配置用户帐号

身份预配(即账号预配)是设置 并在这三个系统之间建立连接, 设置用户与其设备之间的关联。

在 Android 企业环境中,多达三个不同的系统 账号信息:

  • 组织的用户目录是权威的信息来源 用户信息
  • 您(EMM 解决方案提供商)必须至少维护一个最小目录 组织的用户
  • Google 会保留一些关于 Google Play 企业版账号的信息, Google 账号,以便通过 Google Play 提供应用管理服务。

Users 资源表示账号 与企业相关联账号可以特定于某个设备,也可以 与拥有多部设备(手机、平板电脑、 等)并在所有组件中使用该账号。该账号可以提供访问权限 还是仅分发至其他 Google 服务,具体取决于您如何 设置客户的企业

  • Google Play 企业版账号为企业提供透明的途径 通过企业账号自动创建用户或设备账号 移动管理 (EMM) 解决方案提供商。通过这些账号,您可以访问 仅限 Google Play 企业版。

  • Google 账号是由 Google 管理的现有账号,需要 与 Google 账号来源同步。

表 1:用户 API 字段和方法

 Google Play 企业版账号Google 管理的账号
字段
id
kind
accountIdentifier您创建和映射的唯一标识符 分配给从 Google Play 返回的 ID (userId)。请勿个人使用 个人身份信息 (PII)。未设置。
accountTypedeviceAccount、userAccountuserAccount
displayName您在界面项中显示的名称,例如 Google Play。不要使用个人身份信息。未设置。
managementTypeemmManagedgoogleManaged、emmManaged
primaryEmail未设置。此字段是主键, 您负责管理这些账号从 Google 管理的域账号到用户 。
方法
删除
generateAuthenticationToken
generateToken
get
getAvailableProductSet
insert
list
revokeToken
setAvailableProductSet
update

Google Play 企业版账号

Google Play 企业版账号分为两种:

用户账号
让单个用户可以从自己的所有设备访问 Google Play 企业版。 您必须为您的用户配置用户账号,因为他们没有凭据 自己添加 Google Play 企业版账号。
如需创建用户账号,请调用 Users.insert。将账号类型设置为 userType,并设置 accountIdentifier, 唯一地引用企业中的用户。
最佳实践:不要为超过 10 个账号使用同一个账号 设备。
设备账户
提供通过单一设备访问 Google Play 企业版的权限。如果 已针对某设备账号发放了身份验证令牌, 该设备账号的身份验证令牌会停用之前的令牌。 每台设备都应拥有自己单独的应用许可。
如需创建设备账号,请调用 Users.insert 并将账号类型设置为 deviceType

您创建并维护用户或设备标识与 Google Play 企业版账号,而您可以通过 其生命周期。组织不需要任何直接控制 Google Play 企业版账号,因为这些账号仅用于应用用途 管理。

关于 EMM 控制台和服务器的要求

Google Play 企业版账号是按需、程序化地使用 Google Play EMM API 和 Android 框架 API EMM 解决方案(EMM 控制台、EMM 服务器和 DPC)。这些组件 来创建用户账号并 在目标设备上配置工作资料。 您的 EMM 控制台或服务器必须:

  • 提供一种创建唯一匿名账号标识符的机制 (accountIdentifier 字段)在对 Users.insert。例如,您 可能会为用户使用某种内部值(“sanjeev237389”),或 加密资产标签编号(“asset#44448”)。避免个人使用 账号标识符对应的个人身份信息 (PII)。

  • 存储 userId(从 insert 返回)之间的映射 调用)和您选择的 accountIdentifier

如需了解 DPC 的要求,请参阅构建设备政策 控制器

创建 Google Play 企业版用户账号

  1. 用户(通常)使用公司凭据登录您的 DPC。
  2. DPC 从 EMM 服务器或控制台请求用户详细信息。 假设您的系统无法识别该用户: <ph type="x-smartling-placeholder">
      </ph>
    1. 通过调用以下号码提交新建 Google Play 企业版账号的请求 值为“Users.insert” 新的 accountIdentifierdisplayNameaccountType
      • 您的系统必须创建 accountIdentifier。账号标识符 在您的系统中必须是唯一的。请勿将个人身份信息用于 账号标识符。
      • displayName显示在 Google Play 的账号切换器中 存储并对用户有一定意义(但不包括 用户)。例如,名称可以包含组织名称或 与 EMM 相关的通用名称。
      • accountType 设置为 userAccountdeviceAccount。答 userAccount 可在多个设备上使用,而 deviceAccount 是专门针对单一设备的指定的 accountType 可以是 deviceTypeuserType
      • managementType 设置为 emmManaged
    2. Google Play 会处理请求、创建账号,以及 会返回 userId
    3. accountIdentifieruserId 之间的映射存储在 数据存储区
    4. 调用 Users.generateAuthenticationToken 并使用 userIdenterpriseId。Google Play 会返回一个 身份验证令牌,只能使用一次,且必须在 几分钟。
    5. 将身份验证令牌安全地转发到您的 DPC。
  3. DPC 配置工作资料并将账号添加到工作资料 或设备
  4. 用户可以在工作资料或设备中访问 Google Play 企业版。

