आइडेंटिटी प्रोविज़निंग (या खाता प्रोविज़निंग) एक ऐसी प्रोसेस है जिसमें खातों को सेट अप किया जाता है. साथ ही, उपयोगकर्ता का डेटा रखने वाले तीन सिस्टम के बीच कनेक्शन बनाए जाते हैं. कुछ मामलों में, उपयोगकर्ताओं और उनके डिवाइसों के बीच कनेक्शन भी सेट अप किए जाते हैं.
Android Enterprise के एनवायरमेंट में, तीन अलग-अलग सिस्टम में उपयोगकर्ता खाते की जानकारी सेव होती है:
- संगठन की उपयोगकर्ता डायरेक्ट्री, उपयोगकर्ताओं के बारे में जानकारी का आधिकारिक सोर्स होती है.
- ईएमएम की सेवा देने वाली कंपनी के तौर पर, आपको संगठन के उपयोगकर्ताओं की कम से कम एक डायरेक्ट्री बनाए रखनी होगी.
- Google, मैनेज किए गए Google Play खातों और Google खातों के बारे में कुछ जानकारी सेव करके रखता है, ताकि Google Play के ज़रिए ऐप्लिकेशन मैनेज किए जा सकें.
Users संसाधन, किसी एंटरप्राइज़ से जुड़े खाते को दिखाता है. यह खाता किसी डिवाइस के लिए खास हो सकता है. इसके अलावा, यह किसी ऐसे व्यक्ति से भी जुड़ा हो सकता है जिसके पास एक से ज़्यादा डिवाइस हैं और वह उन सभी डिवाइसों पर इस खाते का इस्तेमाल करता है. यह खाता, सिर्फ़ Managed Google Play का ऐक्सेस दे सकता है. इसके अलावा, यह Google की अन्य सेवाओं का ऐक्सेस भी दे सकता है. यह इस बात पर निर्भर करता है कि आपने ग्राहक के एंटरप्राइज़ को कैसे सेट अप किया है:
मैनेज किए जा रहे Google खाते ऐसे मौजूदा खाते होते हैं जिन्हें Google मैनेज करता है. इन खातों के लिए, ग्राहक को Google को पहचान देने वाली कंपनी के तौर पर इस्तेमाल करना होगा या अपने संगठन की उपयोगकर्ता डायरेक्ट्री को Google से लिंक करना होगा. मैनेज किए जा रहे Google खातों का इस्तेमाल करने वाली कंपनियों के लिए, डिवाइस प्रॉविज़निंग के दौरान उपयोगकर्ता की पुष्टि करने की ज़िम्मेदारी Google की होती है.
मैनेज किए जा रहे Google Play खातों की मदद से, कारोबार अपने एंटरप्राइज़ मोबिलिटी मैनेजमेंट (ईएमएम) समाधान देने वाली कंपनी के ज़रिए, सीमित उपयोगकर्ता खाते अपने-आप बना सकते हैं. इन खातों से सिर्फ़ Managed Google Play को ऐक्सेस किया जा सकता है. ज़रूरत पड़ने पर, उपयोगकर्ता की पुष्टि करने की पूरी ज़िम्मेदारी ईएमएम की होती है. मैनेज किए जा रहे, कारोबार के लिए Google Play खातों के एंटरप्राइज़ के लिए, सिर्फ़ इस तरह का खाता उपलब्ध है.
पहली टेबल: Users API के फ़ील्ड और तरीके
| कारोबार के लिए Google Play खाते | मैनेज किए जा रहे Google खाते | |
|---|---|---|
| फ़ील्ड | ||
| आईडी | ||
| तरह | ||
| accountIdentifier | यह एक यूनीक आइडेंटिफ़ायर होता है. इसे आपको बनाना होता है और Google Play से मिले आईडी (userId) के साथ मैप करना होता है. व्यक्तिगत पहचान से जुड़ी जानकारी (पीआईआई) का इस्तेमाल न करें. | सेट नहीं है. |
| accountType | deviceAccount, userAccount | userAccount |
| displayName | यह वह नाम होता है जिसे यूज़र इंटरफ़ेस (यूआई) आइटम में दिखाया जाता है. जैसे, Google Play में. व्यक्तिगत पहचान से जुड़ी जानकारी का इस्तेमाल न करें. | सेट नहीं है. |
| managementType | emmManaged | googleManaged, emmManaged |
| primaryEmail | सेट नहीं है. | यह फ़ील्ड प्राइमरी कुंजी है. इसकी मदद से, Google के मैनेज किए गए डोमेन खातों से लेकर आपके सिस्टम में मौजूद उपयोगकर्ता खातों तक सिंक्रनाइज़ेशन को मैनेज किया जाता है. |
| तरीके | ||
| मिटाएं | ||
| generateAuthenticationToken | ||
| generateToken | ||
| सदस्यता लें | ||
| getAvailableProductSet | ||
| इंसर्ट करें | ||
| सूची | ||
| revokeToken | ||
| setAvailableProductSet | ||
| अपडेट करें | ||
डिवाइस के रजिस्ट्रेशन की प्रोसेस को बेहतर बनाने के लिए, हम मैनेज किए जा रहे Google खातों का इस्तेमाल कर रहे हैं. इनका इस्तेमाल, कंपनी की पहचान वाले कर्मचारी के Android Enterprise डिवाइसों के लिए किया जाएगा.
