Provisionar contas de usuário

O provisionamento de identidade (ou provisionamento de contas) é o processo de configuração e estabelecer conexões entre os três sistemas e, em alguns casos, a configuração de conexões entre usuários e dispositivos.

Em um ambiente empresarial Android, até três sistemas diferentes mantêm informações da conta:

  • O diretório de usuários da organização é a fonte definitiva de informações sobre os usuários.
  • Você (o provedor da solução de EMM) precisa manter pelo menos um diretório mínimo de os usuários da organização.
  • O Google mantém algumas informações sobre as contas do Google Play gerenciado e Contas do Google para gerenciar os apps no Google Play.

Um recurso Users representa uma conta associados a uma empresa. A conta pode ser específica de um dispositivo ou pode ser associados a um indivíduo que tem vários dispositivos (celulares, tablets, e assim por diante) e usa a conta em todos eles. A conta pode conceder acesso apenas ao Google Play gerenciado ou a outros Serviços do Google, dependendo de como você configurou o empresa do cliente:

  • As contas do Google Play gerenciado oferecem meios transparentes para as empresas. para criar contas de usuário ou de dispositivo automaticamente em suas provedor de soluções de gerenciamento de mobilidade (EMM). Essas contas dão acesso a somente do Google Play gerenciado.

  • As Contas do Google são contas gerenciadas pelo Google e que exigem a sincronização com origens da Conta do Google.

Tabela 1: métodos e campos da API Users

 Contas do Google Play gerenciadoContas gerenciadas pelo Google
Campo
id
kind
accountIdentifierIdentificador exclusivo que você cria e mapeia para o ID (userId) retornado do Google Play. Não use pessoalmente de identificação pessoal (PII).Não definido
accountTypedeviceAccount, userAccountuserAccount
displayNameO nome exibido nos itens da interface, como em Google Play Não use informações de identificação pessoal.Não definido
managementTypeemmManagedgoogleManaged, emmManaged
primaryEmailNão definidoEste campo é a chave primária para gerenciar a sincronização entre contas de domínio gerenciadas pelo Google no seu sistema.
Métodos
excluir
generateAuthenticationToken
generateToken
get
getAvailableProductSet
insert
list
revokeToken
setAvailableProductSet
update

Contas do Google Play gerenciado

Há dois tipos de contas do Google Play gerenciado:

Conta de usuário
Concede a um único usuário acesso ao Google Play gerenciado em todos os dispositivos. Você precisa provisionar contas de usuário para seus usuários. Eles não têm as credenciais adicionar contas do Google Play gerenciado.
.
Para criar uma conta de usuário, chame Users.insert. Definir o tipo de conta como userType e definir um accountIdentifier, que faz referência exclusiva ao usuário dentro da empresa.
Prática recomendada: não use a mesma conta em mais de 10 dispositivos.
Conta de dispositivo
Concede acesso ao Google Play gerenciado em um único dispositivo. Se um de autenticação para uma conta de dispositivo, uma nova solicitação para uma o token de autenticação da conta do dispositivo desativa o token anterior. Cada dispositivo precisa ter licenças separadas para apps.
.
Para criar uma conta de dispositivo, chame Users.insert e defina o tipo de conta como deviceType.

Você cria e mantém um mapeamento entre as identidades do usuário ou do dispositivo e o as contas correspondentes do Google Play gerenciado, e você gerencia essas contas por o ciclo de vida delas. A organização não precisa de controle direto sobre eles contas do Google Play gerenciado, já que existem apenas para fins de de projetos.

Requisitos para consoles e servidores de EMM

As contas do Google Play gerenciado são criadas sob demanda, de forma programática, usando o As APIs de EMM do Google Play e as APIs de framework do Android nos componentes da sua Solução EMM (console de EMM, servidor EMM e DPC). Esses componentes interagem ambiente de execução para criar uma conta de usuário e provisionar o perfil de trabalho no dispositivo de destino. O console ou servidor de EMM precisa:

  • Fornecer um mecanismo para criar identificadores de conta anônimos e exclusivos (o campo accountIdentifier) para usar na chamada para Users.insert. Por exemplo, pode usar algum valor interno para o usuário ("sanjeev237389") ou um número de tag do ativo criptográfico ("asset#44448"). Evite usar pessoalmente de identificação pessoal (PII) para o identificador de conta.

