จัดสรรบัญชีผู้ใช้

การจัดสรรข้อมูลประจำตัว (หรือการจัดสรรบัญชี) เป็นขั้นตอนการตั้งค่าบัญชีและสร้างการเชื่อมต่อระหว่างทั้ง 3 ระบบ และในบางกรณีก็ตั้งค่าการเชื่อมต่อระหว่างผู้ใช้และอุปกรณ์

ในระบบ Android Enterprise มีระบบที่แตกต่างกันมากถึง 3 ระบบที่มีข้อมูลบัญชี ดังนี้

• ไดเรกทอรีผู้ใช้ขององค์กรเป็นแหล่งข้อมูลที่สมบูรณ์เกี่ยวกับผู้ใช้
• คุณ (ผู้ให้บริการโซลูชัน EMM) ต้องเก็บรักษาไดเรกทอรีผู้ใช้ขององค์กรให้น้อยที่สุด
• Google รักษาข้อมูลบางอย่างเกี่ยวกับบัญชี Managed Google Play และบัญชี Google ไว้เพื่อให้บริการการจัดการแอปผ่าน Google Play

---

ทรัพยากร Users หมายถึงบัญชีที่เชื่อมโยงกับองค์กร บัญชีดังกล่าวอาจเป็นบัญชีเฉพาะสำหรับอุปกรณ์หนึ่ง หรือเชื่อมโยงกับบุคคลที่มีอุปกรณ์หลายเครื่อง (โทรศัพท์มือถือ แท็บเล็ต และอื่นๆ) และใช้บัญชีในอุปกรณ์ทุกเครื่องก็ได้ บัญชีดังกล่าวสามารถให้สิทธิ์เข้าถึง Managed Google Play เท่านั้นหรือบริการอื่นๆ ของ Google ได้ ทั้งนี้ขึ้นอยู่กับวิธีที่คุณตั้งค่าองค์กรของลูกค้า ดังนี้

• บัญชี Managed Google Play เป็นวิธีที่โปร่งใสสำหรับองค์กรในการสร้างบัญชีผู้ใช้หรืออุปกรณ์โดยอัตโนมัติผ่านผู้ให้บริการโซลูชัน Enterprise Mobility Management (EMM) บัญชีเหล่านี้ให้สิทธิ์การเข้าถึง Managed Google Play เท่านั้น

• บัญชี Google คือบัญชีที่มีอยู่ซึ่ง Google เป็นผู้จัดการ และต้องมีการซิงค์กับแหล่งที่มาของบัญชี Google

ตารางที่ 1: ช่องและวิธีการของ API ผู้ใช้

	บัญชี Managed Google Play	บัญชีที่จัดการของ Google
ฟิลด์
id
ชนิด
accountIdentifier	ตัวระบุที่ไม่ซ้ำกันซึ่งคุณสร้างและแมปกับรหัส (userId) ที่แสดงผลจาก Google Play อย่าใช้ข้อมูลส่วนบุคคล ที่ระบุตัวบุคคลนั้นได้ (PII)	ไม่ได้ตั้งค่า
accountType	deviceAccount, userAccount	userAccount
displayName	ชื่อที่คุณแสดงในรายการ UI เช่น ใน Google Play อย่าใช้ข้อมูลส่วนบุคคลที่ระบุตัวบุคคลนั้นได้	ไม่ได้ตั้งค่า
managementType	emmManaged	googleManaged, emmManaged
primaryEmail	ไม่ได้ตั้งค่า	ช่องนี้เป็นคีย์หลักที่คุณจัดการการซิงค์จากบัญชีโดเมนที่จัดการโดย Google กับบัญชีผู้ใช้ในระบบของคุณ
วิธีการ
ลบ
generateAuthenticationToken
generateToken
รับ
getAvailableProductSet
Insert
ลิสต์
revokeToken
setAvailableProductSet
อัปเดต

