Sediakan akun pengguna

Penyediaan identitas (atau penyediaan akun) adalah proses penyiapan akun dan membuat hubungan di antara ketiga sistem, dan dalam beberapa kasus mengatur koneksi antara pengguna dan perangkat mereka.

Dalam lingkungan perusahaan Android, sebanyak tiga sistem yang berbeda memiliki informasi akun:

  • Direktori pengguna organisasi adalah sumber informasi definitif tentang pengguna.
  • Anda (penyedia solusi EMM) harus memiliki setidaknya direktori minimal pengguna organisasi.
  • Google menyimpan beberapa informasi tentang Akun Google Play terkelola dan Akun Google untuk menyediakan pengelolaan aplikasi melalui Google Play.

Resource Users mewakili akun yang terkait dengan suatu perusahaan. Akun dapat spesifik untuk perangkat, atau dapat dikaitkan dengan individu yang memiliki beberapa perangkat (ponsel, tablet, dan seterusnya) dan menggunakan akun tersebut di semua perangkat. Akun dapat memberikan akses ke Google Play terkelola saja, atau ke layanan Google lainnya, bergantung pada cara Anda menyiapkan perusahaan pelanggan:

  • Akun Google Play Terkelola memberikan sarana yang transparan untuk perusahaan untuk membuat akun pengguna atau perangkat secara otomatis melalui perusahaan mereka penyedia solusi pengelolaan mobilitas (EMM). Akun ini memberikan akses ke hanya Google Play terkelola.

  • Akun Google adalah akun yang sudah ada yang dikelola oleh Google, dan memerlukan sinkronisasi ke sumber Akun Google.

Tabel 1: Kolom dan metode API pengguna

 Akun Google Play TerkelolaAkun terkelola Google
Kolom
id
jenis
accountIdentifierID unik yang Anda buat dan petakan ke ID (userId) yang ditampilkan dari Google Play. Jangan gunakan secara pribadi informasi identitas (PII).Belum disetel.
accountTypeakunperangkat, akunpenggunauserAccount
Nama TampilanNama yang Anda tampilkan dalam item UI, seperti di dalam di Google Play. Jangan gunakan informasi identitas pribadi.Belum disetel.
managementTypeemmManagedgoogleManaged, emmManaged
primaryEmailBelum disetel.Isian ini adalah {i> primary key<i} dengan tempat Anda mengelola sinkronisasi dari akun domain yang dikelola Google ke pengguna akun eksternal di sistem Anda.
Metode
hapus
generateAuthenticationToken
generateToken
get
getAvailableProductSet
insert
list
revokeToken
setAvailableProductSet
update

Akun Google Play Terkelola

Ada dua jenis Akun Google Play terkelola:

Akun pengguna
Memberikan akses ke Google Play terkelola kepada satu pengguna dari semua perangkatnya. Anda harus menyediakan akun pengguna untuk pengguna Anda—mereka tidak memiliki kredensial untuk menambahkan sendiri Akun Google Play terkelola.
Untuk membuat akun pengguna, panggil Users.insert. Tetapkan jenis akun ke userType, dan setel accountIdentifier, yang secara unik merujuk ke pengguna dalam perusahaan.
Praktik terbaik: Jangan menggunakan akun yang sama untuk lebih dari 10 akun perangkat.
Akun perangkat
Memberikan akses ke Google Play terkelola dari satu perangkat. Jika token otentikasi telah dikeluarkan untuk akun perangkat, sebuah permintaan baru untuk token otentikasi untuk akun perangkat itu akan menonaktifkan token sebelumnya. Setiap perangkat harus memiliki lisensi terpisah untuk aplikasi.
Untuk membuat akun perangkat, panggil Users.insert dan setel jenis akun ke deviceType.

Anda membuat dan memelihara pemetaan antara identitas pengguna atau perangkat dan Akun Google Play terkelola yang sesuai, dan Anda dapat mengelola akun tersebut melalui siklus hidup mereka. Organisasi tidak memerlukan kontrol langsung atas fitur ini Akun Google Play terkelola, karena akun hanya ada untuk aplikasi otomatisasi pengelolaan biaya.

Persyaratan untuk konsol dan server EMM

Akun Google Play Terkelola dibuat secara on demand secara terprogram, menggunakan Google Play EMM API dan API framework Android di seluruh komponen Solusi EMM (konsol EMM, server EMM, dan DPC). Komponen-komponen ini berinteraksi pada runtime untuk membuat akun pengguna dan untuk menyediakan profil kerja di perangkat target. Konsol atau server EMM Anda harus:

  • Memberikan mekanisme untuk membuat ID akun anonim unik (kolom accountIdentifier) yang akan digunakan dalam panggilan ke Users.insert. Sebagai contoh, Anda mungkin menggunakan beberapa nilai internal untuk pengguna ("sanjeev237389"), atau nomor tag aset kripto ("aset#44448"). Hindari penggunaan secara pribadi informasi identitas (PII) untuk ID akun.

