Obsługa administracyjna tożsamości (lub obsługa administracyjna kont) to proces konfigurowania kont i nawiązywania połączeń między 3 systemami, a w niektórych przypadkach konfigurowania połączeń między użytkownikami a ich urządzeniami.
W firmowych środowisku Androida informacje o koncie znajdują się w maksymalnie 3 różnych systemach:
- Katalog użytkowników organizacji to najważniejsze źródło informacji o użytkownikach.
- (dostawca rozwiązania EMM) musi utrzymywać co najmniej minimalny katalog użytkowników organizacji.
- Aby umożliwić zarządzanie aplikacjami w Google Play, Google przechowuje pewne informacje o zarządzanych kontach Google Play i kontach Google.
Zasób Users
reprezentuje konto powiązane z firmą. Konto może być przypisane do konkretnego urządzenia lub powiązane z osobą, która korzysta z kilku urządzeń (telefonu komórkowego, tabletu itd.) i korzysta z niego na każdym z nich. Konto może umożliwiać dostęp tylko do zarządzanego Sklepu Google Play lub do innych usług Google w zależności od konfiguracji firmy klienta:
Konta w zarządzanym Sklepie Google Play umożliwiają firmom automatyczne tworzenie kont użytkowników lub urządzeń za pomocą dostawcy rozwiązań do zarządzania urządzeniami mobilnymi (EMM). Te konta zapewniają dostęp tylko do zarządzanego Sklepu Google Play.
Konta Google to istniejące konta zarządzane przez Google, które wymagają synchronizacji ze źródłami kont Google.
Tabela 1. Pola i metody interfejsu API użytkowników
Konta zarządzanego Sklepu Google Play | Konta zarządzane przez Google | |
---|---|---|
Pole | ||
id | ||
rodzaj | ||
accountIdentifier | Unikalny identyfikator, który tworzysz i mapujesz na identyfikator (userId ) zwrócony z Google Play. Nie używaj informacji umożliwiających identyfikację osoby. | Nie ustawiono. |
accountType | konto_urządzenia, konto_użytkownika | userAccount |
displayName | Nazwa wyświetlana w elementach interfejsu, np. w Google Play. Nie używaj informacji umożliwiających identyfikację osoby. | Nie ustawiono. |
managementType | emmManaged | Zarządzane przez Google, emmManaged |
primaryEmail | Nie ustawiono. | To pole jest kluczem podstawowym, za pomocą którego zarządzasz synchronizacją kont w domenie zarządzanych przez Google z kontami użytkowników w systemie. |
Metody | ||
usuń | ||
generateAuthenticationToken | ||
generateToken | ||
get | ||
getAvailableProductSet | ||
Insert | ||
lista | ||
revokeToken | ||
setAvailableProductSet | ||
aktualizować |
Konta zarządzanego Sklepu Google Play
Istnieją 2 typy zarządzanych kont Google Play:
- Konto użytkownika
- Daje jednemu użytkownikowi dostęp do zarządzanego Sklepu Google Play ze wszystkich jego urządzeń. Konta użytkowników musisz skonfigurować, ponieważ nie mają oni danych logowania, dzięki którym mogą samodzielnie dodawać konta w zarządzanym Sklepie Google Play.
- Aby utworzyć konto użytkownika, zadzwoń pod numer
Users.insert
. Ustaw rodzaj konta nauserType
i ustawaccountIdentifier
, który jednoznacznie odwołuje się do użytkownika w firmie. - Sprawdzona metoda: nie używaj tego samego konta na więcej niż 10 urządzeniach.
- Konto urządzenia
- Daje dostęp do zarządzanego Sklepu Google Play z jednego urządzenia. Jeśli dla konta urządzenia został wydany token uwierzytelniania, nowe żądanie tokena uwierzytelniania dla tego konta spowoduje dezaktywację poprzedniego tokena. Każde urządzenie powinno mieć oddzielne licencje na aplikacje.
- Aby utworzyć konto urządzenia, wywołaj
Users.insert
i ustaw rodzaj konta nadeviceType
.
