Cung cấp danh tính (hoặc cung cấp tài khoản) là quy trình thiết lập tài khoản và thiết lập các kết nối giữa 3 hệ thống lưu trữ dữ liệu người dùng, đồng thời trong một số trường hợp, thiết lập các kết nối giữa người dùng và thiết bị của họ.
Trong môi trường doanh nghiệp Android, 3 hệ thống khác nhau sẽ lưu giữ thông tin tài khoản người dùng:
- Thư mục người dùng của tổ chức là nguồn thông tin chính xác về người dùng.
- Bạn (nhà cung cấp giải pháp EMM) phải duy trì ít nhất một thư mục tối thiểu về người dùng của tổ chức.
- Google duy trì một số thông tin về Tài khoản Google Play có quản lý và Tài khoản Google để cung cấp tính năng quản lý ứng dụng thông qua Google Play.
Tài nguyên Users đại diện cho một tài khoản được liên kết với một doanh nghiệp. Tài khoản có thể dành riêng cho một thiết bị hoặc có thể được liên kết với một cá nhân có nhiều thiết bị và sử dụng tài khoản trên tất cả các thiết bị đó. Tài khoản này chỉ có thể cấp quyền truy cập vào Google Play được quản lý hoặc vào các dịch vụ khác của Google, tuỳ thuộc vào cách bạn thiết lập doanh nghiệp của khách hàng:
Tài khoản Google được quản lý là những tài khoản hiện có do Google quản lý. Những tài khoản này yêu cầu khách hàng sử dụng Google làm nhà cung cấp danh tính hoặc liên kết thư mục người dùng của tổ chức với Google. Đối với những doanh nghiệp sử dụng Tài khoản Google do quản lý, Google chịu trách nhiệm xác thực người dùng trong quá trình cung cấp thiết bị.
Tài khoản Google Play có quản lý giúp các doanh nghiệp tự động tạo tài khoản người dùng có giới hạn thông qua nhà cung cấp giải pháp quản lý di động dành cho doanh nghiệp (EMM). Những tài khoản này chỉ cung cấp quyền truy cập vào Managed Google Play. EMM hoàn toàn chịu trách nhiệm xác thực người dùng khi cần. Đối với tập hợp Tài khoản Google Play có quản lý, đây là loại tài khoản duy nhất có sẵn.
Bảng 1: Các trường và phương thức của Users API
| Tài khoản Google Play có quản lý | Tài khoản Google được quản lý | |
|---|---|---|
| Trường | ||
| id | ||
| loại | ||
| accountIdentifier | Giá trị nhận dạng riêng biệt mà bạn tạo và liên kết với mã nhận dạng (userId) do Google Play trả về. Không sử dụng thông tin nhận dạng cá nhân (PII). | Chưa đặt. |
| accountType | deviceAccount, userAccount | userAccount |
| Tên hiển thị | Tên mà bạn hiển thị trong các mục trên giao diện người dùng, chẳng hạn như trong Google Play. Không sử dụng thông tin nhận dạng cá nhân. | Chưa đặt. |
| managementType | emmManaged | googleManaged, emmManaged |
| primaryEmail | Chưa đặt. | Trường này là khoá chính mà bạn dùng để quản lý quá trình đồng bộ hoá từ tài khoản miền do Google quản lý sang tài khoản người dùng trong hệ thống của bạn. |
| Phương thức | ||
| xóa | ||
| generateAuthenticationToken | ||
| generateToken | ||
| get | ||
| getAvailableProductSet | ||
| insert | ||
| danh sách | ||
| revokeToken | ||
| setAvailableProductSet | ||
| cập nhật | ||
Trong quá trình cải thiện quy trình đăng ký thiết bị, chúng tôi sẽ chuyển sang sử dụng Tài khoản Google được quản lý cho tất cả thiết bị Android Enterprise mà nhân viên sử dụng bằng danh tính công ty.
Đối với các lượt đăng ký mới, bạn nên sử dụng Tài khoản Google được quản lý thay vì Tài khoản Google Play được quản lý. Mặc dù chúng tôi vẫn tiếp tục hỗ trợ Tài khoản Google Play được quản lý cho người dùng hiện tại, nhưng các tài khoản này chỉ cung cấp quyền truy cập vào Cửa hàng Play được quản lý. Tài khoản Google được quản lý cho phép người dùng sử dụng toàn bộ các dịch vụ của Google và các tính năng trên nhiều thiết bị.
