ thư mục. Lần tiếp theo khi bạn đồng bộ hoá cơ sở dữ liệu với thư mục LDAP, cơ sở dữ liệu nhận được thông tin về người dùng mới này.
Trong tình huống này:
- Bạn chỉ có quyền đọc đối với Tài khoản Google.
- Cơ sở dữ liệu của bạn thu thập tên Tài khoản Google, nhưng không có tên người dùng LDAP hoặc mật khẩu.
- Bạn sử dụng Google Directory API để nhận thông tin tài khoản cơ bản cho
người dùng của khách hàng. (Thông tin có sẵn cho bạn là thông tin không thể ghi
trả về bởi
Users.get
yêu cầu). Bạn sử dụng thông tin này để xác minh rằng Tài khoản Google của người dùng tồn tại để người dùng có thể xác thực thiết bị của họ. - Khách hàng của bạn sử dụng công cụ GCDS để đồng bộ hoá một chiều nhằm điền dữ liệu của người dùng Tài khoản Google. (Tổ chức này cũng có thể sử dụng GCDS cho đồng bộ hoá sau khi cấp phép danh tính hoàn tất.) Nếu muốn, tổ chức cũng có thể sử dụng công cụ GSPS để đồng bộ hoá không chỉ tên người dùng mà còn cả mật khẩu.
Trường hợp 2: EMM chịu trách nhiệm về vòng đời của tài khoản
Trong trường hợp này, bạn xử lý quy trình tạo Tài khoản Google thay mặt của khách hàng và bạn chịu trách nhiệm về vòng đời tài khoản của người dùng.
Ví dụ: khi thông tin người dùng thay đổi trong thư mục LDAP của tổ chức, bạn chịu trách nhiệm cập nhật Tài khoản Google của người dùng. GCDS không được dùng trong trường hợp này.
Trong tình huống này:
- Bạn có quyền đọc-ghi đối với Tài khoản Google.
- Cơ sở dữ liệu của bạn sẽ thu thập tên Tài khoản Google và tên người dùng LDAP (và hàm băm mật khẩu).
- Bạn sử dụng Google Directory API thay mặt cho khách hàng của mình để đọc và
ghi thông tin tài khoản cho người dùng của tổ chức. (Thông tin
có sẵn cho bạn là thông tin không thể ghi
trả về bởi
Users.get
yêu cầu). Bạn sử dụng thông tin này để xác minh rằng Tài khoản Google của người dùng tồn tại để người dùng có thể xác thực thiết bị của họ. - Công cụ GCDS không được sử dụng.
Các trường hợp xác thực đăng nhập một lần dựa trên SAML
Trong quá trình triển khai Tài khoản Google, bạn hoặc khách hàng của bạn có thể sử dụng chế độ cài đặt Bảo mật Ngôn ngữ đánh dấu xác nhận (SAML) với nhà cung cấp danh tính (IdP) để xác thực Tài khoản Google liên kết với mỗi người dùng. Bạn sử dụng tên Tài khoản Google làm xác minh rằng Tài khoản Google của người dùng tồn tại. Điều này cần thiết cho người dùng xác thực khi người dùng đăng nhập vào thiết bị của họ. Ví dụ: SAML có thể là được dùng trong Tình huống 2. Để biết chi tiết về cách thiết lập chế độ này, hãy xem bài viết Thiết lập đĩa đơn Đăng nhập (SSO) cho tài khoản G Suite.
Kích hoạt tài khoản trên thiết bị
Để phân phối ứng dụng đến một thiết bị của người dùng thông qua Managed Google Play, người dùng phải đăng nhập vào thiết bị trong quá trình cấp phép thiết bị:
- Trong phần cấp phép thiết bị cho tài khoản Google Play được quản lý, DPC của bạn hướng dẫn người dùng đăng nhập bằng thông tin đăng nhập mà EMM của bạn chấp nhận bảng điều khiển, thường là thông tin đăng nhập email của công ty.
- Trong khi triển khai Tài khoản Google, DPC của bạn hướng dẫn người dùng nhập Thông tin đăng nhập vào Tài khoản Google. Thông thường, các thông tin đăng nhập này khớp với thông tin đăng nhập mà người dùng đăng nhập vào miền công ty của họ khi họ được đồng bộ hóa bằng GCDS hoặc GSPS hoặc khi một tổ chức sử dụng IdP để xác thực. Việc này sẽ kích hoạt Tài khoản Google của người dùng, tạo một mã thiết bị duy nhất và liên kết danh tính Tài khoản Google của người dùng với mã thiết bị của thiết bị của họ.