身份预配(即账号预配)是设置 并在这三个系统之间建立连接, 设置用户与其设备之间的关联。
在 Android 企业环境中,多达三个不同的系统 账号信息:
- 组织的用户目录是权威的信息来源 用户信息
- 您(EMM 解决方案提供商)必须至少维护一个最小目录 组织的用户
- Google 会保留一些关于 Google Play 企业版账号的信息, Google 账号,以便通过 Google Play 提供应用管理服务。
Users 资源表示账号
与企业相关联账号可以特定于某个设备,也可以
与拥有多部设备(手机、平板电脑、
等)并在所有组件中使用该账号。该账号可以提供访问权限
还是仅分发至其他 Google 服务,具体取决于您如何
设置客户的企业:
Google Play 企业版账号为企业提供透明的途径 通过企业账号自动创建用户或设备账号 移动管理 (EMM) 解决方案提供商。通过这些账号,您可以访问 仅限 Google Play 企业版。
Google 账号是由 Google 管理的现有账号,需要 与 Google 账号来源同步。
表 1:用户 API 字段和方法
| Google Play 企业版账号 | Google 管理的账号 | |
|---|---|---|
| 字段 | ||
| id | ||
| kind | ||
| accountIdentifier | 您创建和映射的唯一标识符
分配给从 Google Play 返回的 ID (userId)。请勿个人使用
个人身份信息 (PII)。 | 未设置。 |
| accountType | deviceAccount、userAccount | userAccount |
| displayName | 您在界面项中显示的名称,例如 Google Play。不要使用个人身份信息。 | 未设置。 |
| managementType | emmManaged | googleManaged、emmManaged |
| primaryEmail | 未设置。 | 此字段是主键, 您负责管理这些账号从 Google 管理的域账号到用户 。 |
| 方法 | ||
| 删除 | ||
| generateAuthenticationToken | ||
| generateToken | ||
| get | ||
| getAvailableProductSet | ||
| insert | ||
| list | ||
| revokeToken | ||
| setAvailableProductSet | ||
| update | ||
Google Play 企业版账号
Google Play 企业版账号分为两种:
- 用户账号
- 让单个用户可以从自己的所有设备访问 Google Play 企业版。 您必须为您的用户配置用户账号,因为他们没有凭据 自己添加 Google Play 企业版账号。 。
- 如需创建用户账号,请调用
Users.insert。将账号类型设置为userType,并设置accountIdentifier, 唯一地引用企业中的用户。 - 最佳实践:不要为超过 10 个账号使用同一个账号 设备。
- 设备账户
- 提供通过单一设备访问 Google Play 企业版的权限。如果 已针对某设备账号发放了身份验证令牌, 该设备账号的身份验证令牌会停用之前的令牌。 每台设备都应拥有自己单独的应用许可。 。
- 如需创建设备账号,请调用
Users.insert并将账号类型设置为deviceType。
您创建并维护用户或设备标识与 Google Play 企业版账号,而您可以通过 其生命周期。组织不需要任何直接控制 Google Play 企业版账号,因为这些账号仅用于应用用途 管理。
关于 EMM 控制台和服务器的要求
Google Play 企业版账号是按需、程序化地使用 Google Play EMM API 和 Android 框架 API EMM 解决方案(EMM 控制台、EMM 服务器和 DPC)。这些组件 来创建用户账号并 在目标设备上配置工作资料。 您的 EMM 控制台或服务器必须:
提供一种创建唯一匿名账号标识符的机制 (
accountIdentifier字段)在对Users.insert。例如,您 可能会为用户使用某种内部值(“sanjeev237389”),或 加密资产标签编号(“asset#44448”)。避免个人使用 账号标识符对应的个人身份信息 (PII)。存储
userId(从insert返回)之间的映射 调用)和您选择的accountIdentifier。
如需了解 DPC 的要求,请参阅构建设备政策 控制器。
创建 Google Play 企业版用户账号
- 用户(通常)使用公司凭据登录您的 DPC。
- DPC 从 EMM 服务器或控制台请求用户详细信息。
假设您的系统无法识别该用户:
<ph type="x-smartling-placeholder">
- </ph>
- 通过调用以下号码提交新建 Google Play 企业版账号的请求
值为“
