Wichtig:Wir akzeptieren keine neuen Registrierungen für die Play EMM API mehr. Weitere Informationen

Diese Seite wurde von der Cloud Translation API übersetzt.

Nutzerkonten bereitstellen

Bei der Identitätsbereitstellung (oder Kontobereitstellung) werden Konten eingerichtet und Verbindungen zwischen den drei Systemen hergestellt. In einigen Fällen werden auch Verbindungen zwischen Nutzern und ihren Geräten hergestellt.

In einer Android Enterprise-Umgebung enthalten bis zu drei verschiedene Systeme Kontoinformationen:

Die maßgebliche Quelle für Nutzerinformationen ist das Nutzerverzeichnis der Organisation.
Sie (der Anbieter der EMM-Lösung) müssen mindestens ein Verzeichnis der Nutzer der Organisation verwalten.
Google pflegt einige Informationen zu Managed Google Play- und Google-Konten, um die App-Verwaltung über Google Play anbieten zu können.

Eine Users-Ressource steht für ein Konto, das mit einem Unternehmen verknüpft ist. Das Konto kann gerätespezifisch sein oder einer Person zugeordnet werden, die mehrere Geräte (Smartphone, Tablet usw.) hat und das Konto für alle verwendet. Je nachdem, wie Sie das Unternehmen Ihres Kunden eingerichtet haben, kann über das Konto nur auf Managed Google Play oder andere Google-Dienste zugegriffen werden:

Managed Google Play-Konten bieten Unternehmen eine transparente Möglichkeit, Nutzer- oder Gerätekonten automatisch über den Anbieter ihrer EMM-Lösung (Enterprise Mobility Management) zu erstellen. Diese Konten bieten nur Zugriff auf Managed Google Play.
Google-Konten sind vorhandene Konten, die von Google verwaltet werden und müssen mit Google-Kontoquellen synchronisiert werden.

Tabelle 1: Felder und Methoden der Users API

	Managed Google Play-Konten	Von Google verwaltete Konten
Feld
id
Typ
accountIdentifier	Eine eindeutige ID, die Sie erstellen und der von Google Play zurückgegebenen ID (`userId`) zuordnen. Verwenden Sie keine personenidentifizierbaren Informationen.	Nicht definiert.
accountType	deviceAccount, userAccount	userAccount
displayName	Der Name, den Sie in UI-Elementen anzeigen, z. B. in Google Play. Verwenden Sie keine personenidentifizierbaren Informationen.	Nicht definiert.
managementType	emmManaged	googleManaged, emmManaged
primaryEmail	Nicht definiert.	Dieses Feld ist der Primärschlüssel, mit dem Sie die Synchronisierung von von Google verwalteten Domainkonten mit Nutzerkonten in Ihrem System verwalten.
Methoden
delete
generateAuthenticationToken
generateToken
get
getAvailableProductSet
insert
list
revokeToken
setAvailableProductSet
update

Managed Google Play-Konten

Es gibt zwei Arten von Managed Google Play-Konten:

Nutzerkonto: Ein einzelner Nutzer kann von allen seinen Geräten auf Managed Google Play zugreifen. Sie müssen Nutzerkonten für Ihre Nutzer bereitstellen. Diese haben nicht die Anmeldedaten, um Managed Google Play-Konten selbst hinzuzufügen.; Rufen Sie Users.insert auf, um ein Nutzerkonto zu erstellen. Legen Sie den Kontotyp auf userType und einen accountIdentifier fest, der eindeutig auf den Nutzer im Unternehmen verweist.; Best Practice: Verwende dasselbe Konto nicht auf mehr als 10 Geräten.
Gerätekonto: Der Zugriff auf Managed Google Play erfolgt über ein zentrales Gerät. Wenn ein Authentifizierungstoken für ein Gerätekonto ausgestellt wurde, wird das vorherige Token durch eine neue Anfrage für ein Authentifizierungstoken für dieses Gerätekonto deaktiviert. Jedes Gerät sollte eigene Lizenzen für Apps haben.; Wenn Sie ein Gerätekonto erstellen möchten, rufen Sie Users.insert auf und legen Sie den Kontotyp auf deviceType fest.

