佈建使用者帳戶

身分驗證 (或帳戶佈建) 是指設定流程 帳戶,並在三個系統之間建立連線,在某些情況下 為使用者及其裝置設定連線。

在 Android Enterprise 環境中,多達三個不同的系統。 帳戶資訊:

  • 機構的使用者目錄是最終資訊來源 對使用者有所幫助
  • 您 (EMM 解決方案供應商) 必須至少維護 機構使用者。
  • Google 會保留部分有關 Google Play 管理版帳戶的資訊,以及 可透過 Google Play 提供應用程式管理的 Google 帳戶。

Users 資源代表帳戶 與企業有關聯。可以是特定裝置的帳戶,也可以是 凡是擁有多部裝置 (手機、平板電腦、 等) 並且使用該帳戶。帳戶可以提供存取權 分享至其他 Google 服務 (視您的方法而定) 設定客戶企業

  • Google Play 管理版帳戶為企業提供公開透明的途徑 透過所屬企業自動建立使用者或裝置帳戶 行動管理服務 (EMM) 解決方案供應商。透過這些帳戶 僅適用於 Google Play 管理版。

  • Google 帳戶:是指由 Google 管理的現有帳戶, 以及 Google 帳戶來源同步處理資料

表 1:Users API 欄位和方法

 Google Play 管理版帳戶Google 代管帳戶
欄位
id
kind
accountIdentifier您建立的專屬 ID 至 Google Play 傳回的 ID (userId)。不私用 個人識別資訊 (PII)。未設定。
accountTypedeviceAccount、userAccountuserAccount
displayName顯示在 UI 項目中的名稱,例如 Google Play。請勿使用個人識別資訊。未設定。
managementTypeemmManagedgoogleManaged、emmManaged
primaryEmail未設定。這個欄位是主鍵 管理同步處理作業,從 Google 管理的網域帳戶與使用者 帳戶。
方法
刪除
generateAuthenticationToken
generateToken
get
getAvailableProductSet
insert
list
revokeToken
setAvailableProductSet
update

Google Play 管理版帳戶

Google Play 管理版帳戶分為兩種類型:

使用者帳戶
可供單一使用者從自己的所有裝置存取 Google Play 管理版。 您必須為使用者佈建使用者帳戶,他們沒有憑證 即可自行新增 Google Play 管理版帳戶
,瞭解如何調查及移除這項存取權。
如要建立使用者帳戶,請呼叫 Users.insert。將帳戶類型設為 userType,並設定 accountIdentifier 以不重複方式參照企業內部的使用者。
最佳做法:請勿使用同一個帳戶管理超過 10 個 裝置。
裝置帳戶
可透過單一裝置存取 Google Play 管理版。如果 已核發裝置帳戶的驗證權杖,新的 該裝置帳戶的驗證權杖會停用先前的權杖。 每部裝置都應具備各自的應用程式授權。
,瞭解如何調查及移除這項存取權。
如要建立裝置帳戶,請呼叫 Users.insert,並將帳戶類型設為 deviceType

您會建立並維護使用者或裝置身分與 存取 Google Play 管理版帳戶,並透過 他們的生命週期機構不需要任何直接控管 Google Play 管理版帳戶,因為這些帳戶僅供應用程式使用 以自動化做法管理成本

EMM 控制台和伺服器需求

你可以選擇使用 Google Play EMM API 和 Android 架構 API EMM 解決方案 (EMM 控制台、EMM 伺服器和 DPC)。這些元件會在 建立使用者帳戶 在目標裝置上佈建工作資料夾。 您的 EMM 控制台或伺服器必須:

  • 提供建立專屬匿名帳戶 ID 的機制 (accountIdentifier 欄位) 用於呼叫 Users.insert。舉例來說, 您可以使用一些內部值 (「sanjeev237389」),提供給使用者 隱密的資產標記編號 (「asset#44448」)。避免個人使用 帳戶 ID 的個人識別資訊 (PII)。