---

บัญชี Managed Google Play

บัญชี Managed Google Play มี 2 ประเภทดังนี้

บัญชีผู้ใช้

ให้สิทธิ์เข้าถึง Managed Google Play แก่ผู้ใช้รายเดียวจากอุปกรณ์ทุกเครื่อง คุณต้องจัดสรรบัญชีผู้ใช้ให้กับผู้ใช้ เนื่องจากไม่มีข้อมูลเข้าสู่ระบบสำหรับเพิ่มบัญชี Managed Google Play ด้วยตนเอง

หากต้องการสร้างบัญชีผู้ใช้ โปรดโทร Users.insert ตั้งค่าประเภทบัญชีเป็น userType และตั้งค่า accountIdentifier ซึ่งอ้างอิงผู้ใช้ภายในองค์กรแบบไม่ซ้ำกัน

แนวทางปฏิบัติแนะนำ: อย่าใช้บัญชีเดียวกันในอุปกรณ์มากกว่า 10 เครื่อง

บัญชีอุปกรณ์

ให้สิทธิ์เข้าถึง Managed Google Play จากอุปกรณ์เดียว หากมีการออกโทเค็นการตรวจสอบสิทธิ์สำหรับบัญชีอุปกรณ์ คำขอใหม่สำหรับโทเค็นการตรวจสอบสิทธิ์สำหรับบัญชีอุปกรณ์นั้นจะปิดใช้งานโทเค็นก่อนหน้า อุปกรณ์แต่ละเครื่องควรมีใบอนุญาตสำหรับแอปแยกกัน

หากต้องการสร้างบัญชีอุปกรณ์ ให้โทรหา Users.insert แล้วตั้งค่าประเภทบัญชีเป็น deviceType

คุณสร้างและรักษาการจับคู่ระหว่างข้อมูลประจำตัวของผู้ใช้หรืออุปกรณ์กับบัญชี Managed Google Play ที่เกี่ยวข้อง และจัดการบัญชีตลอดวงจร องค์กรไม่จำเป็นต้องควบคุมบัญชี Managed Google Play เหล่านี้โดยตรง เนื่องจากบัญชีมีไว้เพื่อการจัดการแอปพลิเคชันเท่านั้น

ข้อกำหนดสำหรับคอนโซลและเซิร์ฟเวอร์ EMM

บัญชี Managed Google Play จะสร้างขึ้นตามความต้องการแบบเป็นโปรแกรมโดยใช้ Google Play EMM API และ Android Framework API ในส่วนประกอบของโซลูชัน EMM (คอนโซล EMM, เซิร์ฟเวอร์ EMM และ DPC) คอมโพเนนต์เหล่านี้จะโต้ตอบระหว่างรันไทม์เพื่อสร้างบัญชีผู้ใช้และจัดสรรโปรไฟล์งานในอุปกรณ์เป้าหมาย คอนโซลหรือเซิร์ฟเวอร์ EMM ของคุณต้องมีคุณสมบัติดังนี้

• ระบุกลไกในการสร้างตัวระบุบัญชีที่ไม่ระบุตัวตนที่ไม่ซ้ำ (ช่อง accountIdentifier) เพื่อใช้ในการเรียก Users.insert ตัวอย่างเช่น คุณอาจใช้ค่าภายในบางอย่างสำหรับผู้ใช้ ("sanjeev237389") หรือหมายเลขแท็กเนื้อหาลับ ("asset#44448") หลีกเลี่ยงการใช้ข้อมูลส่วนบุคคลที่ระบุตัวบุคคลนั้นได้ (PII) เป็นตัวระบุบัญชี

• จัดเก็บการแมประหว่าง userId (ที่ส่งคืนจากการเรียก insert) และ accountIdentifier ที่คุณเลือก