  • Armazena o mapeamento entre o userId (retornado do insert). chamada) e a accountIdentifier selecionada.

.

Para conferir os requisitos para seu DPC, consulte Criar uma política do dispositivo Controller (link em inglês).

Criar uma conta de usuário do Google Play gerenciado

  1. Um usuário faz login no DPC usando (geralmente) credenciais corporativas.
  2. O DPC solicita detalhes sobre o usuário ao servidor ou console do EMM. Supondo que o usuário seja desconhecido para seu sistema:
    1. Envie a solicitação de nova conta do Google Play gerenciado ligando para Users.insert com valores de novos accountIdentifier, displayName e accountType.
      • Seu sistema precisa criar o accountIdentifier. O identificador da conta precisa ser um valor exclusivo em todo o sistema. Não use PII para os identificador de conta.
      • O displayName é exibido no seletor de contas do Google Play e devem ter algum significado para o usuário (mas não PII sobre os usuário). Por exemplo, o nome pode incluir o nome da organização ou um nome genérico relacionado ao EMM.
      • Defina a accountType como userAccount ou deviceAccount. Um O app userAccount pode ser usado em vários dispositivos, mas é possível usar um deviceAccount é específico para um único dispositivo. O accountType especificado pode ser deviceType ou userType.
      • Defina managementType como emmManaged.
    2. O Google Play processa a solicitação, cria a conta e retorna um userId.
    3. Armazene o mapeamento entre o accountIdentifier e o userId em seu repositório de dados.
    4. Chamar Users.generateAuthenticationToken com userId e enterpriseId. O Google Play retorna um token de autenticação que pode ser usado uma vez e que deve ser usado em um alguns minutos.
    5. Encaminhe o token de autenticação com segurança para o DPC.
  3. O DPC provisiona o perfil de trabalho e adiciona a conta a ele. ou dispositivo.
  4. O usuário pode acessar o Google Play gerenciado no dispositivo ou no perfil de trabalho.
.

Contas de administrador

Quando um administrador cria uma empresa com o Google Play gerenciado Contas do Google, a Conta do Google usada não pode ser uma conta do G Suite. a conta usada; se torna um proprietário da empresa, que pode adicionar outros proprietários e no Google Play Console gerenciado.

Tanto Enterprises.get quanto Enterprises.completeSignup retornar uma lista de endereços de e-mail de administradores associados a uma empresa (somente empresas com contas do Google Play gerenciado).

Gerenciar os ciclos de vida da conta

Em uma implantação de contas do Google Play gerenciado, você é responsável pelas e ciclos de vida da conta do dispositivo, o que significa que você cria, atualiza e exclui essas contas.

Você cria as contas durante o provisionamento do dispositivo, um processo que envolve seus app de DPC e seu console de EMM. Para instruções, consulte a contas do Google Play gerenciado método.

Para mudar as informações de uma conta, chame Users.update.

Para excluir uma conta, chame Users.delete.

Os administradores não podem excluir contas individuais, mas podem excluir uma com contas do Google Play gerenciado. Ao fazer isso, o dispositivo e contas de usuário associadas à empresa serão excluídas, conforme descrito em Cancelar inscrição, reinscrever-se, excluir.

Vencimento da conta

Às vezes, contas ou tokens expiram, o que pode acontecer motivos:

  • O token de autenticação para adicionar a conta ao dispositivo expirou.
  • A conta ou empresa foi excluída.
  • Para contas de dispositivo, a conta foi adicionada a um novo dispositivo e portanto desativado no dispositivo antigo.
  • As verificações automáticas de abuso são acionadas.

Na maioria dos casos, a menos que o EMM esteja movendo intencionalmente uma conta de dispositivo para um novo dispositivo), a prática recomendada é usar a API Play EMM para solicitar um novo token do servidor de EMM, observe o estado da conta e da empresa, retornados erros e, em seguida, tomar a ação apropriada no dispositivo. Por exemplo: atualize o token ou, se o erro não for recuperável, redefina ou cancele a inscrição do dispositivo.

