Nutzerkonten bereitstellen

Identitätsbereitstellung (oder Kontobereitstellung) ist der Prozess der Einrichtung Konten verwalten und Verbindungen zwischen den drei Systemen herstellen. In einigen Fällen Verbindungen zwischen Nutzern und ihren Geräten einrichten.

In einer Android-Unternehmensumgebung sind bis zu drei verschiedene Systeme Kontoinformationen:

  • Das Nutzerverzeichnis der Organisation ist die maßgebliche Informationsquelle. zu den Nutzenden.
  • Sie (der Anbieter der EMM-Lösung) müssen mindestens ein Verzeichnis die Nutzenden des Unternehmens.
  • Google pflegt einige Informationen zu Managed Google Play-Konten und Google-Konten, um die App-Verwaltung über Google Play zu ermöglichen.

Eine Users-Ressource steht für ein Konto die mit einem Unternehmen verbunden sind. Das Konto kann gerätespezifisch sein die mit einer Person verknüpft sein müssen, die mehrere Geräte (Mobiltelefon, Tablet, und so weiter) und verwendet das Konto für alle. Über das Konto kann Zugriff gewährt werden. nur auf Managed Google Play oder andere Google-Dienste, Unternehmen Ihres Kunden einrichten:

  • Managed Google Play-Konten bieten Unternehmen eine transparente Möglichkeit Nutzer- oder Gerätekonten automatisch über ihr Unternehmen Anbieter von EMM-Lösungen (Mobility Management). Diese Konten bieten Zugriff auf Nur Managed Google Play

  • Google-Konten sind bestehende Konten, die von Google verwaltet werden und erfordern, Synchronisierung mit Google-Kontoquellen.

Tabelle 1: Felder und Methoden der Users API

 Managed Google Play-KontenVon Google verwaltete Konten
Feld
id
Typ
accountIdentifierEine eindeutige Kennung, die Sie erstellen und zuordnen an die von Google Play zurückgegebene ID (userId). Nicht für private Zwecke nutzen personenidentifizierbaren Informationen.Nicht definiert.
accountTypedeviceAccount, userAccountuserAccount
displayNameDer Name, den Sie in UI-Elementen anzeigen, z. B. in Google Play Verwenden Sie keine personenbezogenen Daten.Nicht definiert.
managementTypeemmManagedgoogleManaged, emmManaged
primaryEmailNicht definiert.Dieses Feld ist der Primärschlüssel, für die Sie die Synchronisierung der von Google verwalteten Domainkonten an Nutzer verwalten, Konten in Ihrem System.
Methoden
Löschen
generateAuthenticationToken
generateToken
get
getAvailableProductSet
insert
list
revokeToken
setAvailableProductSet
update

Managed Google Play-Konten

Es gibt zwei Arten von Managed Google Play-Konten:

Nutzerkonto
Ein einzelner Nutzer kann von allen seinen Geräten aus auf Managed Google Play zugreifen. Sie müssen Nutzerkonten für Ihre Nutzer bereitstellen – diese haben nicht die Anmeldedaten um Managed Google Play-Konten selbst hinzuzufügen.
Wenn Sie ein Nutzerkonto erstellen möchten, rufen Sie Users.insert auf. Kontotyp festlegen auf userType und legen Sie einen accountIdentifier fest, der eindeutig auf den Nutzer innerhalb des Unternehmens verweist.
Best Practice: Verwenden Sie dasselbe Konto nicht für mehr als 10 Konten. Geräte.
Gerätekonto
Nutzer können über ein einziges Gerät auf Managed Google Play zugreifen. Wenn ein für ein Gerätekonto ausgegeben wurde, wird eine neue Anfrage Authentifizierungstoken für dieses Gerätekonto deaktiviert das vorherige Token. Jedes Gerät sollte eine eigene Lizenz für Apps haben.
Wenn Sie ein Gerätekonto erstellen möchten, rufen Sie Users.insert auf und legen Sie den Kontotyp auf deviceType

Sie erstellen und verwalten eine Zuordnung zwischen der Nutzer- oder Geräteidentität und der entsprechende Managed Google Play-Konten und Sie verwalten die Konten über über ihren gesamten Lebenszyklus hinweg. Die Organisation benötigt keine direkte Kontrolle darüber. Managed Google Play-Konten, da die Konten ausschließlich für zu verstehen.