ดูข้อกำหนดสำหรับ DPC ของคุณที่หัวข้อสร้างเครื่องมือควบคุมนโยบายด้านอุปกรณ์

สร้างบัญชีผู้ใช้ Managed Google Play

1. ผู้ใช้ลงชื่อเข้าใช้ DPC ของคุณโดยใช้ (โดยทั่วไป) ข้อมูลเข้าสู่ระบบของบริษัท
2. DPC จะขอรายละเอียดเกี่ยวกับผู้ใช้จากเซิร์ฟเวอร์หรือคอนโซล EMM หากระบบไม่รู้จักผู้ใช้ ให้ดำเนินการดังนี้
   1. ส่งคำขอสำหรับบัญชี Managed Google Play ใหม่โดยเรียกใช้ Users.insert พร้อมค่าสำหรับ accountIdentifier, displayName และ accountType ใหม่
      • ระบบของคุณต้องสร้าง accountIdentifier ตัวระบุบัญชีต้องเป็นค่าที่ไม่ซ้ำกันในระบบของคุณ อย่าใช้ PII เป็นตัวระบุบัญชี
      • displayName จะแสดงในตัวสลับบัญชีของ Google Play Store และควรจะมีความหมายบางอย่างต่อผู้ใช้ (แต่ไม่ใช่ PII เกี่ยวกับผู้ใช้) เช่น ชื่ออาจมีชื่อองค์กรหรือชื่อทั่วไปที่เกี่ยวข้องกับ EMM
      • ตั้งค่า accountType เป็น userAccount หรือ deviceAccount userAccount ใช้ได้ในอุปกรณ์หลายเครื่อง ขณะที่ deviceAccount จะใช้กับอุปกรณ์เครื่องเดียว accountType ที่ระบุอาจเป็น deviceType หรือ userType
      • ตั้งค่า managementType เป็น emmManaged
   2. Google Play จะดำเนินการตามคำขอ สร้างบัญชี และส่งคืน userId
   3. จัดเก็บการแมประหว่าง accountIdentifier กับ userId ในพื้นที่เก็บข้อมูลของคุณ
   4. โทรไปที่ Users.generateAuthenticationToken ด้วย userId และ enterpriseId Google Play จะส่งคืนโทเค็นการตรวจสอบสิทธิ์ที่สามารถใช้ได้ครั้งเดียวและจะต้องใช้งานภายในไม่กี่นาที
   5. ส่งต่อโทเค็นการตรวจสอบสิทธิ์ไปยัง DPC อย่างปลอดภัย
3. DPC จะจัดสรรโปรไฟล์งานและเพิ่มบัญชีไปยังโปรไฟล์งานหรืออุปกรณ์
4. ผู้ใช้เข้าถึง Managed Google Play ภายในโปรไฟล์งานหรืออุปกรณ์ได้

บัญชีผู้ดูแลระบบ

เมื่อผู้ดูแลระบบสร้างองค์กรด้วยบัญชี Managed Google Play บัญชี Google ที่ใช้จะเป็นบัญชี G Suite ไม่ได้ บัญชีที่ผู้ใช้ใช้จะกลายเป็นเจ้าของบัญชีขององค์กร และเจ้าของจะเพิ่มเจ้าของและผู้ดูแลระบบรายอื่นใน Managed Google Play Console ได้

ทั้ง Enterprises.get และ Enterprises.completeSignup จะแสดงรายการอีเมลของผู้ดูแลระบบที่เชื่อมโยงกับองค์กร (องค์กรที่มีบัญชี Managed Google Play เท่านั้น)

จัดการวงจรของบัญชี

ในการทำให้บัญชี Managed Google Play ใช้งานได้ คุณมีหน้าที่รับผิดชอบตามวงจรชีวิตของบัญชีผู้ใช้และอุปกรณ์ ซึ่งหมายความว่าคุณจะสร้าง อัปเดต และลบบัญชีเหล่านี้ได้

คุณจึงสร้างบัญชีในระหว่างการจัดเตรียมอุปกรณ์ ซึ่งเป็นกระบวนการที่เกี่ยวข้องกับแอป DPC และคอนโซล EMM ดูวิธีการได้ที่วิธีการของบัญชี Managed Google Play

หากต้องการเปลี่ยนแปลงข้อมูลของบัญชี ให้ไปที่ Users.update

หากต้องการลบบัญชี ให้ไปที่ Users.delete

ผู้ดูแลระบบไม่สามารถลบบัญชีแต่ละบัญชีได้ แต่สามารถลบองค์กรที่มีบัญชี Managed Google Play ได้ เมื่อดำเนินการนี้แล้ว อุปกรณ์และบัญชีผู้ใช้ที่เชื่อมโยงกับองค์กรจะถูกลบออกไปในที่สุด ตามที่อธิบายไว้ในยกเลิกการลงทะเบียน ลงทะเบียนซ้ำ และลบ

