Udostępnij konta użytkowników

Udostępnianie tożsamości (lub udostępnianie kont) to proces konfigurowania. kont i tworzenia połączeń między tymi 3 systemami, a w niektórych przypadkach konfigurowania połączeń między użytkownikami a ich urządzeniami.

W środowisku biznesowym Androida można używać maksymalnie 3 różnych systemów. Informacje o koncie:

  • Katalog użytkowników organizacji jest najlepszym źródłem informacji o użytkownikach.
  • Ty (dostawca rozwiązania EMM) musisz utrzymywać co najmniej minimalny katalog użytkowników w organizacji.
  • Google zachowuje niektóre informacje o zarządzanych kontach Google Play oraz Konta Google umożliwiające zarządzanie aplikacjami w Google Play.

Zasób Users reprezentuje konto powiązane z firmą. Konto może być powiązane z urządzeniem lub być powiązana z osobą, która korzysta z kilku urządzeń (telefonów komórkowych, tabletów, i tak dalej), i używa konta we wszystkich tych usługach. Konto może zapewniać dostęp do zarządzanego Sklepu Google Play lub do innych usług Google, skonfiguruj grupę firmową klienta:

  • Zarządzane konta Google Play zapewniają firmom dostęp do przejrzystych narzędzi do automatycznego tworzenia kont użytkowników i urządzeń dostawcy rozwiązań do zarządzania urządzeniami mobilnymi (EMM). Te konta zapewniają dostęp do: tylko w zarządzanym Sklepie Google Play.

  • Konta Google to istniejące konta zarządzane przez Google. Te konta wymagają synchronizacji ze źródłami konta Google.

Tabela 1. Pola i metody interfejsu User API

 Konta zarządzanego Sklepu Google PlayKonta zarządzane przez Google
Pole
id
rodzaj
accountIdentifierUnikalny identyfikator, który tworzysz i mapujesz na identyfikator (userId) zwrócony z Google Play. Nie używaj ich osobiście informacje umożliwiające identyfikację.Nie ustawiono.
accountTypekonto_urządzenia, konto_użytkownikauserAccount
wyświetlanaNazwaNazwa wyświetlana w elementach interfejsu, na przykład w obrębie Google Play. Nie używaj informacji umożliwiających identyfikację osób.Nie ustawiono.
managementTypeemmManagedgoogleManaged, emmManaged
primaryEmailNie ustawiono.To pole jest kluczem podstawowym przez w ramach których zarządzasz synchronizacją z kont w domenie zarządzanych przez Google dla użytkowników kont w systemie.
Metody
usuń
generateAuthenticationToken
generateToken
get
getAvailableProductSet
Insert
lista
revokeToken
setAvailableProductSet
update

Konta zarządzanego Sklepu Google Play

Są 2 rodzaje kont zarządzanego Sklepu Google Play:

Konto użytkownika
Zapewnia jednemu użytkownikowi dostęp do zarządzanego Sklepu Google Play na wszystkich urządzeniach. Musisz udostępniać konta użytkowników – nie mają oni odpowiednich danych logowania. , aby samodzielnie dodać konta zarządzanego Sklepu Google Play.
.
Aby utworzyć konto użytkownika, zadzwoń pod numer Users.insert. Ustaw typ konta na userType i ustaw wartość accountIdentifier, która odnosi się jednoznacznie do użytkownika w firmie;
Sprawdzona metoda: nie korzystaj z tego samego konta w ponad 10 urządzenia.
Konto urządzenia
Daje dostęp do zarządzanego Sklepu Google Play z jednego urządzenia. Jeśli dla konta urządzenia zostanie wydany token uwierzytelniania, token uwierzytelniania dla tego konta urządzenia dezaktywuje poprzedni token. Każde urządzenie powinno mieć oddzielne licencje na aplikacje.
.
Aby utworzyć konto urządzenia, zadzwoń pod numer Users.insert i ustaw typ konta na deviceType.