Tworzysz i utrzymujesz mapowanie między tożsamościami użytkowników lub urządzeń a odpowiadającymi im zarządzanymi kontami Google Play oraz zarządzasz kontami w ramach ich cyklu życia. Organizacja nie potrzebuje bezpośredniej kontroli nad zarządzanymi kontami Google Play, ponieważ konta te służą wyłącznie do zarządzania aplikacjami.
Wymagania dotyczące konsol i serwerów EMM
Konta w zarządzanym Sklepie Google Play są tworzone na żądanie w sposób zautomatyzowany przy użyciu interfejsów API EMM w Google Play i interfejsów API platformy Android wykorzystywanych w komponentach rozwiązania EMM (konsoli EMM, serwerze EMM i DPC). Te komponenty wchodzą w interakcję w czasie działania, aby utworzyć konto użytkownika i udostępnić profil służbowy na urządzeniu docelowym. Konsola lub serwer EMM musi:
Udostępniaj mechanizm tworzenia unikalnych anonimowych identyfikatorów kont (pole
accountIdentifier
), które będą używane w wywołaniu narzędziaUsers.insert
. Możesz na przykład użyć wewnętrznej wartości dla użytkownika („sanjeev237389”) lub kryptograficznego numeru tagu zasobu („asset#44448”). Jako identyfikatora konta nie używaj informacji umożliwiających identyfikację osoby.Zapisz mapowanie między elementem
userId
(powróconym z wywołaniainsert
) a wybranymaccountIdentifier
.
Wymagania dotyczące kontrolera DPC znajdziesz w artykule Tworzenie kontrolera zasad dotyczących urządzeń.
Tworzenie konta użytkownika zarządzanego Sklepu Google Play
- Użytkownik loguje się na Twoim koncie DPC przy użyciu (zwykle) firmowych danych logowania.
- DPC żąda informacji o użytkowniku do serwera lub konsoli EMM.
Przy założeniu, że użytkownik jest nieznany w systemie:
- Prześlij prośbę o nowe zarządzane konto Google Play, wywołując metodę
Users.insert
z wartościami dla nowych kontaccountIdentifier
,displayName
iaccountType
.- Twój system musi utworzyć plik
accountIdentifier
. Identyfikator konta musi być unikalną wartością w całym systemie. Nie używaj informacji umożliwiających identyfikację użytkownika jako identyfikatora konta. - Element
displayName
wyświetla się w oknie przełączania kont w Sklepie Google Play i powinny mieć jakieś znaczenie dla użytkownika (ale nie informacji umożliwiających jego identyfikację). Może ona zawierać na przykład nazwę organizacji lub ogólną nazwę związaną z dostawcą usług EMM. - Ustaw
accountType
nauserAccount
lubdeviceAccount
. SubskrypcjiuserAccount
można używać na wielu urządzeniach, adeviceAccount
do jednego urządzenia.accountType
może mieć wartośćdeviceType
lubuserType
. - Ustaw wartość
managementType
naemmManaged
.
- Twój system musi utworzyć plik
- Google Play przetwarza żądanie, tworzy konto i zwraca
userId
. - Zapisz mapowanie między
accountIdentifier
auserId
w magazynie danych. - Wywołaj
Users.generateAuthenticationToken
, używającuserId
ienterpriseId
. Google Play zwraca token uwierzytelniania, którego można użyć raz i którego należy użyć w ciągu kilku minut. - W bezpieczny sposób przekaż token uwierzytelniania do swojego kontrolera DPC.
- Prześlij prośbę o nowe zarządzane konto Google Play, wywołując metodę
- DPC udostępnia profil służbowy i dodaje konto do profilu służbowego lub urządzenia.
- Użytkownik może korzystać z zarządzanego Sklepu Google Play z poziomu profilu służbowego lub urządzenia.