नए रजिस्ट्रेशन के लिए, अब हमारा सुझाव है कि मैनेज किए जा रहे Google Play खातों के बजाय, मैनेज किए जा रहे Google खातों का इस्तेमाल करें. हम मौजूदा उपयोगकर्ताओं के लिए, मैनेज किए जा रहे Google Play खातों का इस्तेमाल जारी रखेंगे. हालांकि, इनसे सिर्फ़ मैनेज किए जा रहे Google Play स्टोर का ऐक्सेस मिलता है. मैनेज किए जा रहे Google खातों से, उपयोगकर्ताओं को Google की सभी सेवाओं और क्रॉस-डिवाइस सुविधाओं का ऐक्सेस मिलता है.
सदस्यता लेने की सुविधा में सुधार
मैनेज किए जा रहे Google खातों से, Google पर उपयोगकर्ता की पहचान की पुष्टि की जाती है. इससे आपको अलग-अलग डिवाइसों पर एक जैसा अनुभव मिलता है. जैसे, किसी टास्क को एक डिवाइस से दूसरे डिवाइस पर ट्रांसफ़र करना, सूचनाएं पाना, और आस-पास मौजूद डिवाइसों के साथ फ़ाइलें शेयर करना. ये सुविधाएं, एंटरप्राइज़ स्पेस में ज़्यादा ज़रूरी होती हैं. यहां उपयोगकर्ता अक्सर एक से ज़्यादा डिवाइसों का इस्तेमाल करते हैं.
जो कंपनियां Google को अपने आइडेंटिटी प्रोवाइडर के तौर पर इस्तेमाल नहीं करती हैं उन्हें अब अपने मौजूदा आइडेंटिटी प्रोवाइडर को Google से लिंक करने का सुझाव दिया जाता है. इससे, लिंक करने की प्रोसेस के दौरान कर्मचारियों के लिए मैनेज किए गए Google खाते बनाए जा सकते हैं. उद्यमों को इसके लिए, उसी आइडेंटिटी प्रोवाइडर का इस्तेमाल करना चाहिए जिसका इस्तेमाल वे अपने ईएमएम के साथ करते हैं.
हमने ये बदलाव किए हैं:
डिवाइस के रजिस्ट्रेशन के दौरान, असली उपयोगकर्ता की पुष्टि करने की प्रोसेस अब Google/Android मैनेज करता है. ईएमएम के डिवाइस नीति कंट्रोलर (डीपीसी) के लिए ज़रूरी है कि Android, सही समय पर उपयोगकर्ता की पुष्टि करे. इसके बाद, Android, लॉग इन किए गए उपयोगकर्ता की पहचान डीपीसी को भेजता है.
उपयोगकर्ता की पुष्टि करने का अनुरोध करते समय, EMM को Android को रजिस्ट्रेशन टोकन भेजना होगा. यह टोकन, Android Enterprise API को किए गए एपीआई कॉल से मिलता है. इसे क्यूआर, एनएफ़सी या ज़ीरो-टच एनरोलमेंट के पेलोड में कोड किया जा सकता है.
Android अब पुष्टि करने की प्रोसेस को मैनेज करता है और ईएमएम को उपयोगकर्ता की पहचान की जानकारी देता है. हालांकि, उपयोगकर्ता की पहचान की जानकारी को सही ग्रुप या संगठन के स्ट्रक्चर पर मैप करने की ज़िम्मेदारी अब भी ईएमएम की है. डिवाइस पर सही नीतियां लागू करने के लिए, यह मैपिंग ज़रूरी है. इसलिए, कंपनियों को अपने संगठन की उपयोगकर्ता डायरेक्ट्री को अपने EMM से लिंक करना जारी रखना होगा.