Sie erstellen und verwalten eine Zuordnung zwischen den Nutzer- oder Geräteidentitäten und den entsprechenden Managed Google Play-Konten und verwalten die Konten während ihres gesamten Lebenszyklus. Die Organisation benötigt keine direkte Kontrolle über diese verwalteten Google Play-Konten, da die Konten ausschließlich für die Anwendungsverwaltung vorhanden sind.

Anforderungen für EMM-Konsolen und -Server

Managed Google Play-Konten werden bei Bedarf programmatisch mithilfe der Google Play EMM APIs und Android Framework APIs für die Komponenten Ihrer EMM-Lösung (EMM-Konsole, EMM-Server und DPC) erstellt. Diese Komponenten interagieren zur Laufzeit, um ein Nutzerkonto zu erstellen und das Arbeitsprofil auf dem Zielgerät bereitzustellen. Ihre EMM-Konsole oder der EMM-Server müssen folgende Anforderungen erfüllen:

Geben Sie einen Mechanismus zum Erstellen eindeutiger anonymer Kontokennungen (das Feld accountIdentifier) an, die im Aufruf von Users.insert verwendet werden. Sie können beispielsweise einen internen Wert für den Nutzer ("sanjeev237389") oder eine kryptische Asset-Tag-Nummer ("asset#44448") verwenden. Verwenden Sie keine personenidentifizierbaren Informationen als Kontokennung.
Speichern Sie die Zuordnung zwischen dem vom insert-Aufruf zurückgegebenen userId und dem ausgewählten accountIdentifier.

Informationen zu den Anforderungen für Ihren DPC finden Sie unter Device Policy Controller erstellen.

Managed Google Play-Nutzerkonto erstellen

Ein Nutzer meldet sich mit üblicherweise geschäftlichen Anmeldedaten bei Ihrem DPC an.
Der DPC fordert Details zum Nutzer vom EMM-Server oder der EMM-Konsole an. Wenn der Nutzer Ihrem System unbekannt ist:
1. Senden Sie eine Anfrage für ein neues verwaltetes Google Play-Konto, indem Sie Users.insert mit Werten für die neuen Werte accountIdentifier, displayName und accountType aufrufen.
  - Ihr System muss die accountIdentifier erstellen. Die Konto-ID muss in Ihrem System ein eindeutiger Wert sein. Verwenden Sie keine personenidentifizierbaren Informationen als Kontokennung.
  - Die displayName wird in der Kontoauswahl des Google Play Store angezeigt und sollte für den Nutzer eine Bedeutung haben (aber keine personenidentifizierbaren Informationen über den Nutzer). Der Name kann beispielsweise den Namen der Organisation oder einen generischen Namen für den EMM enthalten.
  - Legen Sie accountType auf userAccount oder deviceAccount fest. Ein userAccount kann auf mehreren Geräten verwendet werden, während ein deviceAccount für ein einzelnes Gerät spezifisch ist. Der angegebene accountType kann deviceType oder userType sein.
  - Legen Sie den Wert managementType auf emmManaged fest.
2. Google Play verarbeitet die Anfrage, erstellt das Konto und gibt ein userId zurück.
3. Speichern Sie die Zuordnung zwischen accountIdentifier und userId in Ihrem Datenspeicher.
4. Rufen Sie Users.generateAuthenticationToken mit der userId und der enterpriseId auf. Google Play gibt ein Authentifizierungstoken zurück, das einmal verwendet werden kann und innerhalb weniger Minuten verwendet werden muss.
5. Leiten Sie das Authentifizierungstoken sicher an Ihren DPC weiter.
Der DPC stellt das Arbeitsprofil bereit und fügt das Konto dem Arbeitsprofil oder dem Gerät hinzu.
Der Nutzer kann über das Arbeitsprofil oder das Gerät auf Managed Google Play zugreifen.

Administratorkonten

Wenn ein Administrator ein Unternehmen mit Managed Google Play-Konten erstellt, kann das von ihm verwendete Google-Konto kein G Suite-Konto sein. Das verwendete Konto wird zu einem Inhaber für das Unternehmen und der Inhaber kann in der Managed Google Play Console weitere Inhaber und Administratoren hinzufügen.

Sowohl Enterprises.get als auch Enterprises.completeSignup geben eine Liste der Administrator-E-Mail-Adressen zurück, die mit einem Unternehmen verknüpft sind (nur Unternehmen mit Managed Google Play-Konten).