การหมดอายุของบัญชี

บางครั้งบัญชีหรือโทเค็นของบัญชีจะหมดอายุ ซึ่งอาจเกิดขึ้นได้จากสาเหตุหลายประการดังนี้

• โทเค็นการตรวจสอบสิทธิ์ที่ได้รับเพื่อเพิ่มบัญชีลงในอุปกรณ์หมดอายุแล้ว
• บัญชีหรือองค์กรถูกลบแล้ว
• สำหรับบัญชีอุปกรณ์ บัญชีดังกล่าวถูกเพิ่มลงในอุปกรณ์ใหม่และ จึงปิดใช้ในอุปกรณ์เครื่องเก่า
• จะมีการเรียกใช้การตรวจสอบการละเมิดโดยอัตโนมัติ

ในกรณีส่วนใหญ่ (เว้นแต่ว่า EMM ตั้งใจย้ายบัญชีอุปกรณ์ไปยังอุปกรณ์ใหม่) แนวทางปฏิบัติแนะนำคือการใช้ Play EMM API เพื่อขอโทเค็นใหม่จากเซิร์ฟเวอร์ EMM บันทึกสถานะของบัญชีและองค์กร รวมถึงข้อผิดพลาดที่ส่งคืน จากนั้นดำเนินการอย่างเหมาะสมในอุปกรณ์ เช่น รีเฟรชโทเค็น หรือหากไม่สามารถกู้คืนข้อผิดพลาดได้ ให้รีเซ็ตหรือยกเลิกการลงทะเบียนอุปกรณ์

บริการ Google Play เวอร์ชัน 9.0.00 จะแจ้งให้ DPC ทราบว่าบัญชีหมดอายุแล้วโดยใช้การดำเนินการประกาศ

1. เมื่อบัญชี Managed Google Play ในอุปกรณ์ใช้งานไม่ได้ DPC จะรับการประกาศโดยมีการดำเนินการต่อไปนี้

   com.google.android.gms.auth.ACCOUNT_REAUTH_REQUIRED

   Intent การออกอากาศมี Parcelable เพิ่มเติมชื่อ account ซึ่งเป็นออบเจ็กต์ Account ของบัญชีที่ใช้งานไม่ได้

2. DPC จะตรวจสอบ Account#name กับเซิร์ฟเวอร์ EMM เพื่อระบุบัญชีที่ใช้งานไม่ได้

3. DPC จะขอข้อมูลเข้าสู่ระบบใหม่หรือบัญชีใหม่ตามขั้นตอนเดียวกันกับที่ใช้ในการจัดสรรอุปกรณ์ในตอนแรก

---

บัญชี Google

สำหรับองค์กรที่ใช้บัญชี Google บัญชีผู้ใช้ในโซลูชัน EMM จะมิเรอร์บัญชีผู้ใช้ที่มีอยู่ซึ่งเชื่อมโยงกับบริการอื่นของ Google (เช่น G Suite) บัญชีเหล่านี้คือ googleManaged (ตารางที่ 1) เนื่องจาก บริการแบ็กเอนด์ของ Google เป็นแหล่งที่มาในการสร้างและ ข้อมูลเกี่ยวกับบัญชี

ในฐานะ EMM คุณสามารถจัดทำกลไกในคอนโซลเพื่ออำนวยความสะดวกในการสร้างและซิงค์ข้อมูลบัญชีผู้ใช้ที่อยู่ในระบบกับแหล่งที่มาของบัญชีโดเมน Google อย่างต่อเนื่องโดยใช้เครื่องมือต่างๆ เช่น Google Cloud Directory Sync (GCDS) และ Google Admin SDK Directory API เพื่อดูภาพรวมของวิธีการต่างๆ) โมเดลข้อมูลประจำตัวของโดเมนที่จัดการโดย Google จะต้องมีบัญชีผู้ใช้ในบริบทของโซลูชันของคุณ (คอนโซล EMM, เซิร์ฟเวอร์ EMM อาจอยู่ในพื้นที่เก็บข้อมูล) ก่อนที่จะจัดสรรในอุปกรณ์ของผู้ใช้ในบริบทของโปรไฟล์งานได้