Users.insert” 新的accountIdentifier、displayName和accountType。- 您的系统必须创建
accountIdentifier。账号标识符 在您的系统中必须是唯一的。请勿将个人身份信息用于 账号标识符。 displayName显示在 Google Play 的账号切换器中 存储并对用户有一定意义(但不包括 用户)。例如,名称可以包含组织名称或 与 EMM 相关的通用名称。- 将
accountType设置为userAccount或deviceAccount。答userAccount可在多个设备上使用,而deviceAccount是专门针对单一设备的指定的accountType可以是deviceType或userType。 - 将
managementType设置为emmManaged。
- 您的系统必须创建
- Google Play 会处理请求、创建账号,以及
会返回
userId。 - 将
accountIdentifier和userId之间的映射存储在 数据存储区 - 调用
Users.generateAuthenticationToken并使用userId和enterpriseId。Google Play 会返回一个 身份验证令牌,只能使用一次,且必须在 几分钟。 - 将身份验证令牌安全地转发到您的 DPC。
- 通过调用以下号码提交新建 Google Play 企业版账号的请求
值为“
- DPC 配置工作资料并将账号添加到工作资料 或设备
- 用户可以在工作资料或设备中访问 Google Play 企业版。
管理员账号
当管理员通过 Google Play 企业版创建企业时 账号、 他们使用的 Google 账号不能是 G Suite 账号。他们使用的账号 成为该企业的所有者,该所有者可以添加更多所有者和 在 Google Play 企业版管理中心内管理管理员。
Enterprises.get 和
Enterprises.completeSignup
返回与企业关联的管理员电子邮件地址的列表
(仅限使用 Google Play 企业版账号的企业)。
管理账号生命周期
在 Google Play 企业版账号部署中,您需要对用户负责 和设备账号生命周期,这意味着您可以创建、更新和删除 这些账号。
您需要在设备配置期间创建账号,该过程涉及 DPC 应用和 EMM 控制台。有关说明,请参阅 受管理的 Google Play 账号 方法。
要删除账号,请调用 Users.delete.
管理员无法删除个人账号,但可以删除 拥有 Google Play 企业版账号的企业。当他们执行上述操作时,设备和 与企业相关联的用户账号最终会被删除, 取消注册、重新注册 删除。
账号有效期
有时候,账号或其令牌会过期, 原因:
在大多数情况下(除非 EMM 是有意将设备账号迁移到新的账号) 设备),最佳做法是使用 Play EMM API 请求新令牌 从 EMM 服务器中移除,请注意账号和企业的状态,以及 然后对设备采取适当的措施。例如: 刷新令牌,或者如果错误不可恢复,请重置或取消注册 设备。
Google Play 服务9.0.00 版会通知您 通过广播操作确认账号已过期的 DPC:
当设备上的 Google Play 企业版账号失效时,DPC 收到包含以下操作的广播:
com.google.android.gms.auth.ACCOUNT_REAUTH_REQUIRED
该广播 intent 包含一个名为
account的Parcelableextra, 是Account对象。DPC 检查
Account#name与 EMM 服务器通信,以识别失效的账号。DPC 会按照同样的 用于配置设备的流程 。
Google 账号
对于使用 Google 账号的组织,EMM 中的用户账号
解决方案镜像与其他 Google 服务关联的现有用户账号
(例如 G Suite)。这些账号googleManaged
(表 1)因为
Google 的后端服务是创建数据和信息的来源
有关该账号的信息。
作为 EMM,您可以在控制台中提供相应机制 您的系统中保留的用户账号与他们的 Google 网域账号来源,例如 Google Cloud Directory Sync (GCDS) 和 Google Admin SDK Directory API。 了解各种方法。)Google 管理的网域身份模型 要求在解决方案环境(EMM 控制台、 EMM 服务器(可能是在数据存储区中),然后才能在任何设备上对其进行配置 在工作资料模式下,用户设备的状态。
在身份预配期间,将由 Google 管理的网域 填充了用户账号。在某些情况下,用户现有的在线身份 (如用户的 Microsoft Exchange 账号)与其个人资料 Google 账号。
初始同步之后,但在将应用分发到用户的 设备,用户必须按照 在设备上激活账号。此次激活 允许设备访问 Google Play 企业版。
同步客户账号
在 Google 账号部署中,组织可以使用 GCDS 工具执行以下操作: 将 G Suite 网域中的数据与 LDAP 中的数据同步 目录。您也可以使用 GCDS 在单位的服务器上执行此操作 (如果组织授予您访问权限)。
