Le provisionnement des identités (ou provisionnement de comptes) consiste à configurer et en établissant des connexions entre les trois systèmes, et dans certains cas la mise en place de connexions entre les utilisateurs et leurs appareils.
Dans un environnement d'entreprise Android, jusqu'à trois systèmes différents informations de compte:
- L'annuaire des utilisateurs de l'organisation est la source d'information définitive sur les utilisateurs.
- Vous (le fournisseur de la solution EMM) devez gérer au moins un répertoire minimal de les utilisateurs de l'organisation.
- Google conserve certaines informations sur les comptes Google Play d'entreprise et les comptes Google pour la gestion des applications via Google Play ;
Une ressource Users
représente un compte
associées à une entreprise. Le compte peut être spécifique à un appareil
être associé à une personne possédant plusieurs appareils (téléphone mobile, tablette,
et ainsi de suite) et utilise le compte sur toutes ces plates-formes. Le compte peut fournir un accès
uniquement à Google Play d'entreprise ou à d'autres services Google, selon la manière
configurez l'entreprise de votre client:
Les comptes Google Play d'entreprise offrent aux entreprises un moyen transparent de créer automatiquement des comptes d'utilisateurs ou d'appareils via leur entreprise un fournisseur de solutions de gestion de la mobilité (EMM). Ces comptes permettent d'accéder Google Play d'entreprise uniquement.
Les comptes Google sont des comptes existants gérés par Google et nécessitent la synchronisation avec les sources du compte Google.
Tableau 1: Champs et méthodes de l'API Users
Comptes Google Play d'entreprise | Comptes gérés par Google | |
---|---|---|
Champ | ||
id | ||
kind | ||
accountIdentifier | Un identifiant unique que vous créez et mappez
à l'ID (userId ) renvoyé par Google Play. Ne pas utiliser à titre personnel
des informations permettant d'identifier l'utilisateur. | Non défini. |
accountType | deviceAccount, compteutilisateur | userAccount |
displayName | Le nom que vous affichez dans les éléments d'interface utilisateur, par exemple dans Google Play. N'utilisez pas d'informations permettant d'identifier personnellement l'utilisateur. | Non défini. |
managementType | emmManaged | googleManaged, emmManaged |
primaryEmail | Non défini. | Ce champ est la clé primaire dont vous gérez la synchronisation entre les comptes de domaine gérés par Google et les comptes dans votre système. |
Méthodes | ||
supprimer | ||
generateAuthenticationToken | ||
generateToken | ||
get | ||
getAvailableProductSet | ||
insert | ||
list | ||
revokeToken | ||
setAvailableProductSet | ||
update |
Comptes Google Play d'entreprise
Il existe deux types de comptes Google Play d'entreprise:
- Compte utilisateur
- Un seul utilisateur peut accéder à Google Play d'entreprise depuis tous ses appareils. Vous devez provisionner les comptes utilisateur de vos utilisateurs. Ils ne disposent pas des identifiants. pour ajouter eux-mêmes des comptes Google Play d'entreprise.
- Pour créer un compte utilisateur, appelez
Users.insert
. Définissez le type de compte suruserType
et définissez unaccountIdentifier
, qui réfère exclusivement à l'utilisateur au sein de l'entreprise. - Bonne pratique: N'utilisez pas le même compte sur plus de 10 appareils.
- Compte d'appareil
- Permet d'accéder à Google Play d'entreprise depuis un seul appareil. Si un d'authentification a été émis pour un compte d'appareil, une nouvelle demande de le jeton d'authentification pour ce compte d'appareil désactive le jeton précédent. Chaque appareil doit disposer de ses propres licences d'applications.
- Pour créer un compte sur l'appareil, appelez
Users.insert
et définissez le type de compte surdeviceType
Vous créez et gérez un mappage entre les identités de l'utilisateur ou de l'appareil et les comptes Google Play d'entreprise correspondants, que vous gérez leur cycle de vie. L'entreprise n'a pas besoin de contrôler directement ces d'entreprise Google Play Accounts, car ces comptes ne sont utilisés que pour les applications gestion de la sécurité.
Configuration requise pour les consoles et les serveurs EMM
Les comptes Google Play d'entreprise sont créés à la demande, de façon programmatique, à l'aide de la les API EMM de Google Play et les API du framework Android pour tous les composants de votre Solution EMM (console EMM, serveur EMM et DPC). Ces composants interagissent au niveau pour créer un compte utilisateur provisionner le profil professionnel sur l'appareil cible. Votre console ou serveur EMM doit:
fournir un mécanisme pour créer des identifiants de compte anonymes uniques. (champ
accountIdentifier
) à utiliser dans l'appel deUsers.insert
Par exemple : peut utiliser une valeur interne pour l'utilisateur ("sanjeev237389") ou numéro de l'identifiant de l'élément énigmatique ("asset#44448"). Évitez d'utiliser personnellement des informations permettant d'identifier l'utilisateur pour l'identifiant de compte.Stockez le mappage entre les
userId
(renvoyés parinsert
). ) et leaccountIdentifier
que vous sélectionnez.