Anforderungen für EMM-Konsolen und -Server

Managed Google Play-Konten werden bei Bedarf programmatisch mithilfe des Google Play EMM APIs und Android Framework APIs in den Komponenten Ihrer EMM-Lösung (EMM-Konsole, EMM-Server und DPC) Diese Komponenten interagieren um ein Nutzerkonto zu erstellen Arbeitsprofil auf dem Zielgerät bereitstellen Für Ihre EMM-Konsole oder Ihren EMM-Server müssen folgende Voraussetzungen erfüllt sein:

  • Bereitstellung eines Mechanismus zum Erstellen eindeutiger anonymer Konto-IDs (Feld accountIdentifier) für den Aufruf von Users.insert Zum Beispiel haben Sie einen internen Wert für den Nutzer ("sanjeev237389") oder einen kryptische Asset-Tag-Nummer („asset#44448“). Vermeiden Sie die Verwendung für private Zwecke personenidentifizierbaren Informationen für die Konto-ID.

  • Zuordnung zwischen userId speichern (von insert zurückgegeben) Anruf) und der ausgewählten accountIdentifier.

Informationen zu den Anforderungen für Ihren DPC finden Sie unter Geräterichtlinie erstellen Controller

Managed Google Play-Nutzerkonto erstellen

  1. Ein Nutzer meldet sich in Ihrem DPC mit (normalerweise) geschäftlichen Anmeldedaten an.
  2. Der DPC fordert Details zum Nutzer vom EMM-Server oder der EMM-Konsole an. Angenommen, der Nutzer ist Ihrem System unbekannt: <ph type="x-smartling-placeholder">
      </ph>
    1. Anfrage für ein neues Managed Google Play-Konto über folgenden Link senden: Users.insert mit Werten für neue accountIdentifier, displayName und accountType.
      • Ihr System muss die accountIdentifier erstellen. Die Konto-ID muss in Ihrem gesamten System ein eindeutiger Wert sein. Verwenden Sie keine personenidentifizierbaren Informationen für die Konto-ID.
      • Die displayName wird in der Kontoauswahl von Google Play angezeigt. Speichern und sollte eine Bedeutung für den Nutzer haben (aber keine PII über die Nutzer). Der Name könnte beispielsweise den Namen der Organisation oder einen generischen Namen, der sich auf den EMM bezieht.
      • Setzen Sie accountType auf userAccount oder deviceAccount. A userAccount kann auf mehreren Geräten verwendet werden, während deviceAccount für ein einzelnes Gerät. Die angegebene accountType kann deviceType oder userType.
      • Legen Sie den Wert managementType auf emmManaged fest.
    2. Google Play verarbeitet die Anfrage, erstellt das Konto und gibt userId zurück.
    3. Speichern Sie die Zuordnung zwischen accountIdentifier und userId in Ihren Datenspeicher.
    4. Users.generateAuthenticationToken anrufen mit dem userId und dem enterpriseId. Google Play gibt eine Authentifizierungstoken, das einmal verwendet und in einem ein paar Minuten.
    5. Leiten Sie das Authentifizierungstoken sicher an Ihren DPC weiter.
  3. Der DPC stellt das Arbeitsprofil bereit und fügt das Konto dem Arbeitsprofil hinzu. oder Gerät.
  4. Der Nutzer kann über das Arbeitsprofil oder das Gerät auf Managed Google Play zugreifen.

Administratorkonten

Wenn ein Administrator ein Unternehmen mit Managed Google Play erstellt Konten, Das verwendete Google-Konto darf kein G Suite-Konto sein. Das von ihm verwendete Konto wird Inhaber für das Unternehmen und dieser kann weitere Inhaber und in der Managed Google Play Console verwalten.

Sowohl Enterprises.get als auch Enterprises.completeSignup eine Liste der Administrator-E-Mail-Adressen zurückgeben, die mit einem Unternehmen verknüpft sind (nur in Unternehmen mit Managed Google Play-Konten).

