사용자 계정 프로비저닝

ID 프로비저닝 (또는 계정 프로비저닝)은 설정 프로세스입니다. 이 세 가지 시스템 간의 연결을 설정하며, 사용자와 기기 간의 연결을 설정하는 것입니다.

Android 엔터프라이즈 환경에서는 최대 3개의 서로 다른 시스템이 계정 정보:

  • 조직의 사용자 디렉터리는 정보의 확실한 출처입니다 자세히 알아볼 수 있습니다
  • 관리자 (EMM 솔루션 제공업체)는 관리하게 됩니다
  • Google에서는 Managed Google Play 계정 및 Google Play를 통해 앱을 관리하기 위한 Google 계정

Users 리소스는 계정을 나타냅니다. 엔터프라이즈와 연결되어 있습니다. 계정은 기기에 따라 다르게 표시될 수도 있고 여러 기기 (휴대전화, 태블릿, 기타 등등) 그리고 모든 계정에서 계정을 사용합니다. 이 계정은 액세스 권한을 제공할 수 있습니다. 관리 Google Play로만 이전하거나 다른 Google 서비스로 이전할 수 있습니다. 고객의 기업을 설정합니다.

  • 관리 Google Play 계정은 기업에 투명한 수단을 제공합니다. 엔터프라이즈를 통해 자동으로 사용자 또는 기기 계정을 생성하도록 모바일 관리 (EMM) 솔루션 제공업체입니다. 이 계정은 관리 Google Play에만 적용됩니다.

  • Google 계정은 Google에서 관리하는 기존 계정으로 Google 계정 소스와의 동기화

표 1: Users API 필드 및 메서드

 관리 Google Play 계정Google 관리 계정
필드
id
kind
accountIdentifier사용자가 만들고 매핑하는 고유 식별자 를 Google Play에서 반환된 ID (userId)로 변경합니다. 개인적으로 개인 식별 정보를 수집할 수 있습니다.설정되지 않았습니다.
accountType기기 계정, 사용자 계정userAccount
displayNameUI 항목에 표시하는 이름(예: Google Play 개인 식별 정보를 사용하지 마세요.설정되지 않았습니다.
managementTypeemmManagedgoogleManaged, emmManaged
primaryEmail설정되지 않았습니다.이 필드는 Google 관리 도메인 계정에서 사용자와의 동기화를 관리합니다 확인할 수 있습니다
메서드
delete
generateAuthenticationToken
generateToken
get
getAvailableProductSet
insert
list
revokeToken
setAvailableProductSet
update

관리 Google Play 계정

관리 Google Play 계정에는 두 가지 유형이 있습니다.

사용자 계정
모든 기기에서 관리 Google Play에 대한 단일 사용자 액세스 권한을 제공합니다. 사용자에 대한 사용자 계정을 프로비저닝해야 합니다. 사용자에게는 사용자 인증 정보가 없습니다. 관리 Google Play 계정을 직접 추가하세요.
를 통해 개인정보처리방침을 정의할 수 있습니다.
사용자 계정을 만들려면 Users.insert를 호출합니다. 계정 유형을 다음으로 설정 userType하고 accountIdentifier를 설정합니다. 엔터프라이즈 내의 사용자를 고유하게 참조합니다.
권장사항: 10개가 넘는 계정에 같은 계정을 사용하지 마세요. 기기에서 사용할 수 있습니다.
기기 계정
단일 기기에서 관리 Google Play에 액세스할 수 있습니다. 만약 인증 토큰이 발급되었는지에 대한 새로운 요청이 기기 계정에 대해 발급되었는지 해당 기기 계정의 인증 토큰이 이전 토큰을 비활성화합니다. 기기마다 앱 라이선스가 별도로 있어야 합니다.
를 통해 개인정보처리방침을 정의할 수 있습니다.
기기 계정을 만들려면 Users.insert를 호출하고 계정 유형을 다음으로 설정합니다. deviceType

