Udostępnij konta użytkowników

Obsługa administracyjna tożsamości (lub obsługa administracyjna kont) to proces konfigurowania kont i nawiązywania połączeń między 3 systemami, a w niektórych przypadkach konfigurowania połączeń między użytkownikami a ich urządzeniami.

W firmowych środowisku Androida informacje o koncie znajdują się w maksymalnie 3 różnych systemach:

  • Katalog użytkowników organizacji to najważniejsze źródło informacji o użytkownikach.
  • (dostawca rozwiązania EMM) musi utrzymywać co najmniej minimalny katalog użytkowników organizacji.
  • Aby umożliwić zarządzanie aplikacjami w Google Play, Google przechowuje pewne informacje o zarządzanych kontach Google Play i kontach Google.

Zasób Users reprezentuje konto powiązane z firmą. Konto może być przypisane do konkretnego urządzenia lub powiązane z osobą, która korzysta z kilku urządzeń (telefonu komórkowego, tabletu itd.) i korzysta z niego na każdym z nich. Konto może umożliwiać dostęp tylko do zarządzanego Sklepu Google Play lub do innych usług Google w zależności od konfiguracji firmy klienta:

  • Konta w zarządzanym Sklepie Google Play umożliwiają firmom automatyczne tworzenie kont użytkowników lub urządzeń za pomocą dostawcy rozwiązań do zarządzania urządzeniami mobilnymi (EMM). Te konta zapewniają dostęp tylko do zarządzanego Sklepu Google Play.

  • Konta Google to istniejące konta zarządzane przez Google, które wymagają synchronizacji ze źródłami kont Google.

Tabela 1. Pola i metody interfejsu API użytkowników

 Konta zarządzanego Sklepu Google PlayKonta zarządzane przez Google
Pole
id
rodzaj
accountIdentifierUnikalny identyfikator, który tworzysz i mapujesz na identyfikator (userId) zwrócony z Google Play. Nie używaj informacji umożliwiających identyfikację osoby.Nie ustawiono.
accountTypekonto_urządzenia, konto_użytkownikauserAccount
displayNameNazwa wyświetlana w elementach interfejsu, np. w Google Play. Nie używaj informacji umożliwiających identyfikację osoby.Nie ustawiono.
managementTypeemmManagedZarządzane przez Google, emmManaged
primaryEmailNie ustawiono.To pole jest kluczem podstawowym, za pomocą którego zarządzasz synchronizacją kont w domenie zarządzanych przez Google z kontami użytkowników w systemie.
Metody
usuń
generateAuthenticationToken
generateToken
get
getAvailableProductSet
Insert
lista
revokeToken
setAvailableProductSet
aktualizować

Konta zarządzanego Sklepu Google Play

Istnieją 2 typy zarządzanych kont Google Play:

Konto użytkownika
Daje jednemu użytkownikowi dostęp do zarządzanego Sklepu Google Play ze wszystkich jego urządzeń. Konta użytkowników musisz skonfigurować, ponieważ nie mają oni danych logowania, dzięki którym mogą samodzielnie dodawać konta w zarządzanym Sklepie Google Play.
Aby utworzyć konto użytkownika, zadzwoń pod numer Users.insert. Ustaw rodzaj konta na userType i ustaw accountIdentifier, który jednoznacznie odwołuje się do użytkownika w firmie.
Sprawdzona metoda: nie używaj tego samego konta na więcej niż 10 urządzeniach.
Konto urządzenia
Daje dostęp do zarządzanego Sklepu Google Play z jednego urządzenia. Jeśli dla konta urządzenia został wydany token uwierzytelniania, nowe żądanie tokena uwierzytelniania dla tego konta spowoduje dezaktywację poprzedniego tokena. Każde urządzenie powinno mieć oddzielne licencje na aplikacje.
Aby utworzyć konto urządzenia, wywołaj Users.insert i ustaw rodzaj konta na deviceType.