Konta administratorów
Gdy administrator utworzy grupę z zarządzanymi kontami Google Play, konto Google, którego używa, nie może być kontem G Suite. Konto, którego używają, staje się właścicielem grupy, a właściciel może dodawać kolejnych właścicieli i administratorów w konsoli zarządzanego Sklepu Google Play.
Zarówno Enterprises.get
, jak i Enterprises.completeSignup
zwracają listę adresów e-mail administratorów powiązanych z firmą (tylko w przypadku firm z zarządzanymi kontami Google Play).
Zarządzanie cyklami życia konta
We wdrożeniu zarządzanego Sklepu Google Play odpowiadasz za cykl życia kont użytkowników i urządzeń, co oznacza, że tworzysz, aktualizujesz i usuwasz takie konta.
Konta są tworzone podczas obsługi administracyjnej urządzeń, czyli w procesie obejmującym aplikację DPC i konsolę EMM. Instrukcje znajdziesz w opisie metody zarządzania kontami Google Play.
Aby zmienić informacje o koncie, wywołaj Users.update.
Aby usunąć konto, wywołaj Users.delete.
Administratorzy nie mogą usuwać poszczególnych kont, ale mogą usunąć grupę firmową z zarządzanymi kontami Google Play. Gdy to zrobi, urządzenia i konta użytkowników powiązane z firmą zostaną usunięte zgodnie z opisem w sekcji Wyrejestrowywanie, ponowne rejestrowanie i usuwanie.
Wygaśnięcie konta
Czasami konta lub tokeny tracą ważność. Oto możliwe przyczyny:
- Token uwierzytelniania uzyskany w celu dodania konta do urządzenia wygasł.
- Konto lub firma została usunięta.
- W przypadku kont urządzeń konto zostało dodane na nowym urządzeniu i dlatego wyłączone na starym urządzeniu.
- Uruchomione są automatyczne kontrole nadużyć.
W większości przypadków (o ile dostawca usług EMM nie celowo przenosi konto urządzenia na nowe urządzenie), najlepiej jest użyć interfejsu Play EMM API, by zażądać nowego tokena z serwera EMM, zanotować stan konta i firmy oraz wszelkie zwrócone błędy, a potem podjąć odpowiednie działania na urządzeniu. Na przykład odśwież token, a jeśli błędu nie da się odzyskać, zresetuj lub wyrejestruj urządzenie.
Usługi Google Play w wersji 9.0.00 powiadamiają kontrolera DPC, że konto wygasło, używając funkcji transmisji:
Gdy konto zarządzanego Sklepu Google Play zostanie unieważnione na urządzeniu, kontroler domeny otrzyma wiadomość z takim działaniem:
com.google.android.gms.auth.ACCOUNT_REAUTH_REQUIRED
Intencja transmisji zawiera dodatkowy element
Parcelable
o nazwieaccount
, który jest obiektemAccount
unieważnionego konta.DPC sprawdza
Account#name
na serwerze EMM, aby zidentyfikować unieważnione konto.DPC prosi o nowe dane logowania lub o nowe konto, zgodnie z tym samym procesem co podczas początkowego obsługi urządzenia.
Konta Google
W organizacjach korzystających z kont Google konta użytkowników w rozwiązaniu EMM powielają istniejące konta użytkowników powiązane z inną usługą Google (na przykład G Suite). Te konta to googleManaged
(tabela 1), ponieważ źródłem danych do tworzenia kont i informacji o nim są usługi backendu Google.
Jako dostawca usług EMM możesz udostępnić w konsoli mechanizmy ułatwiające tworzenie i bieżącą synchronizację kont użytkowników w systemie z ich źródłami kont w domenie Google przy użyciu takich narzędzi jak Google Cloud Directory Sync (GCDS) i interfejs Directory API z pakietu Google Admin SDK. Zarządzany przez Google model tożsamości domeny wymaga, aby konto użytkownika mogło istnieć w kontekście Twojego rozwiązania (konsola EMM, serwer EMM czy np. magazyn danych), zanim będzie można go udostępnić na dowolnym urządzeniu użytkownika w kontekście profilu służbowego.
