ملاحظة مهمة: لم نعد نقبل عمليات التسجيل الجديدة لواجهة برمجة تطبيقات Play لخدمة إدارة الأجهزة الجوّالة للمؤسسات (EMM). مزيد من المعلومات

تمت ترجمة هذه الصفحة بواسطة Cloud Translation API‏.

إدارة حسابات المستخدمين

إدارة حسابات الهوية (أو إدارة الحسابات) هي عملية إعداد الحسابات وإنشاء الاتصالات بين الأنظمة الثلاثة، وفي بعض الحالات، إعداد الاتصالات بين المستخدمين وأجهزتهم.

في بيئة Android للمؤسسات، تحتفظ ثلاثة أنظمة مختلفة بمعلومات الحساب:

يعد دليل مستخدم المؤسسة هو المصدر النهائي للمعلومات حول المستخدمين.
يجب أن تحتفظ أنت (موفّر حلول إدارة الخدمات الجوّالة للمؤسسات) على الأقل بدليلٍ صغير لمستخدمي المؤسسة.
تحتفظ Google ببعض المعلومات حول "حسابات Google Play للأعمال" وحسابات Google لتوفير إدارة التطبيقات من خلال Google Play.

يمثّل مورد Users حسابًا مرتبطًا بمؤسسة. يمكن أن يكون الحساب مخصّصًا لجهاز، أو يمكن ربطه بفرد لديه عدّة أجهزة (هاتف جوّال أو جهاز لوحي أو ما إلى ذلك) ويستخدم الحساب على جميع الأجهزة. يمكن أن يوفّر هذا الحساب إمكانية الوصول إلى "Google Play للأعمال" فقط، أو إلى خدمات Google الأخرى، وفقًا لكيفية إعداد مؤسسة العميل:

توفّر حسابات Google Play للأعمال وسيلة شفافة للمؤسسات لإنشاء حسابات للمستخدمين أو الأجهزة تلقائيًا من خلال موفّر حلول إدارة الخدمات الجوّالة للمؤسسات (EMM). توفر هذه الحسابات إمكانية الوصول إلى "Google Play للأعمال" فقط.
حسابات Google هي حسابات حالية تديرها Google، وتتطلّب المزامنة مع مصادر حساب Google.

الجدول 1: حقول واجهة برمجة تطبيقات "المستخدمين" وطرقها

	حسابات Google Play للأعمال	الحسابات المُدارة من Google
الحقل
id
النوع
accountIdentifier	هو معرّف فريد تنشئه وتربطه بالمعرّف (`userId`) الذي يتم عرضه من Google Play. لا تستخدم معلومات التعريف الشخصية (PII).	لم يتم الضبط.
accountType	deviceAccount، userAccount	userAccount
displayName	الاسم الذي تعرضه في عناصر واجهة المستخدم، مثل Google Play. لا تستخدم معلومات تحديد الهوية الشخصية.	لم يتم الضبط.
managementType	emmManaged	مُدار من google، إدارة emm
primaryEmail	لم يتم الضبط.	هذا الحقل هو المفتاح الأساسي الذي يمكنك من خلاله إدارة المزامنة من حسابات النطاقات التي تديرها Google إلى حسابات المستخدمين في نظامك.
الطُرق
حذف
generateAuthenticationToken
generateToken
الحصول على
getAvailableProductSet
insert
قائمة
revokeToken
setAvailableProductSet
تحديث

حسابات Google Play للأعمال

هناك نوعان من حسابات "Google Play للأعمال":

حساب المستخدم: يمنح هذا الحساب إمكانية وصول مستخدم واحد إلى "Google Play للأعمال" من جميع أجهزته. يجب توفير حسابات مستخدمين للمستخدمين، حيث لا تتوفّر لديهم بيانات الاعتماد اللازمة لإضافة حسابات Google Play للأعمال بأنفسهم.; لإنشاء حساب مستخدم، يُرجى الاتصال بالرقم Users.insert. اضبط نوع الحساب على userType، واضبط نوع accountIdentifier الذي يشير إلى المستخدم داخل المؤسسة بشكل فريد.; أفضل الممارسات: لا تستخدم الحساب نفسه على أكثر من 10 أجهزة.
حساب الجهاز: يوفر إمكانية الوصول إلى "Google Play للأعمال" من جهاز واحد. إذا تم إصدار رمز مميّز للمصادقة لأحد حسابات الأجهزة، سيؤدي الطلب الجديد للحصول على رمز مميّز للمصادقة لحساب الجهاز إلى إيقاف الرمز السابق. يجب أن يكون لكل جهاز تراخيص منفصلة خاصة به للتطبيقات.; لإنشاء حساب على جهاز، يُرجى الاتصال بالرقم Users.insert وضبط نوع الحساب على deviceType.

