ユーザー アカウントのプロビジョニング

ID プロビジョニング(またはアカウントのプロビジョニング)は、Google 3 つのシステム間の接続を確立するため ユーザーとデバイス間の接続を設定します

Android のエンタープライズ環境では、最大 3 つの異なるシステムが アカウント情報:

  • 組織のユーザー ディレクトリが情報源として最も信頼できる ユーザーに関するものです。
  • EMM ソリューション プロバイダは、少なくとも次の最小のディレクトリを維持する必要があります。 保護します。
  • Google は、managed Google Play のアカウントに関する情報と、 Google アカウント: Google Play を通じてアプリを管理できます。

Users リソースはアカウントを表す 関連付けられていますデバイスに固有のアカウントを指定することも、 複数のデバイス(スマートフォン、タブレット、 すべてのアカウントで同じアカウントを使用します。このアカウントは アクセス方法に応じて、Google Play のみ、または他の Google サービス お客様の企業を設定します。

  • managed Google Play アカウントは透明性の高い手段を企業に提供します 企業アカウントを通じてユーザー アカウントまたはデバイス アカウントを自動作成できる モバイル管理(EMM)ソリューション プロバイダです。これらのアカウントを使用すると、 managed Google Play のみが対象です。

  • Google アカウントは、Google が管理する既存のアカウントです。 Google アカウントソースとの同期を行えます。

表 1: Users API のフィールドとメソッド

 managed Google Play アカウントGoogle が管理するアカウント
フィールド
id
kind
accountIdentifier作成してマッピングする一意の識別子 Google Play から返された ID(userId)にマッピングします。🔘? 個人的に使用しない 保護します。未設定。
accountTypedeviceAccount、userAccountuserAccount
displayNameUI アイテム内 Google Play。📣? 個人を特定できる情報は使わないでください。未設定。
managementTypeemmManagedgoogleManaged、emmManaged
primaryEmail未設定。このフィールドは主キーまたは Google が管理するドメイン アカウントからユーザー 自動的に検出されます。
メソッド
delete
generateAuthenticationToken
generateToken
get
getAvailableProductSet
挿入
list
revokeToken
setAvailableProductSet
update

managed Google Play アカウント

managed Google Play アカウントには次の 2 種類があります。

ユーザー アカウント
1 人のユーザーがすべてのデバイスから managed Google Play にアクセスできます。 管理者がユーザー アカウントをプロビジョニングする必要がある(ユーザーには認証情報がない) managed Google Play アカウントを自分で追加することもできます。
で確認できます。
ユーザー アカウントを作成するには、Users.insert を呼び出します。アカウントの種類として以下を設定します。 userTypeaccountIdentifier を設定します。 企業内のユーザーを一意に参照します。
ベスト プラクティス: 同じアカウントを 10 個以上の できます。
デバイス アカウント
1 台のデバイスから managed Google Play にアクセスできます。もし デバイス アカウントに対して認証トークンが発行され、 以前のトークンは無効になります。 デバイスごとに個別のアプリライセンスが必要です。
で確認できます。
デバイス アカウントを作成するには、Users.insert を呼び出してアカウントの種類を deviceType

ユーザー ID またはデバイス ID と、プロバイダ間のマッピングを managed Google Play アカウントをサポートし、 確保できます。組織がこれらを直接制御する必要はない managed Google Play アカウント。アカウントはアプリ専用です。 あります。

EMM コンソールとサーバーの要件

managed Google Play アカウントは、 Google Play EMM API と Android Framework API を、Google Play Console の EMM ソリューション(EMM コンソール、EMM サーバー、DPC)これらのコンポーネントは ユーザー アカウントを作成し、 対象デバイスで仕事用プロファイルをプロビジョニングします。 EMM コンソールまたは EMM サーバーは、次の要件を満たしている必要があります。

  • 一意の匿名アカウント ID を作成するメカニズムを提供する (accountIdentifier フィールド) Users.insert。たとえば、 ユーザーを表す内部値(sanjeev237389)を使用するか、 暗号アセットタグ番号(「asset#44448」)。個人的にの使用は避ける 個人を特定できる情報(PII)が保存されている。