Ty tworzysz i obsługujesz mapowanie między tożsamościami użytkowników lub urządzeń a na powiązanych z nimi zarządzanych kontach Google Play, a Ty zarządzasz nimi za pomocą ich cyklu życia. Organizacja nie potrzebuje bezpośredniej kontroli nad tymi danymi kont w zarządzanym Sklepie Google Play, ponieważ istnieją one wyłącznie i zarządzania nimi.

Wymagania dotyczące konsol i serwerów EMM

Konta zarządzanego Sklepu Google Play są tworzone automatycznie na żądanie przy użyciu interfejsów API Google Play EMM oraz Android Framework API, Rozwiązanie EMM (konsola EMM, serwer EMM i DPC). Te komponenty wchodzą w interakcję przy środowiska wykonawczego, aby utworzyć konto użytkownika udostępnić profil służbowy na urządzeniu docelowym. Konsola lub serwer EMM:

  • Zapewniają mechanizm tworzenia unikalnych anonimowych identyfikatorów kont (pole accountIdentifier), które mają być używane w wywołaniu Users.insert Na przykład: może używać pewnej wartości wewnętrznej dla użytkownika („sanjeev237389”) lub kryptograficzny numer tagu zasobu („asset#44448”). Unikaj używania do osobistych celów informacji umożliwiających identyfikację identyfikatora konta.

  • Przechowuj mapowanie między obiektem userId (powróconym z tagu insert połączenie) i wybrane przez Ciebie accountIdentifier.

.

Wymagania dotyczące DPC znajdziesz w artykule Tworzenie zasad dotyczących urządzeń kontrolerem.

Tworzenie konta użytkownika zarządzanego Sklepu Google Play

  1. Użytkownik loguje się na Twoim DPC przy użyciu (zwykle) firmowych danych logowania.
  2. DPC prosi o szczegółowe informacje o użytkowniku z serwera lub konsoli EMM. Zakładając, że użytkownik jest nieznany dla Twojego systemu:
    1. Zadzwoń, aby przesłać prośbę o nowe zarządzane konto Google Play Users.insert z wartościami dla nowe accountIdentifier, displayName i accountType.
      • System musi utworzyć: accountIdentifier. Identyfikator konta musi być unikalną wartością w całym systemie. Nie używaj informacji umożliwiających identyfikację w identyfikatora konta.
      • Ikona displayName jest widoczna w przełączniku kont w Google Play przechowywać i mieć jakieś znaczenie dla użytkownika (ale nie powinny zawierać informacji umożliwiających identyfikację użytkownika). Nazwa może zawierać na przykład nazwę organizacji lub ogólną nazwę dostawcy usług EMM.
      • Ustaw accountType na userAccount lub deviceAccount. O userAccount można używać na wielu urządzeniach, a deviceAccount dotyczy tylko jednego urządzenia. accountType może być wartością deviceType lub userType.
      • Ustaw wartość managementType na emmManaged.
    2. Google Play przetworzy prośbę, utworzy konto i zwraca userId.
    3. Przechowuj mapowanie między obiektami accountIdentifier i userId w do magazynu danych.
    4. Zadzwoń pod numer Users.generateAuthenticationToken z userId i enterpriseId. Google Play zwraca błąd tokena uwierzytelniania, którego można użyć tylko raz i musi on być użyty w za kilka minut.
    5. Bezpiecznie przekaż token uwierzytelniania do DPC.
  3. DPC konfiguruje profil służbowy i dodaje konto do profilu służbowego lub urządzeniu.
  4. Użytkownik może uzyskać dostęp do zarządzanego Sklepu Google Play z poziomu profilu służbowego lub urządzenia.
.

Konta administratorów

Gdy administrator utworzy grupę w zarządzanym Sklepie Google Play Konta konto Google, którego używają, nie może być kontem G Suite. konto, którego używają; staje się właścicielem firmy i może dodawać kolejnych właścicieli w zarządzanej Konsoli Google Play.