Kontolebenszyklen verwalten

Bei der Bereitstellung von Managed Google Play-Konten sind Sie für den Lebenszyklus von Nutzer- und Gerätekonten verantwortlich. Das bedeutet, dass Sie diese Konten erstellen, aktualisieren und löschen.

Die Konten werden während der Gerätebereitstellung erstellt. Dies ist ein Vorgang, der Ihre DPC-Anwendung und Ihre EMM-Konsole umfasst. Eine Anleitung finden Sie im Artikel zur Methode für Managed Google Play-Konten.

Rufen Sie zum Ändern der Kontoinformationen Users.update auf.

Rufen Sie Users.delete auf, um ein Konto zu löschen.

Administratoren können keine individuellen Konten löschen, aber sie können ein Unternehmen mit Managed Google Play-Konten löschen. In diesem Fall werden das mit dem Unternehmen verknüpfte Gerät und die Nutzerkonten gelöscht, wie unter Registrierung aufheben, neu registrieren, löschen beschrieben.

Kontoablauf

Gelegentlich laufen Konten oder ihre Tokens ab. Dies kann verschiedene Gründe haben:

Das Authentifizierungstoken, mit dem das Konto zum Gerät hinzugefügt werden konnte, ist abgelaufen.
Das Konto oder Unternehmen wurde gelöscht.
Bei Gerätekonten wurde das Konto einem neuen Gerät hinzugefügt und daher auf dem alten Gerät deaktiviert.
Es werden automatische Prüfungen auf Missbrauch ausgelöst.

Sofern der EMM nicht absichtlich ein Gerätekonto auf ein neues Gerät verschiebt, empfiehlt es sich in den meisten Fällen, mithilfe der Play EMM API ein neues Token vom EMM-Server anzufordern, den Status des Kontos und des Unternehmens sowie alle zurückgegebenen Fehler zu erfassen und dann entsprechende Maßnahmen auf dem Gerät zu ergreifen. Aktualisieren Sie beispielsweise das Token. Wenn der Fehler nicht behoben werden kann, setzen Sie das Gerät zurück oder heben Sie die Registrierung auf.

Version 9.0.00 der Google Play-Dienste benachrichtigt Ihren DPC mithilfe der Broadcast-Aktion, dass das Konto abgelaufen ist:

Wenn das Managed Google Play-Konto auf einem Gerät ungültig wird, empfängt der DPC einen Broadcast mit der folgenden Aktion:
```
com.google.android.gms.auth.ACCOUNT_REAUTH_REQUIRED
```
Der Broadcast-Intent enthält ein zusätzliches Parcelable mit dem Namen account. Dies ist das Objekt Account des ungültigen Kontos.
Der DPC prüft Account#name beim EMM-Server, um das ungültige Konto zu identifizieren.
Der DPC fordert entweder neue Anmeldedaten oder ein neues Konto an. Gehen Sie dabei genauso vor wie bei der anfänglichen Bereitstellung des Geräts.

Google-Konten

Bei Organisationen, die Google-Konten verwenden, spiegeln die Nutzerkonten in einer EMM-Lösung vorhandene Nutzerkonten wider, die mit einem anderen Google-Dienst verknüpft sind, z. B. mit der G Suite. Diese Konten sind googleManaged (Tabelle 1), da die Back-End-Dienste von Google die Quelle für die Erstellung und Informationen über das Konto sind.

Als EMM-Anbieter können Sie in der Console Funktionen wie Google Cloud Directory Sync (GCDS) und die Google Admin SDK Directory API verwenden, um die Erstellung und laufende Synchronisierung von Nutzerkonten in Ihrem System mit den Kontoquellen ihrer Google-Domain zu vereinfachen. Für das von Google verwaltete Domainidentitätsmodell muss das Nutzerkonto im Kontext Ihrer Lösung (EMM-Konsole, EMM-Server, möglicherweise in einem Datenspeicher) vorhanden sein, damit es auf einem der Geräte des Nutzers im Kontext eines Arbeitsprofils bereitgestellt werden kann.

Während der Identitätsbereitstellung wird die von Google verwaltete Domain der Organisation mit Nutzerkonten gefüllt. In einigen Fällen werden die vorhandenen Onlineidentitäten der Nutzer (z. B. ihre Microsoft Exchange-Konten) mit ihren Google-Konten synchronisiert.