Cải tiến quy trình đăng ký
Tài khoản Google được quản lý xác lập danh tính của người dùng với Google. Điều này cho phép bạn có trải nghiệm trên nhiều thiết bị, chẳng hạn như chuyển giao tác vụ, thông báo và chia sẻ lân cận. Những tính năng này ngày càng quan trọng trong không gian doanh nghiệp, nơi người dùng thường sử dụng nhiều thiết bị.
Các doanh nghiệp không sử dụng Google làm nhà cung cấp danh tính hiện được khuyến khích liên kết nhà cung cấp danh tính hiện có của họ với Google. Thao tác này cho phép tạo Tài khoản Google được quản lý cho nhân viên trong quá trình liên kết. Các doanh nghiệp nên sử dụng cùng một nhà cung cấp danh tính cho việc này như khi sử dụng với EMM.
Chúng tôi đã triển khai những thay đổi sau:
Hoạt động xác thực người dùng cuối trong quá trình đăng ký thiết bị hiện do Google/Android xử lý. Trình điều khiển chính sách thiết bị (DPC) của EMM yêu cầu Android xác thực người dùng tại thời điểm thích hợp, sau đó Android sẽ trả về danh tính của người dùng đã đăng nhập cho DPC.
EMM phải truyền mã thông báo đăng ký đến Android khi yêu cầu xác thực người dùng. Mã thông báo này được trả về bằng một lệnh gọi API đến Android Enterprise API và có thể được mã hoá trong tải trọng đăng ký bằng QR, NFC hoặc không cần thao tác.
Mặc dù Android hiện xử lý việc xác thực và cung cấp danh tính người dùng cho EMM, nhưng EMM vẫn có trách nhiệm ánh xạ danh tính người dùng với nhóm hoặc cấu trúc tổ chức phù hợp. Việc liên kết này là cần thiết để áp dụng các chính sách phù hợp cho thiết bị. Do đó, các doanh nghiệp phải tiếp tục liên kết danh bạ người dùng của tổ chức với EMM.
Quản trị viên CNTT có thể bật hoặc tắt tính năng xác thực người dùng cuối mới do Google cung cấp. Để mang lại trải nghiệm tốt nhất cho người dùng, bao gồm cả các tính năng trên nhiều thiết bị, quản trị viên CNTT nên liên kết danh bạ người dùng của tổ chức với Google. Nếu không có mối liên kết này, người dùng sẽ có Tài khoản Google Play được quản lý và không có quyền truy cập vào trải nghiệm trên nhiều thiết bị.
Một yêu cầu mới đối với tất cả các EMM là cung cấp thêm thông tin khi tạo mã thông báo đăng ký và đăng nhập. Cụ thể, giờ đây, bạn phải cho biết liệu một thiết bị có không có người dùng (chẳng hạn như kiosk hoặc thiết bị chuyên dụng) hay không.
Lợi ích
Quy trình mới có những điểm cải tiến chính sau:
Đơn giản hoá quy trình đăng ký: Quy trình này giúp giảm số bước thủ công và độ phức tạp so với các phương thức tiêu chuẩn.
Hỗ trợ Tài khoản Google: Giờ đây, bạn có thể sử dụng Tài khoản Google với tất cả các phương thức cấp phép. Điều này giúp bạn không cần phải có Tài khoản Google Play được quản lý.
Nâng cao trải nghiệm người dùng: Với Tài khoản Google do quản lý, bạn sẽ có trải nghiệm Android phong phú hơn, bao gồm các tính năng mạnh mẽ trên nhiều thiết bị như chia sẻ và sao chép – dán.
Triển khai tài khoản người dùng
Để tìm hiểu cách tiếp tục với quy trình đăng ký mới này, hãy xem phần Triển khai tài khoản người dùng.
Vòng đời của Tài khoản Google được quản lý
Đối với những tổ chức sử dụng Tài khoản Google, tài khoản người dùng trong giải pháp EMM sẽ phản ánh tài khoản người dùng hiện có được liên kết với một dịch vụ khác của Google (chẳng hạn như Google Workspace). Đây là các tài khoản googleManaged
(Bảng 1) vì các dịch vụ phụ trợ của Google là nguồn để tạo và cung cấp thông tin về tài khoản.