사용자 ID 또는 기기 ID와 ID 간의 매핑을 생성하고 유지관리합니다. 관리 Google Play 계정에 연결되어 있어야 하며, 개발자는 수명 주기에 적용됩니다 조직은 이러한 작업을 직접 제어할 필요가 없습니다. 관리 Google Play 계정(애플리케이션용으로만 존재하기 때문) 관리할 수 있습니다

EMM 콘솔 및 서버 요구사항

관리 Google Play 계정은 다음을 사용하여 주문형으로 프로그래매틱 방식으로 생성됩니다. Google Play EMM API와 Android 프레임워크 API를 EMM 솔루션 (EMM 콘솔, EMM 서버 및 DPC) 이러한 구성요소는 사용자 계정을 만들고 대상 기기에 직장 프로필을 프로비저닝합니다. EMM 콘솔 또는 서버는 다음 요구사항을 충족해야 합니다.

  • 고유한 익명 계정 식별자를 생성하는 메커니즘을 제공합니다. (accountIdentifier 필드)를 호출함으로써 Users.insert 예를 들어 사용자에 대해 일부 내부 값('sanjeev237389')을 사용하거나 알 수 없는 애셋 태그 번호('asset#44448') 개인적으로는 개인 식별 정보 (PII)를 식별하게 됩니다.

  • userId 사이의 매핑 (insert에서 반환됨)을 저장합니다. 호출) 및 선택한 accountIdentifier가 포함될 수 있습니다.

를 통해 개인정보처리방침을 정의할 수 있습니다.

DPC 요구사항은 기기 정책 빌드에서 확인하세요. 컨트롤러입니다.

관리 Google Play 사용자 계정 만들기

  1. 사용자는 일반적으로 회사 사용자 인증 정보를 사용하여 DPC에 로그인합니다.
  2. DPC는 EMM 서버 또는 콘솔에 사용자에 관한 세부정보를 요청합니다. 시스템에서 사용자를 알 수 없다고 가정합니다. <ph type="x-smartling-placeholder">
      </ph>
    1. 다음을 호출하여 새 관리 Google Play 계정에 대한 요청을 제출합니다. 다음 값이 포함된 Users.insert 새로운 accountIdentifier, displayName, accountType입니다.
      • 시스템에서 accountIdentifier를 만들어야 합니다. 계정 식별자 시스템 전체에서 고유한 값이어야 합니다. 계정 식별자
      • displayName는 Google Play의 계정 전환 도구에 표시됩니다. 약간의 의미가 있어야 하지만, 사용자). 예를 들어 이름에 조직 이름 또는 EMM과 관련된 일반적인 이름입니다.
      • accountTypeuserAccount 또는 deviceAccount로 설정합니다. 가 userAccount는 여러 기기에서 사용할 수 있으며 deviceAccount는 단일 기기에만 적용됩니다. 지정된 accountTypedeviceType 또는 userType입니다.
      • managementTypeemmManaged로 설정합니다.
    2. Google Play가 요청을 처리하고 계정을 생성하며 userId를 반환합니다.
    3. accountIdentifieruserId 간의 매핑을 변경할 수 있습니다
    4. Users.generateAuthenticationToken를 호출합니다. userIdenterpriseId를 사용합니다. Google Play는 인증 토큰으로, 한 번만 사용할 수 있으며 몇 분 정도 걸립니다
    5. DPC에 인증 토큰을 안전하게 전달합니다.
  3. DPC가 직장 프로필을 프로비저닝하고 계정을 직장 프로필에 추가합니다. 액세스할 수 있습니다
  4. 사용자는 직장 프로필 또는 기기 내에서 Managed Google Play에 액세스할 수 있습니다.
를 통해 개인정보처리방침을 정의할 수 있습니다.