आईटी एडमिन, Google की ओर से उपलब्ध कराई गई असली उपयोगकर्ता की पुष्टि करने की नई सुविधा को चालू या बंद कर सकते हैं. हमारा सुझाव है कि आईटी एडमिन, अपने संगठन की उपयोगकर्ता डायरेक्ट्री को Google से लिंक करें. इससे उपयोगकर्ताओं को बेहतर अनुभव मिलेगा. साथ ही, उन्हें अलग-अलग डिवाइसों पर काम करने वाली सुविधाएं भी मिलेंगी. इस लिंक के बिना, उपयोगकर्ताओं के पास मैनेज किए गए Google Play खाते होंगे और उन्हें अलग-अलग डिवाइसों पर एक जैसा अनुभव नहीं मिलेगा.
सभी ईएमएम के लिए नई ज़रूरी शर्त यह है कि उन्हें रजिस्ट्रेशन और साइन-इन टोकन बनाते समय, अतिरिक्त जानकारी देनी होगी. खास तौर पर, अब आपको यह बताना होगा कि कोई डिवाइस बिना उपयोगकर्ता वाला है या नहीं. जैसे, कीऑस्क या खास डिवाइस.
फ़ायदे
नई प्रोसेस में ये अहम सुधार किए गए हैं:
आसान तरीके से रजिस्टर करना: यह स्टैंडर्ड तरीकों की तुलना में, मैन्युअल चरणों की संख्या और जटिलता को कम करता है.
Google खाते के लिए सहायता: अब सभी तरीकों से Google खातों का इस्तेमाल किया जा सकता है. इससे मैनेज किए जा रहे Google Play खातों की ज़रूरत नहीं पड़ती.
बेहतर उपयोगकर्ता अनुभव: मैनेज किए जा रहे Google खातों से, आपको Android का बेहतर अनुभव मिलता है. इसमें क्रॉस-डिवाइस सुविधाओं के साथ-साथ शेयर करने और कॉपी-पेस्ट करने जैसी सुविधाएं शामिल हैं.
उपयोगकर्ता खातों को लागू करना
रजिस्ट्रेशन के इस नए तरीके के बारे में जानने के लिए, उपयोगकर्ता खाते लागू करना लेख पढ़ें.
मैनेज किए जा रहे Google खातों का लाइफ़साइकल
Google खातों का इस्तेमाल करने वाले संगठनों के लिए, ईएमएम के समाधान में मौजूद उपयोगकर्ता खाते, Google की किसी अन्य सेवा (जैसे कि Google Workspace) से जुड़े मौजूदा उपयोगकर्ता खातों की तरह ही होते हैं. ये खाते googleManaged
(टेबल 1) हैं, क्योंकि
Google की बैकएंड सेवाएं, खाते को बनाने और उसके बारे में जानकारी देने का सोर्स होती हैं.
ईएमएम के तौर पर, अपनी कंसोल में ऐसे तरीके उपलब्ध कराए जा सकते हैं जिनसे आपके सिस्टम में मौजूद उपयोगकर्ता खातों को उनके Google डोमेन खाते के सोर्स के साथ आसानी से बनाया और लगातार सिंक किया जा सके. इसके लिए, Google क्लाउड डायरेक्ट्री सिंक (जीसीडीएस) और Google Admin SDK डायरेक्ट्री एपीआई जैसे टूल का इस्तेमाल किया जा सकता है. अलग-अलग तरीकों के बारे में खास जानकारी पाने के लिए, पर जाएं. Google के मैनेज किए गए डोमेन की पहचान के मॉडल के लिए, यह ज़रूरी है कि उपयोगकर्ता खाता आपके समाधान (EMM कंसोल, EMM सर्वर या शायद किसी डेटास्टोर में) के संदर्भ में मौजूद हो. इसके बाद ही, इसे वर्क प्रोफ़ाइल के संदर्भ में, उपयोगकर्ता के किसी भी डिवाइस पर उपलब्ध कराया जा सकता है.
आइडेंटिटी प्रोविज़निंग के दौरान, संगठन के Google-मैनेज किए गए डोमेन में उपयोगकर्ता खाते जोड़े जाते हैं. कुछ मामलों में, उपयोगकर्ताओं की मौजूदा ऑनलाइन पहचान (उदाहरण के लिए, उनके Microsoft Exchange खाते) को उनके Google खातों के साथ सिंक किया जाता है.
ग्राहक खातों को सिंक करना
Google खातों को डिप्लॉय करने पर, संगठन GCDS टूल का इस्तेमाल करके, अपने G Suite डोमेन में मौजूद डेटा को अपने एलडीएपी डायरेक्ट्री में मौजूद डेटा के साथ सिंक कर सकता है. इसके अलावा, अगर संगठन आपको ऐक्सेस देता है, तो संगठन की ओर से यह काम करने के लिए GCDS का इस्तेमाल किया जा सकता है.