Là một EMM, bạn có thể cung cấp các cơ chế trong bảng điều khiển của mình để tạo điều kiện thuận lợi cho việc tạo và đồng bộ hoá liên tục các tài khoản người dùng có trong hệ thống của bạn với các nguồn tài khoản miền Google bằng cách sử dụng các công cụ như Google Cloud Directory Sync (GCDS) và API Thư mục Google Admin SDK. để biết thông tin tổng quan về nhiều phương pháp. Mô hình danh tính miền do Google quản lý yêu cầu tài khoản người dùng phải tồn tại trong bối cảnh giải pháp của bạn (bảng điều khiển EMM, máy chủ EMM, có thể là trong kho dữ liệu) trước khi có thể được cung cấp trên bất kỳ thiết bị nào của người dùng trong bối cảnh hồ sơ công việc.
Trong quá trình cấp danh tính, miền do Google quản lý của tổ chức sẽ được điền sẵn thông tin tài khoản người dùng. Trong một số trường hợp, danh tính trực tuyến hiện có của người dùng (ví dụ: tài khoản Microsoft Exchange) được đồng bộ hoá với Tài khoản Google của họ.
Đồng bộ hoá tài khoản khách hàng
Trong quá trình triển khai Tài khoản Google, tổ chức có thể sử dụng công cụ GCDS để đồng bộ hoá dữ liệu trong miền G Suite với dữ liệu trong thư mục LDAP. Ngoài ra, bạn có thể sử dụng GCDS để thực hiện việc này thay cho tổ chức, nếu tổ chức cấp cho bạn quyền truy cập.
Công cụ GCDS gọi Google Directory API và đồng bộ hoá tên người dùng, nhưng không đồng bộ hoá mật khẩu.
Nếu tổ chức sử dụng Microsoft Active Directory và muốn giữ cho mật khẩu G Suite của người dùng đồng bộ hoá với mật khẩu Active Directory, thì họ (hoặc bạn) có thể sử dụng công cụ Đồng bộ hoá mật khẩu của G Suite (GSPS) với GCDS.
Để xem hướng dẫn về GCDS dành cho quản trị viên, hãy xem bài viết Chuẩn bị miền G Suite để đồng bộ hoá.
Google Directory API
Trong quá trình triển khai Tài khoản Google, bạn có thể sử dụng Google Directory API để đồng bộ hoá các thư mục đang hoạt động, mật khẩu hoặc cả hai:
Sử dụng Directory API để chỉ đồng bộ hoá thư mục. Nếu có quyền chỉ có thể đọc đối với miền Google được quản lý của tổ chức, bạn có thể sử dụng Google Directory API để lấy thông tin Tài khoản Google, chẳng hạn như tên người dùng (nhưng không phải mật khẩu) từ Google. Vì bạn không thể ghi bất kỳ dữ liệu nào vào Tài khoản Google của người dùng, nên tổ chức hoàn toàn chịu trách nhiệm về vòng đời của tài khoản.
Tình huống 1 và các tình huống xác thực SSO dựa trên SAML mô tả đầy đủ hơn về tình huống này.
Để biết thông tin về cách sử dụng Directory API theo cách này, hãy xem phần Truy xuất tất cả người dùng tài khoản trong tài liệu về Directory API.
Sử dụng Directory API để đồng bộ hoá thư mục và mật khẩu (không bắt buộc). Nếu có quyền đọc-ghi đối với miền Google được quản lý của tổ chức, bạn có thể sử dụng Google Directory API để lấy tên người dùng, mật khẩu và các thông tin khác về Tài khoản Google. Bạn có thể cập nhật thông tin này và đồng bộ hoá với cơ sở dữ liệu của riêng mình, đồng thời bạn có thể chịu trách nhiệm một phần hoặc toàn bộ về vòng đời của tài khoản, tuỳ thuộc vào giải pháp mà bạn đang cung cấp cho khách hàng.
Tình huống 2 mô tả đầy đủ hơn về trường hợp này.
Để biết thêm thông tin về cách sử dụng Directory API để quản lý thông tin tài khoản người dùng, hãy xem Directory API: Tài khoản người dùng trong hướng dẫn dành cho nhà phát triển.