Tworzysz i utrzymujesz mapowanie między tożsamościami użytkowników lub urządzeń a odpowiadającymi im zarządzanymi kontami Google Play oraz zarządzasz kontami w ramach ich cyklu życia. Organizacja nie potrzebuje bezpośredniej kontroli nad zarządzanymi kontami Google Play, ponieważ konta te służą wyłącznie do zarządzania aplikacjami.

Wymagania dotyczące konsol i serwerów EMM

Konta w zarządzanym Sklepie Google Play są tworzone na żądanie w sposób zautomatyzowany przy użyciu interfejsów API EMM w Google Play i interfejsów API platformy Android wykorzystywanych w komponentach rozwiązania EMM (konsoli EMM, serwerze EMM i DPC). Te komponenty wchodzą w interakcję w czasie działania, aby utworzyć konto użytkownika i udostępnić profil służbowy na urządzeniu docelowym. Konsola lub serwer EMM musi:

  • Udostępniaj mechanizm tworzenia unikalnych anonimowych identyfikatorów kont (pole accountIdentifier), które będą używane w wywołaniu narzędzia Users.insert. Możesz na przykład użyć wewnętrznej wartości dla użytkownika („sanjeev237389”) lub kryptograficznego numeru tagu zasobu („asset#44448”). Jako identyfikatora konta nie używaj informacji umożliwiających identyfikację osoby.

  • Zapisz mapowanie między elementem userId (powróconym z wywołania insert) a wybranym accountIdentifier.

Wymagania dotyczące kontrolera DPC znajdziesz w artykule Tworzenie kontrolera zasad dotyczących urządzeń.

Tworzenie konta użytkownika zarządzanego Sklepu Google Play

  1. Użytkownik loguje się na Twoim koncie DPC przy użyciu (zwykle) firmowych danych logowania.
  2. DPC żąda informacji o użytkowniku do serwera lub konsoli EMM. Przy założeniu, że użytkownik jest nieznany w systemie:
    1. Prześlij prośbę o nowe zarządzane konto Google Play, wywołując metodę Users.insert z wartościami dla nowych kont accountIdentifier, displayName i accountType.
      • Twój system musi utworzyć plik accountIdentifier. Identyfikator konta musi być unikalną wartością w całym systemie. Nie używaj informacji umożliwiających identyfikację użytkownika jako identyfikatora konta.
      • Element displayName wyświetla się w oknie przełączania kont w Sklepie Google Play i powinny mieć jakieś znaczenie dla użytkownika (ale nie informacji umożliwiających jego identyfikację). Może ona zawierać na przykład nazwę organizacji lub ogólną nazwę związaną z dostawcą usług EMM.
      • Ustaw accountType na userAccount lub deviceAccount. Subskrypcji userAccount można używać na wielu urządzeniach, a deviceAccount do jednego urządzenia. accountType może mieć wartość deviceType lub userType.
      • Ustaw wartość managementType na emmManaged.
    2. Google Play przetwarza żądanie, tworzy konto i zwraca userId.
    3. Zapisz mapowanie między accountIdentifier a userId w magazynie danych.
    4. Wywołaj Users.generateAuthenticationToken, używając userId i enterpriseId. Google Play zwraca token uwierzytelniania, którego można użyć raz i którego należy użyć w ciągu kilku minut.
    5. W bezpieczny sposób przekaż token uwierzytelniania do swojego kontrolera DPC.
  3. DPC udostępnia profil służbowy i dodaje konto do profilu służbowego lub urządzenia.
  4. Użytkownik może korzystać z zarządzanego Sklepu Google Play z poziomu profilu służbowego lub urządzenia.

Konta administratorów

Gdy administrator utworzy grupę z zarządzanymi kontami Google Play, konto Google, którego używa, nie może być kontem G Suite. Konto, którego używają, staje się właścicielem grupy, a właściciel może dodawać kolejnych właścicieli i administratorów w konsoli zarządzanego Sklepu Google Play.