GCDS टूल, Google Directory API को कॉल करता है और उपयोगकर्ता नाम सिंक करता है. हालांकि, यह पासवर्ड सिंक नहीं करता.
अगर संगठन Microsoft Active Directory का इस्तेमाल करता है और उसे उपयोगकर्ताओं के G Suite पासवर्ड को Active Directory के पासवर्ड के साथ सिंक रखना है, तो वह—या आप—GCDS के साथ G Suite Password Sync (GSPS) टूल का इस्तेमाल कर सकते हैं.
एडमिन के लिए GCDS से जुड़े निर्देशों को देखने के लिए, सिंक करने के लिए अपना G Suite डोमेन तैयार करना लेख पढ़ें.
Google Directory API
Google खातों को डिप्लॉय करने के दौरान, Google Directory API का इस्तेमाल करके, ऐक्टिव डायरेक्ट्री, पासवर्ड या दोनों को सिंक किया जा सकता है:
सिर्फ़ डायरेक्ट्री सिंक करने के लिए, Directory API का इस्तेमाल करना. अगर आपके पास संगठन के मैनेज किए जा रहे Google डोमेन का रीड-ओनली ऐक्सेस है, तो Google Directory API का इस्तेमाल करके Google खाते की जानकारी पाई जा सकती है. जैसे, Google से मिले उपयोगकर्ता नाम (लेकिन पासवर्ड नहीं). आपके पास उपयोगकर्ताओं के Google खातों में कोई डेटा लिखने की अनुमति नहीं है. इसलिए, संगठन पूरी तरह से खाते के लाइफ़साइकल के लिए ज़िम्मेदार है.
पहला उदाहरण और एसएएमएल पर आधारित एसएसओ पुष्टि करने के उदाहरण में इस स्थिति के बारे में ज़्यादा जानकारी दी गई है.
Directory API का इस्तेमाल इस तरह करने के बारे में जानकारी पाने के लिए, Directory API के दस्तावेज़ में सभी खाता उपयोगकर्ताओं को फिर से पाएं लेख पढ़ें.
डायरेक्ट्री और पासवर्ड सिंक करने के लिए, Directory API का इस्तेमाल करना. अगर आपके पास संगठन के मैनेज किए जा रहे Google डोमेन का रीड-राइट ऐक्सेस है, तो Google Directory API का इस्तेमाल करके उपयोगकर्ता नाम, पासवर्ड, और Google खाते की अन्य जानकारी पाई जा सकती है. इस जानकारी को अपडेट किया जा सकता है और अपने डेटाबेस के साथ सिंक किया जा सकता है. साथ ही, आपके पास खाते के पूरे या कुछ लाइफ़साइकल को मैनेज करने की ज़िम्मेदारी हो सकती है. यह इस बात पर निर्भर करता है कि आपने अपने ग्राहक को कौनसी सुविधा दी है.
दूसरी स्थिति में इस बारे में ज़्यादा जानकारी दी गई है.
उपयोगकर्ता खाते की जानकारी मैनेज करने के लिए, Directory API का इस्तेमाल करने के बारे में ज़्यादा जानने के लिए, Directory API: उपयोगकर्ता खाते डेवलपर गाइड देखें.
Google खातों से जुड़े उदाहरण
Google खातों के लिए पहचान देने की सेवा से जुड़े कुछ सामान्य उदाहरणों के बारे में यहां बताया गया है.
पहली स्थिति: खाता लाइफ़साइकल के लिए ग्राहक ज़िम्मेदार है
इस स्थिति में, आपका ग्राहक अपने उपयोगकर्ताओं के लिए Google खाते बनाता है और उन्हें मैनेज करता है.
आपको संगठन की LDAP डायरेक्ट्री से उपयोगकर्ता खाते की जानकारी मिलती है. साथ ही, Google Directory API का इस्तेमाल करके, Google से मिले Google खाते के डेटा के साथ इस जानकारी को जोड़ा जाता है.
खाते के लाइफ़साइकल की पूरी ज़िम्मेदारी संगठन की होती है. उदाहरण के लिए, जब कोई नया Google खाता बनाया जाता है, तो संगठन उस उपयोगकर्ता को अपनी एलडीएपी डायरेक्ट्री में जोड़ता है. जब अगली बार अपने डेटाबेस को LDAP डायरेक्ट्री के साथ सिंक किया जाएगा, तब आपके डेटाबेस को इस नए उपयोगकर्ता के बारे में जानकारी मिलेगी.
