Aprovisionar cuentas de usuario

El aprovisionamiento de identidades (o aprovisionamiento de cuentas) es el proceso de configuración y establecer conexiones entre los tres sistemas y, en algunos casos, configurar conexiones entre los usuarios y sus dispositivos.

En un entorno empresarial de Android, tres sistemas diferentes tienen información de la cuenta:

  • El directorio de usuarios de la organización es la fuente definitiva de información sobre los usuarios.
  • Usted (el proveedor de soluciones de EMM) debe mantener un directorio mínimo de los usuarios de la organización.
  • Google mantiene cierta información sobre las cuentas de Google Play administradas y Cuentas de Google para proporcionar administración de aplicaciones a través de Google Play

Un recurso Users representa una cuenta. asociadas a una empresa. La cuenta puede ser específica de un dispositivo Se asocian con una persona que tiene varios dispositivos (teléfono celular, tablet, etc.) y utiliza la cuenta en todos ellos. La cuenta puede proporcionar acceso solo a Google Play administrado o a otros servicios de Google, según cómo Configurar la empresa del cliente:

  • Las cuentas de Google Play administrado brindan un medio transparente para las empresas. para crear cuentas de usuarios o dispositivos automáticamente a través de sus de administración de movilidad empresarial (EMM). Estas cuentas proporcionan acceso a solo con Google Play administrado.

  • Las Cuentas de Google son cuentas existentes administradas por Google y requieren y la sincronización con las fuentes de la Cuenta de Google.

Tabla 1: Campos y métodos de la API de usuarios

 Cuentas de Google Play administradoCuentas administradas por Google
Campo
id
kind
accountIdentifierUn identificador único que creas y asignas al ID (userId) que muestra Google Play. No utilizar personalmente información de identificación personal (PII).Sin establecer
accountTypedeviceAccount, userAccountuserAccount
displayNameEl nombre que muestras en los elementos de la IU, como en Google Play No utilice información de identificación personal.Sin establecer
managementTypeemmManagedgoogleManaged, emmManaged,
primaryEmailSin establecerEste campo es la clave primaria que administras la sincronización de cuentas de dominio administradas por Google a cuentas de cuentas en tu sistema.
Métodos
delete
generateAuthenticationToken
generateToken
get
getAvailableProductSet
insert
list
revokeToken
setAvailableProductSet
update

Cuentas de Google Play administrado

Existen dos tipos de cuentas de Google Play administradas:

Cuenta de usuario
Proporciona a un solo usuario acceso a Google Play administrado desde todos sus dispositivos. Debes aprovisionar cuentas de usuario para tus usuarios; estos no tienen las credenciales para agregar cuentas de Google Play administradas.
Para crear una cuenta de usuario, llama a Users.insert. Establece el tipo de cuenta en userType y establece un accountIdentifier, que hace referencia de forma única al usuario dentro de la empresa.
Práctica recomendada: No uses la misma cuenta en más de 10 cuentas. dispositivos.
Cuenta del dispositivo
Proporciona acceso a Google Play administrado desde un solo dispositivo. Si un token de autenticación para una cuenta de dispositivo, una nueva solicitud para un de autenticación para esa cuenta de dispositivo desactiva el token anterior. Cada dispositivo debe tener sus propias licencias independientes para las apps.
Para crear una cuenta de dispositivo, llama a Users.insert y establece el tipo de cuenta en deviceType

Debes crear y mantener una asignación entre las identidades de usuarios o dispositivos y las las cuentas de Google Play administradas correspondientes, y tú las administras su ciclo de vida. La organización no necesita ningún control directo sobre estas cuentas de Google Play administradas, ya que estas existen solo para aplicaciones y administración de posturas.

Requisitos para consolas y servidores de EMM

Las cuentas de Google Play administrado se crean a pedido, de forma programática, con el las APIs de EMM de Google Play y las APIs del framework de Android en los componentes de tu Solución de EMM (consola de EMM, servidor de EMM y DPC) Estos componentes interactúan en entorno de ejecución para crear una cuenta de usuario y aprovisionar el perfil de trabajo en el dispositivo de destino. Tu consola o servidor de EMM debe cumplir con los siguientes requisitos:

  • Proporcionar un mecanismo para crear identificadores de cuenta anónimos únicos (el campo accountIdentifier) para usar en la llamada a Users.insert Por ejemplo, podría usar algún valor interno para el usuario ("sanjeev237389") o una número de etiqueta del recurso críptico ("asset#44448"). Evita el uso personal información de identificación personal (PII) para el identificador de la cuenta.

  • Almacena la asignación entre userId (que se muestra desde insert). llamada) y el accountIdentifier que selecciones.

Para conocer los requisitos de tu DPC, consulta Cómo crear una política de dispositivo. controlador.