관리자 계정

관리자가 관리 Google Play로 기업을 만드는 경우 계정, 사용하는 Google 계정으로 G Suite 계정을 사용할 수 없습니다. 사용하는 계정 가 기업의 소유자가 되며, 소유자는 다른 소유자를 추가하여 관리자에게 문의하세요.

Enterprises.getEnterprises.completeSignup 기업과 연결된 관리자 이메일 주소 목록을 반환 (관리 Google Play 계정이 있는 기업만 해당)

계정 수명 주기 관리

관리 Google Play 계정 배포에서는 개발자가 데이터를 생성, 업데이트, 삭제하고 확인할 수 있습니다.

기기를 프로비저닝하는 동안 계정을 만들 수 있으며, DPC 앱 및 EMM 콘솔. 지침은 다음을 확인하세요. 관리 Google Play 계정 메서드).

계정 정보를 변경하려면 Users.update.

계정을 삭제하려면 Users.delete.

관리자는 개별 계정을 삭제할 수 없지만 기업용 계정을 만들 수 있습니다. 이렇게 하면 기기와 기업과 연결된 사용자 계정은 결국 삭제됩니다. 등록 해제, 재등록, 삭제를 클릭합니다.

계정 만료

경우에 따라 계정이나 토큰이 만료될 수 있으며, 이는 이유:

  • 인증 토큰 기기에 계정을 추가하기 위해 획득한 값이 만료되었습니다.
  • 계정 또는 기업이 삭제되었습니다.
  • 기기 계정의 경우 계정이 새 기기에 추가되었으며 이전 기기에서 비활성화되었습니다.
  • 자동 악용 검사가 트리거됩니다.

대부분의 경우 (EMM이 의도적으로 기기 계정을 새 기기로 이전하지 않는 한) Play EMM API를 사용하여 새 토큰을 요청하는 것이 가장 좋습니다. EMM 서버에서 계정과 엔터프라이즈의 상태를 확인하고 기기에 대해 적절한 조치를 취할 수 있습니다. 예를 들어 토큰을 새로고침하거나 오류를 복구할 수 없는 경우에는 있습니다.

Google Play 서비스 버전 9.0.00은 브로드캐스트 작업을 사용하여 계정이 만료된 DPC:

  1. 기기에서 Managed Google Play 계정이 무효화되면 DPC는 다음 작업으로 브로드캐스트를 수신합니다.

    com.google.android.gms.auth.ACCOUNT_REAUTH_REQUIRED

    브로드캐스트 인텐트에는 이름이 accountParcelable 추가 항목이 포함되어 있습니다. 은(는) Account입니다. 무효화된 계정의 객체입니다.

  2. DPC는 Account#name를 확인합니다. EMM 서버와 연결하여 무효화된 계정을 식별합니다.

  3. DPC는 동일한 내용에 따라 새 사용자 인증 정보 또는 새 계정을 요청합니다. 기기를 프로비저닝하는 데 사용된 절차 있습니다.


Google 계정

Google 계정을 사용하는 조직의 경우 EMM의 사용자 계정은 다른 Google 서비스와 연결된 기존 사용자 계정을 미러링하는 솔루션 (예: G Suite) 계정 상태: googleManaged (표 1) Google의 백엔드 서비스는 Google Cloud에서 제공하는 정보를 수집할 수 있습니다.

EMM으로 콘솔에 메커니즘을 제공하여 콘텐츠 제작에 도움을 줄 수 있습니다. 시스템에 보관된 사용자 계정을 Google 도메인 계정 소스에서 Google Cloud 디렉터리 동기화 (GCDS)Google Admin SDK Directory API를 참조하세요. 다양한 접근 방식에 대한 개요를 참조하세요.) Google 관리 도메인 ID 모델 솔루션 컨텍스트 (EMM 콘솔, EMM 서버)를 프로비저닝해야 하는 모든 기기에 프로비저닝할 수 있음 사용자 기기의 데이터를 수집합니다.