  • 儲存 userId 之間的對應關係 (從 insert 傳回) 呼叫) 和您選取的 accountIdentifier

,瞭解如何調查及移除這項存取權。

如要瞭解 DPC 的相關規定,請參閱建立裝置政策 控制器

建立 Google Play 管理版使用者帳戶

  1. 使用者以公司憑證 (通常是) 登入 DPC。
  2. DPC 會透過 EMM 伺服器或控制台要求使用者的詳細資訊。 假設系統無法辨識使用者:
    1. 如要申請新的 Google Play 管理版帳戶,請撥打以下電話: 將「Users.insert」設為 新的 accountIdentifierdisplayNameaccountType
      • 您的系統必須建立 accountIdentifier。帳戶 ID 必須是系統中不重複的值。請勿將 PII 用於 帳戶 ID
      • displayName 會顯示在 Google Play 的帳戶切換器中 儲存,而且對使用者來說應該具有某種意義 (但不是有關 使用者)。舉例來說,名稱可能包含機構名稱或 與 EMM 相關的一般名稱
      • accountType 設為 userAccountdeviceAccount。A 罩杯 userAccount可以在多部裝置上使用,deviceAccount 都有專屬的裝置accountType 可以是 deviceTypeuserType
      • managementType 設為 emmManaged
    2. Google Play 處理要求、建立帳戶,並且 會傳回 userId
    3. accountIdentifieruserId 的對應關係儲存至 資料儲存庫中。
    4. 呼叫 Users.generateAuthenticationTokenuserIdenterpriseId 執行。Google Play 會傳回 只能使用一次,且必須在 幾分鐘。
    5. 以安全的方式將驗證權杖轉送至裝置政策控制器 (DPC)。
  3. DPC 佈建工作資料夾並將帳戶新增至工作資料夾 或裝置
  4. 使用者可以在工作資料夾或裝置上存取 Google Play 管理版。
,瞭解如何調查及移除這項存取權。

管理員帳戶

管理員透過 Google Play 管理版建立企業時 帳戶 對方使用的 Google 帳戶不能是 G Suite 帳戶。他們使用的帳戶 成為企業的擁有者,擁有者可以新增更多擁有者, 。

Enterprises.getEnterprises.completeSignup。 傳回與企業相關聯的管理員電子郵件地址清單 (僅適用於擁有 Google Play 管理版帳戶的企業)。

管理帳戶生命週期

在 Google Play 管理版帳戶部署過程中,您必須為使用者負責 和裝置帳戶生命週期,也就是說您需要建立、更新及刪除 這些帳戶

您會在裝置佈建期間建立帳戶,這項程序將 DPC 應用程式和 EMM 控制台。如需操作說明,請參閱 Google Play 管理版帳戶 方法。

如要變更帳戶資訊,請撥打 Users.update.

如要刪除帳戶,請撥打 Users.delete.

管理員無法刪除個別帳戶,但可以刪除 管理 Google Play 管理版帳戶企業這樣一來,裝置就會 與該企業相關聯的使用者帳戶最終會遭到刪除, 請參閱「取消註冊、重新註冊、 刪除

帳戶到期

有時帳戶或權杖會失效, 原因:

  • 驗證權杖 使用者用來將帳戶新增至裝置,但現已過期。
  • 帳戶或企業已刪除
  • 就裝置帳戶而言,該帳戶已加到新裝置, 因此在舊裝置上停用
  • 系統會自動觸發濫用行為檢查。

在大多數情況下 (除非 EMM 刻意將裝置帳戶移至新裝置) 裝置),最佳做法是使用 Play EMM API 來要求新權杖 記下帳戶和企業狀態 ,然後在裝置上採取適當行動。例如: 重新整理憑證。如果錯誤無法復原,請重設或取消註冊 裝置。

Google Play 服務 9.0.00 版會通知 透過廣播動作,帳戶已過期的裝置政策控制器:

  1. 如果裝置上的 Google Play 管理版帳戶失效,DPC 收到包含下列動作的廣播: 

    com.google.android.gms.auth.ACCOUNT_REAUTH_REQUIRED

    廣播意圖包含名為 accountParcelable 額外項目, 是Account 無效帳戶的物件。

  2. 裝置政策控制器 (DPC) 會檢查 Account#name 與 EMM 伺服器通訊,找出失效的帳戶。

  3. DPC 會要求取得新憑證或新帳戶,同樣地 用於佈建裝置的流程 最初

Google 帳戶

針對使用 Google 帳戶的機構,EMM 的使用者帳戶 解決方案反映與其他 Google 服務相關聯的現有使用者帳戶 (例如 G Suite)。這些帳戶為「googleManaged」 (表 1),因為 Google 的後端服務是建立及追蹤資訊的來源 帳戶資訊。

EMM 管理員可以在控制台中提供建立機制,以便建立 系統中使用者的帳號以及持續同步 Google 網域帳戶來源使用工具,例如 Google Cloud Directory Sync (GCDS)Google Admin SDK Directory API 瞭解各種方法的總覽)。Google 代管的網域身分模型 您需要在解決方案 (EMM 控制台、 EMM 伺服器,可能在資料儲存庫中),才能佈建到任何 使用者裝置的 Cookie 狀態。

在身分佈建期間,機構是由 Google 代管的網域 資料欄位在某些情況下,使用者目前線上身分 (例如 Microsoft Exchange 帳戶) 會與客戶的同步 Google 帳戶。

首次同步處理後,將應用程式發布至使用者的 裝置時,使用者必須按照 在裝置上啟用帳戶。這項啟用方式 允許裝置存取 Google Play 管理版。

同步處理客戶帳戶

在 Google 帳戶部署中,機構可以使用 GCDS 工具執行下列操作: 將 G Suite 網域的資料與 LDAP 中的資料進行同步處理 目錄。您也可以使用 GCDS 對機構的 (前提是機構提供存取權)

GCDS 工具會呼叫 Google Directory API 並同步處理使用者名稱,但不會同步處理使用者名稱 密碼。

如果該機構使用 Microsoft Active Directory,並且想 G Suite 密碼與 Active Directory 密碼保持同步,然後 也能使用 G Suite Password Sync (GSPS) 搭配使用 GCDS

如需管理員專用的 GCDS 操作說明,請參閱「備妥 G Suite 網域 以便同步處理

Google 目錄 API

在 Google 帳戶部署作業中,您可以使用 Google Directory API 執行下列操作: 同步處理使用中的目錄和/或密碼:

  • 使用 Directory API 僅同步處理目錄資料。不過,如果具備唯讀屬性 存取機構的受管理 Google 網域,您可以使用 Google 用於取得 Google 帳戶資訊 (例如使用者名稱) 的 Directory API (但不支援 密碼)。由於您無法寫入任何使用者的資料 Google 帳戶,機構必須為帳戶生命週期全權負責 週期。

    情境 1SAML 型單一登入 (SSO) 驗證情境 更全面地說明這個狀況

    如要瞭解如何以這種方式使用 Directory API,請參閱擷取全部 帳戶使用者 Directory API 說明文件

  • 使用 Directory API 執行目錄和選擇是否同步處理密碼。如果發生以下情況: 擁有機構受管理 Google 網域的讀取/寫入權限 可以使用 Google Directory API 取得使用者名稱、密碼 Google 帳戶資訊。你可以更新這項資訊,並將資訊同步至 您可能需要全權負責 帳戶生命週期,取決於您為自家客戶提供的解決方案 用來追蹤協助客戶的客服專員姓名