Zarówno Enterprises.get, jak i Enterprises.completeSignup zwracają listę adresów e-mail administratorów powiązanych z firmą (tylko w przypadku firm z zarządzanymi kontami Google Play).

Zarządzanie cyklami życia konta

We wdrożeniu zarządzanego Sklepu Google Play odpowiadasz za cykl życia kont użytkowników i urządzeń, co oznacza, że tworzysz, aktualizujesz i usuwasz takie konta.

Konta są tworzone podczas obsługi administracyjnej urządzeń, czyli w procesie obejmującym aplikację DPC i konsolę EMM. Instrukcje znajdziesz w opisie metody zarządzania kontami Google Play.

Aby zmienić informacje o koncie, wywołaj Users.update.

Aby usunąć konto, wywołaj Users.delete.

Administratorzy nie mogą usuwać poszczególnych kont, ale mogą usunąć grupę firmową z zarządzanymi kontami Google Play. Gdy to zrobi, urządzenia i konta użytkowników powiązane z firmą zostaną usunięte zgodnie z opisem w sekcji Wyrejestrowywanie, ponowne rejestrowanie i usuwanie.

Wygaśnięcie konta

Czasami konta lub tokeny tracą ważność. Oto możliwe przyczyny:

  • Token uwierzytelniania uzyskany w celu dodania konta do urządzenia wygasł.
  • Konto lub firma została usunięta.
  • W przypadku kont urządzeń konto zostało dodane na nowym urządzeniu i dlatego wyłączone na starym urządzeniu.
  • Uruchomione są automatyczne kontrole nadużyć.

W większości przypadków (o ile dostawca usług EMM nie celowo przenosi konto urządzenia na nowe urządzenie), najlepiej jest użyć interfejsu Play EMM API, by zażądać nowego tokena z serwera EMM, zanotować stan konta i firmy oraz wszelkie zwrócone błędy, a potem podjąć odpowiednie działania na urządzeniu. Na przykład odśwież token, a jeśli błędu nie da się odzyskać, zresetuj lub wyrejestruj urządzenie.

Usługi Google Play w wersji 9.0.00 powiadamiają kontrolera DPC, że konto wygasło, używając funkcji transmisji:

  1. Gdy konto zarządzanego Sklepu Google Play zostanie unieważnione na urządzeniu, kontroler domeny otrzyma wiadomość z takim działaniem: 

    com.google.android.gms.auth.ACCOUNT_REAUTH_REQUIRED

    Intencja transmisji zawiera dodatkowy element Parcelable o nazwie account, który jest obiektem Account unieważnionego konta.

  2. DPC sprawdza Account#name na serwerze EMM, aby zidentyfikować unieważnione konto.

  3. DPC prosi o nowe dane logowania lub o nowe konto, zgodnie z tym samym procesem co podczas początkowego obsługi urządzenia.

Konta Google

W organizacjach korzystających z kont Google konta użytkowników w rozwiązaniu EMM powielają istniejące konta użytkowników powiązane z inną usługą Google (na przykład G Suite). Te konta to googleManaged (tabela 1), ponieważ źródłem danych do tworzenia kont i informacji o nim są usługi backendu Google.

Jako dostawca usług EMM możesz udostępnić w konsoli mechanizmy ułatwiające tworzenie i bieżącą synchronizację kont użytkowników w systemie z ich źródłami kont w domenie Google przy użyciu takich narzędzi jak Google Cloud Directory Sync (GCDS) i interfejs Directory API z pakietu Google Admin SDK. Zarządzany przez Google model tożsamości domeny wymaga, aby konto użytkownika mogło istnieć w kontekście Twojego rozwiązania (konsola EMM, serwer EMM czy np. magazyn danych), zanim będzie można go udostępnić na dowolnym urządzeniu użytkownika w kontekście profilu służbowego.

Podczas obsługi administracyjnej tożsamości domena zarządzana przez Google organizacji jest zapełniana kontami użytkowników. W niektórych przypadkach istniejące tożsamości online użytkowników (na przykład konta Microsoft Exchange) są synchronizowane z ich kontami Google.

