Kullanıcı hesaplarının temel hazırlığını yapın

Kimlik temel hazırlığı (veya hesap temel hazırlığı), kullanıcıların ve bazı durumlarda, bu üç sistem arasında bağlantı kurarak kullanıcılar ile cihazları arasında bağlantı kurma.

Android kurumsal ortamlarında, en fazla üç farklı sistem hesap bilgileri:

  • Bilginin kaynağı, kuruluşun kullanıcı dizinidir. hakkında bilgi edindik.
  • EMM çözüm sağlayıcısı olarak sizin, kurumun kullanıcılarıdır.
  • Google, Managed Google Play Accounts ve Google Play üzerinden uygulama yönetimi sağlamak için Google Hesapları.

Users kaynağı bir hesabı temsil eder bir kuruluşla ilişkilidir. Hesap, cihaza özel olabilir veya birden fazla cihazı (cep telefonu, tablet, akıllı telefon, vb.) ve hesabı hepsinde kullanır. Hesap, web sitesine veya kullanımınızla ilgili olarak nasıl kullandığınıza bağlı olarak Müşterinizin kuruluşunu ayarlayın:

  • Managed Google Play Hesapları, kuruluşlar için şeffaf bir araç sunar kuruluşları üzerinden otomatik olarak kullanıcı veya cihaz hesapları oluşturma mobilite yönetimi (EMM) çözüm sağlayıcısı. Bu hesaplar şunlara erişim sağlar: Yalnızca Managed Google Play'de kullanılabilir.

  • Google Hesapları, Google tarafından yönetilen mevcut hesaplardır ve Google Hesabı kaynaklarıyla senkronizasyon.

Tablo 1: Kullanıcılar API'si alanları ve yöntemleri

 Managed Google Play AccountsGoogle tarafından yönetilen hesaplar
Alan
id
tür
accountIdentifierOluşturduğunuz ve eşlediğiniz benzersiz bir tanımlayıcı Google Play'den döndürülen kimliğe (userId) geri dönelim. Şahsen kullanmayın kimliği tanımlayabilecek bilgiler (PII)Ayarlanmadı.
accountTypedeviceAccount, userAccountuserAccount
görünen adKullanıcı arayüzü öğelerinde görüntülediğiniz ad (ör. Google Play Kimliği tanımlayabilecek bilgiler kullanmayın.Ayarlanmadı.
managementTypeemmManagedgoogleManaged, emmManaged
primaryEmailAyarlanmadı.Bu alan, Google tarafından yönetilen alan hesaplarından kullanıcı hesaplarına senkronizasyonu yönettiğiniz bulun.
Yöntemler
delete
generateAuthenticationToken
generateToken
get
getAvailableProductSet
insert
list
revokeToken
setAvailableProductSet
update

Managed Google Play Accounts

İki tür Managed Google Play Hesabı vardır:

Kullanıcı hesabı
Tek bir kullanıcının tüm cihazlarından Managed Google Play'e erişmesine olanak tanır. Kullanıcılarınız için kullanıcı hesaplarının temel hazırlığını yapmanız gerekir. Kullanıcılarınız, kimlik bilgilerine sahip değildir. seçeneğini kullanabilirsiniz.
ziyaret edin.
Kullanıcı hesabı oluşturmak için Users.insert numaralı telefonu arayın. Hesap türünü şuna ayarla: userType ve bir accountIdentifier ayarlayın. kullanıcıya benzersiz bir şekilde referansta bulunur.
En iyi uygulama: Aynı hesabı 10'dan fazla cihazda kullanmayın. cihazlar.
Cihaz hesabı
Tek bir cihazdan Managed Google Play'e erişim sağlar. Bir Bir cihaz hesabı için kimlik doğrulama jetonu yayınlandı, kimlik doğrulama jetonu önceki jetonu devre dışı bırakır. Her cihazın kendi uygulama lisansları olmalıdır.
ziyaret edin.
Cihaz hesabı oluşturmak için Users.insert numaralı telefonu arayıp hesap türünü şu şekilde ayarlayın: deviceType.