管理员账号

当管理员通过 Google Play 企业版创建企业时 账号、 他们使用的 Google 账号不能是 G Suite 账号。他们使用的账号 成为该企业的所有者,该所有者可以添加更多所有者和 在 Google Play 企业版管理中心内管理管理员。

Enterprises.getEnterprises.completeSignup 返回与企业关联的管理员电子邮件地址的列表 (仅限使用 Google Play 企业版账号的企业)。

管理账号生命周期

在 Google Play 企业版账号部署中,您需要对用户负责 和设备账号生命周期,这意味着您可以创建、更新和删除 这些账号。

您需要在设备配置期间创建账号,该过程涉及 DPC 应用和 EMM 控制台。有关说明,请参阅 受管理的 Google Play 账号 方法

要更改账号信息,请致电 Users.update.

要删除账号,请调用 Users.delete.

管理员无法删除个人账号,但可以删除 拥有 Google Play 企业版账号的企业。当他们执行上述操作时,设备和 与企业相关联的用户账号最终会被删除, 取消注册、重新注册 删除

账号有效期

有时候,账号或其令牌会过期, 原因:

  • 身份验证令牌 获取的将账号添加到设备所获的退款已过期。
  • 账号或企业已被删除
  • 对于设备账号,该账号已添加到新设备,并且 因此在旧设备上处于停用状态。
  • 会触发自动滥用行为检查。

在大多数情况下(除非 EMM 是有意将设备账号迁移到新的账号) 设备),最佳做法是使用 Play EMM API 请求新令牌 从 EMM 服务器中移除,请注意账号和企业的状态,以及 然后对设备采取适当的措施。例如: 刷新令牌,或者如果错误不可恢复,请重置或取消注册 设备。

Google Play 服务9.0.00 版会通知您 通过广播操作确认账号已过期的 DPC:

  1. 当设备上的 Google Play 企业版账号失效时,DPC 收到包含以下操作的广播:

    com.google.android.gms.auth.ACCOUNT_REAUTH_REQUIRED

    该广播 intent 包含一个名为 accountParcelable extra, 是Account 对象。

  2. DPC 检查 Account#name 与 EMM 服务器通信,以识别失效的账号。

  3. DPC 会按照同样的 用于配置设备的流程 。


Google 账号

对于使用 Google 账号的组织,EMM 中的用户账号 解决方案镜像与其他 Google 服务关联的现有用户账号 (例如 G Suite)。这些账号googleManaged表 1)因为 Google 的后端服务是创建数据和信息的来源 有关该账号的信息。

作为 EMM,您可以在控制台中提供相应机制 您的系统中保留的用户账号与他们的 Google 网域账号来源,例如 Google Cloud Directory Sync (GCDS)Google Admin SDK Directory API。 了解各种方法。)Google 管理的网域身份模型 要求在解决方案环境(EMM 控制台、 EMM 服务器(可能是在数据存储区中),然后才能在任何设备上对其进行配置 在工作资料模式下,用户设备的状态。

在身份预配期间,将由 Google 管理的网域 填充了用户账号。在某些情况下,用户现有的在线身份 (如用户的 Microsoft Exchange 账号)与其个人资料 Google 账号。

初始同步之后,但在将应用分发到用户的 设备,用户必须按照 在设备上激活账号。此次激活 允许设备访问 Google Play 企业版。

同步客户账号

在 Google 账号部署中,组织可以使用 GCDS 工具执行以下操作: 将 G Suite 网域中的数据与 LDAP 中的数据同步 目录。您也可以使用 GCDS 在单位的服务器上执行此操作 (如果组织授予您访问权限)。

GCDS 工具会调用 Google Directory API 并同步用户名,但不会 密码。

如果组织使用 Microsoft Active Directory,并且希望保留用户的 G Suite 密码与其 Active Directory 密码同步,然后 他们或您 G Suite Password Sync (GSPS) 工具。

