ID 프로비저닝 (또는 계정 프로비저닝)은 계정을 설정하고 사용자 데이터를 보유하는 세 시스템 간에 연결을 설정하는 프로세스이며, 경우에 따라 사용자와 기기 간에 연결을 설정하는 프로세스입니다.
Android Enterprise 환경에서는 세 가지 시스템이 사용자 계정 정보를 보유합니다.
- 조직의 사용자 디렉터리는 사용자에 관한 정보의 최종 소스입니다.
- EMM 솔루션 제공업체인 귀하는 조직 사용자의 최소 디렉터리를 유지해야 합니다.
- Google은 Google Play를 통해 앱 관리를 제공하기 위해 관리 Google Play 계정 및 Google 계정에 관한 일부 정보를 유지합니다.
A Users 리소스는 기업과 연결된 계정을 나타냅니다. 계정은 기기별로 지정되거나 여러 기기를 보유하고 모든 기기에서 계정을 사용하는 개인과 연결될 수 있습니다. 계정은 고객의 기업을 설정하는 방법에 따라 관리 Google Play에만 또는 다른 Google 서비스에 액세스할 수 있습니다.
관리 Google 계정 은 Google에서 관리하는 기존 계정입니다. 이러한 계정에서는 고객이 Google을 ID 공급업체로 사용하거나 조직의 사용자 디렉터리를 Google에 연결해야 합니다. 관리 Google 계정을 사용하는 기업의 경우 Google은 기기 프로비저닝 중에 사용자를 인증할 책임이 있습니다.
관리 Google Play 계정 은 기업이 엔터프라이즈 모바일 관리 (EMM) 솔루션 제공업체를 통해 제한된 사용자 계정을 자동으로 만들 수 있는 방법을 제공합니다. 이러한 계정은 관리 Google Play에만 액세스할 수 있습니다. EMM은 필요할 때 사용자를 인증할 전적인 책임이 있습니다. 관리 Google Play 계정 기업의 경우 이 계정 유형만 사용할 수 있습니다.
표 1: Users API 필드 및 메서드
| 관리 Google Play 계정 | 관리 Google 계정 | |
|---|---|---|
| 필드 | ||
| id | ||
| kind | ||
| accountIdentifier | Google Play에서 반환된 ID (userId)에 매핑하고 만드는 고유 식별자입니다. 개인 식별 정보 (PII)를 사용하지 마세요. | 설정되지 않았습니다. |
| accountType | deviceAccount, userAccount | userAccount |
| displayName | Google Play 내와 같이 UI 항목에 표시하는 이름입니다. 개인 식별 정보를 사용하지 마세요. | 설정되지 않았습니다. |
| managementType | emmManaged | googleManaged, emmManaged |
| primaryEmail | 설정되지 않았습니다. | 이 필드는 Google 관리형 도메인 계정에서 시스템의 사용자 계정으로 동기화를 관리하는 기본 키입니다. |
| 메서드 | ||
| delete | ||
| generateAuthenticationToken | ||
| generateToken | ||
| get | ||
| getAvailableProductSet | ||
| insert | ||
| list | ||
| revokeToken | ||
| setAvailableProductSet | ||
| update | ||
기기 등록 개선의 일환으로 기업 ID가 있는 직원이 사용하는 모든 Android Enterprise 기기에 관리 Google 계정 을 사용하도록 전환하고 있습니다.
이제 새 등록의 경우 관리 Google Play 계정보다 관리 Google 계정을 사용하는 것이 좋습니다. 기존 사용자를 위한 관리 Google Play 계정을 계속 지원하지만 관리 Google Play 스토어에만 액세스할 수 있습니다. 관리 Google 계정 을 사용하면 사용자가 전체 Google 서비스 및 교차 기기 기능에 액세스할 수 있습니다.
등록 개선사항
관리 Google 계정은 Google에서 사용자 ID를 설정합니다. 이를 통해 작업 전달, 알림, 주변 기기 공유와 같은 교차 기기 환경을 사용할 수 있습니다. 이러한 기능은 사용자가 여러 기기를 사용하는 경우가 많은 기업 환경에서 점점 더 중요해지고 있습니다.
Google을 ID 공급업체로 사용하지 않는 기업은 이제 기존 ID 공급업체를 Google에 연결하는 것이 좋습니다. 이렇게 하면 바인딩 프로세스 중에 직원을 위한 관리 Google 계정을 만들 수 있습니다. 기업은 EMM에서 사용하는 것과 동일한 ID 공급업체를 사용해야 합니다.
다음과 같은 변경사항을 구현했습니다.
기기 등록 중에 최종 사용자의 인증이 이제 Google/Android에서 처리됩니다. EMM의 기기 정책 컨트롤러 (DPC)는 Android에서 적절한 시점에 사용자를 인증하도록 요구하며, 그러면 Android에서 로그인한 사용자의 ID를 DPC에 반환합니다.