Kullanıcı veya cihaz kimlikleri ile ve bu hesapları yönetmek için kullanabilirsiniz. yaşam döngüsünü takip eder. Kurumun bu ayarlar üzerinde doğrudan kontrole ihtiyacı yoktur hesaplar yalnızca uygulama amaçlı olduğundan, Managed Google Play Accounts üzerine konuşalım.

EMM konsolları ve sunucuları için gereksinimler

Managed Google Play Hesapları, isteğe bağlı olarak, programatik olarak Uygulamanızın bileşenlerindeki Google Play EMM API'leri ve Android çerçevesi API'leri EMM çözümü (EMM konsolu, EMM sunucusu ve DPC). Bu bileşenler aşağıdaki kriterlerde önce kullanıcı hesabı oluşturmayı, hedef cihazda iş profilinin temel hazırlığını yapın. EMM konsolunuz veya sunucunuz:

  • Benzersiz anonim hesap tanımlayıcıları oluşturmak için bir mekanizma sağlayın (accountIdentifier alanı) Users.insert Örneğin, Kullanıcı için bazı dahili değerler ("sanjeev237389") veya şifreli varlık etiket numarası ("öğe#44448"). Kişisel olarak kullanmaktan kaçının hesap tanımlayıcısı için tanımlayıcı bilgiler (PII).

  • userId arasındaki eşlemeyi depolayın (insert bağlantısından döndürülür.) çağrısı) ve seçtiğiniz accountIdentifier.

ziyaret edin.

DPC'nizle ilgili gereksinimler için Cihaz politikası oluşturma bölümüne bakın denetleyici aracılığıyla kontrol edebilirsiniz.

Managed Google Play kullanıcı hesabı oluşturma

  1. Kullanıcı, (genellikle) kurumsal kimlik bilgilerini kullanarak DPC'nizde oturum açar.
  2. DPC, EMM sunucusundan veya konsoldan kullanıcıyla ilgili ayrıntıları ister. Kullanıcının sisteminiz tarafından tanınmadığını varsayarsak:
    1. Şu numarayı arayarak yeni Managed Google Play Hesabı isteği gönderin: Şu değerleri içeren Users.insert: yeni accountIdentifier, displayName ve accountType.
      • Sisteminiz accountIdentifier öğesini oluşturmalıdır. Hesap tanımlayıcısı sisteminizde benzersiz bir değer olmalıdır. Şu bilgiler için kimliği tanımlayabilecek bilgiler kullanmayın: hesap tanımlayıcı.
      • displayName, Google Play'in hesap değiştiricisinde gösterilir Depolayın ve kullanıcı için bir anlam ifade etmeli (ancak ürünle ilgili kimliği tanımlayabilecek bilgiler (PII) kullanıcı) tarafından sağlanır. Örneğin, ad kuruluş adını veya EMM ile ilgili genel bir ad.
      • accountType öğesini userAccount veya deviceAccount olarak ayarlayın. CEVAP userAccount birden fazla cihazda kullanılabilirken deviceAccount tek bir cihaza özgüdür. Belirtilen accountType, deviceType veya userType.
      • managementType değerini emmManaged olarak ayarlayın.
    2. Google Play isteği işleme alır, hesabı oluşturur ve userId değeri döndürür.
    3. accountIdentifier ile userId arasındaki eşlemeyi şurada depolayın: yardımcı olabilir.
    4. Users.generateAuthenticationToken numaralı telefonu arayın userId ve enterpriseId ile. Google Play, bir kez kullanılabilen ve belirli bir süre içinde birkaç dakika.
    5. Kimlik doğrulama jetonunu DPC'nize güvenli bir şekilde yönlendirin.
  3. DPC, iş profilinin temel hazırlığını yapar ve hesabı iş profiline ekler veya cihaz kullanıyor.
  4. Kullanıcı, iş profilinden veya cihazdan Managed Google Play'e erişebilir.
ziyaret edin.

Yönetici hesapları

Bir yönetici, Managed Google Play ile bir kuruluş oluşturduğunda Hesaplar, G Suite hesabı olamaz. Kullandıkları hesap işletme sahibi olur ve işletme sahibi, daha fazla sahip ve yöneticileri içindir.

Hem Enterprises.get hem de Enterprises.completeSignup bir kuruluşla ilişkili yönetici e-posta adreslerinin listesini döndür (yalnızca Managed Google Play Accounts'a sahip kuruluşlar).