如需面向管理员的 GCDS 说明,请参阅为 G Suite 网域做好准备 以进行同步

Google Directory API

在 Google 账号部署中,您可以使用 Google Directory API 执行以下操作: 同步活动目录和/或密码:

  • 使用 Directory API 实现仅目录同步。如果您以只读模式 访问单位受管理的 Google 网域时,您可以使用 Google Directory API 获取用户名等 Google 账号信息, 密码)。因为您无法将任何数据写入用户的 Google 账号,组织对账号生命周期全权负责 循环。

    场景 1基于 SAML 的单点登录身份验证场景 更全面地描述这种情况。

    有关如何以这种方式使用 Directory API 的信息,请参阅检索所有 账号用户 请参阅 Directory API 文档。

  • 使用 Directory API 同步目录和可选的密码。如果您 拥有对组织受管理的 Google 网域的读写权限; 就能使用 Google Directory API Google 账号信息。您可以更新这些信息,并将其与 您可能需要承担全部或部分责任, 账号生命周期,具体取决于您向自己的客户 客户。

    场景 2 对此情况进行了更全面的说明。

    有关使用 Directory API 管理用户账号信息的详细信息, 请参阅 Directory API:用户账号 开发者指南。

Google 账号场景

下面介绍了几种典型的 Google 账号身份配置场景 。

场景 1:客户对账号生命周期负责

使用 Directory API(具有只读权限)和 GCDS

在这种情况下,您的客户为其 用户。

您从单位的 LDAP 目录中获取用户账号信息, 将这些数据与您通过 Google Directory API

组织对账号的生命周期全权负责。例如,当 创建新的 Google 账号后,相应组织会将用户添加到其 LDAP 目录。下次将数据库同步到 LDAP 目录时,您的 数据库会接收此新用户的相关信息。

在这种情况下:

  • 您对 Google 账号仅拥有只读权限。
  • 您的数据库获取了 Google 账号名称,但没有 LDAP 用户名或 密码。
  • 您可以使用 Google Directory API 获取 客户的用户。(提供给您的信息是不可写入的信息 Users.get 返回 请求)。您可以使用这些信息来验证用户的 Google 账号是否存在 以便用户能够对自己的设备进行身份验证。
  • 您的客户使用 GCDS 工具进行单向同步,以填充用户的 Google 账号。(组织可能还使用 GCDS 自行 同步。)(可选) 组织还可以使用 GSPS 工具 不仅要同步用户名,还要同步密码。

场景 2:EMM 负责账号生命周期

将 Directory API 与以下服务搭配使用
  读写权限

在这种情况下,您可以代表 Google 账号创建流程 客户的身份,并对用户的账号生命周期负责。

举例来说,如果单位 LDAP 目录中的用户信息发生变化, 您负责更新用户的 Google 账号。GCDS 未用于以下国家/地区: 这种情况。

在这种情况下:

  • 您拥有 Google 账号的读写权限。
  • 您的数据库会获取 Google 账号名和 LDAP 用户名(以及 密码哈希)。
  • 您可以代表客户使用 Google Directory API 读取和 写入单位用户的账号信息。(其中的信息 提供给您的是不可写入的信息 Users.get 返回 请求)。您可以使用这些信息来验证用户的 Google 账号是否存在 以便用户能够对自己的设备进行身份验证。
  • 未使用 GCDS 工具。

基于 SAML 的单点登录身份验证场景

在 Google 账号部署中,您或您的客户可能会使用“安全性”页面 通过使用身份提供方 (IdP) 的断言标记语言 (SAML) 进行身份验证 与各用户相关联的 Google 账号。您使用 Google 账号名称 验证用户的 Google 账号是否存在,这是用户 身份验证。例如,SAML 可以是 示例。有关具体设置方法,请参阅设置单个 G Suite 账号的登录 (SSO) 服务

在设备上激活账号

对于通过 Google Play 企业版向用户设备分发的应用,用户 必须在设备配置期间登录设备:

  • 受管理的 Google Play 账号设备配置中, 设备政策控制器 (DPC) 会引导用户使用 EMM 接受的凭据登录 通常是公司电子邮件凭据
  • 在 Google 账号部署中,DPC 会引导用户输入其 Google 账号登录凭据。这些凭据通常与 在同步后用于登录公司网域的用户 或者有组织使用 IdP 进行身份验证时。 这会激活用户的 Google 账号,生成唯一的设备 ID,以及 绑定了用户的 Google 账号身份及其设备的设备 ID。