EMM은 사용자 인증을 요청할 때 등록 토큰을 Android에 전달해야 합니다. 이 토큰은 Android Enterprise API에 대한 API 호출에서 반환되며 QR, NFC 또는 제로터치 등록 페이로드 내에 인코딩될 수 있습니다.
이제 Android에서 인증을 처리하고 사용자 ID를 EMM에 제공하지만 사용자 ID를 올바른 그룹 또는 조직 구조에 매핑하는 것은 여전히 EMM의 책임입니다. 이 매핑은 기기에 적절한 정책을 적용하는 데 필수적입니다. 따라서 기업은 조직의 사용자 디렉터리를 EMM에 계속 연결해야 합니다.
IT 관리자는 Google에서 제공하는 새로운 최종 사용자 인증 기능을 사용 설정하거나 사용 중지할 수 있습니다. 기기 간 기능을 비롯한 최고의 사용자 환경을 제공하려면 IT 관리자가 조직의 사용자 디렉터리를 Google에 연결하는 것이 좋습니다. 이 링크가 없으면 사용자에게 관리 Google Play 계정이 있으며 교차 기기 환경에 액세스할 수 없습니다.
모든 EMM의 새로운 요구사항은 등록 및 로그인 토큰을 만들 때 추가 정보를 제공하는 것입니다. 특히 이제 기기가 사용자 없는 기기 (예: 키오스크 또는 전용 기기)인지 여부를 표시해야 합니다.
혜택
새로운 프로세스는 다음과 같은 주요 개선사항을 제공합니다.
간소화된 등록: 표준 방법에 비해 수동 단계 수와 복잡성이 줄어듭니다.
Google 계정 지원: 이제 모든 프로비저닝 방법으로 Google 계정을 사용할 수 있습니다. 이렇게 하면 관리 Google Play 계정이 필요하지 않습니다.
향상된 사용자 환경: 관리 Google 계정을 사용하면 공유 및 복사-붙여넣기와 같은 강력한 교차 기기 기능이 포함된 더 풍부한 Android 환경을 이용할 수 있습니다.
사용자 계정 구현
이 새로운 등록 흐름을 진행하는 방법을 알아보려면 사용자 계정 구현을 참고하세요.
관리 Google 계정의 수명 주기
Google 계정을 사용하는 조직의 경우 EMM 솔루션의 사용자 계정은 다른 Google 서비스(예: Google Workspace)와 연결된 기존 사용자 계정을 미러링합니다. 이러한 계정은 Google의 백엔드 서비스가 계정 생성 및 정보의 소스이므로 googleManaged (표 1)
입니다.
EMM으로서 콘솔에서 Google Cloud 디렉터리 동기화(GCDS) 및 Google Admin SDK Directory API와 같은 도구를 사용하여 시스템에 보유된 사용자 계정의 생성 및 지속적인 동기화를 Google 도메인 계정 소스와 용이하게 하는 메커니즘을 제공할 수 있습니다. 다양한 접근방식에 관한 개요를 참고하세요. Google 관리형 도메인 ID 모델에서는 직장 프로필의 컨텍스트에서 사용자의 기기에 프로비저닝되기 전에 사용자 계정이 솔루션의 컨텍스트 (EMM 콘솔, EMM 서버, 데이터 저장소)에 있어야 합니다.
ID 프로비저닝 중에 조직의 Google 관리형 도메인이 사용자 계정으로 채워집니다. 경우에 따라 사용자의 기존 온라인 ID(예: Microsoft Exchange 계정)가 Google 계정과 동기화됩니다.
고객 계정 동기화
Google 계정 배포에서 조직은 GCDS 도구를 사용하여 Google Workspace 도메인의 데이터를 LDAP 디렉터리의 데이터와 동기화할 수 있습니다. 또는 조직에서 액세스 권한을 부여하는 경우 GCDS를 사용하여 조직을 대신하여 이 작업을 실행할 수 있습니다.
GCDS 도구는 Google Directory API를 호출하고 사용자 이름을 동기화하지만 비밀번호는 동기화하지 않습니다.
조직에서 Microsoft Active Directory를 사용하고 사용자의 Google Workspace 비밀번호를 Active Directory 비밀번호와 동기화된 상태로 유지하려면 비밀번호 동기화 사용 준비를 참고하세요.
관리자를 위한 GCDS 안내는 Google Cloud 디렉터리 동기화 정보를 참고하세요.
Google Directory API
Google 계정 배포에서 Google Directory API를 사용하여 활성 디렉터리, 비밀번호 또는 둘 다 동기화할 수 있습니다.
디렉터리 전용 동기화를 위해 Directory API 사용. 조직의 관리 Google 도메인에 대한 읽기 전용 액세스 권한이 있는 경우 Google Directory API를 사용하여 Google에서 사용자 이름 (비밀번호는 아님)과 같은 Google 계정 정보를 가져올 수 있습니다. 사용자의 Google 계정에 데이터를 쓸 수 없으므로 조직은 계정 수명 주기에 대한 전적인 책임이 있습니다.