Hesap yaşam döngülerini yönetme

Managed Google Play Accounts dağıtımında, kullanıcıların ve cihaz hesabı yaşam döngüleri, yani kullanıcılarınızın bu hesaplar.

Hesapları cihaz temel hazırlığı sırasında oluşturursunuz. Bu işlem, DPC uygulaması ve EMM konsolunuz. Talimatlar için Managed Google Play Hesapları yöntemini kullanın.

Bir hesabın bilgilerini değiştirmek için şu numarayı arayın: Users.update.

Bir hesabı silmek için şu numarayı arayın: Users.delete.

Yöneticiler hesapları tek tek silemez ancak belirli bir hesabı Enterprise'ı kullanabilirsiniz. Bunu yaptıklarında cihaz ve kuruluşla ilişkili kullanıcı hesapları, Kaydı iptal etme, yeniden kaydettirme, sil.

Hesabın son kullanma tarihi

Bazen hesapların veya jetonlarının süresi dolar. Bu, belirli bir süre boyunca geçerli olabilir nedenler:

  • Kimlik doğrulama jetonu (Hesabı cihaza eklemek için edinilen bilgilerin süresi dolmuştur.)
  • Hesap veya kuruluş silinmiştir.
  • Cihaz hesapları için, hesap yeni bir cihaza eklenmiş ve bu nedenle eski cihazda devre dışı bırakıldı.
  • Otomatik kötüye kullanım kontrolleri tetiklenir.

Çoğu durumda (EMM, bir cihaz hesabını kasıtlı olarak yeni bir cihaz) kullanıyorsanız en iyi uygulama, yeni bir jeton istemek için Play EMM API'yi kullanmaktır sonra, hesabın ve kuruluşun durumunu ve her zaman hata döndürebilir ve cihazda uygun işlemi gerçekleştirebilirsiniz. Örneğin, Jetonu yenileyin veya hata kurtarılamazsa jetonu sıfırlayın veya kaydını silin olanak tanır.

Google Play Hizmetleri 9.0.00 sürümü Yayın işlemini kullanarak hesabın süresinin dolduğu DPC:

  1. Bir cihazda Managed Google Play Hesabı geçersiz kılındığında DPC Aşağıdaki işlemle bir yayın aldığında: 

    com.google.android.gms.auth.ACCOUNT_REAUTH_REQUIRED
    .

    Yayın amacı, account adında bir ekstra Parcelable içeriyor. Account nesnesini ifade eder.

  2. DPC, Account#name adresini kontrol eder EMM sunucusuyla iletişim kurup geçersiz kılınan hesabı tespit edin.

  3. DPC, aşağıdaki kurallara göre yeni kimlik bilgileri veya yeni bir hesap ister: cihazın temel hazırlığını yapmak için kullanılan akış ilk adımıdır.

Google Hesapları

Google Hesapları kullanan kuruluşlar için, bir EMM'deki kullanıcı hesapları çözüm, başka bir Google hizmetiyle ilişkilendirilmiş mevcut kullanıcı hesaplarını yansıtıyor (örneğin, G Suite). Bu hesaplar googleManaged (Tablo 1) çünkü Google'ın arka uç hizmetleri, Google'ın veri merkezlerindeki bilgilerin hesap hakkında.

EMM olarak, oluşturma işlemini kolaylaştırmak için konsolunuzdaki mekanizmalar sağlayabilirsiniz. ve kullanıcı hesaplarıyla senkronize etme ve sürekli senkronizasyon Aşağıdaki gibi araçları kullanan Google alanı hesabı kaynakları: Google Cloud Directory Sync (GCDS) ve Google Admin SDK Directory API. 'ni inceleyin.) Google tarafından yönetilen alan kimliği modeli Kullanıcı hesabının, çözümünüzün (EMM konsolu) ve veri deposunda bile sunulabilmesi için) herhangi bir bir iş profili bağlamında değerlendirebiliriz.

Kimlik temel hazırlığı sırasında kuruluşun Google tarafından yönetilen alanı kullanıcı hesaplarıyla doldurulur. Bazı durumlarda, kullanıcıların mevcut online kimlikleri (örneğin, Microsoft Exchange hesapları), müşterilerinizin kullandığı Google Hesapları.