ในระหว่างการจัดสรรข้อมูลประจำตัว ระบบจะเติมบัญชีผู้ใช้โดเมนที่จัดการโดย Google ขององค์กร ในบางกรณี ข้อมูลประจำตัวออนไลน์ที่มีอยู่ของผู้ใช้ (เช่น บัญชี Microsoft Exchange) จะซิงค์กับบัญชี Google

หลังจากการซิงค์ครั้งแรก แต่ก่อนที่แอปจะเผยแพร่ไปยังอุปกรณ์ของผู้ใช้ ผู้ใช้ต้องเปิดใช้งานบัญชี Google ตามที่อธิบายไว้ในเปิดใช้งานบัญชีในอุปกรณ์ การเปิดใช้งานนี้ทำให้อุปกรณ์เข้าถึง Managed Google Play ได้

ซิงค์ข้อมูลบัญชีลูกค้า

ในการทำให้บัญชี Google ใช้งานได้ องค์กรสามารถใช้เครื่องมือ GCDS เพื่อซิงค์ข้อมูลในโดเมน G Suite กับข้อมูลในไดเรกทอรี LDAP หรือคุณอาจใช้ GCDS เพื่อดำเนินการนี้ในนามขององค์กรหากองค์กรให้สิทธิ์การเข้าถึงแก่คุณ

เครื่องมือ GCDS จะเรียก Google Directory API และซิงค์ชื่อผู้ใช้ แต่ไม่ซิงค์รหัสผ่าน

หากองค์กรใช้ Microsoft Active Directory และต้องการให้รหัสผ่าน G Suite ของผู้ใช้ซิงค์กับรหัสผ่าน Active Directory อยู่เสมอ ผู้ใช้หรือคุณสามารถใช้เครื่องมือ G Suite Password Sync (GSPS) กับ GCDS ได้

โปรดดูวิธีการ GCDS สำหรับผู้ดูแลระบบในหัวข้อเตรียมโดเมน G Suite สำหรับการซิงค์ข้อมูล

API ไดเรกทอรีของ Google

ในการทำให้บัญชี Google ใช้งานได้ คุณสามารถใช้ Google Directory API ซิงค์ไดเรกทอรีที่ใช้งานอยู่ รหัสผ่าน หรือทั้งสองอย่างได้

• ใช้ Directory API สำหรับการซิงค์ไดเรกทอรีเท่านั้น หากคุณมีสิทธิ์เข้าถึงโดเมน Google ที่มีการจัดการขององค์กรในระดับอ่านอย่างเดียว คุณสามารถใช้ Google Directory API เพื่อรับข้อมูลบัญชี Google เช่น ชื่อผู้ใช้ (ที่ไม่ใช่รหัสผ่าน) จาก Google ได้ เนื่องจากคุณไม่สามารถเขียนข้อมูลใดๆ ลงในบัญชี Google ของผู้ใช้ได้ องค์กรจึงจะเป็นผู้รับผิดชอบวงจรชีวิตของบัญชีอย่างเต็มรูปแบบ

  สถานการณ์ 1 และสถานการณ์การตรวจสอบสิทธิ์ SSO ที่ใช้ SAML จะอธิบายถึงสถานการณ์นี้อย่างสมบูรณ์ยิ่งขึ้น

  หากต้องการข้อมูลเกี่ยวกับการใช้ Directory API ในลักษณะนี้ โปรดดูเรียกข้อมูลผู้ใช้บัญชีทั้งหมดในเอกสาร Directory API