Pour connaître les exigences de votre DPC, consultez la section Créer une règle relative aux appareils contrôleur.
Créer un compte utilisateur Google Play d'entreprise
- Un utilisateur se connecte à votre DPC à l'aide (généralement) de ses identifiants d'entreprise.
- L'outil DPC demande des informations sur l'utilisateur au serveur ou à la console EMM.
En supposant que l'utilisateur est inconnu de votre système:
<ph type="x-smartling-placeholder">
- </ph>
- Envoyez la demande de création d'un compte Google Play d'entreprise en appelant le
Users.insert
avec des valeurs pour nouveauxaccountIdentifier
,displayName
etaccountType
.- Votre système doit créer le
accountIdentifier
. Identifiant du compte doit être une valeur unique dans votre système. N'utilisez pas d'informations permettant d'identifier personnellement l'utilisateur identifiant de compte Google Cloud. - Le
displayName
s'affiche dans le sélecteur de compte stocker et doit avoir un sens pour l'utilisateur (mais pas des informations permettant d'identifier utilisateur). Par exemple, le nom peut inclure le nom de l'organisation ou un nom générique associé à l’EMM. - Définissez
accountType
suruserAccount
oudeviceAccount
. AuserAccount
peut être utilisé sur plusieurs appareils, tandis qu'undeviceAccount
est spécifique à un seul appareil. La valeuraccountType
spécifiée peut êtredeviceType
ouuserType
. - Définissez
managementType
suremmManaged
.
- Votre système doit créer le
- Google Play traite la demande, crée le compte et
renvoie un
userId
. - Stockez le mappage entre
accountIdentifier
etuserId
dans dans votre datastore. - Appeler
Users.generateAuthenticationToken
avecuserId
etenterpriseId
. Google Play renvoie un qui ne peut être utilisé qu'une seule fois, et qui doit être utilisé dans un quelques minutes. - Transférez de manière sécurisée le jeton d'authentification à votre DPC.
- Envoyez la demande de création d'un compte Google Play d'entreprise en appelant le
- L'outil DPC provisionne le profil professionnel et y ajoute le compte ou l'appareil.
- L'utilisateur peut accéder à Google Play d'entreprise à partir du profil professionnel ou de l'appareil.
Comptes administrateur
Lorsqu'un administrateur crée une entreprise avec Google Play d'entreprise Comptes, le compte Google qu'ils utilisent ne peuvent pas être un compte G Suite. Le compte utilisé devient propriétaire de l'entreprise. Ce dernier peut ajouter d'autres propriétaires et dans la Google Play Console d'entreprise.
Enterprises.get
et
Enterprises.completeSignup
afficher la liste des adresses e-mail des administrateurs associées à une entreprise
(uniquement pour les entreprises disposant d'un compte Google Play d'entreprise).
Gérer les cycles de vie des comptes
Dans un déploiement de comptes Google Play d'entreprise, vous êtes responsable et les cycles de vie des comptes de l'appareil, ce qui signifie que vous créez, mettez à jour ces comptes.
La création des comptes s'effectue lors de la préparation des appareils, un processus qui implique l'application DPC et votre console EMM. Pour obtenir des instructions, consultez les Comptes Google Play d'entreprise méthode.
Pour modifier les informations d'un compte, appelez Users.update.
Pour supprimer un compte, appelez Users.delete.
Les administrateurs ne sont pas habilités à supprimer des comptes individuels, mais ils peuvent d'entreprise disposant d'un compte Google Play d'entreprise. Dans ce cas, l’appareil et les comptes utilisateur associés à l'entreprise finissent par être supprimés, décrites dans la section Se désinscrire, se réinscrire, supprimer.
Expiration du compte
Il arrive que les comptes ou leurs jetons expirent, ce qui peut se produire raisons:
- Le jeton d'authentification obtenu pour ajouter le compte à l'appareil a expiré.
- Le compte ou l'entreprise ont été supprimés.
- Pour les comptes d'appareils, le compte a été ajouté à un nouvel appareil et est est désactivé sur l'ancien appareil.
- Des vérifications automatiques des abus sont déclenchées.