İlk senkronizasyondan sonra, ancak uygulamalar kullanıcının hesabına dağıtılmadan önce aşağıda açıklandığı gibi, kullanıcının Google Hesabını Cihazlarda hesapları etkinleştirin. Bu etkinleştirme Cihazın Managed Google Play'e erişmesine izin verir.

Müşteri hesaplarını senkronize etme

Google Hesapları dağıtımında kuruluş, GCDS aracını kullanarak G Suite alanlarındaki verileri, LDAP'lerindeki verilerle senkronize etme dizin. Alternatif olarak, bunu kuruluşun sayfasında yapmak için GCDS'yi kullanabilirsiniz. (kuruluş size erişim izni verirse)

GCDS aracı, Google Directory API'yi çağırır ve kullanıcı adlarını senkronize eder. Ancak şifreler.

Kuruluş Microsoft Active Directory kullanıyorsa ve kullanıcıların G Suite şifreleri Active Directory şifreleriyle senkronize edilebilir, ardından onlar veya siz de G Suite Password Sync (GSPS) aracını kullanın.

Yöneticilere yönelik GCDS talimatları için G Suite alanınızı hazırlama başlıklı makaleyi inceleyin. senkronize edilir.

Google Dizin API'sı

Bir Google Hesapları dağıtımında, Google Directory API'yi kullanarak etkin dizinleri, şifreleri veya her ikisini birden senkronize edebilirsiniz:

  • Yalnızca dizin senkronizasyonu için Directory API'yi kullanma. Salt okuma yönetilen Google alanına erişmek için Google Kullanıcı adları gibi Google Hesabı bilgilerini almak için Directory API şifreleri) Google'dan kaldırın. Çünkü kullanıcılarınızla ilgili bir sorun yaşadığınız takdirde hesap ömründen tümüyle kuruluş sorumludur daha uzun bir süreçtir.

    Senaryo 1 ve SAML tabanlı TOA kimlik doğrulama senaryoları ve durumu daha tam olarak açıklamaya çalışın.

    Directory API'yi bu şekilde kullanma hakkında bilgi edinmek için hesap kullanıcılarının Directory API dokümanlarını inceleyin.

  • Dizin ve isteğe bağlı şifre senkronizasyonu için Directory API'yi kullanma. Şu durumda: kuruluşun yönetilen Google alanına okuma-yazma erişimine sahip olma, kullanıcı adlarını, şifreleri ve diğer bilgileri almak için Google Directory API'yi Google Hesabı bilgileri. Bu bilgileri güncelleyebilir ve Google ile senkronize edebilirsiniz. veri tabanınız üzerinde çalışıp çalışmadığı ve kurumunuza sunduğunuz çözüme bağlı olarak, hesap yaşam döngülerini bir fırsattır.

    Senaryo 2 durumu daha tam olarak açıklayacaktır.

    Kullanıcı hesabı bilgilerini yönetmek üzere Directory API'yi kullanma hakkında daha fazla bilgi için Directory API: Kullanıcı Hesapları'nı inceleyin geliştirici kılavuzuna.

Google Hesapları senaryoları

Google Hesaplarında kimlik sağlamayla ilgili birkaç yaygın senaryo açıklanmıştır. bölümüne göz atın.

1. Senaryo: Hesap yaşam döngülerinden sorumlu müşteri

Directory API (salt okuma erişimiyle) ve GCDS'yi kullanma

Bu senaryoda müşteriniz, kendi hesabı için Google Hesapları oluşturur ve yardımcı olur.

Kullanıcı hesabı bilgilerini kuruluşun LDAP dizininden alırsınız ve bunu, Google Ad Manager veya Google Arama Ağı aracılığıyla Google'dan aldığınız Directory API.

Hesap yaşam döngülerinden tamamıyla kuruluş sorumludur. Örneğin, Yeni bir Google Hesabı oluşturulduğunda kuruluş, kullanıcıyı LDAP dizin. Veritabanınızı LDAP diziniyle bir sonraki senkronize edişinizde veritabanı bu yeni kullanıcıyla ilgili bilgi alır.