Po początkowej synchronizacji, ale przed rozpowszechnieniem aplikacji na urządzenie użytkownika, użytkownik musi aktywować swoje konto Google zgodnie z opisem w sekcji Aktywowanie kont na urządzeniach. Aktywacja umożliwia dostęp do zarządzanego Sklepu Google Play.

Synchronizowanie kont klientów

We wdrożeniu kont Google organizacja może używać narzędzia GCDS do synchronizowania danych w domenie G Suite z danymi w katalogu LDAP. Możesz też użyć GCDS, aby zrobić to w imieniu organizacji, jeśli zezwala Ci ona na dostęp.

Narzędzie GCDS wywołuje interfejs Google Directory API i synchronizuje nazwy użytkowników, ale nie hasła.

Jeśli organizacja korzysta z Microsoft Active Directory i chce synchronizować hasła użytkowników G Suite z ich hasłami Active Directory, to Ty lub Ty możesz użyć narzędzia G Suite Password Sync (GSPS) w GCDS.

Instrukcje dla administratorów dotyczące GCDS znajdziesz w artykule Przygotowywanie domeny G Suite do synchronizacji.

Interfejs Google Directory API

We wdrożeniu kont Google za pomocą interfejsu Google Directory API możesz synchronizować aktywne katalogi, hasła lub oba te elementy:

  • Użycie interfejsu Directory API do synchronizacji tylko w katalogu. Jeśli masz dostęp tylko do odczytu do zarządzanej domeny Google organizacji, możesz użyć interfejsu Google Directory API, aby uzyskać od Google informacje o koncie Google, takie jak nazwy użytkowników (ale nie hasła). Nie możesz zapisywać danych na kontach Google użytkowników, dlatego organizacja ponosi pełną odpowiedzialność za cykl życia konta.

    Scenariusz 1 i scenariusze uwierzytelniania jednokrotnego opartego na SAML bardziej szczegółowo opisują tę sytuację.

    Informacje o tym, jak korzystać z interfejsu Directory API, znajdziesz w sekcji Pobieranie wszystkich użytkowników konta w dokumentacji interfejsu Directory API.

  • Używanie interfejsu Directory API na potrzeby katalogu i opcjonalnej synchronizacji haseł. Jeśli masz uprawnienia do zapisu i odczytu w zarządzanej domenie Google organizacji, możesz użyć interfejsu Google Directory API, aby uzyskać nazwy użytkowników, hasła i inne informacje o koncie Google. Możesz aktualizować te informacje i synchronizować je z własną bazą danych. Możesz mieć pełną lub częściową odpowiedzialność za cykl życia konta w zależności od rozwiązania, które oferujesz klientom.

    Scenariusz 2 bardziej szczegółowo opisuje tę sytuację.

    Więcej informacji o zarządzaniu informacjami o kontach użytkowników przy użyciu interfejsu Directory API znajdziesz w przewodniku dla programistów Directory API: User Accounts.

Scenariusze związane z kontami Google

Poniżej znajdziesz kilka typowych scenariuszy udostępniania tożsamości na kontach Google.

Scenariusz 1. Klient odpowiedzialny za cykle życia konta

Korzystanie z interfejsu Directory API (z dostępem tylko do odczytu) i narzędzia GCDS

W tym scenariuszu Twój klient tworzy konta Google dla swoich użytkowników i zarządza nimi.

Informacje o kontach użytkowników są pobierane z katalogu LDAP organizacji, które możesz powiązać z danymi konta Google uzyskanymi od Google przy użyciu interfejsu Directory API.

Organizacja ponosi pełną odpowiedzialność za cykl życia konta. Gdy na przykład zostanie utworzone nowe konto Google, organizacja doda użytkownika do swojego katalogu LDAP. Podczas następnej synchronizacji bazy danych z katalogiem LDAP baza danych otrzyma informacje o nowym użytkowniku.

