Предоставление учетных записей пользователей, Предоставление учетных записей пользователей

Предоставление удостоверений (или предоставление учетных записей ) — это процесс настройки учетных записей и установления соединений между тремя системами, а в некоторых случаях — настройки соединений между пользователями и их устройствами.

В корпоративной среде Android информацию об учетной записи хранят до трех разных систем:

  • Каталог пользователей организации является исчерпывающим источником информации о пользователях.
  • Вы (поставщик решения EMM) должны поддерживать хотя бы минимальный каталог пользователей организации.
  • Google хранит некоторую информацию об управляемых учетных записях Google Play и учетных записях Google для обеспечения управления приложениями через Google Play.

Ресурс Users представляет учетную запись, связанную с предприятием. Учетная запись может быть привязана к конкретному устройству или может быть связана с человеком, у которого есть несколько устройств (мобильный телефон, планшет и т. д.) и который использует эту учетную запись на всех них. Аккаунт может предоставлять доступ только к управляемому Google Play или к другим службам Google, в зависимости от того, как вы настроили предприятие вашего клиента :

  • Управляемые учетные записи Google Play предоставляют предприятиям прозрачные средства для автоматического создания учетных записей пользователей или устройств через поставщика решений для управления корпоративной мобильностью (EMM). Эти аккаунты предоставляют доступ только к корпоративному Google Play.

  • Аккаунты Google – это существующие аккаунты, управляемые Google, которые требуют синхронизации с источниками аккаунтов Google.

Таблица 1. Поля и методы пользовательского API

Управляемые аккаунты Google Play Аккаунты, управляемые Google
Поле
идентификатор
добрый
идентификатор аккаунта Уникальный идентификатор, который вы создаете и сопоставляете с идентификатором ( userId ), возвращаемым из Google Play. Не используйте личную информацию (PII). Не установлено.
Тип аккаунта Аккаунт устройства, Аккаунт пользователя учетная запись пользователя
отображаемое имя Имя, которое вы отображаете в элементах пользовательского интерфейса, например в Google Play. Не используйте личную информацию. Не установлено.
тип управления emmУправляемый GoogleManaged, emmManaged
основной адрес электронной почты Не установлено. Это поле является основным ключом, с помощью которого вы управляете синхронизацией учетных записей домена, управляемых Google, с учетными записями пользователей в вашей системе.
Методы
удалить
генерировать токен аутентификации
генерировать токен
получать
получить доступныйпродуктсет
вставлять
список
отзывтокен
SetAvailableProductSet
обновлять

Управляемые аккаунты Google Play

Существует два типа управляемых учетных записей Google Play:

Учетная запись пользователя
Предоставляет одному пользователю доступ к управляемому Google Play со всех его устройств. Вы должны предоставить учетные записи для своих пользователей — у них нет учетных данных для самостоятельного добавления управляемых учетных записей Google Play.
Чтобы создать учетную запись пользователя, вызовите Users.insert . Установите тип учетной записи userType и установите accountIdentifier , который уникально ссылается на пользователя внутри предприятия.
Рекомендации : не используйте одну и ту же учетную запись более чем на 10 устройствах.
Учетная запись устройства
Обеспечивает доступ к управляемому Google Play с одного устройства. Если для учетной записи устройства был выдан токен аутентификации, новый запрос токена аутентификации для этой учетной записи устройства деактивирует предыдущий токен. Каждое устройство должно иметь свои отдельные лицензии на приложения.
Чтобы создать учетную запись устройства, вызовите Users.insert и установите тип учетной записи deviceType .

Вы создаете и поддерживаете сопоставление между идентификаторами пользователя или устройства и соответствующими управляемыми учетными записями Google Play, а также управляете учетными записями на протяжении их жизненного цикла. Организации не требуется какой-либо прямой контроль над этими управляемыми учетными записями Google Play, поскольку учетные записи существуют исключительно для управления приложениями.

Требования к консолям и серверам EMM

Управляемые учетные записи Google Play создаются по требованию программным путем с использованием API-интерфейсов Google Play EMM и API-интерфейсов платформы Android для всех компонентов вашего решения EMM (консоль EMM, сервер EMM и ЦОД). Эти компоненты взаимодействуют во время выполнения для создания учетной записи пользователя и подготовки рабочего профиля на целевом устройстве . Ваша консоль или сервер EMM должны:

  • Предоставьте механизм создания уникальных идентификаторов анонимных учетных записей (поле accountIdentifier ) ​​для использования при вызове Users.insert . Например, вы можете использовать какое-то внутреннее значение для пользователя («sanjeev237389») или загадочный номер тега актива («asset#44448»). Избегайте использования личной информации (PII) в качестве идентификатора учетной записи.

  • Сохраните сопоставление между userId (возвращенным из вызова insert ) и выбранным вами accountIdentifier .

Требования к вашему ЦОД см. в разделе Создание контроллера политики устройств .

Создайте управляемую учетную запись пользователя Google Play.

  1. Пользователь входит в ваш ЦОД, используя (обычно) корпоративные учетные данные.
  2. ЦОД запрашивает сведения о пользователе у сервера или консоли EMM. Предполагая, что пользователь неизвестен вашей системе:
    1. Отправьте запрос на новую управляемую учетную запись Google Play, вызвав Users.insert со значениями new accountIdentifier , displayName и accountType .
      • Ваша система должна создать accountIdentifier . Идентификатор учетной записи должен быть уникальным значением в вашей системе. Не используйте PII в качестве идентификатора учетной записи.
      • displayName отображается в переключателе учетных записей Google Play Store и должно иметь некоторое значение для пользователя (но не PII о пользователе). Например, имя может включать название организации или общее имя, связанное с EMM.
      • Установите для accountType значение userAccount или deviceAccount . userAccount можно использовать на нескольких устройствах, а deviceAccount предназначен только для одного устройства. Указанный accountType может быть deviceType или userType .
      • Установите для managementType значение emmManaged .
    2. Google Play обрабатывает запрос, создает учетную запись и возвращает userId .
    3. Сохраните сопоставление между accountIdentifier и userId в своем хранилище данных.
    4. Вызовите Users.generateAuthenticationToken указав userId и enterpriseId . Google Play возвращает токен аутентификации, который можно использовать один раз и который необходимо использовать в течение нескольких минут.
    5. Безопасно пересылайте токен аутентификации в свой ЦОД.
  3. ЦОД подготавливает рабочий профиль и добавляет учетную запись в рабочий профиль или устройство.
  4. Пользователь может получить доступ к управляемому Google Play в рабочем профиле или на устройстве.

Учетные записи администратора

Когда администратор создает предприятие с управляемыми учетными записями Google Play , используемая им учетная запись Google не может быть учетной записью G Suite. Используемая ими учетная запись становится владельцем предприятия, и владелец может добавлять других владельцев и администраторов в управляемой консоли Google Play.

И Enterprises.get , и Enterprises.completeSignup возвращают список адресов электронной почты администраторов, связанных с предприятием (только предприятия с управляемыми учетными записями Google Play).

Управляйте жизненным циклом аккаунта

При развертывании управляемых учетных записей Google Play вы несете ответственность за жизненные циклы учетных записей пользователей и устройств, что означает, что вы создаете, обновляете и удаляете эти учетные записи.

Вы создаете учетные записи во время подготовки устройств — процесса, в котором участвуют ваше приложение DPC и консоль EMM. Инструкции см. в разделе «Метод управляемых учетных записей Google Play» .