GCDS 工具会调用 Google Directory API 并同步用户名,但不会 密码。
如果组织使用 Microsoft Active Directory,并且希望保留用户的 G Suite 密码与其 Active Directory 密码同步,然后 他们或您 G Suite Password Sync (GSPS) 工具。
如需面向管理员的 GCDS 说明,请参阅为 G Suite 网域做好准备 以进行同步。
Google Directory API
在 Google 账号部署中,您可以使用 Google Directory API 执行以下操作: 同步活动目录和/或密码:
使用 Directory API 实现仅目录同步。如果您以只读模式 访问单位受管理的 Google 网域时,您可以使用 Google Directory API 获取用户名等 Google 账号信息, 密码)。因为您无法将任何数据写入用户的 Google 账号,组织对账号生命周期全权负责 循环。
场景 1 和基于 SAML 的单点登录身份验证场景 更全面地描述这种情况。
有关如何以这种方式使用 Directory API 的信息,请参阅检索所有 账号用户 请参阅 Directory API 文档。
使用 Directory API 同步目录和可选的密码。如果您 拥有对组织受管理的 Google 网域的读写权限; 就能使用 Google Directory API Google 账号信息。您可以更新这些信息,并将其与 您可能需要承担全部或部分责任, 账号生命周期,具体取决于您向自己的客户 客户。
场景 2 对此情况进行了更全面的说明。
有关使用 Directory API 管理用户账号信息的详细信息, 请参阅 Directory API:用户账号 开发者指南。
Google 账号场景
下面介绍了几种典型的 Google 账号身份配置场景 。
场景 1:客户对账号生命周期负责
在这种情况下,您的客户为其 用户。
您从单位的 LDAP 目录中获取用户账号信息, 将这些数据与您通过 Google Directory API。
组织对账号的生命周期全权负责。例如,当 创建新的 Google 账号后,相应组织会将用户添加到其 LDAP 目录。下次将数据库同步到 LDAP 目录时,您的 数据库会接收此新用户的相关信息。
在这种情况下:
- 您对 Google 账号仅拥有只读权限。
- 您的数据库获取了 Google 账号名称,但没有 LDAP 用户名或 密码。
- 您可以使用 Google Directory API 获取
客户的用户。(提供给您的信息是不可写入的信息
由
Users.get返回 请求)。您可以使用这些信息来验证用户的 Google 账号是否存在 以便用户能够对自己的设备进行身份验证。 - 您的客户使用 GCDS 工具进行单向同步,以填充用户的 Google 账号。(组织可能还使用 GCDS 自行 同步。)(可选) 组织还可以使用 GSPS 工具 不仅要同步用户名,还要同步密码。
场景 2:EMM 负责账号生命周期
在这种情况下,您可以代表 Google 账号创建流程 客户的身份,并对用户的账号生命周期负责。
举例来说,如果单位 LDAP 目录中的用户信息发生变化, 您负责更新用户的 Google 账号。GCDS 未用于以下国家/地区: 这种情况。
在这种情况下:
- 您拥有 Google 账号的读写权限。
- 您的数据库会获取 Google 账号名和 LDAP 用户名(以及 密码哈希)。
- 您可以代表客户使用 Google Directory API 读取和
写入单位用户的账号信息。(其中的信息
提供给您的是不可写入的信息
由
Users.get返回 请求)。您可以使用这些信息来验证用户的 Google 账号是否存在 以便用户能够对自己的设备进行身份验证。 - 未使用 GCDS 工具。
基于 SAML 的单点登录身份验证场景
在 Google 账号部署中,您或您的客户可能会使用“安全性”页面 通过使用身份提供方 (IdP) 的断言标记语言 (SAML) 进行身份验证 与各用户相关联的 Google 账号。您使用 Google 账号名称 验证用户的 Google 账号是否存在,这是用户 身份验证。例如,SAML 可以是 示例。有关具体设置方法,请参阅设置单个 G Suite 账号的登录 (SSO) 服务。
在设备上激活账号
对于通过 Google Play 企业版向用户设备分发的应用,用户 必须在设备配置期间登录设备:
- 在受管理的 Google Play 账号设备配置中, 设备政策控制器 (DPC) 会引导用户使用 EMM 接受的凭据登录 通常是公司电子邮件凭据
- 在 Google 账号部署中,DPC 会引导用户输入其 Google 账号登录凭据。这些凭据通常与 在同步后用于登录公司网域的用户 或者有组织使用 IdP 进行身份验证时。 这会激活用户的 Google 账号,生成唯一的设备 ID,以及 绑定了用户的 Google 账号身份及其设备的设备 ID。