Nach der ersten Synchronisierung, aber bevor Anwendungen an das Gerät eines Nutzers ausgegeben werden, muss der Nutzer sein Google-Konto aktivieren, wie unter Konten auf Geräten aktivieren beschrieben. Dadurch kann das Gerät auf Managed Google Play zugreifen.

Kundenkonten synchronisieren

Bei einer Bereitstellung von Google-Konten kann die Organisation das GCDS-Tool verwenden, um die Daten in ihrer G Suite-Domain mit den Daten in ihrem LDAP-Verzeichnis zu synchronisieren. Alternativ können Sie GCDS verwenden, um dies im Namen der Organisation zu tun, wenn die Organisation Ihnen Zugriff gewährt.

Das GCDS-Tool ruft die Google Directory API auf und synchronisiert Nutzernamen, aber keine Passwörter.

Wenn die Organisation Microsoft Active Directory verwendet und die G Suite-Passwörter der Nutzer mit ihren Active Directory-Passwörtern synchronisieren möchte, können sie oder Sie das Tool G Suite Password Sync (GSPS) mit GCDS verwenden.

Eine GCDS-Anleitung für Administratoren finden Sie unter G Suite-Domain für die Synchronisierung vorbereiten.

Google Directory API

In einer Google-Konten-Bereitstellung können Sie mit der Google Directory API aktive Verzeichnisse, Passwörter oder beides synchronisieren:

Directory API für die verzeichnisbasierte Synchronisierung verwenden: Wenn Sie Lesezugriff auf die verwaltete Google-Domain der Organisation haben, können Sie die Google Directory API verwenden, um Google-Kontoinformationen von Google abzurufen, z. B. Nutzernamen (aber keine Passwörter). Da Sie keine Daten in die Google-Konten von Nutzern schreiben können, ist die Organisation vollständig für die Kontolebenszyklen verantwortlich.

In Szenario 1 und SAML-basierten SSO-Authentifizierungsszenarien wird diese Situation ausführlicher beschrieben.

Weitere Informationen dazu, wie Sie die Directory API auf diese Weise verwenden, finden Sie in der Dokumentation zur Directory API unter Alle Kontonutzer abrufen.
Directory API für die Verzeichnis- und optionale Passwortsynchronisierung verwenden. Wenn Sie Lese-/Schreibzugriff auf die verwaltete Google-Domain der Organisation haben, können Sie mit der Google Directory API Nutzernamen, Passwörter und andere Google-Kontoinformationen abrufen. Sie können diese Informationen aktualisieren und mit Ihrer eigenen Datenbank synchronisieren. Je nach Lösung, die Sie Ihrem Kunden anbieten, sind Sie möglicherweise vollständig oder teilweise für die Kontolebenszyklen verantwortlich.

In Szenario 2 wird diese Situation ausführlicher beschrieben.

Weitere Informationen zum Verwalten von Informationen zu Nutzerkonten mit der Directory API finden Sie im Entwicklerhandbuch zur Directory API: Nutzerkonten.

Szenarien für Google-Konten

Im Folgenden werden einige typische Szenarien für die Identitätsbereitstellung für Google-Konten beschrieben.

Szenario 1: Kunde ist für die Kontolebenszyklen verantwortlich

Über die Directory API (mit Lesezugriff) und GCDS

In diesem Szenario erstellt und verwaltet Ihr Kunde Google-Konten für seine Nutzer.

Die Informationen zu den Nutzerkonten werden aus dem LDAP-Verzeichnis der Organisation abgerufen und mit Google-Kontodaten korreliert, die Sie von Google über die Google Directory API erhalten.

Die Organisation ist vollständig für die Kontolebenszyklen verantwortlich. Wenn beispielsweise ein neues Google-Konto erstellt wird, fügt die Organisation den Nutzer ihrem LDAP-Verzeichnis hinzu. Wenn Sie Ihre Datenbank das nächste Mal mit dem LDAP-Verzeichnis synchronisieren, erhält sie Informationen über diesen neuen Nutzer.