عليك إنشاء عملية ربط بين هويات المستخدم أو الجهاز وحسابات Google Play للأعمال المقابلة، وتدير الحسابات خلال دورة حياتها. لا تحتاج المؤسسة إلى أي سيطرة مباشرة على حسابات Google Play للأعمال هذه، لأن الحسابات مخصصة لإدارة التطبيقات فقط.

متطلبات وحدات التحكُّم في إدارة الخدمات الجوّالة للمؤسسات (EMM) والخوادم

يتم إنشاء حسابات Google Play للأعمال عند الطلب وبشكل آلي باستخدام واجهات برمجة التطبيقات لإدارة الخدمات الجوّالة للمؤسسات (EMM) في Google Play وواجهات برمجة التطبيقات لإطار عمل Android في كل مكوّنات حل إدارة الخدمات الجوّالة للمؤسسات (EMM) (وحدة تحكّم إدارة الخدمات الجوّالة للمؤسسات، وخادم إدارة الخدمات الجوّالة للمؤسسات (EMM)، ووحدة التحكّم بسياسة الجهاز). تتفاعل هذه المكونات في وقت التشغيل لإنشاء حساب مستخدم وتوفير الملف الشخصي للعمل على الجهاز المستهدف. يجب أن تتوفر الشروط التالية في وحدة التحكّم أو الخادم في "إدارة الخدمات الجوّالة للمؤسسات":

توفير آلية لإنشاء معرّفات حساب فريدة مجهولة الهوية (الحقل accountIdentifier) لاستخدامها في الطلب على Users.insert على سبيل المثال، قد تستخدم قيمة داخلية محددة للمستخدم ("sanjeev237389")، أو رقم علامة أصول مشفَّرة ("asset#44448"). تجنب استخدام معلومات تحديد الهوية الشخصية (PII) لمعرّف الحساب.
يجب تخزين عملية الربط بين userId (التي تم إرجاعها من خلال المكالمة insert) وaccountIdentifier التي اخترتها.

للتعرّف على متطلبات وحدة التحكّم بسياسة الجهاز، يمكنك الاطّلاع على المقالة إنشاء وحدة تحكّم بسياسة الجهاز.

إنشاء حساب مستخدم Google Play للأعمال

يسجِّل مستخدم الدخول إلى وحدة التحكّم بسياسة الجهاز (DPC) باستخدام بيانات اعتماد الشركة (عادةً).
تطلب وحدة التحكّم بسياسة الجهاز (DPC) تفاصيل عن المستخدم من خادم أو وحدة تحكُّم إدارة الخدمات الجوّالة للمؤسسات (EMM). على افتراض أنّ المستخدم غير معروف بالنسبة إلى النظام:
1. أرسِل طلبًا للحصول على حساب Google Play للأعمال الجديد من خلال الاتصال بالرقم Users.insert مع إرسال قيم للأرقام accountIdentifier وdisplayName وaccountType الجديدة.
  - يجب أن ينشئ النظام accountIdentifier. يجب أن يكون مُعرّف الحساب قيمة فريدة عبر نظامك. لا تستخدم معلومات تحديد الهوية الشخصية لمعرف الحساب.
  - يتم عرض displayName في مبدِّل الحسابات في "متجر Google Play" ويجب أن يحمل معنى مفيدًا للمستخدم (ولكنه لا يتضمّن معلومات تحديد الهوية الشخصية (PII) عن المستخدم). على سبيل المثال، يمكن أن يشتمل الاسم على اسم المؤسسة أو اسمًا عامًا مرتبطًا بخدمة "إدارة الخدمات الجوّالة للمؤسسات" (EMM).
  - اضبط السمة accountType على userAccount أو deviceAccount. ويمكن استخدام userAccount على أجهزة متعددة، في حين يكون deviceAccount خاصًا بجهاز واحد. وقد تكون السمة accountType المحدّدة deviceType أو userType.
  - يجب ضبط قيمة managementType على emmManaged.
2. يعالج Google Play الطلب وينشئ الحساب ويُرجع userId.
3. عليك تخزين عمليات الربط بين accountIdentifier وuserId في مخزن البيانات.
4. يمكنك الاتصال بـ Users.generateAuthenticationToken مع userId وenterpriseId. يعرض Google Play رمز مصادقة مميزًا يمكن استخدامه مرة واحدة ويجب استخدامه خلال دقائق قليلة.
5. يمكنك إعادة توجيه الرمز المميّز للمصادقة بأمان إلى وحدة التحكّم بسياسة الجهاز (DPC).
تدير وحدة التحكّم بسياسة الجهاز الملف الشخصي للعمل وتضيف الحساب إلى الملف الشخصي للعمل أو الجهاز.
يمكن للمستخدم الوصول إلى Google Play للأعمال من خلال الجهاز أو الملف الشخصي للعمل.

