Sediakan akun pengguna

Penyediaan identitas (atau penyediaan akun) adalah proses menyiapkan akun dan membangun koneksi antara ketiga sistem, dan dalam beberapa kasus, menyiapkan koneksi antara pengguna dan perangkat.

Dalam lingkungan perusahaan Android, sebanyak tiga sistem yang berbeda menyimpan informasi akun:

  • Direktori pengguna organisasi adalah sumber informasi definitif tentang pengguna.
  • Anda (penyedia solusi EMM) harus mengelola setidaknya direktori minimal pengguna organisasi.
  • Google menyimpan beberapa informasi tentang Akun Google Play terkelola dan Akun Google untuk menyediakan pengelolaan aplikasi melalui Google Play.

Resource Users mewakili akun yang terkait dengan perusahaan. Akun tersebut dapat dikhususkan untuk satu perangkat, atau dapat dikaitkan dengan individu yang memiliki beberapa perangkat (ponsel, tablet, dan sebagainya) dan menggunakan akun di semua perangkat tersebut. Akun tersebut dapat memberikan akses hanya ke Google Play terkelola, atau ke layanan Google lainnya, bergantung pada cara Anda menyiapkan perusahaan pelanggan:

  • Akun Google Play Terkelola memberikan sarana transparan bagi perusahaan untuk membuat akun pengguna atau perangkat secara otomatis melalui penyedia solusi pengelolaan mobilitas perusahaan (EMM) mereka. Akun ini hanya memberikan akses ke Google Play terkelola.

  • Akun Google adalah akun yang dikelola oleh Google, dan memerlukan sinkronisasi ke sumber Akun Google.

Tabel 1: Kolom dan metode API pengguna

 Akun Google Play TerkelolaAkun terkelola Google
Kolom
id
kind
accountIdentifierID unik yang Anda buat dan petakan ke ID (userId) yang ditampilkan dari Google Play. Jangan menggunakan informasi identitas pribadi (PII).Belum disetel.
accountTypeakunperangkat, akunpenggunauserAccount
displayNameNama yang Anda tampilkan di item UI, seperti dalam Google Play. Jangan gunakan informasi identitas pribadi.Belum disetel.
managementTypeemmManagedGoogleManaged, emmManaged
primaryEmailBelum disetel.Kolom ini adalah kunci utama yang Anda gunakan untuk mengelola sinkronisasi dari akun domain yang dikelola Google ke akun pengguna di sistem Anda.
Metode
hapus
generateAuthenticationToken
generateToken
get
getAvailableProductSet
insert
list
revokeToken
setAvailableProductSet
ubah

Akun Google Play Terkelola

Ada dua jenis Akun Google Play terkelola:

Akun pengguna
Memberi satu akses pengguna ke Google Play terkelola dari semua perangkatnya. Anda harus menyediakan akun pengguna untuk pengguna—mereka tidak memiliki kredensial untuk menambahkan sendiri Akun Google Play terkelola.
Untuk membuat akun pengguna, panggil Users.insert. Tetapkan jenis akun ke userType, dan tetapkan accountIdentifier, yang secara unik merujuk pengguna dalam perusahaan.
Praktik terbaik: Jangan gunakan akun yang sama di lebih dari 10 perangkat.
Akun perangkat
Menyediakan akses ke Google Play terkelola dari satu perangkat. Jika token autentikasi telah dikeluarkan untuk akun perangkat, permintaan baru untuk token autentikasi untuk akun perangkat tersebut akan menonaktifkan token sebelumnya. Setiap perangkat harus memiliki lisensi terpisah untuk aplikasi.
Untuk membuat akun perangkat, panggil Users.insert dan tetapkan jenis akun ke deviceType.

Anda membuat dan mengelola pemetaan antara identitas pengguna atau perangkat dan Akun Google Play terkelola yang sesuai, dan Anda mengelola akun tersebut selama siklus prosesnya. Organisasi tidak memerlukan kontrol langsung atas Akun Google Play terkelola ini, karena akun tersebut hanya untuk pengelolaan aplikasi.

Persyaratan untuk konsol dan server EMM

Akun Google Play Terkelola dibuat sesuai permintaan dan secara terprogram menggunakan EMM API Google Play dan API framework Android di seluruh komponen solusi EMM (konsol EMM, server EMM, dan DPC). Komponen ini berinteraksi saat runtime untuk membuat akun pengguna dan menyediakan profil kerja di perangkat target. Konsol atau server EMM Anda harus:

  • Berikan mekanisme untuk membuat ID akun anonim unik (kolom accountIdentifier) untuk digunakan dalam panggilan ke Users.insert. Misalnya, Anda dapat menggunakan beberapa nilai internal untuk pengguna ("sanjeev237389"), atau nomor tag aset samar ("aset#44448"). Hindari penggunaan informasi identitas pribadi (PII) untuk ID akun.