A versão 9.0.00 do Google Play Services notifica seu DPC informando que a conta expirou usando a ação de transmissão:

  1. Quando a conta do Google Play gerenciado é invalidada em um dispositivo, o DPC recebe uma transmissão com a seguinte ação:

    com.google.android.gms.auth.ACCOUNT_REAUTH_REQUIRED

    A intent de transmissão contém um extra Parcelable com o nome account, que é Account objeto da conta invalidada.

  2. O DPC verifica Account#name ao servidor de EMM para identificar a conta invalidada.

  3. O DPC solicita novas credenciais ou uma nova conta, seguindo o mesmo fluxo usado para provisionar o dispositivo inicialmente.


Contas do Google

Para organizações que usam Contas do Google, as contas de usuário em um EMM espelham a solução de contas de usuário associadas a outro serviço do Google (por exemplo, G Suite). Essas contas são googleManaged (Tabela 1), porque Os serviços de back-end do Google são a fonte para a criação e as informações sobre a conta.

Como EMM, você pode fornecer mecanismos em seu console para facilitar a criação e a sincronização contínua das contas de usuário mantidas no seu sistema com as origens de conta do domínio do Google usando ferramentas como Google Cloud Directory Sync (GCDS) e a API Google Admin SDK Directory. para uma visão geral das diversas abordagens.) O modelo de identidade de domínio gerenciado pelo Google exige que a conta de usuário exista no contexto da sua solução (console de EMM, servidor EMM, talvez em um repositório de dados) antes de ser provisionado em qualquer dos dispositivos do usuário no contexto de um perfil de trabalho.

Durante o provisionamento de identidade, o domínio gerenciado pelo Google preenchida com contas de usuário. Em alguns casos, as identidades on-line dos usuários (por exemplo, as contas do Microsoft Exchange) são sincronizadas com Contas do Google.

Depois da sincronização inicial, mas antes que os aplicativos sejam distribuídos para os usuários dispositivo, o usuário precisa ativar a Conta do Google, conforme descrito em Ativar contas em dispositivos. Esta ativação permite que o dispositivo acesse o Google Play gerenciado.

Sincronizar contas de clientes

Em uma implantação de Contas do Google, a organização pode usar a ferramenta GCDS para sincronizar os dados no domínio do G Suite com os dados no LDAP; diretório. Também é possível usar o GCDS para fazer isso na página da organização em nome da organização, se ela permitir o acesso.

A ferramenta GCDS chama a API Google Directory e sincroniza nomes de usuário, mas não senhas.

Se a organização usa o Microsoft Active Directory e quiser manter as contas as senhas do G Suite sincronizadas com as senhas do Active Directory e ele, ou você, pode usar G Suite Password Sync (GSPS) com o GCDS.

Veja as instruções do GCDS para administradores em Preparar seu domínio do G Suite para sincronização.

API Google Directory

Em uma implantação de Contas do Google, você pode usar a API Google Directory para sincronizar diretórios ativos, senhas ou ambos:

  • Como usar a API Directory para sincronização somente de diretório. Se você tiver acesso somente leitura acesso ao Managed Google Domain da organização, você pode usar o Directory do Google para obter informações da Conta do Google, como nomes de usuário (mas não senhas) do Google. Como não é possível gravar dados nas Contas do Google, a organização é totalmente responsável pela vida da conta ciclos.

    Cenário 1 e Cenários de autenticação SSO com base em SAML descrever essa situação de forma mais completa.

    Para obter informações sobre como usar a Directory API dessa maneira, consulte Recuperar todos usuários da conta no a documentação da API Directory.

  • Como usar a API Directory para sincronização opcional de senhas e diretório. Se você têm acesso de leitura/gravação ao Managed Google Domain da organização, é possível usar a API Google Directory para obter nomes de usuário, senhas e outras Informações da Conta do Google. Você pode atualizar essas informações e sincronizá-las com seu próprio banco de dados, e você pode ter responsabilidade total ou parcial pela de cada ciclo de vida da conta, dependendo da solução que você oferece aos seus para o cliente.

    Cenário 2 essa situação descreve melhor essa situação.

    Para mais informações sobre como usar a API Directory para gerenciar informações de contas de usuários, veja API Directory: contas de usuário guia do desenvolvedor.