حسابات المشرفين

عند إنشاء مشرف مؤسسة باستخدام "حسابات Google Play للأعمال"، لا يمكن أن يكون حساب Google الذي يستخدمه أحد حسابات G Suite. ويصبح الحساب الذي يستخدمه مالك المؤسسة، ويمكن للمالك إضافة المزيد من المالكين والمشرفين في وحدة تحكم Google Play للأعمال.

يعرض كل من Enterprises.get وEnterprises.completeSignup قائمة بعناوين البريد الإلكتروني للمشرف المرتبطة بمؤسسة (المؤسسات التي لديها حسابات Google Play للأعمال فقط).

إدارة دورات حياة الحساب

عند نشر "حسابات Google Play للأعمال"، تكون مسؤولاً عن دورات حياة حسابات المستخدمين والأجهزة، ما يعني أنّه عليك إنشاء هذه الحسابات وتحديثها وحذفها.

ويمكنك إنشاء الحسابات أثناء توفير الجهاز، وهي عملية تتضمّن تطبيق وحدة التحكّم بسياسة الجهاز (DPC) ووحدة تحكم إدارة الخدمات الجوّالة للمؤسسات (EMM). للحصول على التعليمات، يُرجى الاطّلاع على طريقة "حسابات Google Play للأعمال".

لتغيير معلومات الحساب، اتصل بـ Users.update.

لحذف حساب، يُرجى الاتصال بـ Users.delete.

لا يمكن للمشرفين حذف حسابات فردية، ولكن يمكنهم حذف مؤسسة لديها "حسابات Google Play للأعمال". عند إجراء ذلك، يتم في النهاية حذف الجهاز وحسابات المستخدمين المرتبطة بالمؤسسة، على النحو الموضَّح في إلغاء التسجيل وإعادة التسجيل والحذف.

انتهاء صلاحية الحساب

في بعض الأحيان، تنتهي صلاحية الحسابات أو رموزها المميزة، وقد يحدث ذلك لعدة أسباب:

انتهت صلاحية الرمز المميّز للمصادقة الذي تم الحصول عليه لإضافة الحساب إلى الجهاز.
تم حذف الحساب أو المؤسسة.
بالنسبة إلى حسابات الأجهزة، تمت إضافة الحساب إلى جهاز جديد وبالتالي تم إيقافه على الجهاز القديم.
يتم تشغيل عمليات التحقّق من إساءة الاستخدام التلقائية.

وفي معظم الحالات (ما لم تكن خدمة إدارة الخدمات الجوّالة للمؤسسات (EMM) تنقل عن قصد حساب جهاز إلى جهاز جديد)، فإن أفضل ممارسة هي استخدام واجهة برمجة التطبيقات لإدارة الخدمات الجوّالة للمؤسسات (EMM) في Play لطلب رمز مميّز جديد من خادم إدارة الخدمات الجوّالة للمؤسسات (EMM)، وملاحظة حالة الحساب والمؤسسة وأي أخطاء تظهر، ومن ثم اتّخاذ الإجراء المناسب على الجهاز. على سبيل المثال، يمكنك إعادة تحميل الرمز المميّز أو إذا لم يكن الخطأ قابلاً للإصلاح، يمكنك إعادة ضبط الجهاز أو إلغاء تسجيله.