  • Simpan pemetaan antara userId (ditampilkan dari insert ) dan accountIdentifier yang Anda pilih.

Untuk mengetahui persyaratan DPC, lihat Membuat kebijakan perangkat pengontrol.

Membuat akun pengguna Google Play terkelola

  1. Pengguna login ke DPC menggunakan (biasanya) kredensial perusahaan.
  2. DPC meminta detail tentang pengguna dari konsol atau server EMM. Dengan asumsi pengguna tidak dikenal oleh sistem Anda:
    1. Kirim permintaan untuk Akun Google Play terkelola baru dengan menelepon Users.insert dengan nilai untuk accountIdentifier, displayName, dan accountType baru.
      • Sistem Anda harus membuat accountIdentifier. ID akun harus berupa nilai unik di seluruh sistem Anda. Jangan gunakan PII untuk ID akun.
      • displayName ditampilkan di pengalih akun Google Play Menyimpan dan harus memiliki makna bagi pengguna (tetapi bukan PII terkait tertentu). Misalnya, nama dapat mencakup nama organisasi atau nama umum yang terkait dengan EMM.
      • Tetapkan accountType ke userAccount atau deviceAccount. J userAccount dapat digunakan di beberapa perangkat, sedangkan deviceAccount berlaku khusus untuk satu perangkat. accountType yang ditentukan dapat deviceType atau userType.
      • Tetapkan managementType ke emmManaged.
    2. Google Play memproses permintaan, membuat akun, dan akan menampilkan userId.
    3. Simpan pemetaan antara accountIdentifier dan userId di datastore Anda.
    4. Panggil Users.generateAuthenticationToken dengan userId dan enterpriseId. Google Play menampilkan token otentikasi yang dapat digunakan satu kali, dan yang harus digunakan dalam beberapa menit.
    5. Teruskan token autentikasi ke DPC dengan aman.
  3. DPC menyediakan profil kerja dan menambahkan akun ke profil kerja atau perangkat.
  4. Pengguna dapat mengakses Google Play terkelola dalam profil kerja atau perangkat.

Akun admin

Saat admin membuat perusahaan dengan Google Play terkelola Akun, Akun Google yang mereka gunakan tidak boleh berupa akun G Suite. Akun yang mereka gunakan menjadi pemilik perusahaan, dan pemilik dapat menambahkan lebih banyak pemilik dan admin di konsol Google Play terkelola.

Enterprises.get dan Enterprises.completeSignup menampilkan daftar alamat email admin yang terkait dengan perusahaan (perusahaan dengan Akun Google Play terkelola saja).

Mengelola siklus proses akun

Dalam deployment Akun Google Play terkelola, Anda bertanggung jawab atas serta siklus pakai akun perangkat, yang berarti Anda membuat, memperbarui, dan menghapus akun tersebut.

Anda membuat akun selama penyediaan perangkat, suatu proses yang melibatkan DPC dan konsol EMM Anda. Untuk mendapatkan petunjuk, lihat Akun Google Play terkelola metode.

Untuk mengubah informasi akun, hubungi Users.update.

Untuk menghapus akun, panggil Users.delete.

Admin tidak dapat menghapus masing-masing akun, tetapi mereka dapat menghapus perusahaan dengan Akun Google Play terkelola. Ketika mereka melakukannya, perangkat dan akun pengguna yang terkait dengan perusahaan akhirnya dihapus, karena yang dijelaskan dalam Membatalkan pendaftaran, menghapus.

Akhir masa berlaku akun

Terkadang akun atau tokennya kedaluwarsa, yang dapat terjadi untuk beberapa alasan:

  • Token autentikasi yang didapat untuk menambahkan akun ke perangkat telah kedaluwarsa.
  • Akun atau perusahaan telah dihapus.
  • Untuk akun perangkat, akun telah ditambahkan ke perangkat baru dan sehingga dinonaktifkan di perangkat lama.
  • Pemeriksaan penyalahgunaan otomatis akan dipicu.

Dalam sebagian besar kasus (kecuali EMM sengaja memindahkan akun perangkat ke akun baru perangkat), praktik terbaiknya adalah menggunakan Play EMM API untuk meminta token baru dari server EMM, catat status akun dan perusahaan, serta mengembalikan kesalahan, lalu mengambil tindakan yang sesuai pada perangkat. Misalnya, memuat ulang token, atau jika error tidak dapat dipulihkan, reset atau batalkan pendaftaran perangkat seluler.