Cenários de Contas do Google

Alguns cenários típicos de provisionamento de identidade nas Contas do Google são descritos a seguir.

Cenário 1: o cliente é responsável pelos ciclos de vida da conta

Usar a API Directory (com acesso somente leitura) e o GCDS

Nesse cenário, seu cliente cria e mantém Contas do Google para sua usuários.

Você recebe as informações das contas de usuário do diretório LDAP da organização e correlacionar isso com os dados da Conta do Google que você recebe do Google API Directory.

A organização é totalmente responsável pelos ciclos de vida da conta. Por exemplo, quando uma nova Conta do Google é criada, a organização adiciona o usuário ao LDAP diretório. Na próxima vez que você sincronizar o banco de dados com o diretório LDAP, o recebe informações sobre esse novo usuário.

Nesse caso:

  • Você tem acesso somente leitura às Contas do Google.
  • Seu banco de dados adquire nomes de Contas do Google, mas nenhum nome de usuário ou senhas.
  • Você usa a API Google Directory para obter informações básicas da conta de sua os usuários do cliente. As informações disponíveis para você são não graváveis retornado por um Users.get solicitação). Você usa essas informações para verificar se as Contas do Google dos usuários existem para que os usuários possam se autenticar nos dispositivos.
  • Seu cliente usa a ferramenta GCDS para fazer uma sincronização unidirecional para preencher Contas do Google. A organização provavelmente também usa o GCDS para aplicativos a sincronização após a conclusão do provisionamento de identidade. Opcionalmente, os campos as organizações também podem usar a ferramenta GSPS para sincronizar não só nomes de usuário, mas também senhas.

Cenário 2: EMM responsável pelos ciclos de vida da conta

Como usar a API Directory com
  acesso de leitura e gravação

Neste cenário, você lida com o processo de criação de Contas do Google em nome do seu cliente e você é responsável pelos ciclos de vida das contas dos usuários.

Por exemplo, quando as informações dos usuários mudam no diretório LDAP da organização, você é responsável por atualizar a Conta do Google do usuário. O GCDS não é usado no neste cenário.

Nesse caso:

  • Você tem acesso de leitura e gravação às Contas do Google.
  • Seu banco de dados adquire nomes de Contas do Google e nomes de usuário LDAP (e opcionalmente, hashes de senha).
  • Você usa a API Google Directory em nome do seu cliente para ler e gravar informações da conta para os usuários da organização. (As informações são as informações não graváveis retornado por um Users.get solicitação). Você usa essas informações para verificar se as Contas do Google dos usuários existem para que os usuários possam se autenticar nos dispositivos.
  • A ferramenta GCDS não é usada.
.

Cenários de autenticação SSO baseada em SAML

Em uma implantação de Contas do Google, você ou seu cliente podem usar o Linguagem de marcação de autorização (SAML, na sigla em inglês) com um provedor de identidade (IdP) para autenticação a Conta do Google associada a cada usuário. Você usa os nomes das Contas do Google como verificação da existência de Contas do Google dos usuários, necessária para que o usuário autenticação quando os usuários fazem login nos dispositivos. Por exemplo, o SAML pode ser usados no cenário 2. Para detalhes sobre como fazer essa configuração, consulte Configurar Logon único Logon único (SSO) para contas do G Suite

Ativar contas em dispositivos

Para apps serem distribuídos para um dispositivo de usuário pelo Google Play gerenciado, o usuário precisa fazer login no dispositivo durante o provisionamento do dispositivo:

  • No provisionamento de dispositivos de contas do Google Play gerenciado, seu DPC orienta o usuário a fazer login usando as credenciais aceitas pelo EMM como as credenciais de e-mail corporativa.
  • Em uma implantação de Contas do Google, o DPC orienta o usuário a inserir Credenciais de login da Conta do Google Normalmente, essas credenciais correspondem às com os quais os usuários fazem login no domínio corporativo quando são sincronizados com o GCDS ou o GCDS, ou quando uma organização usa um IdP para fazer a autenticação. Isso ativa a Conta do Google do usuário, gera um ID de dispositivo exclusivo e vincula a identidade da Conta do Google do usuário e o ID do dispositivo.