Các trường hợp sử dụng Tài khoản Google
Một số trường hợp điển hình về việc cung cấp danh tính cho Tài khoản Google được mô tả trong phần sau.
Tình huống 1: Khách hàng chịu trách nhiệm về vòng đời của tài khoản
Trong trường hợp này, khách hàng của bạn sẽ tạo và duy trì Tài khoản Google cho người dùng của họ.
Bạn nhận được thông tin tài khoản người dùng từ thư mục LDAP của tổ chức và bạn liên kết thông tin này với dữ liệu Tài khoản Google mà bạn nhận được từ Google bằng Directory API của Google.
Tổ chức chịu hoàn toàn trách nhiệm đối với vòng đời của tài khoản. Ví dụ: khi một Tài khoản Google mới được tạo, tổ chức sẽ thêm người dùng vào thư mục LDAP của họ. Vào lần tiếp theo bạn đồng bộ hoá cơ sở dữ liệu với thư mục LDAP, cơ sở dữ liệu của bạn sẽ nhận được thông tin về người dùng mới này.
Trong tình huống này:
- Bạn chỉ có quyền đọc đối với Tài khoản Google.
- Cơ sở dữ liệu của bạn thu thập tên Tài khoản Google, nhưng không thu thập tên người dùng hoặc mật khẩu LDAP.
- Bạn sử dụng Google Directory API để lấy thông tin cơ bản về tài khoản của người dùng là khách hàng của bạn. (Thông tin mà bạn có thể xem là thông tin không ghi được do yêu cầu
Users.gettrả về). Bạn sử dụng thông tin này để xác minh rằng Tài khoản Google của người dùng tồn tại để người dùng có thể xác thực vào thiết bị của họ. - Khách hàng của bạn sử dụng công cụ GCDS để thực hiện quy trình đồng bộ hoá một chiều nhằm điền sẵn thông tin cho Tài khoản Google của người dùng. (Có thể tổ chức cũng sử dụng GCDS để tự đồng bộ hoá liên tục sau khi hoàn tất quy trình cấp danh tính.) Ngoài ra, tổ chức cũng có thể sử dụng công cụ GSPS để đồng bộ hoá không chỉ tên người dùng mà còn cả mật khẩu.
Trường hợp 2: EMM chịu trách nhiệm về vòng đời của tài khoản
Trong trường hợp này, bạn xử lý quy trình tạo Tài khoản Google thay cho khách hàng và chịu trách nhiệm về vòng đời tài khoản của người dùng.
Ví dụ: khi thông tin người dùng thay đổi trong thư mục LDAP của tổ chức, bạn có trách nhiệm cập nhật Tài khoản Google của người dùng. GCDS không được dùng trong trường hợp này.
Trong tình huống này:
- Bạn có quyền đọc-ghi đối với Tài khoản Google.
- Cơ sở dữ liệu của bạn sẽ thu thập tên Tài khoản Google và tên người dùng LDAP (và có thể là hàm băm mật khẩu).
- Bạn sử dụng Google Directory API thay mặt cho khách hàng để đọc và ghi thông tin tài khoản cho người dùng của tổ chức. (Thông tin mà bạn có được là thông tin không thể ghi do yêu cầu
Users.gettrả về). Bạn sử dụng thông tin này để xác minh rằng Tài khoản Google của người dùng tồn tại để người dùng có thể xác thực vào thiết bị của họ. - Không sử dụng công cụ GCDS.
Các trường hợp xác thực SSO dựa trên SAML
Trong quá trình triển khai Tài khoản Google, bạn hoặc khách hàng của bạn có thể sử dụng Ngôn ngữ đánh dấu xác nhận bảo mật (SAML) với một nhà cung cấp danh tính (IdP) để xác thực Tài khoản Google được liên kết với mỗi người dùng. Bạn sử dụng tên Tài khoản Google làm thông tin xác minh rằng Tài khoản Google của người dùng tồn tại. Thông tin này là cần thiết để xác thực người dùng khi họ đăng nhập vào thiết bị của mình. Ví dụ: SAML có thể được dùng trong Trường hợp 2. Để biết thông tin chi tiết về cách thiết lập tính năng này, hãy xem bài viết Thiết lập dịch vụ Đăng nhập một lần (SSO) cho tài khoản G Suite.