Zarówno Enterprises.get, jak i Enterprises.completeSignup zwraca listę adresów e-mail administratorów powiązanych z firmą. (tylko w przypadku firm z zarządzanymi kontami Google Play).

Zarządzanie cyklami życia konta

We wdrożeniu zarządzanych kont Google Play odpowiadasz za użytkowników i cykle życia konta urządzeń, czyli tworzenia, aktualizowania i usuwania tych kont.

Konta tworzysz podczas obsługi administracyjnej urządzeń, co obejmuje Aplikacja DPC i konsola EMM. Instrukcje znajdziesz w kont zarządzanego Sklepu Google Play .

Aby zmienić informacje o koncie, zadzwoń pod numer Users.update.

Aby usunąć konto, zadzwoń pod numer Users.delete.

Administratorzy nie mogą usuwać poszczególnych kont, ale mogą usuwać do Twojej firmy w zarządzanym Sklepie Google Play. W takim przypadku konta użytkowników powiązane z firmą są w końcu usuwane, ponieważ opisane w artykule Wyrejestrowywanie, rejestrowanie i rejestrowanie, usuwania.

Wygaśnięcie konta

Zdarza się, że konta lub ich tokeny tracą ważność, co może się zdarzyć przez wiele przyczyny:

  • token uwierzytelniania. konto wygasło.
  • Konto lub firma zostały usunięte.
  • W przypadku kont urządzeń konto zostało dodane do nowego urządzenia i jest dlatego są wyłączone na starym urządzeniu.
  • Aktywowana jest automatyczna kontrola nadużyć.

W większości przypadków (chyba że dostawca usług EMM celowo przenosi konto urządzenia na nowe na urządzeniu), najlepiej użyć interfejsu Play EMM API, aby poprosić o nowy token. z serwera EMM, zanotuj stan konta i grupy, zwraca błędy, a następnie podejmij odpowiednie działania na urządzeniu. Przykład: odśwież token, a jeśli błędu nie da się odzyskać, zresetuj lub wyrejestruj urządzenia.

Usługi Google Play w wersji 9.0.00 powiadamiają DPC, że konto wygasło w wyniku działania transmisji:

  1. Gdy konto zarządzanego Sklepu Google Play zostanie unieważnione na urządzeniu, DPC odbiera transmisję z następującym działaniem:

    com.google.android.gms.auth.ACCOUNT_REAUTH_REQUIRED

    Intencja transmisji zawiera dodatek Parcelable o nazwie account, który to Account unieważnionego konta.

  2. DPC sprawdza Account#name z serwerem EMM w celu zidentyfikowania unieważnionego konta.

  3. DPC prosi o nowe dane logowania lub o nowe konto po wykonaniu tego samego proces używany do obsługi urządzenia od początku.


Konta Google

W przypadku organizacji, które korzystają z kont Google, konta użytkowników w usługach EMM powiela istniejące konta użytkowników powiązane z inną usługą Google (na przykład G Suite). Te konta są googleManaged (Tabela 1), ponieważ Usługi backendu Google stanowią źródło informacji o koncie.

Jako dostawca usług EMM możesz udostępnić mechanizmy w konsoli, aby ułatwić tworzenie oraz ciągłą synchronizację kont użytkowników w systemie z ich kontami źródeł kont w domenie Google za pomocą takich narzędzi jak: Google Cloud Directory Sync (GCDS), oraz interfejs Google Admin SDK Directory API. , gdzie znajdziesz omówienie różnych metod). Model tożsamości domen zarządzanych przez Google wymaga, aby konto użytkownika istniało w kontekście rozwiązania (konsola EMM, serwera EMM (na przykład w magazynie danych), zanim będzie można go udostępnić w dowolnym urządzeń użytkownika w kontekście profilu służbowego.

Podczas obsługi administracyjnej tożsamości domena zarządzana przez Google jest zawiera nazwy kont użytkowników. W niektórych przypadkach obecne tożsamości użytkowników online (na przykład konta Microsoft Exchange) są synchronizowane z danymi Konta Google.