Layanan Google Play versi 9.0.00 memberi tahu DPC yang menyatakan masa berlaku akun telah habis menggunakan tindakan siaran:

  1. Jika Akun Google Play terkelola tidak valid di perangkat, DPC menerima siaran dengan tindakan berikut:

    com.google.android.gms.auth.ACCOUNT_REAUTH_REQUIRED

    Intent siaran berisi tambahan Parcelable dengan nama account, yang adalah Account akun yang tidak tervalidasi.

  2. DPC memeriksa Account#name dengan server EMM untuk mengidentifikasi akun yang tidak valid.

  3. DPC meminta kredensial baru atau akun baru, dengan mengikuti alur yang digunakan untuk menyediakan perangkat pada awalnya.


Akun Google

Untuk organisasi yang menggunakan Akun Google, akun pengguna di EMM mencerminkan akun pengguna yang ada yang terkait dengan layanan Google lain (misalnya, G Suite). Akun ini googleManaged (Tabel 1) karena Layanan backend Google adalah sumber pembuatan dan informasi tentang akun.

Sebagai EMM, Anda dapat menyediakan mekanisme di konsol untuk memfasilitasi pembuatan dan sinkronisasi berkelanjutan dari akun pengguna yang ada di sistem Anda dengan Sumber akun domain Google menggunakan alat seperti Google Cloud Directory Sync (GCDS) dan Google Admin SDK Directory API. untuk ringkasan tentang berbagai pendekatan.) Model identitas domain yang dikelola Google mengharuskan akun pengguna dibuat dalam konteks solusi Anda (konsol EMM, Server EMM, mungkin di datastore) sebelum dapat disediakan di perangkat pengguna dalam konteks profil kerja.

Selama penyediaan identitas, domain organisasi yang dikelola Google yang diisi dengan akun pengguna. Dalam beberapa kasus, identitas online pengguna (misalnya, akun Microsoft Exchange mereka) disinkronkan dengan Akun Google.

Setelah sinkronisasi awal, namun sebelum aplikasi didistribusikan ke perangkat perangkat, pengguna harus mengaktifkan Akun Google mereka, seperti yang dijelaskan dalam Aktifkan akun di perangkat. Aktivasi ini akan mengizinkan perangkat mengakses Google Play terkelola.

Menyinkronkan akun pelanggan

Dalam deployment Akun Google, organisasi dapat menggunakan alat GCDS untuk menyinkronkan data di domain G Suite dengan data di LDAP mereka saat ini. Atau, Anda dapat menggunakan GCDS untuk melakukan tindakan ini pada pihak ketiga, jika organisasi memberi Anda akses.

Alat GCDS memanggil Google Directory API dan menyinkronkan nama pengguna, tetapi tidak {i>password<i}.

Jika organisasi menggunakan Microsoft Active Directory dan ingin mempertahankan akses pengguna Sandi G Suite disinkronkan dengan sandi Active Directory mereka, lalu mereka—atau Anda—dapat menggunakan G Suite Password Sync (GSPS) dengan GCDS.

Untuk petunjuk GCDS bagi admin, lihat Menyiapkan domain G Suite untuk sinkronisasi.

API Direktori Google

Dalam deployment Akun Google, Anda dapat menggunakan Google Directory API untuk menyinkronkan direktori aktif, sandi, atau keduanya:

  • Menggunakan Directory API untuk sinkronisasi khusus direktori. Jika Anda memiliki akses hanya baca akses ke Managed Google Domains milik organisasi, Anda dapat menggunakan domain Google Directory API untuk mendapatkan informasi Akun Google, seperti nama pengguna (tetapi tidak ) dari Google. Karena Anda tidak dapat menulis data apa pun ke Akun Google, organisasi bertanggung jawab penuh atas kehidupan akun siklus hidupnya.

    Skenario 1 dan skenario autentikasi SSO berbasis SAML menjelaskan situasi ini secara lebih lengkap.

    Untuk informasi tentang menggunakan Directory API dengan cara ini, lihat Mengambil semua pengguna akun di dokumentasi Directory API.

  • Menggunakan Directory API untuk direktori dan sinkronisasi sandi opsional. Jika Anda memiliki akses baca-tulis ke Managed Google Domains milik organisasi, Anda dapat menggunakan Google Directory API untuk mendapatkan nama pengguna, sandi, dan Informasi Akun Google. Anda dapat memperbarui informasi ini dan menyinkronkannya dengan {i>database<i} Anda sendiri, dan Anda mungkin memiliki tanggung jawab penuh atau sebagian untuk siklus proses akun Anda, tergantung pada solusi yang Anda tawarkan juga merupakan pelanggan Google Workspace.

    Skenario 2 menjelaskan situasi ini secara lebih lengkap.

    Untuk informasi selengkapnya tentang penggunaan Directory API untuk mengelola informasi akun pengguna, lihat Directory API: User Accounts panduan developer.