Für dieses Beispiel gilt:

Sie haben nur Lesezugriff auf Google-Konten.
Ihre Datenbank übernimmt Google-Kontonamen, aber keine LDAP-Nutzernamen oder -Passwörter.
Mit der Google Directory API rufen Sie grundlegende Kontoinformationen für die Nutzer Ihrer Kunden ab. Die verfügbaren Informationen sind die nicht beschreibbaren Informationen, die mit einer Users.get-Anfrage zurückgegeben werden. Mit diesen Informationen können Sie überprüfen, ob die Google-Konten der Nutzer vorhanden sind, damit sich Nutzer bei ihren Geräten authentifizieren können.
Ihr Kunde führt mit dem GCDS-Tool eine einseitige Synchronisierung durch, um die Google-Konten der Nutzer auszufüllen. (Die Organisation verwendet GCDS wahrscheinlich auch für die eigene fortlaufende Synchronisierung, nachdem die Identitätsbereitstellung abgeschlossen ist.) Optional kann die Organisation auch das GSPS-Tool verwenden, um nicht nur Nutzernamen, sondern auch Passwörter zu synchronisieren.

Szenario 2: Für die Kontolebenszyklen zuständiger EMM-Anbieter

Directory API mit Lese-/Schreibzugriff verwenden

In diesem Szenario übernehmen Sie die Erstellung von Google-Konten im Auftrag Ihres Kunden und sind für die Kontolebenszyklen der Nutzer verantwortlich.

Wenn sich beispielsweise Nutzerinformationen im LDAP-Verzeichnis der Organisation ändern, sind Sie dafür verantwortlich, das Google-Konto des Nutzers zu aktualisieren. GCDS wird in diesem Szenario nicht verwendet.

Für dieses Beispiel gilt:

Sie haben Lese- und Schreibzugriff auf Google-Konten.
Ihre Datenbank übernimmt Google-Kontonamen und LDAP-Nutzernamen (und optional Passwort-Hashes).
Sie verwenden die Google Directory API im Auftrag Ihres Kunden, um Kontoinformationen für die Nutzer der Organisation zu lesen und zu schreiben. Die verfügbaren Informationen sind die nicht beschreibbaren Informationen, die mit einer Users.get-Anfrage zurückgegeben werden. Mit diesen Informationen können Sie überprüfen, ob die Google-Konten der Nutzer vorhanden sind, damit sich Nutzer bei ihren Geräten authentifizieren können.
Das GCDS-Tool wird nicht verwendet.

Szenarien für die SAML-basierte SSO-Authentifizierung

In einer Bereitstellung mit einem Google-Konto können Sie oder Ihr Kunde Security Assertion Markup Language (SAML) mit einem Identitätsanbieter (Identity Provider, IdP) verwenden, um das mit den einzelnen Nutzern verknüpfte Google-Konto zu authentifizieren. Sie verwenden die Google-Kontonamen, um zu bestätigen, dass die Google-Konten der Nutzer vorhanden sind. Dies ist für die Nutzerauthentifizierung erforderlich, wenn sich Nutzer auf ihren Geräten anmelden. SAML könnte beispielsweise in Szenario 2 verwendet werden. Weitere Informationen dazu finden Sie unter Einmalanmeldung (SSO) für G Suite-Konten einrichten.

Konten auf Geräten aktivieren

Damit Apps über Managed Google Play auf ein Nutzergerät bereitgestellt werden können, muss sich der Nutzer während der Gerätebereitstellung auf dem Gerät anmelden:

Bei der Gerätebereitstellung für Managed Google Play-Konten leitet Ihr DPC den Nutzer mit Anmeldedaten an, die von Ihrer EMM-Konsole akzeptiert werden. Dies sind in der Regel geschäftliche E-Mail-Anmeldedaten.
Bei einer Google-Konten-Bereitstellung wird der Nutzer vom DPC zur Eingabe seiner Anmeldedaten für das Google-Konto aufgefordert. Normalerweise stimmen diese Anmeldedaten mit denen überein, mit denen sich Nutzer in ihrer Unternehmensdomain anmelden, wenn sie mit GCDS oder GSPS synchronisiert werden oder wenn eine Organisation einen IdP zur Authentifizierung verwendet. Dadurch wird das Google-Konto des Nutzers aktiviert, eine eindeutige Geräte-ID generiert und die Google-Kontoidentität des Nutzers sowie die Geräte-ID seines Geräts verknüpft.