  • Simpan pemetaan antara userId (yang ditampilkan dari panggilan insert) dan accountIdentifier yang Anda pilih.

Untuk mengetahui persyaratan DPC, lihat Mem-build pengontrol kebijakan perangkat.

Membuat akun pengguna Google Play terkelola

  1. Pengguna login ke DPC menggunakan (biasanya) kredensial perusahaan.
  2. DPC meminta detail tentang pengguna dari server atau konsol EMM. Dengan asumsi bahwa pengguna tidak dikenal oleh sistem Anda:
    1. Kirim permintaan untuk Akun Google Play terkelola baru dengan memanggil Users.insert dengan nilai untuk accountIdentifier, displayName, dan accountType baru.
      • Sistem Anda harus membuat accountIdentifier. ID akun harus berupa nilai yang unik di seluruh sistem Anda. Jangan gunakan PII untuk ID akun.
      • displayName ditampilkan di pengalih akun Google Play Store dan harus memiliki arti bagi pengguna (tetapi bukan PII tentang pengguna). Misalnya, nama dapat mencakup nama organisasi atau nama umum yang terkait dengan EMM.
      • Tetapkan accountType ke userAccount atau deviceAccount. userAccount dapat digunakan di beberapa perangkat, sedangkan deviceAccount khusus untuk satu perangkat. accountType yang ditentukan dapat berupa deviceType atau userType.
      • Tetapkan managementType ke emmManaged.
    2. Google Play memproses permintaan, membuat akun, dan menampilkan userId.
    3. Simpan pemetaan antara accountIdentifier dan userId di datastore Anda.
    4. Panggil Users.generateAuthenticationToken dengan userId dan enterpriseId. Google Play menampilkan token autentikasi yang dapat digunakan satu kali, dan yang harus digunakan dalam beberapa menit.
    5. Teruskan token autentikasi ke DPC Anda dengan aman.
  3. DPC menyediakan profil kerja dan menambahkan akun ke profil kerja atau perangkat.
  4. Pengguna dapat mengakses Google Play terkelola dalam profil kerja atau perangkat.

Akun admin

Saat admin membuat perusahaan dengan Akun Google Play terkelola, Akun Google yang dia gunakan tidak boleh berupa akun G Suite. Akun yang mereka gunakan akan menjadi pemilik untuk perusahaan, dan pemilik dapat menambahkan lebih banyak pemilik dan admin di konsol Google Play terkelola.

Enterprises.get dan Enterprises.completeSignup menampilkan daftar alamat email admin yang dikaitkan dengan perusahaan (perusahaan dengan Akun Google Play terkelola saja).

Mengelola siklus proses akun

Dalam deployment Akun Google Play terkelola, Anda bertanggung jawab atas siklus proses akun pengguna dan perangkat, yang artinya Anda membuat, memperbarui, dan menghapus akun ini.

Anda membuat akun selama penyediaan perangkat, sebuah proses yang melibatkan aplikasi DPC dan konsol EMM. Untuk mengetahui petunjuknya, lihat metode Akun Google Play terkelola.

Untuk mengubah informasi akun, panggil Users.update.

Untuk menghapus akun, panggil Users.delete.

Admin tidak dapat menghapus akun satu per satu, tetapi dapat menghapus perusahaan dengan Akun Google Play terkelola. Jika hal ini dilakukan, perangkat dan akun pengguna yang terkait dengan perusahaan pada akhirnya akan dihapus, seperti yang dijelaskan dalam Membatalkan pendaftaran, mendaftarkan ulang, menghapus.

Akhir masa berlaku akun

Terkadang masa berlaku akun atau tokennya berakhir, yang dapat terjadi karena sejumlah alasan:

  • Token autentikasi yang diperoleh untuk menambahkan akun ke perangkat telah habis masa berlakunya.
  • Akun atau perusahaan telah dihapus.
  • Untuk akun perangkat, akun telah ditambahkan ke perangkat baru dan oleh karena itu dinonaktifkan di perangkat lama.
  • Pemeriksaan penyalahgunaan otomatis dipicu.

Dalam sebagian besar kasus (kecuali EMM sengaja memindahkan akun perangkat ke perangkat baru), praktik terbaiknya adalah menggunakan Play EMM API untuk meminta token baru dari server EMM, mencatat status akun dan perusahaan serta error yang ditampilkan, lalu mengambil tindakan yang sesuai pada perangkat. Misalnya, muat ulang token, atau jika error tidak dapat dipulihkan, reset, atau batalkan pendaftaran perangkat.