ID 프로비저닝 중에 조직의 Google 관리 도메인은 사용자 계정으로 채워져 있습니다. 경우에 따라 사용자의 기존 온라인 ID가 (예: Microsoft Exchange 계정)은 Google 계정.

초기 동기화 이후, 그러나 앱이 사용자의 사용자는 다음 페이지에 설명된 대로 Google 계정을 활성화해야 합니다. 기기에서 계정 활성화 이 활성화 기기에서 Managed Google Play에 액세스하도록 허용합니다.

고객 계정 동기화

Google 계정 배포에서 조직은 GCDS 도구를 사용하여 G Suite 도메인의 데이터를 LDAP의 데이터와 동기화 디렉터리 또는 GCDS를 사용하여 조직의 (조직에서 액세스 권한을 부여한 경우)

GCDS 도구는 Google Directory API를 호출하고 사용자 이름을 동기화하지만 동기화는 동기화하지 않습니다. 비밀번호

조직에서 Microsoft Active Directory를 사용하고 사용자의 G Suite 비밀번호를 Active Directory 비밀번호와 동기화한 경우 사용자는 G Suite 비밀번호 동기화 (GCDS) 도구를 사용해 보세요.

관리자용 GCDS 안내는 G Suite 도메인 준비하기 참조하세요.

Google 디렉터리 API

Google 계정 배포에서 Google Directory API를 사용하여 활성 디렉터리, 비밀번호 또는 둘 다를 동기화할 수 있습니다.

  • 디렉터리 전용 동기화에 Directory API 사용: 읽기 전용 계정이 있는 경우 액세스할 수 있는 경우 Google 디렉토리 API를 사용하여 사용자 이름 등의 Google 계정 정보를 가져올 수 있지만 비밀번호)를 Google에서 제공합니다. 사용자의 계정에 데이터를 쓸 수 없기 때문에 Google 계정, 계정 수명에 대한 전적인 책임은 조직에 있음 있습니다.

    시나리오 1SAML 기반 SSO 인증 시나리오 이 상황을 더 자세히 설명할 수 있습니다.

    이러한 방식의 Directory API 사용에 대한 자세한 내용은 모든 파일 계정 사용자가 디렉터리 API 설명서를 참조하세요.

  • 디렉터리 및 비밀번호 동기화(선택사항)를 위해 Directory API 사용 만약 조직의 관리 Google 도메인에 대한 읽기/쓰기 액세스 권한 보유 Google Directory API를 사용하여 Google 계정 정보 이 정보를 업데이트하고 다음을 사용하여 동기화할 수 있습니다. 완전하게 또는 부분적인 책임을 질 수 있으며 제공하는 솔루션에 따라 계정 수명 주기를 있습니다.

    시나리오 2 상황을 좀 더 자세히 설명합니다.

    Directory API를 사용하여 사용자 계정 정보를 관리하는 방법에 대한 자세한 내용은 Directory API: 사용자 계정을 참조하세요. 참조하세요.

Google 계정 시나리오

몇 가지 일반적인 Google 계정 ID 프로비저닝 시나리오가 설명되어 있습니다. 참조하세요.

시나리오 1: 계정 수명 주기에 대한 고객 책임

Directory API (읽기 전용 액세스 권한) 및 GCDS 사용

이 시나리오에서 고객은 있습니다.

조직의 LDAP 디렉터리에서 사용자 계정 정보를 가져오고 Google에서 확보한 Google 계정 데이터와 Directory API.

계정 수명 주기에 대한 책임은 전적으로 조직에 있습니다. 예를 들어 새 Google 계정이 생성되면 조직에서 사용자를 LDAP에 추가 디렉터리 다음에 데이터베이스를 LDAP 디렉토리로 동기화하면 데이터베이스에서 이 신규 사용자에 관한 정보를 수신합니다.

이 시나리오에서는 다음과 같습니다.