Dans la plupart des cas (sauf si l'EMM déplace intentionnellement le compte d'un appareil vers un nouveau appareil), il est recommandé d'utiliser l'API Play EMM pour demander un nouveau jeton du serveur EMM, notez l'état du compte, l'état d'entreprise renvoyé des erreurs, puis prendre les mesures appropriées sur l'appareil. Par exemple : actualiser le jeton ou, si l'erreur n'est pas récupérable, réinitialiser ou désenregistrer le appareil.
La version 9.0.00 des services Google Play avertit votre DPC indiquant que le compte a expiré à l'aide de l'action de diffusion:
Lorsque le compte Google Play d'entreprise n'est plus valide sur un appareil, le DPC reçoit une diffusion avec l'action suivante:
com.google.android.gms.auth.ACCOUNT_REAUTH_REQUIRED
L'intent de diffusion contient un élément
Parcelable
supplémentaire nomméaccount
, qui est leAccount
du compte invalidé.Le DPC vérifie
Account#name
avec le serveur EMM pour identifier le compte invalidé.Le DPC demande soit de nouveaux identifiants, soit un nouveau compte, en suivant la même pour provisionner l'appareil au départ.
Comptes Google
Pour les organisations utilisant des comptes Google, les comptes d'utilisateurs d'un EMM
solution consistant à mettre en miroir les comptes utilisateur associés à un autre service Google
(G Suite, par exemple). Ces comptes sont googleManaged
(Tableau 1), car
Les services de backend de Google sont à l'origine de la création et
sur le compte.
En tant qu'EMM, vous pouvez prévoir des mécanismes dans votre console pour faciliter la création et la synchronisation continue des comptes d'utilisateurs stockés dans votre système avec Sources de comptes de domaine Google à l'aide d'outils tels que Google Cloud Directory Sync (GCDS) et l'API Directory du SDK Google Admin. pour un aperçu des différentes approches.) Modèle d'identité de domaine géré par Google nécessite que le compte utilisateur existe dans le contexte de votre solution (console EMM, (un serveur EMM, peut-être dans un magasin de données) avant de pouvoir être provisionné sur des appareils de l'utilisateur dans le contexte d'un profil professionnel.
Lors du provisionnement des identités, le domaine géré par Google de l'organisation contenant des comptes d’utilisateurs. Dans certains cas, les identités en ligne existantes des utilisateurs (leurs comptes Microsoft Exchange, par exemple) sont synchronisés Comptes Google.
Après la synchronisation initiale, mais avant que les applications ne soient distribuées appareil, l'utilisateur doit activer son compte Google, comme décrit dans Activer des comptes sur les appareils Cette activation autorise l'appareil à accéder à Google Play d'entreprise.
Synchroniser les comptes client
Dans un déploiement de comptes Google, l'organisation peut utiliser l'outil GCDS pour synchroniser les données de leur domaine G Suite avec celles de leur compte LDAP . Vous pouvez également utiliser GCDS pour cette opération sur le si l'organisation vous y autorise.
L'outil GCDS appelle l'API Google Directory et synchronise les noms d'utilisateur, mais pas mots de passe.
Si l'organisation utilise Microsoft Active Directory et souhaite conserver les données des utilisateurs mots de passe G Suite synchronisés avec leurs mots de passe Active Directory, puis comme vous-même, pouvez utiliser G Suite Password Sync (GSPS) avec GCDS.
Pour obtenir les instructions GCDS destinées aux administrateurs, consultez Préparer votre domaine G Suite pour la synchronisation.
API Google Directory
Dans un déploiement de comptes Google, vous pouvez utiliser l'API Google Directory pour synchroniser les répertoires actifs, les mots de passe ou les deux:
Utilisez l'API Directory pour la synchronisation d'annuaire uniquement. Si vous disposez d'un accès en lecture seule au domaine Google géré de l'organisation, vous pouvez utiliser l'application API Directory permettant d'obtenir des informations de compte Google, telles que les noms d'utilisateur mots de passe) de Google. Comme vous ne pouvez pas écrire de données dans Google, l'entreprise est entièrement responsable de la durée de vie des comptes cycles.
Scénario 1 et les scénarios d'authentification SSO basés sur SAML décrire cette situation plus précisément.
Pour plus d'informations sur l'utilisation de l'API Directory de cette manière, consultez la section Tout récupérer utilisateurs du compte dans la documentation de l'API Directory.
Utiliser l'API Directory pour la synchronisation des annuaires et des mots de passe facultative Si vous disposer d'un accès en lecture/écriture au domaine Google géré de l'organisation ; vous pouvez utiliser l'API Google Directory pour obtenir des noms d'utilisateur, des mots de passe Informations de compte Google. Vous pouvez mettre à jour ces informations et les synchroniser avec votre propre base de données, et vous pourriez avoir la responsabilité totale ou partielle de cycles de vie des comptes, selon la solution que vous proposez à votre client.