इस उदाहरण में:
- आपके पास Google खातों का रीड ओनली ऐक्सेस है.
- आपका डेटाबेस, Google खाते के नाम इकट्ठा करता है. हालांकि, इसमें LDAP के उपयोगकर्ता नाम या पासवर्ड शामिल नहीं होते.
- Google Directory API का इस्तेमाल, अपने ग्राहक के उपयोगकर्ताओं के खाते की बुनियादी जानकारी पाने के लिए किया जाता है. (आपको जो जानकारी मिलती है वह ऐसी जानकारी होती है जिसे बदला नहीं जा सकता. यह जानकारी,
Users.getसे मिले जवाब के तौर पर मिलती है). इस जानकारी का इस्तेमाल यह पुष्टि करने के लिए किया जाता है कि उपयोगकर्ताओं के Google खाते मौजूद हैं. इससे उपयोगकर्ता अपने डिवाइसों पर पुष्टि कर पाते हैं. - आपका ग्राहक, GCDS टूल का इस्तेमाल करके एकतरफ़ा सिंक करता है, ताकि उपयोगकर्ताओं के Google खातों में जानकारी भरी जा सके. (संगठन, पहचान की पुष्टि करने की प्रोसेस पूरी होने के बाद, शायद अपने मौजूदा सिंक्रनाइज़ेशन के लिए भी GCDS का इस्तेमाल करता है.) संगठन चाहें, तो GSPS टूल का इस्तेमाल करके, न सिर्फ़ उपयोगकर्ता नाम, बल्कि पासवर्ड भी सिंक कर सकते हैं.
दूसरी स्थिति: ईएमएम, खाते के लाइफ़साइकल के लिए ज़िम्मेदार है
इस स्थिति में, आपको अपने ग्राहक की ओर से Google खाते बनाने की प्रोसेस को मैनेज करना होता है. साथ ही, उपयोगकर्ताओं के खाते के लाइफ़साइकल की ज़िम्मेदारी भी आपकी होती है.
उदाहरण के लिए, अगर संगठन की एलडीएपी डायरेक्ट्री में उपयोगकर्ता की जानकारी बदल जाती है, तो उपयोगकर्ता के Google खाते को अपडेट करने की ज़िम्मेदारी आपकी होती है. इस मामले में, GCDS का इस्तेमाल नहीं किया जाता.
इस उदाहरण में:
- आपके पास Google खातों के लिए, पढ़ने और लिखने का ऐक्सेस है.
- आपका डेटाबेस, Google खाते के नाम और LDAP उपयोगकर्ता नाम इकट्ठा करता है. साथ ही, पासवर्ड हैश भी इकट्ठा करता है. हालांकि, यह ज़रूरी नहीं है.
- Google Directory API का इस्तेमाल, अपने ग्राहक की ओर से संगठन के उपयोगकर्ताओं के खाते की जानकारी को पढ़ने और लिखने के लिए किया जाता है. (आपके पास मौजूद जानकारी, ऐसी जानकारी होती है जिसे बदला नहीं जा सकता. यह जानकारी,
Users.getअनुरोध के जवाब में मिलती है). इस जानकारी का इस्तेमाल यह पुष्टि करने के लिए किया जाता है कि उपयोगकर्ताओं के Google खाते मौजूद हैं. इससे उपयोगकर्ता अपने डिवाइसों पर पुष्टि कर पाते हैं. - GCDS टूल का इस्तेमाल नहीं किया जाता.
एसएएमएल पर आधारित एसएसओ (SSO) की पुष्टि करने के तरीके
Google खातों को डिप्लॉय करने के दौरान, आपके पास या आपके ग्राहक के पास, पहचान देने वाली सेवा (IdP) के साथ Security Assertion Markup Language (SAML) का इस्तेमाल करने का विकल्प होता है. इससे हर उपयोगकर्ता से जुड़े Google खाते की पुष्टि की जा सकती है. Google खाते के नामों का इस्तेमाल यह पुष्टि करने के लिए किया जाता है कि उपयोगकर्ताओं के Google खाते मौजूद हैं. यह पुष्टि करना ज़रूरी है, ताकि जब उपयोगकर्ता अपने डिवाइसों में साइन इन करें, तो उनकी पहचान की पुष्टि की जा सके. उदाहरण के लिए, दूसरे परिदृश्य में SAML का इस्तेमाल किया जा सकता है. इसे सेट अप करने के तरीके के बारे में ज़्यादा जानने के लिए, G Suite खातों के लिए सिंगल साइन-ऑन (एसएसओ) सेट अप करना लेख पढ़ें.