Podczas obsługi administracyjnej tożsamości domena zarządzana przez Google organizacji jest zapełniana kontami użytkowników. W niektórych przypadkach istniejące tożsamości online użytkowników (na przykład konta Microsoft Exchange) są synchronizowane z ich kontami Google.
Po początkowej synchronizacji, ale przed rozpowszechnieniem aplikacji na urządzenie użytkownika, użytkownik musi aktywować swoje konto Google zgodnie z opisem w sekcji Aktywowanie kont na urządzeniach. Aktywacja umożliwia dostęp do zarządzanego Sklepu Google Play.
Synchronizowanie kont klientów
We wdrożeniu kont Google organizacja może używać narzędzia GCDS do synchronizowania danych w domenie G Suite z danymi w katalogu LDAP. Możesz też użyć GCDS, aby zrobić to w imieniu organizacji, jeśli zezwala Ci ona na dostęp.
Narzędzie GCDS wywołuje interfejs Google Directory API i synchronizuje nazwy użytkowników, ale nie hasła.
Jeśli organizacja korzysta z Microsoft Active Directory i chce synchronizować hasła użytkowników G Suite z ich hasłami Active Directory, to Ty lub Ty możesz użyć narzędzia G Suite Password Sync (GSPS) w GCDS.
Instrukcje dla administratorów dotyczące GCDS znajdziesz w artykule Przygotowywanie domeny G Suite do synchronizacji.
Interfejs Google Directory API
We wdrożeniu kont Google za pomocą interfejsu Google Directory API możesz synchronizować aktywne katalogi, hasła lub oba te elementy:
Użycie interfejsu Directory API do synchronizacji tylko w katalogu. Jeśli masz dostęp tylko do odczytu do zarządzanej domeny Google organizacji, możesz użyć interfejsu Google Directory API, aby uzyskać od Google informacje o koncie Google, takie jak nazwy użytkowników (ale nie hasła). Nie możesz zapisywać danych na kontach Google użytkowników, dlatego organizacja ponosi pełną odpowiedzialność za cykl życia konta.
Scenariusz 1 i scenariusze uwierzytelniania jednokrotnego opartego na SAML bardziej szczegółowo opisują tę sytuację.
Informacje o tym, jak korzystać z interfejsu Directory API, znajdziesz w sekcji Pobieranie wszystkich użytkowników konta w dokumentacji interfejsu Directory API.
Używanie interfejsu Directory API na potrzeby katalogu i opcjonalnej synchronizacji haseł. Jeśli masz uprawnienia do zapisu i odczytu w zarządzanej domenie Google organizacji, możesz użyć interfejsu Google Directory API, aby uzyskać nazwy użytkowników, hasła i inne informacje o koncie Google. Możesz aktualizować te informacje i synchronizować je z własną bazą danych. Możesz mieć pełną lub częściową odpowiedzialność za cykl życia konta w zależności od rozwiązania, które oferujesz klientom.
Scenariusz 2 bardziej szczegółowo opisuje tę sytuację.
Więcej informacji o zarządzaniu informacjami o kontach użytkowników przy użyciu interfejsu Directory API znajdziesz w przewodniku dla programistów Directory API: User Accounts.
Scenariusze związane z kontami Google
Poniżej znajdziesz kilka typowych scenariuszy udostępniania tożsamości na kontach Google.
Scenariusz 1. Klient odpowiedzialny za cykle życia konta
W tym scenariuszu Twój klient tworzy konta Google dla swoich użytkowników i zarządza nimi.
Informacje o kontach użytkowników są pobierane z katalogu LDAP organizacji, które możesz powiązać z danymi konta Google uzyskanymi od Google przy użyciu interfejsu Directory API.
Organizacja ponosi pełną odpowiedzialność za cykl życia konta. Gdy na przykład zostanie utworzone nowe konto Google, organizacja doda użytkownika do swojego katalogu LDAP. Podczas następnej synchronizacji bazy danych z katalogiem LDAP baza danych otrzyma informacje o nowym użytkowniku.