Po pierwszej synchronizacji, ale przed udostępnieniem aplikacji w użytkownik musi aktywować swoje konto Google, zgodnie z opisem Aktywowanie kont na urządzeniach Ta aktywacja umożliwia urządzeniu dostęp do zarządzanego Sklepu Google Play.

Synchronizowanie kont klientów

We wdrożeniu kont Google organizacja może używać narzędzia GCDS do synchronizować dane w domenie G Suite z danymi z katalogu LDAP, katalogu. Możesz też użyć GCDS, aby to zrobić na stronie w imieniu organizacji, jeśli ta organizacja przyzna Ci dostęp.

Narzędzie GCDS wywołuje interfejs Google Directory API i synchronizuje nazwy użytkowników, ale nie haseł.

Jeśli organizacja korzysta z Microsoft Active Directory i chce zachować hasła G Suite zsynchronizowane z hasłami Active Directory, one – lub Ty – mogą użyć G Suite Password Sync (GSPS), w GCDS.

Instrukcje dla administratorów dotyczące GCDS znajdziesz w artykule Przygotowywanie domeny G Suite do synchronizacji.

Interfejs Google Directory API

We wdrożeniu kont Google można używać interfejsu Google Directory API do synchronizować aktywne katalogi, hasła lub oba te elementy:

  • Używanie interfejsu Directory API do synchronizacji tylko z katalogiem. Jeśli masz uprawnienia tylko do odczytu dostępu do zarządzanej domeny Google organizacji, możesz użyć interfejsu Directory API do pobierania informacji o koncie Google, takich jak nazwy użytkowników (ale nie hasła) od Google. Ponieważ nie możesz zapisywać żadnych danych na kontach użytkowników kont Google, organizacja jest w pełni odpowiedzialna za aktywne konto. cykliczną.

    Scenariusz 1 i scenariusze uwierzytelniania SSO na podstawie SAML lepiej opisać sytuację.

    Informacje o korzystaniu z interfejsu Directory API w ten sposób znajdziesz w artykule Pobieranie wszystkich użytkowników konta w znajdziesz w dokumentacji interfejsu Directory API.

  • Używanie interfejsu Directory API do obsługi katalogu i opcjonalnej synchronizacji haseł. Jeśli mieć uprawnienia do zapisu i odczytu w zarządzanej domenie Google organizacji; możesz użyć interfejsu Google Directory API, aby uzyskać nazwy użytkowników, hasła i inne dane. Informacje o koncie Google. Możesz zaktualizować te informacje i zsynchronizować je z lub masz własną bazę danych. Możesz też ponosić pełną lub częściową odpowiedzialność za w zależności od rozwiązania oferowanego klienta.

    Scenariusz 2 pełniejszy opis tej sytuacji.

    Aby dowiedzieć się więcej o zarządzaniu informacjami o kontach użytkowników za pomocą interfejsu Directory API, zobacz Directory API: Konta użytkowników. w przewodniku dla programistów.

Scenariusze dotyczące kont Google

Opisaliśmy kilka typowych scenariuszy obsługi administracyjnej tożsamości na kontach Google poniżej.

Scenariusz 1. Klient odpowiedzialny za cykle życia konta

Korzystanie z interfejsu Directory API (z dostępem tylko do odczytu) i GCDS

W tym scenariuszu klient tworzy i utrzymuje konta Google użytkowników.

informacje o kontach użytkowników pochodzą z katalogu LDAP organizacji, powiązane z danymi konta Google otrzymanymi od Google Directory API.

Organizacja ponosi pełną odpowiedzialność za cykle życia konta. Na przykład, gdy jeśli zostanie utworzone nowe konto Google, organizacja doda użytkownika do swojego LDAP katalogu. Przy następnej synchronizacji bazy danych z katalogiem LDAP otrzymuje informacje o tym nowym użytkowniku.