يُعلم الإصدار 9.0.00 من خدمات Google Play وحدة التحكّم بسياسة الجهاز (DPC) بانتهاء صلاحية الحساب باستخدام إجراء البث:

عند إلغاء صلاحية حساب Google Play للأعمال على أحد الأجهزة، ستتلقّى وحدة التحكّم بسياسة الجهاز بثًا يتضمن الإجراء التالي:
```
com.google.android.gms.auth.ACCOUNT_REAUTH_REQUIRED
```
يحتوي الغرض من البث على عنصر Parcelable إضافي باسم account، وهو كائن Account للحساب الذي تم إلغاء صلاحيته.
تتحقّق وحدة التحكّم بسياسة الجهاز من Account#name من خلال خادم إدارة الخدمات الجوّالة للمؤسسات (EMM) لتحديد الحساب الذي تم إبطال صلاحيته.
تطلب وحدة التحكّم بسياسة الجهاز (DPC) إما بيانات اعتماد جديدة أو حسابًا جديدًا، باتباع الخطوات نفسها المستخدَمة في إدارة الجهاز في البداية.

حسابات Google

بالنسبة إلى المؤسسات التي تستخدم حسابات Google، تعكس حسابات المستخدمين في حل إدارة الخدمات الجوّالة للمؤسسات (EMM) حسابات المستخدمين الحالية المرتبطة بخدمة أخرى من Google (على سبيل المثال، G Suite). هذه الحسابات هي googleManaged (الجدول 1) لأن خدمات الخلفية من Google هي مصدر إنشاء الحساب والمعلومات المتعلقة به.

بصفتك أحد خدمات إدارة الخدمات الجوّالة للمؤسسات (EMM)، يمكنك توفير آليات في وحدة التحكّم لتسهيل إنشاء حسابات المستخدمين التي يتم الاحتفاظ بها في نظامك ومزامنتها المستمرة مع مصادر حسابات نطاق Google باستخدام أدوات مثل أداة مزامنة دليل Google Cloud (GCDS) وواجهة برمجة تطبيقات دليل SDK لوحدة تحكُّم المشرف في Google للحصول على نظرة عامة على الأساليب المختلفة). يتطلب نموذج هوية النطاق الذي تديره Google أن يكون حساب المستخدم موجودًا في سياق الحل الذي تقدمه (وحدة تحكم إدارة الخدمات الجوّالة للمؤسسات، أو خادم إدارة الخدمات الجوّالة للمؤسسات، أو ربما في مخزن بيانات) قبل التمكن من توفيره على أي من أجهزة المستخدم في سياق الملف الشخصي للعمل.

أثناء توفير الهوية، تتم تعبئة النطاق الذي تديره Google للمؤسسة بحسابات المستخدمين. في بعض الحالات، تتم مزامنة الهويات الحالية للمستخدمين على الإنترنت (على سبيل المثال، حسابات Microsoft Exchange) مع حساباتهم على Google.

بعد المزامنة الأولية، ولكن قبل توزيع التطبيقات على جهاز المستخدم، على المستخدم تفعيل حسابه على Google على النحو الموضَّح في مقالة تفعيل الحسابات على الأجهزة. يسمح هذا التفعيل للجهاز بالوصول إلى "Google Play للأعمال".

مزامنة حسابات العملاء

في عملية نشر حسابات Google، يمكن للمؤسسة استخدام أداة "أداة مزامنة دليل Google Cloud" لمزامنة البيانات في نطاق G Suite مع البيانات في دليل LDAP. ويمكنك بدلاً من ذلك استخدام "أداة مزامنة دليل Google Cloud" لإجراء ذلك نيابةً عن المؤسسة، وذلك في حال منحت لك المؤسسة إذن الوصول إليها.

تستدعي أداة "أداة مزامنة دليل Google Cloud" واجهة برمجة تطبيقات دليل Google وتزامن أسماء المستخدمين، وليس كلمات المرور.