• การใช้ Directory API สำหรับไดเรกทอรีและการซิงค์รหัสผ่านที่ไม่บังคับ หากคุณมีสิทธิ์เข้าถึงโดเมน Google ที่มีการจัดการขององค์กรในระดับอ่านและเขียน คุณสามารถใช้ Google Directory API เพื่อดูชื่อผู้ใช้ รหัสผ่าน และข้อมูลบัญชี Google อื่นๆ ได้ คุณอัปเดตข้อมูลนี้และซิงค์ข้อมูลกับฐานข้อมูลของตัวเองได้ และคุณอาจต้องรับผิดชอบทั้งหมดหรือบางส่วนต่อวงจรการทำงานของบัญชี ทั้งนี้ขึ้นอยู่กับโซลูชันที่นำเสนอให้แก่ลูกค้า

  สถานการณ์ที่ 2 จะอธิบายถึงสถานการณ์นี้อย่างสมบูรณ์ยิ่งขึ้น

  หากต้องการข้อมูลเพิ่มเติมเกี่ยวกับการใช้ Directory API เพื่อจัดการข้อมูลบัญชีผู้ใช้ โปรดดูคู่มือสำหรับนักพัฒนาซอฟต์แวร์ Directory API: บัญชีผู้ใช้

สถานการณ์การใช้งานบัญชี Google

ด้านล่างนี้เป็นตัวอย่างสถานการณ์การจัดสรรข้อมูลประจำตัวของบัญชี Google โดยทั่วไป

สถานการณ์ที่ 1: ลูกค้ามีหน้าที่รับผิดชอบต่อวงจรของบัญชี

ในกรณีนี้ ลูกค้าจะสร้างและจัดการบัญชี Google ให้กับผู้ใช้

คุณจะได้รับข้อมูลบัญชีผู้ใช้จากไดเรกทอรี LDAP ขององค์กร และจะเชื่อมโยงกับข้อมูลบัญชี Google ที่ได้รับจาก Google ผ่าน API ไดเรกทอรีของ Google

องค์กรมีหน้าที่รับผิดชอบตามวงจรชีวิตของบัญชีโดยสมบูรณ์ เช่น เมื่อสร้างบัญชี Google ใหม่ องค์กรจะเพิ่มผู้ใช้ในไดเรกทอรี LDAP ครั้งต่อไปที่คุณซิงค์ฐานข้อมูลกับไดเรกทอรี LDAP ฐานข้อมูลจะได้รับข้อมูลเกี่ยวกับผู้ใช้ใหม่นี้

ในสถานการณ์นี้จะมีผลดังต่อไปนี้

• คุณมีสิทธิ์การเข้าถึงระดับอ่านอย่างเดียวในบัญชี Google
• ฐานข้อมูลของคุณจะได้มาซึ่งชื่อบัญชี Google แต่ไม่มีชื่อผู้ใช้หรือรหัสผ่าน LDAP
• คุณใช้ Google Directory API เพื่อรับข้อมูลบัญชีพื้นฐานสำหรับผู้ใช้ของลูกค้า (ข้อมูลที่คุณจะเห็นคือข้อมูลที่เขียนไม่ได้ซึ่งส่งคืนโดยคำขอ Users.get) คุณใช้ข้อมูลนี้ในการยืนยันว่ามีบัญชี Google ของผู้ใช้ เพื่อให้ผู้ใช้ตรวจสอบสิทธิ์อุปกรณ์ได้
• ลูกค้าใช้เครื่องมือ GCDS ในการซิงค์ทางเดียวเพื่อเติมข้อมูลในบัญชี Google ของผู้ใช้ (องค์กรอาจใช้ GCDS ในการซิงค์ของตนเองอย่างต่อเนื่องหลังจากที่การจัดสรรข้อมูลประจำตัวเสร็จสมบูรณ์แล้ว) นอกจากนี้ องค์กรยังใช้เครื่องมือ GSPS เพื่อซิงค์ทั้งชื่อผู้ใช้และรหัสผ่านได้อีกด้วย

สถานการณ์ที่ 2: EMM ที่รับผิดชอบวงจรชีวิตของบัญชี

ในสถานการณ์นี้ คุณจะจัดการกระบวนการสร้างบัญชี Google ในนามของลูกค้าและรับผิดชอบต่อวงจรการใช้งานบัญชีของผู้ใช้