W tym scenariuszu:

  • Do kont Google masz dostęp tylko do odczytu.
  • Baza danych pobiera nazwy kont Google, ale nie otrzymuje nazw użytkowników LDAP ani haseł.
  • Interfejs Google Directory API służy do pobierania podstawowych informacji o koncie użytkowników. (Dostępne są dane, których nie można zapisać zwrócone przez Users.get ). Na podstawie tych informacji możesz potwierdzić, że konta Google użytkowników istnieją aby użytkownicy mogli uwierzytelniać się na swoich urządzeniach.
  • Klient używa narzędzia GCDS do wykonywania synchronizacji jednokierunkowej w celu wypełnienia pól Konta Google. (Organizacja prawdopodobnie używa też GCDS do swoich własnych synchronizację po zakończeniu obsługi administracyjnej tożsamości). Opcjonalnie parametr organizacja może też korzystać z narzędzia GSPS, aby synchronizować nie tylko nazwy użytkowników, ale też hasła.

Scenariusz 2. Usługi EMM odpowiedzialne za cykle życia konta

Używanie interfejsu Directory API z
  uprawnienia do zapisu i odczytu

W tym scenariuszu to Ty zajmujesz się tworzeniem kont Google w imieniu klienta i odpowiadasz za cykle życia tych kont.

Jeśli na przykład informacje o użytkownikach zmienią się w katalogu LDAP organizacji, odpowiada za aktualizowanie konta Google użytkownika. GCDS nie jest używany w w tej sytuacji.

W tym scenariuszu:

  • Masz uprawnienia do zapisu i odczytu na kontach Google.
  • Baza danych pobiera nazwy kont Google i nazwy użytkowników LDAP (oraz (opcjonalnie, hasze hasła).
  • używasz interfejsu Google Directory API w imieniu klienta, aby odczytywać zapisywanie informacji o kontach użytkowników w organizacji. (Informacja dostępne są informacje, których nie można zapisać zwrócone przez Users.get ). Na podstawie tych informacji możesz potwierdzić, że konta Google użytkowników istnieją aby użytkownicy mogli uwierzytelniać się na swoich urządzeniach.
  • Narzędzie GCDS nie jest używane.
.

Scenariusze uwierzytelniania SSO opartego na SAML

We wdrożeniu kont Google Ty lub Twój klient możecie korzystać z funkcji Security Uwierzytelnianie za pomocą języka Assertion Markup Language (SAML) z dostawcą tożsamości (IdP) do uwierzytelniania konto Google powiązane z każdym użytkownikiem. Używasz nazw kont Google potwierdzania istnienia kont Google użytkowników, uwierzytelniania, gdy użytkownicy logują się na swoich urządzeniach. Na przykład SAML może być używane w scenariuszu 2. Szczegółowe informacje o tym, jak to zrobić, znajdziesz w sekcji Konfigurowanie pojedynczej funkcji logowanie się na konta G Suite,

Aktywowanie kont na urządzeniach

Aby aplikacje mogły być rozpowszechniane na urządzeniu użytkownika przez zarządzany Sklep Google Play, użytkownik: musi zalogować się na urządzeniu podczas obsługi administracyjnej urządzeń:

  • W przypadku obsługi urządzeń w zarządzanych kontach Google Play: DPC prosi użytkownika o zalogowanie się przy użyciu danych logowania akceptowanych przez dostawcę usług EMM zwykle przy użyciu firmowych danych logowania do poczty e-mail.
  • We wdrożeniu kont Google DPC prosi użytkownika o wpisanie danych dane logowania na konto Google. Zwykle te dane logowania są zgodne z danymi z którymi użytkownicy logują się w domenie firmowej po synchronizacji w GCDS lub GSPS albo gdy organizacja korzysta z dostawcy tożsamości do uwierzytelniania. Spowoduje to aktywowanie konta Google użytkownika i wygenerowanie unikalnego identyfikatora urządzenia. tworzy powiązanie między tożsamością konta Google użytkownika a identyfikatorem urządzenia.