Bu senaryoda:

  • Google Hesaplarına salt okuma erişiminiz var.
  • Veritabanınız Google Hesabı adlarını alır ancak LDAP kullanıcı adlarını veya şifreler.
  • Google Directory API'yi kullanarak müşterileriyle bağlantılıdır. (Size sunulan bilgi, Users.get tarafından geri verildi talebi). Bu bilgileri, kullanıcıların Google Hesaplarının mevcut olduğunu doğrulamak için kullanırsınız .
  • Müşteriniz, kullanıcılarınızın verilerini doldurmak üzere tek yönlü bir senkronizasyon yapmak için GCDS aracını kullanıyor. Google Hesapları. (Kuruluş muhtemelen kendi senkronizasyon gerçekleştiremezsiniz.) İsteğe bağlı olarak, GSPS aracını da kullanabilir aynı zamanda şifreleri de senkronize edebilirsiniz.

2. Senaryo: Hesap yaşam döngülerinden sorumlu EMM

Directory API'yi okuma-yazma erişimi

Bu senaryoda, Google Hesaplarını oluşturma işlemini sizin adınıza siz yaparsınız. müşterinizin sorumluluğundadır, kullanıcıların hesap yaşam döngülerinden siz sorumlu olursunuz.

Örneğin, kuruluşun LDAP dizininde kullanıcı bilgileri değiştiğinde Kullanıcının Google Hesabı'nı güncellemek sizin sorumluluğunuzdadır. GCDS şurada kullanılmaz: bu senaryoda işe yarar.

Bu senaryoda:

  • Google Hesaplarına okuma-yazma erişiminiz var.
  • Veritabanınız, Google Hesabı adlarını ve LDAP kullanıcı adlarını (ve isteğe bağlı olarak şifre karmaları).
  • Google Directory API'yi müşteriniz adına kullanarak Kuruluşun kullanıcıları için hesap bilgilerini yazmak. (Bilgi ancak çevrimiçi olarak girebileceğiniz Users.get tarafından geri verildi talebi). Bu bilgileri, kullanıcıların Google Hesaplarının mevcut olduğunu doğrulamak için kullanırsınız .
  • GCDS aracı kullanılmaz.
ziyaret edin.

SAML tabanlı TOA kimlik doğrulama senaryoları

Bir Google Hesapları dağıtımında güvenlik açığını müşteriniz veya siz kullanabilirsiniz Kimlik doğrulama için bir kimlik sağlayıcı (IdP) ile Onay Biçimlendirme Dili (SAML) her bir kullanıcıyla ilişkili Google Hesabı. Google Hesabı adlarını kullanıyorsunuz Google Hesaplarının mevcut olduğunu doğrular. Google Hesaplarının mevcut olması, kimlik doğrulamasına izin verir. Örneğin SAML, 2. Senaryoda kullanılır. Bunun nasıl yapılacağıyla ilgili ayrıntılar için Tek Parça Oluşturma başlıklı makaleyi inceleyin. G Suite hesapları için Oturum Açma (TOA) açın.

Cihazlarda hesapları etkinleştirme

Uygulamaların Managed Google Play aracılığıyla bir kullanıcı cihazına dağıtılması için kullanıcı cihaz temel hazırlığı sırasında cihazda oturum açılması gerekir:

  • Managed Google Play Accounts cihaz temel hazırlığı bölümünde, DPC'niz, kullanıcıyı EMM'niz tarafından kabul edilen kimlik bilgilerini kullanarak oturum açmaya yönlendirir konsol, genellikle kurumsal e-posta kimlik bilgileridir.
  • Bir Google Hesapları dağıtımında DPC'niz, kullanıcıya bilgilerini girmesi için yönlendirir Google Hesabı oturum açma kimlik bilgileri. Normalde bu kimlik bilgileri, Senkronize edildikten sonra kurumsal alanlarında oturum açan kullanıcılar veya bir kuruluş kimlik doğrulama için IdP kullanıyorsa. Bu işlem kullanıcının Google Hesabını etkinleştirir, benzersiz bir cihaz kimliği oluşturur ve Kullanıcının Google Hesabı kimliğini ve cihazının cihaz kimliğini bağlar.