وإذا كانت المؤسسة تستخدم Microsoft Active Directory وتريد الحفاظ على مزامنة كلمات مرور المستخدمين في G Suite مع كلمات مرور Active Directory، يمكنهم—أو أنت—استخدام أداة G Suite Password Sync (GSPS) مع "أداة مزامنة دليل Google Cloud".

للحصول على تعليمات "أداة مزامنة دليل Google Cloud" للمشرفين، يُرجى الاطّلاع على المقالة إعداد نطاق G Suite للمزامنة.

واجهة برمجة التطبيقات لدليل Google

في عملية نشر حسابات Google، يمكنك استخدام واجهة برمجة التطبيقات لدليل Google لمزامنة الأدلة النشطة أو كلمات المرور أو كليهما:

استخدام Directory API لمزامنة الدليل فقط إذا كان لديك إذن بالقراءة فقط إلى نطاق Google المُدار للمؤسسة، يمكنك استخدام Google Directory API للحصول على معلومات حساب Google، مثل أسماء المستخدمين (وليس كلمات المرور) من Google. نظرًا لعدم قدرتك على كتابة أي بيانات في حسابات المستخدمين على Google، تكون المؤسسة مسؤولة تمامًا عن دورات حياة الحسابات.

السيناريو 1 وسيناريوهات مصادقة الدخول الموحّد (SSO) المستندة إلى SAML يصفان هذا الموقف بشكل أكثر تفصيلاً.

للحصول على معلومات حول استخدام Directory API بهذه الطريقة، يُرجى الاطّلاع على استرداد جميع مستخدمي الحسابات في وثائق Directory API.
استخدام Directory API لمزامنة كلمات المرور والدليل الاختياري. إذا كان لديك إذن بالقراءة والكتابة في نطاق Google المُدار للمؤسسة، يمكنك استخدام واجهة برمجة تطبيقات Google Directory API للحصول على أسماء المستخدمين وكلمات المرور وغيرها من معلومات حساب Google. يمكنك تحديث هذه المعلومات ومزامنتها مع قاعدة البيانات لديك، وقد تتحمل المسؤولية الكاملة أو الجزئية عن دورات حياة الحساب، بناءً على الحل الذي تقدمه لعميلك.

السيناريو 2 يصف هذا الموقف بشكل أكثر تفصيلاً.

لمزيد من المعلومات عن استخدام واجهة برمجة التطبيقات للدليل لإدارة معلومات حسابات المستخدمين، اطّلع على دليل واجهة برمجة تطبيقات الدليل: حسابات المستخدمين.

سيناريوهات حسابات Google

في ما يلي بعض السيناريوهات النموذجية لإدارة الهوية في حسابات Google.

السيناريو 1: العميل مسؤول عن دورات حياة الحساب

استخدام Directory API (مع إذن بالقراءة فقط) و"أداة مزامنة دليل Google Cloud"

في هذا السيناريو، يُنشئ العميل حسابات Google ويحافظ عليها لمستخدميه.

يمكنك الحصول على معلومات حساب المستخدم من دليل LDAP للمؤسسة، ويمكنك ربطه ببيانات حساب Google التي تحصل عليها من Google عبر Directory API.

تتحمّل المؤسسة المسؤولية الكاملة عن دورات حياة الحساب. على سبيل المثال، عند إنشاء "حساب Google" جديد، تضيف المؤسسة المستخدم إلى دليل LDAP. وفي المرة التالية التي تزامن فيها قاعدة بياناتك مع دليل LDAP، تتلقى قاعدة بياناتك معلومات حول هذا المستخدم الجديد.

في هذا السيناريو:

لديك الإذن بالقراءة فقط في حسابات Google.
تحصل قاعدة البيانات على أسماء حسابات Google، ولكن ليس هناك أسماء مستخدمين أو كلمات مرور في LDAP.
يمكنك استخدام واجهة برمجة تطبيقات دليل Google للحصول على معلومات الحساب الأساسية للمستخدمين لدى عملائك. (المعلومات المتاحة لك هي المعلومات غير القابلة للكتابة التي يعرضها طلب Users.get). يمكنك استخدام هذه المعلومات للتحقق من وجود حسابات Google للمستخدمين حتى يتمكن المستخدمون من المصادقة على أجهزتهم.
يستخدم عميلك أداة "أداة مزامنة دليل Google Cloud" لإجراء مزامنة أحادية الاتجاه لتعبئة حسابات Google للمستخدمين. (من المحتمل أن تستخدم المؤسسة أيضًا "أداة مزامنة دليل Google Cloud" لمزامنتها المستمرة بعد اكتمال توفير الهوية). اختياريًا، يمكن للمؤسسة أيضًا استخدام أداة GSPS، ليس فقط لمزامنة أسماء المستخدمين، ولكن أيضًا كلمات المرور.