Kontolebenszyklen verwalten

Bei der Bereitstellung von Managed Google Play-Konten sind Sie für die und Geräte-Kontolebenszyklen, d. h. Sie erstellen, aktualisieren und löschen für diese Konten.

Sie erstellen die Konten während der Gerätebereitstellung, ein Vorgang, bei dem Ihre DPC-App und Ihrer EMM-Konsole. Anweisungen finden Sie in der Managed Google Play-Konten .

Um Informationen zu einem Konto zu ändern, rufen Sie Users.update.

Wenn Sie ein Konto löschen möchten, rufen Sie Users.delete.

Administratoren können einzelne Konten nicht löschen. Unternehmen mit Managed Google Play-Konten. Dabei werden das Gerät und die Nutzerkonten, die mit dem Unternehmen verknüpft sind, werden gelöscht, unter Abmelden, wieder anmelden, löschen.

Ablauf des Kontos

Gelegentlich laufen Konten ab oder Tokens ablaufen. Gründe:

  • Das Authentifizierungstoken die zum Hinzufügen des Kontos zum Gerät erhalten wurde, abgelaufen ist.
  • Das Konto oder das Unternehmen wurde gelöscht.
  • Bei Gerätekonten wurde das Konto einem neuen Gerät hinzugefügt und wird daher auf dem alten Gerät deaktiviert.
  • Automatische Prüfungen auf Missbrauch werden ausgelöst.

In den meisten Fällen (es sei denn, der EMM-Anbieter verlagert ein Gerätekonto absichtlich auf ein neues Gerät), empfehlen wir, mit der Play EMM API ein neues Token anzufordern. vom EMM-Server übertragen, notieren Sie sich den Status des Kontos und des Unternehmens sowie und entsprechende Maßnahmen auf dem Gerät ergreifen. Beispiel: Aktualisieren Sie das Token. Falls der Fehler nicht behoben werden kann, setzen Sie das Token zurück oder heben Sie die Registrierung auf. .

Über Version 9.0.00 der Google Play-Dienste werden Ihre DPC, dass das Konto mit der Broadcast-Aktion abgelaufen ist:

  1. Wenn das Managed Google Play-Konto auf einem Gerät ungültig wird, empfängt eine Übertragung mit der folgenden Aktion:

    com.google.android.gms.auth.ACCOUNT_REAUTH_REQUIRED

    Der Broadcast-Intent enthält ein zusätzliches Parcelable-Element mit dem Namen account, das ist der Account Objekt des ungültigen Kontos.

  2. Der DPC prüft Account#name mit dem EMM-Server, um das ungültig gemachte Konto zu identifizieren.

  3. Der DPC fordert entweder neue Anmeldedaten an oder fordert ein neues Konto an. Ablauf für die Bereitstellung des Geräts anfänglich.


Google-Konten

Für Organisationen, die Google-Konten verwenden, Nutzerkonten in einem EMM-Tool vorhandene Nutzerkonten, die mit einem anderen Google-Dienst verknüpft sind, spiegeln z. B. G Suite. Diese Konten sind googleManaged (Tabelle 1), weil Die Back-End-Dienste von Google sind die Quelle für Informationen und über das Konto.

Als EMM-Anbieter können Sie in Ihrer Konsole Mechanismen bereitstellen, die das Erstellen von Dokumenten erleichtern. und fortlaufende Synchronisierung der in Ihrem System gespeicherten Nutzerkonten mit ihren Google-Domain-Kontoquellen mit Tools wie Google Cloud Directory Sync (GCDS) und die Google Admin SDK Directory API. finden Sie einen Überblick über die verschiedenen Ansätze.) Das von Google verwaltete Domain-Identitätsmodell setzt voraus, dass das Nutzerkonto im Kontext Ihrer Lösung vorhanden ist (EMM-Konsole, EMM-Server, z. B. in einem Datenspeicher), bevor er auf einem beliebigen der Geräte des Nutzers im Kontext eines Arbeitsprofils.

Bei der Identitätsbereitstellung wird die von Google verwaltete Domain der Organisation mit den Nutzerkonten gefüllt. In einigen Fällen können bereits bestehende Online-Identitäten (z. B. ihre Microsoft Exchange-Konten) mit ihren Google-Konten.