  • Google 계정에 대한 읽기 전용 액세스 권한이 있습니다.
  • 데이터베이스에서 Google 계정 이름을 획득하지만 LDAP 사용자 이름 또는 비밀번호
  • Google Directory API를 사용하여 파악할 수 있습니다 (사용할 수 있는 정보는 쓸 수 없는 정보이며, Users.get에서 반환함 요청). 이 정보를 사용하여 사용자의 Google 계정이 있는지 확인합니다. 인증하기만 하면 됩니다.
  • 고객이 GCDS 도구를 사용하여 단방향 동기화를 수행하여 사용자의 데이터를 채웁니다. Google 계정. (조직은 아마도 지속적인 자체 관리 작업을 위해 GCDS를 ID 프로비저닝이 완료된 후 동기화를 다시 실행합니다.) (선택사항) 조직에서는 GSPS 도구도 사용할 수 있음 사용자 이름뿐 아니라 비밀번호도 동기화할 수 있습니다.

시나리오 2: 계정 수명 주기를 담당하는 EMM

다음과 함께 Directory API 사용
  읽기/쓰기 액세스

이 시나리오에서는 게시자가 대신 Google 계정을 만듭니다. 사용자의 계정 수명 주기에 대한 책임이 있습니다.

예를 들어 조직의 LDAP 디렉터리에서 사용자 정보가 변경되면 사용자의 Google 계정을 업데이트할 책임이 있습니다. 다음에서 GCDS를 사용하지 않는 경우 살펴보겠습니다

이 시나리오에서는 다음과 같습니다.

  • Google 계정에 대한 읽기 및 쓰기 액세스 권한이 있습니다.
  • 데이터베이스가 Google 계정 이름과 LDAP 사용자 이름 (및 선택적으로 비밀번호 해시)
  • 귀하는 고객을 대신하여 Google Directory API를 사용하여 조직 사용자의 계정 정보 작성 (정보 쓰기 불가능한 정보, Users.get에서 반환함 요청). 이 정보를 사용하여 사용자의 Google 계정이 있는지 확인합니다. 인증하기만 하면 됩니다.
  • GCDS 도구는 사용되지 않습니다.
를 통해 개인정보처리방침을 정의할 수 있습니다.

SAML 기반 SSO 인증 시나리오

Google 계정 배포에서 관리자 또는 고객은 보안을 사용할 수 있습니다. 인증을 위한 ID 공급업체 (IdP)의 어설션 마크업 언어 (SAML) 각 사용자와 연결된 Google 계정 Google 계정 이름을 사용하는 경우 사용자의 Google 계정이 있다는 것을 확인하기 위해 인증이 포함됩니다. 예를 들어 SAML은 사용할 수 없습니다. 설정 방법에 대한 자세한 내용은 싱글 설정하기를 참고하세요. G Suite 계정용 로그온 (SSO)을 참조하세요.

기기에서 계정 활성화

관리 Google Play를 통해 사용자 기기에 앱을 배포하는 경우 기기 프로비저닝 중에 기기에 로그인해야 합니다.

  • 관리 Google Play 계정 기기 프로비저닝에서 DPC가 사용자에게 EMM에서 허용하는 사용자 인증 정보를 사용하여 로그인하도록 안내합니다. 보안 콘솔(일반적으로 회사 이메일 사용자 인증 정보)
  • Google 계정 배포에서 DPC는 사용자가 Google 계정 로그인 사용자 인증 정보 일반적으로 이러한 사용자 인증 정보는 동기화될 때 사용자가 회사 도메인에 로그인하는 이메일 주소 GCDS 또는 GCDS를 사용하거나 조직에서 인증에 IdP를 사용하는 경우 이렇게 하면 사용자의 Google 계정이 활성화되고 고유한 기기 ID가 생성됩니다. 사용자의 Google 계정 ID와 기기의 기기 ID를 결합합니다.