W tym scenariuszu:
- Masz dostęp tylko do odczytu do kont Google.
- Baza danych pozyskuje nazwy kont Google, ale nie otrzymuje nazw użytkowników ani haseł LDAP.
- Interfejs Google Directory API służy do uzyskiwania podstawowych informacji o koncie dla użytkowników klienta. (Dostępne dla Ciebie informacje to informacje, które nie są możliwe do zapisu zwracane w odpowiedzi na żądanie
Users.get
). Za pomocą tych informacji możesz potwierdzić, że konta Google użytkowników istnieją, aby mogli oni uwierzytelniać się na swoich urządzeniach. - Klient używa narzędzia GCDS do przeprowadzenia jednokierunkowej synchronizacji w celu wypełnienia danych kont Google użytkowników. Po zakończeniu obsługi administracyjnej tożsamości organizacja prawdopodobnie używa też GCDS do własnej synchronizacji. Opcjonalnie organizacja może też używać narzędzia GSPS, aby synchronizować nie tylko nazwy użytkowników, ale też hasła.
Scenariusz 2. Dostawca usług EMM odpowiedzialny za cykle życia konta
W tym przypadku zajmujesz się procesem tworzenia kont Google w imieniu swoich klientów i odpowiadasz za cykle życia kont użytkowników.
Jeśli na przykład informacje o użytkowniku zmienią się w katalogu LDAP organizacji, odpowiadasz za zaktualizowanie konta Google użytkownika. W tym scenariuszu nie używa się GCDS.
W tym scenariuszu:
- Masz uprawnienia do zapisu i odczytu na kontach Google.
- Baza danych pozyskuje nazwy kont Google i nazwy użytkowników LDAP (oraz opcjonalnie hasze haseł).
- Interfejs Google Directory API jest używany w imieniu klienta do odczytywania i zapisywania informacji o koncie należących do użytkowników organizacji. (Informacje, które są dla Ciebie dostępne, to dane, które nie są dostępne do zapisu zwracane w odpowiedzi na żądanie
Users.get
). Za pomocą tych informacji możesz potwierdzić, że konta Google użytkowników istnieją, aby mogli oni uwierzytelniać się na swoich urządzeniach. - Narzędzie GCDS nie jest używane.
Scenariusze uwierzytelniania logowania jednokrotnego opartego na SAML
We wdrożeniu kont Google Ty lub Twój klient możecie używać SAML z dostawcą tożsamości do uwierzytelniania konta Google powiązanego z każdym użytkownikiem. Nazwy kont Google służą do potwierdzania istnienia kont Google użytkowników, które są potrzebne do uwierzytelniania użytkowników logujących się na swoich urządzeniach. Na przykład w scenariuszu 2 można użyć SAML. Szczegółowe informacje na ten temat znajdziesz w artykule Konfigurowanie logowania jednokrotnego na kontach G Suite.
Aktywowanie kont na urządzeniach
Aby aplikacje były rozpowszechniane na urządzeniu użytkownika przez zarządzany Sklep Google Play, użytkownik musi zalogować się na urządzeniu podczas obsługi administracyjnej urządzenia:
- W przypadku obsługi administracyjnej urządzeń w zarządzanym Sklepie Google Play DPC prowadzi użytkownika do logowania się za pomocą danych logowania zaakceptowanych przez konsolę EMM (zwykle jest to firmowy adres e-mail).
- W przypadku wdrożenia kont Google DPC prosi użytkownika o podanie danych logowania do konta Google. Zwykle te dane logowania są zgodne z tymi, za pomocą których użytkownicy logują się w swojej domenie firmowej podczas synchronizacji przy użyciu GCDS lub GCDS albo gdy organizacja korzysta z dostawcy tożsamości do uwierzytelniania. Powoduje to aktywowanie konta Google użytkownika, generowanie unikalnego identyfikatora urządzenia oraz powiązanie jego tożsamości z kontem Google i identyfikatorem urządzenia.