Layanan Google Play versi 9.0.00 memberi tahu DPC bahwa akun telah habis masa berlakunya menggunakan tindakan siaran:

  1. Jika Akun Google Play terkelola menjadi tidak valid di perangkat, DPC akan menerima siaran yang berisi tindakan berikut:

    com.google.android.gms.auth.ACCOUNT_REAUTH_REQUIRED

    Intent siaran berisi tambahan Parcelable dengan nama account, yang merupakan objek Account dari akun yang dibatalkan validasinya.

  2. DPC memeriksa Account#name dengan server EMM untuk mengidentifikasi akun yang tidak valid.

  3. DPC meminta kredensial baru atau akun baru, mengikuti alur yang sama dengan yang digunakan untuk menyediakan perangkat pada awalnya.


Akun Google

Untuk organisasi yang menggunakan Akun Google, akun pengguna dalam solusi EMM mencerminkan akun pengguna yang ada yang dikaitkan dengan layanan Google lainnya (misalnya, G Suite). Akun ini disebut googleManaged (Tabel 1) karena layanan backend Google adalah sumber pembuatan dan informasi tentang akun.

Sebagai EMM, Anda dapat menyediakan mekanisme di konsol untuk memfasilitasi pembuatan dan sinkronisasi berkelanjutan akun pengguna yang ada di sistem Anda dengan sumber akun domain Google mereka menggunakan alat seperti Google Cloud Directory Sync (GCDS) dan Google Admin SDK Directory API. untuk mendapatkan ringkasan berbagai pendekatan.) Model identitas domain yang dikelola Google mengharuskan akun pengguna ada dalam konteks solusi Anda (konsol EMM, server EMM, mungkin di datastore) sebelum dapat disediakan di perangkat pengguna mana pun dalam konteks profil kerja.

Selama penyediaan identitas, domain yang dikelola Google milik organisasi akan diisi dengan akun pengguna. Dalam beberapa kasus, identitas online pengguna yang ada (misalnya, akun Microsoft Exchange) disinkronkan dengan Akun Google mereka.

Setelah sinkronisasi awal, tetapi sebelum aplikasi didistribusikan ke perangkat pengguna, pengguna harus mengaktifkan Akun Google mereka, seperti yang dijelaskan dalam Mengaktifkan akun di perangkat. Aktivasi ini memungkinkan perangkat mengakses Google Play terkelola.

Menyinkronkan akun pelanggan

Dalam deployment Akun Google, organisasi dapat menggunakan alat GCDS untuk menyinkronkan data di domain G Suite dengan data di direktori LDAP mereka. Atau, Anda dapat menggunakan GCDS untuk melakukannya atas nama organisasi, jika organisasi memberi Anda akses.

Alat GCDS memanggil Google Directory API dan menyinkronkan nama pengguna, tetapi tidak dengan sandi.

Jika organisasi menggunakan Microsoft Active Directory dan ingin agar sandi G Suite pengguna tetap sinkron dengan sandi Active Directory mereka, pengguna—atau Anda—dapat menggunakan alat G Suite Password Sync (GSPS) dengan GCDS.

Untuk mengetahui petunjuk GCDS bagi admin, lihat Menyiapkan domain G Suite untuk sinkronisasi.

API Direktori Google

Dalam deployment Akun Google, Anda dapat menggunakan Google Directory API untuk menyinkronkan direktori aktif, sandi, atau keduanya:

  • Menggunakan Directory API untuk sinkronisasi khusus direktori. Jika Anda memiliki akses hanya baca ke domain Google terkelola milik organisasi, Anda dapat menggunakan Google Directory API untuk mendapatkan informasi Akun Google, seperti nama pengguna (tetapi bukan sandi) dari Google. Karena Anda tidak dapat menulis data apa pun ke Akun Google pengguna, organisasi bertanggung jawab sepenuhnya atas siklus proses akun.

    Skenario 1 dan Skenario autentikasi SSO berbasis SAML menjelaskan situasi ini secara lebih lengkap.

    Untuk mengetahui informasi tentang penggunaan Directory API dengan cara ini, lihat Mengambil semua pengguna akun dalam dokumentasi Directory API.

  • Menggunakan Directory API untuk direktori dan sinkronisasi sandi opsional. Jika Anda memiliki akses baca-tulis ke domain Google terkelola milik organisasi, Anda dapat menggunakan Google Directory API untuk mendapatkan nama pengguna, sandi, dan informasi Akun Google lainnya. Anda dapat memperbarui informasi ini dan menyinkronkannya dengan database Anda sendiri, dan Anda mungkin memiliki tanggung jawab penuh atau sebagian atas siklus proses akun, bergantung pada solusi yang Anda tawarkan kepada pelanggan Anda.

    Skenario 2 menjelaskan situasi ini secara lebih lengkap.

    Untuk informasi selengkapnya tentang cara menggunakan Directory API dalam mengelola informasi akun pengguna, lihat panduan developer Directory API: Akun Pengguna.

