هویت و حساب های کاربری

تأمین هویت (یا تأمین حساب ) فرآیند تنظیم حساب‌ها و ایجاد ارتباط بین سه سیستمی است که داده‌های کاربر را نگهداری می‌کنند و در برخی موارد، ایجاد ارتباط بین کاربران و دستگاه‌های آنها است.

در یک محیط سازمانی اندروید، سه سیستم مختلف اطلاعات حساب کاربری را نگهداری می‌کنند:

  • فهرست کاربران سازمان، منبع قطعی اطلاعات در مورد کاربران است.
  • شما (ارائه‌دهنده‌ی راهکار EMM) باید حداقل یک دایرکتوری حداقلی از کاربران سازمان را نگهداری کنید.
  • گوگل برخی اطلاعات مربوط به حساب‌های گوگل پلی مدیریت‌شده و حساب‌های گوگل را برای ارائه مدیریت برنامه از طریق گوگل پلی نگهداری می‌کند.

منبع Users ، نشان‌دهنده‌ی حسابی مرتبط با یک سازمان است. این حساب می‌تواند مختص یک دستگاه باشد، یا می‌تواند با فردی که چندین دستگاه دارد و از این حساب در همه آنها استفاده می‌کند، مرتبط باشد. این حساب می‌تواند بسته به نحوه‌ی تنظیم سازمان مشتری ، فقط به Google Play مدیریت‌شده یا به سایر سرویس‌های Google دسترسی ارائه دهد:

  • حساب‌های گوگل مدیریت‌شده، حساب‌های موجودی هستند که توسط گوگل مدیریت می‌شوند. این حساب‌ها مستلزم آن هستند که مشتری یا از گوگل به عنوان ارائه‌دهنده هویت خود استفاده کند یا فهرست کاربران سازمان خود را به گوگل پیوند دهد. برای شرکت‌هایی که از حساب‌های گوگل مدیریت‌شده استفاده می‌کنند، گوگل مسئول احراز هویت کاربر در طول آماده‌سازی دستگاه است.

  • حساب‌های کاربری مدیریت‌شده گوگل پلی (Managed Google Play Accounts) راهی را برای شرکت‌ها فراهم می‌کنند تا به‌طور خودکار از طریق ارائه‌دهنده راهکار مدیریت تحرک سازمانی (EMM) خود، حساب‌های کاربری محدود ایجاد کنند. این حساب‌ها فقط به گوگل پلی مدیریت‌شده دسترسی می‌دهند. EMM به‌طور کامل مسئول تأیید اعتبار کاربر در صورت نیاز است. برای شرکت‌های دارای حساب‌های کاربری مدیریت‌شده گوگل پلی، این تنها نوع حساب موجود است.

جدول ۱: فیلدها و متدهای API کاربران

حساب‌های گوگل پلی مدیریت‌شده حساب‌های گوگل مدیریت‌شده
میدان
شناسه
مهربان
شناسه حساب یک شناسه منحصر به فرد که شما ایجاد می‌کنید و به شناسه ( userId ) برگردانده شده از Google Play نگاشت می‌شود. از اطلاعات شخصی قابل شناسایی (PII) استفاده نکنید. تنظیم نشده.
نوع حساب حساب دستگاه، حساب کاربر حساب کاربری
نام نمایش نامی که در موارد رابط کاربری، مانند داخل گوگل پلی، نمایش داده می‌شود. از اطلاعات شخصی قابل شناسایی استفاده نکنید. تنظیم نشده.
مدیریتنوع مدیریت‌شده توسط emm مدیریت‌شده توسط گوگل، مدیریت‌شده توسط ایمیل
ایمیل اصلی تنظیم نشده. این فیلد کلید اصلی است که با آن می‌توانید همگام‌سازی حساب‌های دامنه تحت مدیریت گوگل با حساب‌های کاربری در سیستم خود را مدیریت کنید.
روش‌ها
حذف
generateAuthenticationToken
تولید توکن
دریافت
دریافت مجموعه محصولات موجود
درج
فهرست
لغو توکن
مجموعه محصولات موجود
به‌روزرسانی

به عنوان بخشی از بهبودهای ثبت نام دستگاه، ما در حال گذار به استفاده از حساب‌های گوگل مدیریت‌شده برای همه دستگاه‌های اندروید سازمانی هستیم که توسط یک کارمند با هویت سازمانی استفاده می‌شود.

برای ثبت‌نام‌های جدید، اکنون استفاده از حساب‌های گوگل مدیریت‌شده را به جای حساب‌های گوگل پلی مدیریت‌شده توصیه می‌کنیم. در حالی که ما همچنان از حساب‌های گوگل پلی مدیریت‌شده برای کاربران فعلی پشتیبانی می‌کنیم، آنها فقط دسترسی به فروشگاه گوگل پلی مدیریت‌شده را فراهم می‌کنند. حساب‌های گوگل مدیریت‌شده به کاربران امکان دسترسی به مجموعه کامل سرویس‌های گوگل و ویژگی‌های بین دستگاهی را می‌دهند.