W tym scenariuszu:

  • Masz dostęp tylko do odczytu do kont Google.
  • Baza danych pozyskuje nazwy kont Google, ale nie otrzymuje nazw użytkowników ani haseł LDAP.
  • Interfejs Google Directory API służy do uzyskiwania podstawowych informacji o koncie dla użytkowników klienta. (Dostępne dla Ciebie informacje to informacje, które nie są możliwe do zapisu zwracane w odpowiedzi na żądanie Users.get). Za pomocą tych informacji możesz potwierdzić, że konta Google użytkowników istnieją, aby mogli oni uwierzytelniać się na swoich urządzeniach.
  • Klient używa narzędzia GCDS do przeprowadzenia jednokierunkowej synchronizacji w celu wypełnienia danych kont Google użytkowników. Po zakończeniu obsługi administracyjnej tożsamości organizacja prawdopodobnie używa też GCDS do własnej synchronizacji. Opcjonalnie organizacja może też używać narzędzia GSPS, aby synchronizować nie tylko nazwy użytkowników, ale też hasła.

Scenariusz 2. Dostawca usług EMM odpowiedzialny za cykle życia konta

Używanie interfejsu Directory API z uprawnieniami do odczytu i zapisu

W tym przypadku zajmujesz się procesem tworzenia kont Google w imieniu swoich klientów i odpowiadasz za cykle życia kont użytkowników.

Jeśli na przykład informacje o użytkowniku zmienią się w katalogu LDAP organizacji, odpowiadasz za zaktualizowanie konta Google użytkownika. W tym scenariuszu nie używa się GCDS.

W tym scenariuszu:

  • Masz uprawnienia do zapisu i odczytu na kontach Google.
  • Baza danych pozyskuje nazwy kont Google i nazwy użytkowników LDAP (oraz opcjonalnie hasze haseł).
  • Interfejs Google Directory API jest używany w imieniu klienta do odczytywania i zapisywania informacji o koncie należących do użytkowników organizacji. (Informacje, które są dla Ciebie dostępne, to dane, które nie są dostępne do zapisu zwracane w odpowiedzi na żądanie Users.get). Za pomocą tych informacji możesz potwierdzić, że konta Google użytkowników istnieją, aby mogli oni uwierzytelniać się na swoich urządzeniach.
  • Narzędzie GCDS nie jest używane.

Scenariusze uwierzytelniania logowania jednokrotnego opartego na SAML

We wdrożeniu kont Google Ty lub Twój klient możecie używać SAML z dostawcą tożsamości do uwierzytelniania konta Google powiązanego z każdym użytkownikiem. Nazwy kont Google służą do potwierdzania istnienia kont Google użytkowników, które są potrzebne do uwierzytelniania użytkowników logujących się na swoich urządzeniach. Na przykład w scenariuszu 2 można użyć SAML. Szczegółowe informacje na ten temat znajdziesz w artykule Konfigurowanie logowania jednokrotnego na kontach G Suite.

Aktywowanie kont na urządzeniach

Aby aplikacje były rozpowszechniane na urządzeniu użytkownika przez zarządzany Sklep Google Play, użytkownik musi zalogować się na urządzeniu podczas obsługi administracyjnej urządzenia:

  • W przypadku obsługi administracyjnej urządzeń w zarządzanym Sklepie Google Play DPC prowadzi użytkownika do logowania się za pomocą danych logowania zaakceptowanych przez konsolę EMM (zwykle jest to firmowy adres e-mail).
  • W przypadku wdrożenia kont Google DPC prosi użytkownika o podanie danych logowania do konta Google. Zwykle te dane logowania są zgodne z tymi, za pomocą których użytkownicy logują się w swojej domenie firmowej podczas synchronizacji przy użyciu GCDS lub GCDS albo gdy organizacja korzysta z dostawcy tożsamości do uwierzytelniania. Powoduje to aktywowanie konta Google użytkownika, generowanie unikalnego identyfikatora urządzenia oraz powiązanie jego tożsamości z kontem Google i identyfikatorem urządzenia.