  • userIdinsert から返される)間のマッピングを保存します。 呼び出しなど)と選択した accountIdentifier によって定義されます。

で確認できます。

DPC の要件については、デバイス ポリシーを作成する あります

managed Google Play ユーザー アカウントを作成する

  1. ユーザーが(通常は)会社の認証情報を使用して DPC にログインします。
  2. DPC が EMM サーバーまたは EMM コンソールにユーザーの詳細をリクエストします。 ユーザーがシステムで認識されていない場合: <ph type="x-smartling-placeholder">
      </ph>
    1. 呼び出して新しい managed Google Play アカウントのリクエストを送信する 次の値を含む Users.insert 新しいaccountIdentifierdisplayNameaccountType
      • システムで accountIdentifier を作成する必要があります。アカウント ID システム全体で一意の値にする必要があります。⧖ に個人情報を アカウント識別子です。
      • displayName が Google Play のアカウント切り替えツールに表示される ユーザーにとってなんらかの意味を持つもの( できます。たとえば、組織名または個人名が EMM に関連する一般名です。
      • accountTypeuserAccount または deviceAccount に設定します。 userAccount は複数のデバイスで使用できますが、deviceAccount は複数のデバイスで使用できます。 1 つのデバイスに固有です。指定できる accountType には、 deviceType または userType
      • managementTypeemmManaged に設定します。
    2. Google Play がリクエストを処理し、アカウントを作成して、 userId を返します。
    3. accountIdentifieruserId の間のマッピングを次の場所に保存します。 作成します。
    4. Users.generateAuthenticationToken を呼び出す userId および enterpriseId に置き換えます。Google Play は 1 回だけ使用できる認証トークンで、 数分かかります。
    5. 認証トークンを DPC に安全に転送します。
  3. DPC が仕事用プロファイルをプロビジョニングし、アカウントを仕事用プロファイルに追加する できます。
  4. ユーザーは仕事用プロファイルまたはデバイスから managed Google Play にアクセスできます。
で確認できます。

管理者アカウント

管理者が managed Google Play で企業を作成した場合 アカウント、 使用している Google アカウントが G Suite アカウントでないこと。使用するアカウント 企業のオーナーになり、オーナーはさらにオーナーを追加でき、 。

Enterprises.getEnterprises.completeSignup 企業に関連付けられている管理者メールアドレスのリストを返す (managed Google Play アカウントをご利用の企業のみ)。

アカウントのライフサイクルを管理する

managed Google Play アカウントを導入する場合は、ユーザーの ライフサイクルの管理が可能です。つまり、ユーザーの できます。

アカウントの作成は、デバイスのプロビジョニング時に行います。このプロセスでは、 DPC アプリと EMM コンソール。手順については、次をご覧ください: managed Google Play アカウント メソッド

アカウントの情報を変更するには、 Users.update.

アカウントを削除するには、 Users.delete.

管理者は個々のアカウントを削除することはできませんが、 managed Google Play アカウントを使用します。これを行うと、デバイスと ユーザー アカウントは最終的に削除されます。つまり、 登録解除、再登録、 delete で削除。

アカウントの有効期限

アカウントやそのトークンは、 理由:

  • 認証トークン に取得された有効期限が過ぎています。
  • アカウントまたは企業が削除されている。
  • デバイス アカウントの場合、そのアカウントは新しいデバイスに追加され、 古いデバイスでは無効になっています。
  • 不正行為の自動チェックがトリガーされます。

ほとんどの場合(EMM がデバイスのアカウントを新しいアカウントに意図的に移動している場合を除く) 新しいトークンは、Play EMM API を使用してリクエストすることをおすすめします。 EMM サーバーから読み込む場合、アカウントと企業のステータス、 エラーが返された後、デバイスに対して適切な措置を講じます。たとえば トークンを更新するか、エラーを回復できない場合は、 ダウンロードします

Google Play 開発者サービス バージョン 9.0.00 が、 ブロードキャスト アクションを使用してアカウントの有効期限が切れたことを示す DPC:

  1. デバイスで managed Google Play アカウントが無効になると、DPC は 次のアクションでブロードキャストを受信します。 

    com.google.android.gms.auth.ACCOUNT_REAUTH_REQUIRED

    ブロードキャスト インテントには、account という名前の Parcelable エクストラが含まれています。 Account 無効化されたアカウントのオブジェクトです。

  2. DPC はAccount#nameを確認します。 を EMM サーバーに送信し、無効化されたアカウントを特定します。

  3. DPC は、新しい認証情報または新しいアカウントをリクエストします。 デバイスのプロビジョニングに使用するフロー あります。

Google アカウント

Google アカウントを使用している組織では、EMM のユーザー アカウントが必要です ソリューションでは、別の Google サービスに関連付けられている既存のユーザー アカウントを反映します。 (例: G Suite)。これらのアカウント: googleManaged表 1)に示したのは、 Google のバックエンド サービスは、Google が生み出す 表示されます。

EMM として、コンソールで EMM を簡単に作成できるメカニズムを システムで保持されているユーザー アカウントとアカウントの Google ドメイン アカウント ソース( Google Cloud Directory Sync(GCDS) Google Admin SDK Directory API。 をご覧ください)。Google マネージド ドメインの ID モデル ユーザー アカウントがソリューション(EMM コンソール、 EMM サーバー(データストアなど)にデータを保管しておいてから、 仕事用プロファイルのコンテキスト内でユーザーのデバイスのセキュリティを管理します。

ID のプロビジョニング中、組織の Google が管理するドメインは ユーザー アカウントが入力されます。場合によっては、ユーザーの既存のオンライン ID が (たとえば、Microsoft Exchange アカウント)は、ユーザーの Google アカウント。

最初の同期の後、アプリがユーザーのユーザーに配布されるまで ユーザーが Google アカウントを有効化する必要があります。詳しくは、 デバイスでアカウントを有効にします。このアクティベーション デバイスから managed Google Play にアクセスできます。

顧客アカウントを同期する

Google アカウントを導入している場合、組織は GCDS ツールを使用して G Suite ドメインのデータを LDAP のデータと同期させる されます。または、GCDS を使用して組織の 組織からアクセス権が付与されている場合に、代理で行うことができます。

GCDS ツールは Google Directory API を呼び出してユーザー名を同期しますが、 できます。

組織が Microsoft Active Directory を使用していて、ユーザーのアクセス権を G Suite のパスワードを Active Directory のパスワードと同期して、 使用したり、 G Suite Password Sync(GCDS) GCDS と併用できます

管理者向け GCDS の手順については、G Suite ドメインを準備する 同期できます

Google Directory API

Google アカウントを導入している場合、Google Directory API を使用して次のことができます。 アクティブ ディレクトリ、パスワード、またはその両方を同期できます。

  • Directory API を使用してディレクトリのみの同期を行う。読み取り専用の アクセスするには、Google Cloud コンソールで Directory API を使用して、ユーザー名などの Google アカウント情報(ただし、 パスワードなど)が含まれます。ユーザーの ID にデータを書き込めないため、 Google アカウントについては、組織がアカウント存続の全責任を負います。 繰り返します。

    シナリオ 1 SAML ベースの SSO 認証シナリオ 状況を詳しく説明します

    この方法で Directory API を使用する方法については、 ユーザーが Directory API のドキュメントをご覧ください

  • Directory API を使用してディレクトリとオプションのパスワード同期を行う。もし 組織の管理対象の Google ドメインに対する読み取り / 書き込みアクセス権がある Google Directory API を使用して、ユーザー名、パスワード、その他の情報を Google アカウント情報。この情報を更新して 独自のデータベースであり、その一部または全部の責任を Google Cloud が ライフサイクルの総延長は、提供するソリューションによって異なります。 提供します。

    シナリオ 2 状況を詳しく説明しています

    Directory API を使用してユーザー アカウント情報を管理する方法について詳しくは、 Directory API: ユーザー アカウントを参照 ご覧ください。