بهبودهای ثبت‌نام

حساب‌های کاربری گوگل مدیریت‌شده، هویت کاربر را با گوگل تثبیت می‌کنند. این امر امکان تجربه‌های بین دستگاه‌هایی مانند انتقال وظایف، اعلان‌ها و اشتراک‌گذاری در نزدیکی را فراهم می‌کند. این ویژگی‌ها در فضای سازمانی که کاربران اغلب از چندین دستگاه استفاده می‌کنند، اهمیت فزاینده‌ای دارند.

به شرکت‌هایی که از گوگل به عنوان ارائه‌دهنده هویت خود استفاده نمی‌کنند، اکیداً توصیه می‌شود که ارائه‌دهنده هویت فعلی خود را به گوگل متصل کنند. این امر امکان ایجاد حساب‌های کاربری گوگل مدیریت‌شده برای کارمندان را در طول فرآیند اتصال فراهم می‌کند. شرکت‌ها باید برای این کار از همان ارائه‌دهنده هویتی که با EMM خود استفاده می‌کنند، استفاده کنند.

ما تغییرات زیر را اعمال کرده‌ایم:

  • احراز هویت کاربر نهایی در طول ثبت‌نام دستگاه اکنون توسط گوگل/اندروید انجام می‌شود. کنترل‌کننده سیاست دستگاه (DPC) در EMM مستلزم آن است که اندروید کاربر را در نقطه مناسب احراز هویت کند و سپس اندروید هویت کاربر وارد شده را به DPC برمی‌گرداند.

  • EMM هنگام درخواست احراز هویت کاربر باید یک توکن ثبت نام به اندروید ارسال کند. این توکن توسط یک فراخوانی API به Android Enterprise API بازگردانده می‌شود و ممکن است در بار داده ثبت نام QR، NFC یا zero-touch کدگذاری شود.

اگرچه اندروید اکنون احراز هویت را انجام می‌دهد و هویت کاربر را به EMM ارائه می‌دهد، اما همچنان مسئولیت نگاشت هویت کاربر به گروه یا ساختار سازمانی صحیح بر عهده EMM است. این نگاشت برای اعمال سیاست‌های مناسب به دستگاه ضروری است. بنابراین، شرکت‌ها باید همچنان دایرکتوری کاربران سازمان خود را به EMM خود پیوند دهند.

مدیران فناوری اطلاعات می‌توانند ویژگی جدید احراز هویت کاربر نهایی ارائه شده توسط گوگل را فعال یا غیرفعال کنند. برای ارائه بهترین تجربه به کاربران، از جمله ویژگی‌های بین دستگاهی، توصیه می‌کنیم مدیران فناوری اطلاعات، فهرست کاربران سازمان خود را به گوگل پیوند دهند. بدون این پیوند، کاربران حساب‌های Google Play را مدیریت کرده‌اند و به تجربیات بین دستگاهی دسترسی نخواهند داشت.

یک الزام جدید برای همه EMMها، ارائه اطلاعات اضافی هنگام ایجاد توکن‌های ثبت‌نام و ورود است. به‌طور خاص، اکنون باید مشخص کنید که آیا یک دستگاه بدون کاربر است (مانند کیوسک یا دستگاه اختصاصی) یا خیر.

مزایا

فرآیند جدید، بهبودهای کلیدی زیر را ارائه می‌دهد:

  • ثبت نام ساده: در مقایسه با روش‌های استاندارد، تعداد مراحل دستی و پیچیدگی را کاهش می‌دهد.

  • پشتیبانی از حساب گوگل: اکنون می‌توانید از حساب‌های گوگل با تمام روش‌های تأمین استفاده کنید. این امر نیاز به حساب‌های مدیریت‌شده گوگل پلی را از بین می‌برد.

  • تجربه کاربری بهبود یافته: با حساب‌های گوگل مدیریت‌شده، تجربه اندروید غنی‌تری خواهید داشت که شامل ویژگی‌های قدرتمند بین دستگاه‌های مختلف مانند اشتراک‌گذاری و کپی-پیست می‌شود.

پیاده‌سازی حساب‌های کاربری

برای یادگیری نحوه‌ی ادامه‌ی این جریان ثبت‌نام جدید، به پیاده‌سازی حساب‌های کاربری مراجعه کنید.

چرخه عمر حساب‌های گوگل مدیریت‌شده

برای سازمان‌هایی که از حساب‌های گوگل استفاده می‌کنند، حساب‌های کاربری در یک راهکار EMM، حساب‌های کاربری موجود مرتبط با یک سرویس گوگل دیگر (مانند Google Workspace) را منعکس می‌کنند. این حساب‌ها googleManaged هستند ( جدول 1 ) زیرا سرویس‌های backend گوگل منبع ایجاد و اطلاعات مربوط به حساب هستند.