Skenario Akun Google

Beberapa skenario penyediaan identitas Akun Google yang umum dijelaskan di bawah ini.

Skenario 1: Pelanggan bertanggung jawab atas siklus proses akun

Menggunakan Directory API (dengan akses hanya baca) dan GCDS

Dalam skenario ini, pelanggan Anda membuat dan mengelola Akun Google untuk pelanggan.

Anda mendapatkan informasi akun pengguna dari direktori LDAP organisasi, dan Anda menghubungkan ini dengan data Akun Google yang Anda dapatkan dari Google melalui Directory API.

Organisasi bertanggung jawab penuh atas siklus proses akun. Misalnya, ketika Akun Google baru dibuat, organisasi menambahkan pengguna ke LDAP-nya saat ini. Saat berikutnya Anda menyinkronkan {i>database<i} Anda ke direktori LDAP, menerima informasi tentang pengguna baru ini.

Dalam skenario ini:

  • Anda hanya memiliki akses hanya baca ke Akun Google.
  • Basis data Anda memperoleh nama Akun Google, tetapi tidak ada nama pengguna atau {i>password<i}.
  • Anda menggunakan Google Directory API untuk mendapatkan informasi akun dasar untuk pelanggan pelanggan. (Informasi yang tersedia untuk Anda adalah informasi yang tidak dapat ditulis ditampilkan oleh Users.get permintaan). Anda menggunakan informasi ini untuk memverifikasi bahwa Akun Google pengguna ada sehingga pengguna dapat melakukan otentikasi ke perangkat mereka.
  • Pelanggan Anda menggunakan alat GCDS untuk melakukan sinkronisasi satu arah guna mengisi Akun Google. (Organisasi mungkin juga menggunakan GCDS untuk properti sinkronisasi setelah penyediaan identitas selesai.) Secara opsional, organisasi juga dapat menggunakan alat GSPS untuk menyinkronkan tidak hanya nama pengguna, tetapi juga sandi.

Skenario 2: EMM bertanggung jawab atas siklus proses akun

Menggunakan Directory API dengan
  akses baca-tulis

Dalam skenario ini, Anda menangani proses pembuatan Akun Google atas nama pelanggan, dan Anda bertanggung jawab atas siklus proses akun pengguna tersebut.

Misalnya, ketika informasi pengguna berubah di direktori LDAP organisasi, Anda bertanggung jawab untuk memperbarui Akun Google pengguna. GCDS tidak digunakan di dalam skenario ini.

Dalam skenario ini:

  • Anda memiliki akses baca-tulis ke Akun Google.
  • Basis data Anda memperoleh nama Akun Google dan nama pengguna LDAP (dan (opsional), hash sandi).
  • Anda menggunakan Google Directory API atas nama pelanggan untuk membaca dan menulis informasi akun untuk pengguna organisasi. (Informasi tersedia untuk Anda adalah informasi yang tidak dapat ditulis ditampilkan oleh Users.get permintaan). Anda menggunakan informasi ini untuk memverifikasi bahwa Akun Google pengguna ada sehingga pengguna dapat melakukan otentikasi ke perangkat mereka.
  • Alat GCDS tidak digunakan.

Skenario autentikasi SSO berbasis SAML

Dalam deployment Akun Google, Anda atau pelanggan mungkin menggunakan fitur Keamanan Assertion Markup Language (SAML) dengan Penyedia Identitas (IdP) untuk mengautentikasi Akun Google yang terkait dengan setiap pengguna. Anda menggunakan nama Akun Google sebagai verifikasi bahwa ada Akun Google pengguna, yang diperlukan untuk autentikasi saat pengguna login ke perangkatnya. Misalnya, SAML dapat berupa digunakan dalam Skenario 2. Untuk mengetahui detail tentang cara menyiapkannya, lihat Menyiapkan Single Login (SSO) untuk akun G Suite.

Mengaktifkan akun di perangkat

Agar aplikasi didistribusikan ke perangkat pengguna melalui Google Play terkelola, pengguna harus login ke perangkat selama penyediaan perangkat:

  • Dalam penyediaan perangkat Akun Google Play terkelola, DPC memandu pengguna untuk login menggunakan kredensial yang diterima oleh EMM konsol, biasanya berupa kredensial email perusahaan.
  • Di deployment Akun Google, DPC Anda memandu pengguna untuk memasukkan Kredensial login Akun Google. Biasanya kredensial ini cocok dengan kredensial yang digunakan pengguna untuk login ke domain perusahaan mereka saat akun disinkronkan dengan GCDS atau GSPS, atau saat organisasi menggunakan IdP untuk autentikasi. Tindakan ini akan mengaktifkan Akun Google pengguna, membuat ID perangkat unik, dan mengikat identitas Akun Google pengguna dan ID perangkat perangkatnya.