Scénario 2 décrit cette situation plus en détail.
Pour en savoir plus sur l'utilisation de l'API Directory pour gérer les informations de compte utilisateur, API Directory: Comptes utilisateur guide du développeur.
Scénarios de comptes Google
Voici quelques scénarios types de provisionnement d'identité ci-dessous.
Scénario 1: Client responsable des cycles de vie des comptes
Dans ce scénario, votre client crée et gère des comptes Google pour ses utilisateurs.
Les informations des comptes utilisateur proviennent de l'annuaire LDAP de votre organisation mettre en corrélation ces données avec les données du compte Google que vous obtenez de Google via le API Directory :
L'entreprise est entièrement responsable des cycles de vie des comptes. Par exemple, lorsque un compte Google est créé, l'organisation ajoute l'utilisateur à son compte . La prochaine fois que vous synchroniserez votre base de données avec l'annuaire LDAP, votre reçoit des informations sur ce nouvel utilisateur.
Dans ce cas :
- Vous disposez d'un accès en lecture seule aux comptes Google.
- Votre base de données contient des noms de comptes Google, mais pas de noms d'utilisateur LDAP ni mots de passe.
- L'API Google Directory vous permet d'obtenir des informations de base sur les comptes
les utilisateurs du client. (Les informations dont vous disposez sont les données non accessibles en écriture
renvoyées par un
Users.get
requête). Ces informations vous permettent de vérifier l'existence des comptes Google des utilisateurs. afin que les utilisateurs puissent s'authentifier sur leurs appareils. - Votre client utilise l'outil GCDS pour effectuer une synchronisation unidirectionnelle des données Comptes Google. (L'entreprise utilise probablement également GCDS pour ses propres activités synchronisation une fois le provisionnement des identités terminé.) Le paramètre organisation peut également utiliser l'outil GSPS pour synchroniser non seulement les noms d'utilisateur, mais aussi les mots de passe.
Scénario 2: l'EMM est responsable du cycle de vie des comptes
Dans ce scénario, vous gérez le processus de création de comptes Google au nom de de votre client et vous êtes responsable du cycle de vie des comptes des utilisateurs.
Par exemple, lorsque les informations d’un utilisateur changent dans l’annuaire LDAP de l’organisation, vous êtes responsable de la mise à jour du compte Google de l'utilisateur. GCDS n'est pas utilisé ce scénario.
Dans ce cas :
- Vous disposez d'un accès en lecture/écriture aux comptes Google.
- Votre base de données contient les noms de compte Google et les noms d'utilisateur LDAP (et éventuellement, le hachage des mots de passe).
- Vous utilisez l'API Google Directory au nom de votre client pour lire et
écrire les informations de compte des utilisateurs de l'organisation. (L'information
à votre disposition sont les informations non accessibles en écriture
renvoyées par un
Users.get
requête). Ces informations vous permettent de vérifier l'existence des comptes Google des utilisateurs. afin que les utilisateurs puissent s'authentifier sur leurs appareils. - L'outil GCDS n'est pas utilisé.
Scénarios d'authentification SSO SAML
Dans le cadre d'un déploiement de comptes Google, vous ou votre client pouvez utiliser SAML (Assertion Markup Language) avec un fournisseur d'identité (IdP) pour l'authentification le compte Google associé à chaque utilisateur. Vous utilisez les noms de compte Google de validation de l'existence des comptes Google des utilisateurs, ce qui est nécessaire pour lorsque les utilisateurs se connectent à leurs appareils. Par exemple, SAML peut être utilisée dans le scénario 2. Pour plus de détails sur la façon de procéder, consultez la section Configurer une connexion unique Connexion (SSO) pour les comptes G Suite
Activer des comptes sur les appareils
Pour que les applications soient distribuées sur l'appareil d'un utilisateur via Google Play d'entreprise, l'utilisateur doit se connecter à l'appareil lors de la préparation de l'appareil:
- Dans la section Provisionnement des appareils avec les comptes Google Play d'entreprise : votre DPC guide l'utilisateur à se connecter à l'aide des identifiants acceptés par votre EMM console, généralement des identifiants de messagerie d'entreprise.
- Dans un déploiement de comptes Google, votre DPC guide l'utilisateur pour qu'il saisit ses Identifiants de connexion du compte Google. Normalement, ces identifiants correspondent à ceux avec lesquels les utilisateurs se connectent au domaine de leur entreprise lors d'une synchronisation avec GCDS ou GCDS, ou lorsqu'une entreprise utilise un IdP pour l'authentification. Le compte Google de l'utilisateur est alors activé, un ID d'appareil unique est généré, et associe l'identité du compte Google de l'utilisateur à l'ID de son appareil.