به عنوان یک EMM، می‌توانید مکانیسم‌هایی را در کنسول خود فراهم کنید تا ایجاد و همگام‌سازی مداوم حساب‌های کاربری موجود در سیستم خود را با منابع حساب دامنه گوگل آنها با استفاده از ابزارهایی مانند Google Cloud Directory Sync (GCDS) و Google Admin SDK Directory API تسهیل کنید. برای مرور کلی رویکردهای مختلف، به اینجا مراجعه کنید. مدل هویت دامنه مدیریت‌شده توسط گوگل مستلزم آن است که حساب کاربری قبل از اینکه بتواند در هر یک از دستگاه‌های کاربر در چارچوب یک نمایه کاری ارائه شود، در چارچوب راهکار شما (کنسول EMM، سرور EMM، شاید در یک پایگاه داده) وجود داشته باشد.

در طول فرآیند تأمین هویت، دامنه تحت مدیریت گوگل سازمان با حساب‌های کاربری پر می‌شود. در برخی موارد، هویت‌های آنلاین موجود کاربران (به عنوان مثال، حساب‌های Microsoft Exchange آنها) با حساب‌های گوگل آنها همگام‌سازی می‌شود.

همگام‌سازی حساب‌های مشتری

در استقرار حساب‌های گوگل، سازمان می‌تواند از ابزار GCDS برای همگام‌سازی داده‌های موجود در دامنه Google Workspace خود با داده‌های موجود در دایرکتوری LDAP خود استفاده کند. به عنوان یک جایگزین، اگر سازمان به شما دسترسی بدهد، می‌توانید از GCDS برای انجام این کار از طرف سازمان استفاده کنید.

ابزار GCDS، رابط برنامه‌نویسی کاربردی (API) دایرکتوری گوگل (Google Directory API) را فراخوانی کرده و نام‌های کاربری را همگام‌سازی می‌کند، اما رمزهای عبور را نه.

اگر سازمان از Microsoft Active Directory استفاده می‌کند و می‌خواهد رمزهای عبور Google Workspace کاربران را با رمزهای عبور Active Directory آنها همگام نگه دارد، به بخش «آماده شدن برای استفاده از همگام‌سازی رمز عبور» مراجعه کنید.

برای دستورالعمل‌های GCDS برای مدیران، به «درباره همگام‌سازی دایرکتوری ابری گوگل» مراجعه کنید.

رابط برنامه‌نویسی کاربردی دایرکتوری گوگل

در پیاده‌سازی حساب‌های گوگل، می‌توانید از API دایرکتوری گوگل برای همگام‌سازی دایرکتوری‌های فعال، رمزهای عبور یا هر دو استفاده کنید:

  • استفاده از API دایرکتوری برای همگام‌سازی فقط دایرکتوری. اگر به دامنه گوگل مدیریت‌شده سازمان دسترسی فقط خواندنی دارید، می‌توانید از API دایرکتوری گوگل برای دریافت اطلاعات حساب گوگل، مانند نام‌های کاربری (اما نه رمزهای عبور) از گوگل استفاده کنید. از آنجا که شما قادر به نوشتن هیچ داده‌ای در حساب‌های گوگل کاربران نیستید، سازمان کاملاً مسئول چرخه عمر حساب است.

    سناریوی ۱ و سناریوهای احراز هویت SSO مبتنی بر SAML این وضعیت را به طور کامل‌تری توصیف می‌کنند.

    برای اطلاعات بیشتر در مورد استفاده از API دایرکتوری به این روش، به بخش بازیابی همه کاربران حساب در مستندات API دایرکتوری مراجعه کنید.

  • استفاده از API دایرکتوری برای همگام‌سازی دایرکتوری و رمز عبور اختیاری. اگر به دامنه گوگل مدیریت‌شده سازمان دسترسی خواندن و نوشتن دارید، می‌توانید از API دایرکتوری گوگل برای دریافت نام‌های کاربری، رمزهای عبور و سایر اطلاعات حساب گوگل استفاده کنید. می‌توانید این اطلاعات را به‌روزرسانی کرده و با پایگاه داده خود همگام‌سازی کنید و بسته به راه‌حلی که به مشتری خود ارائه می‌دهید، ممکن است مسئولیت کامل یا جزئی چرخه عمر حساب را بر عهده داشته باشید.

    سناریوی دوم این وضعیت را به طور کامل‌تری توصیف می‌کند.

    برای اطلاعات بیشتر در مورد استفاده از API دایرکتوری برای مدیریت اطلاعات حساب کاربری، به راهنمای توسعه‌دهندگان Directory API: User Accounts مراجعه کنید.