Skenario Akun Google

Beberapa skenario penyediaan identitas Akun Google standar dijelaskan di bawah.

Skenario 1: Pelanggan bertanggung jawab atas siklus proses akun

Menggunakan Directory API (dengan akses hanya baca) dan GCDS

Dalam skenario ini, pelanggan Anda membuat dan mengelola Akun Google untuk penggunanya.

Anda akan mendapatkan informasi akun pengguna dari direktori LDAP organisasi, dan mengaitkannya dengan data Akun Google yang Anda dapatkan dari Google melalui Google Directory API.

Organisasi bertanggung jawab penuh atas siklus hidup akun. Misalnya, saat Akun Google baru dibuat, organisasi akan menambahkan pengguna ke direktori LDAP mereka. Saat berikutnya Anda menyinkronkan database ke direktori LDAP, database Anda akan menerima informasi tentang pengguna baru ini.

Dalam skenario ini:

  • Anda hanya memiliki akses hanya baca ke Akun Google.
  • Database Anda memperoleh nama Akun Google, tetapi tanpa nama pengguna atau sandi LDAP.
  • Anda dapat menggunakan Google Directory API untuk mendapatkan informasi akun dasar bagi pengguna pelanggan Anda. (Informasi yang tersedia untuk Anda adalah informasi tidak dapat ditulis yang ditampilkan oleh permintaan Users.get). Anda menggunakan informasi ini untuk memverifikasi bahwa Akun Google pengguna ada sehingga pengguna dapat melakukan autentikasi ke perangkat mereka.
  • Pelanggan Anda menggunakan alat GCDS untuk melakukan sinkronisasi satu arah guna mengisi Akun Google pengguna. (Organisasi mungkin juga menggunakan GCDS untuk sinkronisasi berkelanjutan mereka sendiri setelah penyediaan identitas selesai.) Secara opsional, organisasi juga dapat menggunakan alat GSPS untuk menyinkronkan tidak hanya nama pengguna, tetapi juga sandi.

Skenario 2: EMM bertanggung jawab atas siklus proses akun

Menggunakan Directory API dengan
  akses baca-tulis

Dalam skenario ini, Anda menangani proses pembuatan Akun Google atas nama pelanggan, dan Anda bertanggung jawab atas siklus proses akun pengguna.

Misalnya, saat informasi pengguna berubah di direktori LDAP organisasi, Anda bertanggung jawab untuk memperbarui Akun Google pengguna. GCDS tidak digunakan dalam skenario ini.

Dalam skenario ini:

  • Anda memiliki akses baca-tulis ke Akun Google.
  • Database Anda memperoleh nama Akun Google dan nama pengguna LDAP (dan secara opsional, hash sandi).
  • Anda menggunakan Google Directory API atas nama pelanggan Anda untuk membaca dan menulis informasi akun bagi pengguna organisasi. (Informasi yang tersedia untuk Anda adalah informasi tidak dapat ditulis yang ditampilkan oleh permintaan Users.get). Anda menggunakan informasi ini untuk memverifikasi bahwa Akun Google pengguna ada sehingga pengguna dapat melakukan autentikasi ke perangkat mereka.
  • Alat GCDS tidak digunakan.

Skenario autentikasi SSO berbasis SAML

Dalam deployment Akun Google, Anda atau pelanggan Anda mungkin menggunakan Security Assertion Markup Language (SAML) dengan penyedia identitas (IdP) untuk mengautentikasi Akun Google yang terkait dengan setiap pengguna. Anda menggunakan nama Akun Google sebagai verifikasi bahwa Akun Google pengguna ada, yang diperlukan untuk autentikasi pengguna saat pengguna login ke perangkatnya. Misalnya, SAML dapat digunakan di Skenario 2. Untuk mengetahui detail tentang cara menyiapkannya, lihat Menyiapkan Single Sign-On (SSO) untuk akun G Suite.

Aktifkan akun di perangkat

Agar aplikasi didistribusikan ke perangkat pengguna melalui Google Play terkelola, pengguna harus login ke perangkat selama penyediaan perangkat:

  • Dalam penyediaan perangkat Akun Google Play terkelola, DPC akan memandu pengguna untuk login menggunakan kredensial yang diterima oleh konsol EMM Anda, biasanya kredensial email perusahaan.
  • Dalam deployment Akun Google, DPC memandu pengguna untuk memasukkan kredensial login Akun Google mereka. Biasanya, kredensial ini cocok dengan kredensial yang digunakan pengguna untuk login ke domain perusahaan saat mereka disinkronkan dengan GCDS atau RCS, atau saat organisasi menggunakan IdP untuk autentikasi. Tindakan ini akan mengaktifkan Akun Google pengguna, membuat ID perangkat unik, dan mengikat identitas Akun Google pengguna dan ID perangkat perangkatnya.