Nach der ersten Synchronisierung, aber vor der Bereitstellung von Apps an die Gerät muss der Nutzer sein Google-Konto aktivieren, wie in den Konten auf Geräten aktivieren Diese Aktivierung ermöglicht dem Gerät den Zugriff auf Managed Google Play.

Kundenkonten synchronisieren

Bei der Bereitstellung von Google-Konten kann die Organisation mithilfe des GCDS-Tools Folgendes tun: die Daten in ihrer G Suite-Domain mit den Daten in ihrem LDAP -Verzeichnis. Alternativ können Sie GCDS verwenden, um dies auf der Ebene der Organisation zu tun. im Namen der Organisation, sofern die Organisation Ihnen Zugriff gewährt.

Das GCDS-Tool ruft die Google Directory API auf und synchronisiert Nutzernamen, aber nicht Passwörter.

Wenn die Organisation Microsoft Active Directory verwendet und die G Suite-Passwörter mit ihren Active Directory-Passwörtern synchronisieren, können sie – oder Sie – G Suite Password Sync (GSPS) mit GCDS zu kombinieren.

Eine GCDS-Anleitung für Administratoren finden Sie unter G Suite-Domain vorbereiten für die Synchronisierung.

Google Directory API

In einer Bereitstellung mit Google-Konten können Sie die Google Directory API verwenden, um aktive Verzeichnisse, Passwörter oder beides synchronisieren:

  • Directory API zur reinen Verzeichnissynchronisierung verwenden Wenn Sie schreibgeschützte Zugriff auf die verwaltete Google-Domain der Organisation haben, können Sie das Google-Konto Directory API Google-Kontoinformationen wie Nutzernamen abrufen, aber nicht Passwörter) von Google. Da Sie dem Nutzer keine Daten schreiben können, Google-Konten nutzt, trägt die Organisation die alleinige Verantwortung für die Kontolebensdauer. Zyklen.

    Situation 1 und SAML-basierte SSO-Authentifizierungsszenarien Situation genauer beschreiben.

    Weitere Informationen dazu, wie Sie die Directory API auf diese Weise verwenden, finden Sie unter Alle abrufen Kontonutzer in in der Dokumentation zur Directory API.

  • Directory API zur Verzeichnis- und Passwortsynchronisierung verwenden Wenn Sie Sie Lese- und Schreibzugriff auf die verwaltete Google-Domain der Organisation haben, können Sie die Google Directory API verwenden, um Nutzernamen, Passwörter und andere Google-Kontoinformationen. Sie können diese Informationen aktualisieren und mit in Ihrer eigenen Datenbank arbeiten und möglicherweise vollständige oder teilweise Verantwortung für Kontolebenszyklen abhängig von der Lösung, die Sie Ihrem Kunden.

    Situation 2 ausführlicher beschreiben.

    Weitere Informationen zur Verwendung der Directory API zum Verwalten von Nutzerkontoinformationen Siehe Directory API: Nutzerkonten Entwicklerleitfaden.

Szenarien für Google-Konten

Im Folgenden werden einige typische Szenarien für die Identitätsbereitstellung für Google-Konten beschrieben. unten.

Szenario 1: Verantwortlicher Kunde für Kontolebenszyklen

Directory API (mit Lesezugriff) und GCDS verwenden

In diesem Szenario erstellt und verwaltet Ihr Kunde Google-Konten für seine Nutzenden.

Sie erhalten Informationen zu den Nutzerkonten aus dem LDAP-Verzeichnis der Organisation und mit Google-Kontodaten korrelieren, die Sie über die Google Directory API

Die Organisation trägt die volle Verantwortung für den Lebenszyklus von Konten. Wenn beispielsweise Ein neues Google-Konto wird erstellt und die Organisation fügt den Nutzer zu ihrem LDAP hinzu. -Verzeichnis. Wenn Sie Ihre Datenbank das nächste Mal mit dem LDAP-Verzeichnis synchronisieren, Datenbank Informationen über diesen neuen Benutzer erhält.