Google アカウントのシナリオ

Google アカウントの ID プロビジョニングの一般的なシナリオをいくつか説明します。 ご覧ください

シナリオ 1: お客様がアカウントのライフサイクルに責任を持つ

Directory API(読み取り専用アクセス)と GCDS を使用する

このシナリオでは、お客様が自社の Google アカウントを作成して維持し、 できます。

組織の LDAP ディレクトリからユーザー アカウント情報を取得し、 これを Google アカウント データと関連付けます。Google アカウント データは Directory API

アカウントのライフサイクルについては組織が全責任を負う。たとえば 新しい Google アカウントが作成されたら、組織がユーザーを LDAP に追加する されます。次回データベースを LDAP ディレクトリに同期するときは、 データベースが新しいユーザーに関する情報を受け取ります。

次のようになります。

  • Google アカウントへの読み取り専用権限です。
  • データベースは Google アカウント名を取得しますが、LDAP ユーザー名や できます。
  • Google Directory API を使用して、組織の基本的なアカウント情報を取得します。 サポートします。(利用可能な情報は、 Users.get によって返される リクエストなど)。この情報を使用して、ユーザーの Google アカウントが存在することを確認します。 ユーザーが自分のデバイスに対して認証を行えるようにします。
  • お客様は GCDS ツールを使用して一方向の同期を行い、 Google アカウント。(組織ではおそらく、自社の継続的な運用のために GCDS も使用している 同期できます)。必要に応じて、 組織では GSPS ツールも使用できます。 ユーザー名だけでなくパスワードも同期できます

シナリオ 2: アカウントのライフサイクルを管理する EMM

Directory API を 読み取り / 書き込みアクセス

このシナリオでは、ユーザーが代理で Google アカウントの作成プロセスを処理します ユーザーアカウントのライフサイクルについては、広告主様が責任を負います。

たとえば、組織の LDAP ディレクトリでユーザー情報が変更されたとき、 ユーザーの Google アカウントを更新する責任があります。GCDS はオンプレミスで 見ていきましょう

次のようになります。

  • Google アカウントに対する読み取り / 書き込みアクセス権がある。
  • データベースは Google アカウント名と LDAP ユーザー名を取得し、 (省略可)パスワード ハッシュ)
  • 顧客に代わって Google Directory API を使用して読み取りや 組織のユーザーのアカウント情報を記述します。(この情報は、 書き込み不可能な情報です。 Users.get によって返される リクエストなど)。この情報を使用して、ユーザーの Google アカウントが存在することを確認します。 ユーザーが自分のデバイスに対して認証を行えるようにします。
  • GCDS ツールは使用しません。
で確認できます。

SAML ベースの SSO 認証シナリオ

Google アカウントの導入では、セキュリティ オプションを使用して、 認証に使用する ID プロバイダ(IdP)による Assertion Markup Language(SAML) ユーザーに関連付けられた Google アカウント。Google アカウント名を使用している ユーザーの Google アカウントが存在することの確認(ユーザーが 認証が必要になります。たとえば、SAML は 使用します。設定方法の詳細については、単一設定の設定 G Suite アカウントに対するログイン(SSO)」をご覧ください。

デバイスでアカウントを有効にする

managed Google Play 経由でユーザーのデバイスにアプリを配信する場合、ユーザーは デバイスのプロビジョニング中にデバイスにログインする必要があります。

  • managed Google Play アカウントのデバイスのプロビジョニングで、 EMM で承認された認証情報を使用してログインするようユーザーに案内する 通常は会社のメール認証情報です。
  • Google アカウントの導入では、DPC がユーザーをガイドとして入力 Google アカウントのログイン認証情報。通常、これらの認証情報は Google Cloud の ユーザーが会社のドメインにログインするための認証情報 GCDS や GCDS で使用する場合、または組織が認証に IdP を使用する場合。 これにより、ユーザーの Google アカウントが有効になり、一意のデバイス ID が生成されます。 ユーザーの Google アカウント ID とデバイスのデバイス ID をバインドします。