سناریوهای حساب‌های گوگل

چند سناریوی معمول تأمین هویت حساب‌های گوگل در بخش زیر شرح داده شده است.

سناریو ۱: مشتری مسئول چرخه عمر حساب

استفاده از API دایرکتوری (با دسترسی فقط خواندنی) و GCDS

در این سناریو، مشتری شما برای کاربران خود حساب‌های گوگل ایجاد و نگهداری می‌کند.

شما اطلاعات حساب کاربری را از دایرکتوری LDAP سازمان دریافت می‌کنید و این اطلاعات را با داده‌های حساب گوگل که از گوگل با استفاده از Google Directory API دریافت می‌کنید، مرتبط می‌کنید.

این سازمان کاملاً مسئول چرخه عمر حساب کاربری است. برای مثال، وقتی یک حساب کاربری گوگل جدید ایجاد می‌شود، سازمان کاربر را به دایرکتوری LDAP خود اضافه می‌کند. دفعه بعد که پایگاه داده خود را با دایرکتوری LDAP همگام‌سازی می‌کنید، پایگاه داده شما اطلاعات مربوط به این کاربر جدید را دریافت می‌کند.

در این سناریو:

  • شما به حساب‌های گوگل فقط دسترسی خواندنی دارید.
  • پایگاه داده شما نام‌های حساب‌های گوگل را دریافت می‌کند، اما نام‌های کاربری یا رمزهای عبور LDAP را دریافت نمی‌کند.
  • شما از API دایرکتوری گوگل برای دریافت اطلاعات اولیه حساب کاربران مشتری خود استفاده می‌کنید. (اطلاعاتی که در دسترس شما قرار دارد، اطلاعات غیرقابل نوشتنی است که توسط درخواست Users.get برگردانده می‌شود ). شما از این اطلاعات برای تأیید وجود حساب‌های گوگل کاربران استفاده می‌کنید تا کاربران بتوانند در دستگاه‌های خود احراز هویت شوند.
  • مشتری شما از ابزار GCDS برای انجام همگام‌سازی یک‌طرفه جهت پر کردن حساب‌های گوگل کاربران استفاده می‌کند. (احتمالاً سازمان نیز پس از تکمیل فرآیند احراز هویت، از GCDS برای همگام‌سازی مداوم خود استفاده می‌کند.) به صورت اختیاری، سازمان می‌تواند از ابزار GSPS نه تنها برای همگام‌سازی نام‌های کاربری، بلکه برای رمزهای عبور نیز استفاده کند.

سناریو ۲: EMM مسئول چرخه عمر حساب‌ها

استفاده از API دایرکتوری با دسترسی خواندن-نوشتن

در این سناریو، شما فرآیند ایجاد حساب‌های گوگل را از طرف مشتری خود مدیریت می‌کنید و مسئول چرخه عمر حساب‌های کاربران هستید.

برای مثال، وقتی اطلاعات کاربر در دایرکتوری LDAP سازمان تغییر می‌کند، شما مسئول به‌روزرسانی حساب گوگل کاربر هستید. در این سناریو از GCDS استفاده نمی‌شود.

در این سناریو:

  • شما به حساب‌های گوگل دسترسی خواندن و نوشتن دارید.
  • پایگاه داده شما نام‌های حساب گوگل و نام‌های کاربری LDAP (و در صورت تمایل، هش‌های رمز عبور) را دریافت می‌کند.
  • شما از طرف مشتری خود از API دایرکتوری گوگل برای خواندن و نوشتن اطلاعات حساب کاربران سازمان استفاده می‌کنید. (اطلاعاتی که در دسترس شما قرار دارد، اطلاعات غیرقابل نوشتنی است که توسط درخواست Users.get برگردانده می‌شود ). شما از این اطلاعات برای تأیید وجود حساب‌های گوگل کاربران استفاده می‌کنید تا کاربران بتوانند در دستگاه‌های خود احراز هویت شوند.
  • از ابزار GCDS استفاده نشده است.

سناریوهای احراز هویت SSO مبتنی بر SAML

در پیاده‌سازی حساب‌های گوگل، شما یا مشتری شما ممکن است از زبان نشانه‌گذاری امنیتی (SAML) به همراه یک ارائه‌دهنده هویت (IdP) برای تأیید اعتبار حساب گوگل مرتبط با هر کاربر استفاده کنید. شما از نام حساب‌های گوگل به عنوان تأیید وجود حساب‌های گوگل کاربران استفاده می‌کنید که برای تأیید اعتبار کاربر هنگام ورود به دستگاه‌هایشان مورد نیاز است. به عنوان مثال، SAML می‌تواند در سناریوی 2 استفاده شود. برای جزئیات بیشتر در مورد نحوه تنظیم این مورد، به بخش «درباره SSO» مراجعه کنید.