السيناريو 2: إدارة الخدمات الجوّالة للمؤسسات (EMM) المسؤولة عن دورات حياة الحساب

استخدام Directory API مع إمكانية الوصول للقراءة والكتابة

في هذا السيناريو، ستتولى عملية إنشاء حسابات Google نيابةً عن عميلك، وستكون مسؤولاً عن دورات حياة حسابات المستخدمين.

على سبيل المثال، عندما تتغير معلومات المستخدم في دليل LDAP للمؤسسة، تكون مسؤولاً عن تحديث حساب Google للمستخدم. لا يتم استخدام أداة مزامنة دليل Google Cloud في هذا السيناريو.

في هذا السيناريو:

لديك إذن بالقراءة والتعديل في حسابات Google.
تحصل قاعدة البيانات على أسماء حسابات Google وأسماء المستخدمين في LDAP (واختياريًا، تجزئات كلمة المرور).
أنت تستخدم واجهة برمجة تطبيقات Google Directory API نيابةً عن عميلك لقراءة معلومات الحساب وكتابتها لمستخدمي المؤسسة. (المعلومات المتاحة لك هي المعلومات غير القابلة للكتابة التي يعرضها طلب Users.get). يمكنك استخدام هذه المعلومات للتحقق من وجود حسابات Google للمستخدمين حتى يتمكن المستخدمون من المصادقة على أجهزتهم.
عدم استخدام أداة "أداة مزامنة دليل Google Cloud".

سيناريوهات مصادقة الدخول الموحَّد (SSO) المستنِدة إلى SAML

في عملية نشر حسابات Google، قد تستخدم أنت أو عميلك لغة ترميز تأكيد الأمان (SAML) مع موفِّر هوية (IdP) لمصادقة حساب Google المرتبط بكل مستخدم. ويمكنك استخدام أسماء حسابات Google للتحقُّق من توفُّر حسابات Google للمستخدمين، وهو إجراء مطلوب لمصادقة المستخدم عند تسجيل المستخدمين الدخول إلى أجهزتهم. على سبيل المثال، يمكن استخدام SAML في السيناريو 2. للحصول على تفاصيل حول كيفية إعداد ذلك، يُرجى الاطّلاع على إعداد خدمة الدخول المُوحَّد (SSO) لحسابات G Suite.

تفعيل الحسابات على الأجهزة

لكي يتم توزيع التطبيقات على جهاز مستخدم من خلال "Google Play للأعمال"، على المستخدم تسجيل الدخول إلى الجهاز أثناء إدارة الجهاز:

في إدارة حسابات الأجهزة في "حسابات Google Play للأعمال"، توجّه وحدة التحكّم بسياسة الجهاز المستخدم إلى تسجيل الدخول باستخدام بيانات الاعتماد التي تقبلها وحدة تحكُّم إدارة الخدمات الجوّالة للمؤسسات (EMM)، والتي عادةً ما تكون بيانات اعتماد البريد الإلكتروني للشركة.
في عملية نشر حسابات Google، يوجّه وحدة التحكّم بسياسة الجهاز المستخدم إلى إدخال بيانات اعتماد تسجيل الدخول إلى حساب Google. عادةً ما تتطابق بيانات الاعتماد هذه مع تلك التي يسجِّل المستخدمون الدخول من خلالها إلى نطاق الشركة عند مزامنتها مع "أداة مزامنة دليل Google Cloud" أو GSPS، أو عندما تستخدم مؤسسة موفِّر الهوية (IdP) للمصادقة. يؤدي ذلك إلى تفعيل حساب Google للمستخدم وإنشاء رقم تعريف فريد للجهاز وربط هوية حساب المستخدم على Google ورقم تعريف الجهاز الخاص به.