Für dieses Beispiel gilt:

  • Sie haben nur Lesezugriff auf Google-Konten.
  • Ihre Datenbank erwirbt Google-Kontonamen, aber keine LDAP-Nutzernamen oder Passwörter.
  • Sie verwenden die Google Directory API, um grundlegende Kontoinformationen für Ihr die Nutzenden der Kundschaft. (Die Informationen, die Ihnen zur Verfügung stehen, sind die nicht beschreibbaren Informationen. zurückgegeben von Users.get -Anforderung). Anhand dieser Informationen bestätigen Sie, dass die Google-Konten der Nutzer vorhanden sind. damit sich Nutzer auf ihren Geräten authentifizieren können.
  • Ihr Kunde verwendet das GCDS-Tool, um eine einseitige Synchronisierung durchzuführen, um die Daten der Nutzer Google-Konten. (Die Organisation nutzt GCDS wahrscheinlich auch für die nach Abschluss der Identitätsbereitstellung.) Optional kann das Feld Unternehmen können auch das GSPS-Tool verwenden. um nicht nur Nutzernamen, sondern auch Passwörter zu synchronisieren.

Szenario 2: EMM-Anbieter für den Kontolebenszyklus

Directory API mit
  Lese-/Schreibzugriff

In diesem Szenario übernehmen Sie die Erstellung von Google-Konten und Sie sind für die Kontolebenszyklen der Nutzer verantwortlich.

Wenn sich z. B. Nutzerinformationen im LDAP-Verzeichnis der Organisation ändern, sind Sie dafür verantwortlich, das Google-Konto des Nutzers zu aktualisieren. GCDS wird nicht verwendet in in diesem Szenario.

Für dieses Beispiel gilt:

  • Sie haben Lese-/Schreibzugriff auf Google-Konten.
  • Ihre Datenbank übernimmt Google-Kontonamen und LDAP-Nutzernamen (und optional Passwort-Hashes).
  • Sie verwenden die Google Directory API im Namen Ihres Kunden zum Lesen und Kontoinformationen für die Nutzer des Unternehmens zu verfassen. (Die Informationen sind die nicht beschreibbaren Informationen, zurückgegeben von Users.get -Anforderung). Anhand dieser Informationen bestätigen Sie, dass die Google-Konten der Nutzer vorhanden sind. damit sich Nutzer auf ihren Geräten authentifizieren können.
  • Das GCDS-Tool wird nicht verwendet.

Szenarien für die SAML-basierte SSO-Authentifizierung

In einer Bereitstellung für Google-Konten können Sie oder Ihr Kunde Sicherheit verwenden. Assertion Markup Language (SAML) mit einem Identitätsanbieter (Identity Provider, IdP) zur Authentifizierung das mit dem jeweiligen Nutzer verknüpfte Google-Konto. Sie verwenden die Google-Kontonamen. bestätigen, dass die Google-Konten der Nutzer vorhanden sind. Dies wird Authentifizierung, wenn sich Nutzer auf ihren Geräten anmelden. Zum Beispiel könnte SAML die in Szenario 2 verwendet wird. Weitere Informationen Anmeldung (SSO) für G Suite-Konten.

Konten auf Geräten aktivieren

Damit Apps über Managed Google Play an ein Nutzergerät vertrieben werden, muss der Nutzer müssen sich während der Gerätebereitstellung auf dem Gerät anmelden:

  • Gehen Sie bei Gerätebereitstellung für Managed Google Play-Konten so vor: Der DPC führt den Nutzer dazu, sich mit den von Ihrem EMM-Anbieter akzeptierten Anmeldedaten anzumelden. in der Regel die Anmeldedaten für die geschäftliche E-Mail-Adresse.
  • Bei einer Bereitstellung mit Google-Konten führt Ihr DPC den Nutzer dazu, seine Anmeldedaten für das Google-Konto Normalerweise stimmen diese Anmeldedaten mit denen überein, mit denen sich Nutzer in ihrer Unternehmensdomain anmelden, wenn sie synchronisiert werden mit GCDS oder GSPS oder wenn eine Organisation einen IdP zur Authentifizierung verwendet. Dadurch wird das Google-Konto des Nutzers aktiviert, eine eindeutige Geräte-ID generiert und bindet die Google-Kontoidentität des Nutzers und die Geräte-ID seines Geräts.