    情境 2 更全面地說明這個情況

    如要進一步瞭解如何使用 Directory API 管理使用者帳戶資訊, 請參閱 Directory API:使用者帳戶 開發人員指南

Google 帳戶情境

以下將介紹幾個常見的 Google 帳戶身分驗證情境 。

情境 1:客戶負責處理帳戶生命週期

使用 Directory API (具有唯讀存取權) 和 GCDS

在這種情況下,您的客戶將建立並維護 Google 帳戶, 使用者。

您可以透過機構的 LDAP 目錄取得使用者帳戶資訊, 確認此資訊與您透過 Google API 取得的 Google 帳戶資料 Directory API

機構必須為帳戶生命週期負起全責,舉例來說 建立新的 Google 帳戶後,該機構會將使用者新增至其 LDAP 目錄。下次將資料庫同步至 LDAP 目錄時,您的 資料庫會收到這位新使用者的相關資訊。

此時:

  • 您只有 Google 帳戶的唯讀存取權,
  • 您的資料庫會取得 Google 帳戶名稱,但沒有 LDAP 使用者名稱或 密碼。
  • 您可以使用 Google Directory API 取得 客戶的使用者。(您可使用的資訊是無法寫入的資訊) 傳回 Users.get 請求)。您可以使用這項資訊確認使用者的 Google 帳戶是否存在 ,讓使用者可以驗證自己的裝置。
  • 您的客戶會使用 GCDS 工具進行單向同步處理,然後填入使用者的資料。 Google 帳戶。(機構可能也會使用 GCDS 做為自訂用途) 身分佈建完成後,同步處理。)(選用) 機構也可使用 GSPS 工具 不僅能同步處理使用者名稱和密碼,

情境 2:負責帳戶生命週期的 EMM

將 Directory API 與 讀取/寫入權限

在此情況下,您將自行管理建立 Google 帳戶的程序。 您需為這類使用者的帳戶生命週期負責。

舉例來說,當機構 LDAP 目錄中的使用者資訊有所變更時, 您須負責更新使用者的 Google 帳戶。GCDS 未用於 套用這些方法

此時:

  • 您擁有 Google 帳戶的讀取/寫入權限。
  • 您的資料庫會取得 Google 帳戶名稱和 LDAP 使用者名稱 (以及 (選擇性) 密碼雜湊)。
  • 您可以使用 Google Directory API 代表客戶閱讀 為機構使用者寫入帳戶資訊。( 只有部分無法寫入的資訊 傳回 Users.get 請求)。您可以使用這項資訊確認使用者的 Google 帳戶是否存在 ,讓使用者可以驗證自己的裝置。
  • 不使用 GCDS 工具。
,瞭解如何調查及移除這項存取權。

SAML 式單一登入 (SSO) 驗證情境

在 Google 帳戶部署中,您或客戶可能會使用「安全性」 透過識別資訊提供者 (IdP) 進行驗證的宣告標記語言 (SAML) 與每位使用者相關聯的 Google 帳戶使用 Google 帳戶名稱 驗證使用者的 Google 帳戶存在,但使用者需要登入 驗證。舉例來說,SAML 可以是 在情境 2 中使用的極佳如要進一步瞭解如何進行設定,請參閱設定單一 登入 G Suite 帳戶 (SSO)

在裝置上啟用帳戶

如要透過 Google Play 管理版將應用程式發布至使用者裝置,使用者 必須在裝置佈建期間登入裝置:

  • 透過 Google Play 管理版帳戶裝置佈建功能, DPC 會引導使用者使用 EMM 接受的憑證登入 控制台,通常是公司電子郵件憑證。
  • 在 Google 帳戶部署中,DPC 會引導使用者輸入自己的 Google 帳戶登入憑證。這些憑證通常與憑證相符 同步處理檔案時,使用者會登入自己的公司網域 使用 IdP 或 GSPS,或是機構使用 IdP 進行驗證的時間。 完成後,使用者的 Google 帳戶就會產生一組專屬裝置 ID,並 將使用者的 Google 帳戶身分和裝置 ID 繫結。