시나리오 1 및 SAML 기반 SSO 인증 시나리오에서 이 상황을 더 자세히 설명합니다.
이러한 방식으로 Directory API를 사용하는 방법에 관한 자세한 내용은 Directory API 참고 리소스에서 모든 계정 사용자 가져오기를 참고하세요.
디렉터리 및 선택적 비밀번호 동기화를 위해 Directory API 사용. 조직의 관리 Google 도메인에 대한 읽기-쓰기 액세스 권한이 있는 경우 Google Directory API를 사용하여 사용자 이름, 비밀번호, 기타 Google 계정 정보를 가져올 수 있습니다. 이 정보를 업데이트하고 자체 데이터베이스와 동기화할 수 있으며 고객에게 제공하는 솔루션에 따라 계정 수명 주기에 대한 전적인 또는 부분적인 책임이 있을 수 있습니다.
시나리오 2에서 이 상황을 더 자세히 설명합니다.
Directory API를 사용하여 사용자 계정 정보를 관리하는 방법에 관한 자세한 내용은 Directory API: 사용자 계정 개발자 가이드를 참고하세요.
Google 계정 시나리오
다음 섹션에서는 몇 가지 일반적인 Google 계정 ID 프로비저닝 시나리오를 설명합니다.
시나리오 1: 고객이 계정 수명 주기를 담당함
이 시나리오에서는 고객이 사용자를 위한 Google 계정을 만들고 유지관리합니다.
조직의 LDAP 디렉터리에서 사용자 계정 정보를 가져오고 Google Directory API를 사용하여 Google에서 가져온 Google 계정 데이터와 연결합니다.
조직은 계정 수명 주기에 대한 전적인 책임이 있습니다. 예를 들어 새 Google 계정이 생성되면 조직은 사용자를 LDAP 디렉터리에 추가합니다. 다음에 데이터베이스를 LDAP 디렉터리와 동기화하면 데이터베이스에서 이 신규 사용자에 관한 정보를 수신합니다.
이 시나리오에서는 다음과 같습니다.
- Google 계정에 대한 읽기 전용 액세스 권한이 있습니다.
- 데이터베이스에서 Google 계정 이름을 가져오지만 LDAP 사용자 이름이나 비밀번호는 가져오지 않습니다.
- Google Directory API를 사용하여 고객 사용자의 기본 계정 정보를 가져옵니다. (사용할 수 있는 정보는 쓰기 불가능한
정보
에서 반환된
Users.get요청입니다.) 이 정보를 사용하여 사용자가 기기에 인증할 수 있도록 사용자의 Google 계정이 있는지 확인합니다. - 고객은 GCDS 도구를 사용하여 단방향 동기화를 실행하여 사용자의 Google 계정을 채웁니다. (조직은 ID 프로비저닝이 완료된 후 자체 지속적인 동기화를 위해 GCDS도 사용할 수 있습니다.) 선택적으로 조직은 GSPS 도구를 사용하여 사용자 이름뿐만 아니라 비밀번호도 동기화할 수 있습니다.
시나리오 2: EMM이 계정 수명 주기를 담당함
이 시나리오에서는 고객을 대신하여 Google 계정을 만드는 프로세스를 처리하고 사용자의 계정 수명 주기를 담당합니다.
예를 들어 조직의 LDAP 디렉터리에서 사용자 정보가 변경되면 사용자의 Google 계정을 업데이트할 책임이 있습니다. 이 시나리오에서는 GCDS가 사용되지 않습니다.
이 시나리오에서는 다음과 같습니다.
- Google 계정에 대한 읽기-쓰기 액세스 권한이 있습니다.
- 데이터베이스에서 Google 계정 이름과 LDAP 사용자 이름 (선택적으로 비밀번호 해시)을 가져옵니다.
- 고객을 대신하여 Google Directory API를 사용하여 조직 사용자의 계정 정보를 읽고 씁니다. (사용할 수 있는 정보는
`Users.get` 요청에서 반환된 쓰기 불가능한 정보입니다
Users.get). 이 정보를 사용하여 사용자가 기기에 인증할 수 있도록 사용자의 Google 계정이 있는지 확인합니다. - GCDS 도구가 사용되지 않습니다.
SAML 기반 SSO 인증 시나리오
Google 계정 배포에서 귀하 또는 고객은 ID 공급업체 (IdP)와 함께 보안 보장 마크업 언어 (SAML)를 사용하여 각 사용자와 연결된 Google 계정을 인증할 수 있습니다. 사용자가 기기에 로그인할 때 사용자 인증에 필요한 사용자의 Google 계정이 있는지 확인하는 데 Google 계정 이름을 사용합니다. 예를 들어 시나리오 2에서 SAML을 사용할 수 있습니다. 이를 설정하는 방법에 관한 자세한 내용은 SSO 정보를 참고하세요.