เช่น เมื่อข้อมูลผู้ใช้ในไดเรกทอรี LDAP ขององค์กรมีการเปลี่ยนแปลง คุณมีหน้าที่อัปเดตบัญชี Google ของผู้ใช้ กรณีนี้ไม่ได้ใช้ GCDS

ในสถานการณ์นี้จะมีผลดังต่อไปนี้

• คุณมีสิทธิ์อ่านและเขียนบัญชี Google
• ฐานข้อมูลจะได้รับชื่อบัญชี Google และชื่อผู้ใช้ LDAP (หรืออาจเลือกแฮชรหัสผ่านก็ได้)
• คุณใช้ Google Directory API ในนามของลูกค้าเพื่ออ่านและเขียนข้อมูลบัญชีสำหรับผู้ใช้ขององค์กร (ข้อมูลที่คุณจะดูได้คือข้อมูลที่เขียนไม่ได้ซึ่งส่งคืนโดยคำขอ Users.get) คุณใช้ข้อมูลนี้ในการยืนยันว่ามีบัญชี Google ของผู้ใช้ เพื่อให้ผู้ใช้ตรวจสอบสิทธิ์อุปกรณ์ได้
• ไม่ได้ใช้เครื่องมือ GCDS

สถานการณ์การตรวจสอบสิทธิ์ SSO ที่ใช้ SAML

ในการใช้งานบัญชี Google คุณหรือลูกค้าอาจใช้ภาษามาร์กอัปเพื่อยืนยันความปลอดภัย (SAML) กับผู้ให้บริการข้อมูลประจำตัว (IdP) เพื่อตรวจสอบสิทธิ์บัญชี Google ที่เชื่อมโยงกับผู้ใช้แต่ละราย คุณใช้ชื่อบัญชี Google เพื่อยืนยันว่าบัญชี Google ของผู้ใช้มีอยู่ ซึ่งจำเป็นสำหรับการตรวจสอบสิทธิ์ผู้ใช้เมื่อผู้ใช้ลงชื่อเข้าใช้อุปกรณ์ของตน เช่น SAML อาจใช้ในสถานการณ์ที่ 2 ดูรายละเอียดวิธีตั้งค่าได้ที่ตั้งค่าการลงชื่อเพียงครั้งเดียว (SSO) สำหรับบัญชี G Suite

เปิดใช้งานบัญชีในอุปกรณ์

สำหรับการเผยแพร่แอปไปยังอุปกรณ์ของผู้ใช้ผ่าน Managed Google Play ผู้ใช้ต้องลงชื่อเข้าใช้อุปกรณ์ในระหว่างการจัดสรรอุปกรณ์ โดยทำดังนี้

• ในการจัดสรรอุปกรณ์บัญชี Managed Google Play DPC จะแนะนำให้ผู้ใช้ลงชื่อเข้าใช้โดยใช้ข้อมูลเข้าสู่ระบบที่คอนโซล EMM ของคุณยอมรับ ซึ่งโดยทั่วไปจะเป็นข้อมูลเข้าสู่ระบบอีเมลของบริษัท
• ในการทำให้บัญชี Google ใช้งานได้ DPC จะแนะนำให้ผู้ใช้ป้อนข้อมูลเข้าสู่ระบบสำหรับการลงชื่อเข้าใช้บัญชี Google โดยปกติแล้วข้อมูลเข้าสู่ระบบเหล่านี้จะตรงกับข้อมูลที่ผู้ใช้ลงชื่อเข้าใช้โดเมนบริษัทเมื่อซิงค์ข้อมูลกับ GCDS หรือ GSPS หรือเมื่อองค์กรใช้ IdP สำหรับการตรวจสอบสิทธิ์ ซึ่งจะเป็นการเปิดใช้งานบัญชี Google ของผู้ใช้ สร้างรหัสอุปกรณ์ที่ไม่ซ้ำกัน และเชื่อมโยงข้อมูลประจำตัวของบัญชี Google กับรหัสอุปกรณ์ของผู้ใช้รายนั้นๆ