Crea una cuenta de usuario de Google Play administrado

  1. Un usuario accede a tu DPC con (por lo general) credenciales corporativas.
  2. El DPC solicita detalles sobre el usuario del servidor o la consola de EMM. Suponiendo que el usuario es desconocido para tu sistema:
    1. Envía una solicitud de nueva cuenta administrada de Google Play a través de una llamada Users.insert con valores para nuevos accountIdentifier, displayName y accountType.
      • Tu sistema debe crear el accountIdentifier. El identificador de la cuenta debe ser un valor único en todo el sistema. No utilice PII para los identificador de cuenta.
      • El displayName se muestra en el selector de cuentas de Google Play Almacenar y debe tener algún significado para el usuario (pero no PII sobre el usuario). Por ejemplo, el nombre puede incluir el nombre de la organización o un nombre genérico relacionado con la EMM.
      • Establece accountType en userAccount o deviceAccount. R userAccount se puede usar en varios dispositivos, mientras que deviceAccount es específico de un solo dispositivo. El accountType especificado puede ser deviceType o userType.
      • Establece la managementType en emmManaged.
    2. Google Play procesa la solicitud, crea la cuenta y muestra un userId.
    3. Almacena la asignación entre accountIdentifier y userId en tu almacén de datos.
    4. Llama a Users.generateAuthenticationToken con el userId y el enterpriseId. Google Play devuelve un token de autenticación que se puede utilizar una vez y que debe utilizarse dentro de un unos minutos.
    5. Reenvía de manera segura el token de autenticación a tu DPC.
  3. El DPC aprovisiona el perfil de trabajo y agrega la cuenta a este. o dispositivo.
  4. El usuario puede acceder a Google Play administrado desde el perfil de trabajo o el dispositivo.

Cuentas de administrador

Cuando un administrador crea una empresa con Google Play administrado Cuentas, la Cuenta de Google que usa no puede ser de G Suite. La cuenta que usa se convierte en propietario de la empresa, quien puede agregar más propietarios y en Google Play Console administrado.

Tanto Enterprises.get como Enterprises.completeSignup mostrar una lista de direcciones de correo electrónico de administrador asociadas a un dominio (solo para empresas con Cuentas de Google Play administradas).

Administrar el ciclo de vida de la cuenta

En una implementación de Cuentas de Google Play administrada, eres responsable de los gastos y los ciclos de vida de las cuentas de dispositivos, lo que significa que creas, actualizas y borras estas cuentas.

Las cuentas se crean durante la provisión del dispositivo, un proceso que involucra a app de DPC y tu consola de EMM. Para obtener instrucciones, consulta la cuentas de Google Play administradas método.

Para cambiar la información de una cuenta, llama Users.update.

Para borrar una cuenta, llama Users.delete.

Los administradores no pueden borrar cuentas individuales, pero sí pueden borrar empresariales con cuentas administradas de Google Play. Cuando lo hacen, el dispositivo y las cuentas de usuario asociadas a la empresa se borran con el tiempo, ya que se describe en Anular la inscripción, volver a inscribirse borrar.

Vencimiento de la cuenta

A veces, las cuentas o sus tokens vencen, lo que puede ocurrir durante varios motivos:

  • El token de autenticación que se obtuvo para agregar la cuenta al dispositivo ha caducado.
  • Se borró la cuenta o empresa.
  • En el caso de las cuentas del dispositivo, la cuenta se agregó a un dispositivo nuevo y está por lo tanto, inhabilitado en el dispositivo anterior.
  • Se activan las verificaciones automáticas de abuso.

En la mayoría de los casos, a menos que el EMM transfiera intencionalmente una cuenta de dispositivo a una nueva dispositivo), la práctica recomendada es usar la API de Play EMM para solicitar un token nuevo del servidor de EMM, ten en cuenta el estado de la cuenta y de la empresa, y cualquier errores mostrados y, luego, tomar las medidas adecuadas en el dispositivo. Por ejemplo: actualiza el token o, si el error no se puede recuperar, restablece o anula la inscripción dispositivo.

La versión 9.0.00 de los Servicios de Google Play le enviará una notificación DPC de que la cuenta venció mediante la acción de transmisión:

  1. Cuando se invalida la cuenta de Google Play administrada en un dispositivo, el DPC recibe una transmisión con la siguiente acción:

    com.google.android.gms.auth.ACCOUNT_REAUTH_REQUIRED

    El intent de transmisión contiene un Parcelable adicional con el nombre account, que es el Account objeto de la cuenta invalidada.

  2. El DPC verifica Account#name con el servidor de EMM para identificar la cuenta invalidada.

  3. El DPC solicita nuevas credenciales o una nueva cuenta, siguiendo la misma flujo que se usa para aprovisionar el dispositivo al principio.


Cuentas de Google

En el caso de las organizaciones que utilizan Cuentas de Google, las cuentas de usuario en una EMM duplicar las cuentas de usuario existentes asociadas con otro servicio de Google (por ejemplo, G Suite). Estas cuentas están googleManaged (Tabla 1) porque Los servicios de backend de Google son la fuente de creación e información sobre la cuenta.

Como EMM, puedes proporcionar mecanismos en tu consola para facilitar la creación y la sincronización continua de las cuentas de usuario que se almacenan en tu sistema con sus fuentes de las cuentas de dominio de Google con herramientas, Google Cloud Directory Sync (GCDS) y la API de Directory del SDK de Admin de Google. para obtener una descripción general de varios enfoques). El modelo de identidad de dominio administrado por Google requiere que la cuenta de usuario exista en el contexto de tu solución (consola de EMM, EMM, tal vez en un almacén de datos) antes de que se pueda aprovisionar en cualquier de los dispositivos del usuario en el contexto de un perfil de trabajo.

Durante el aprovisionamiento de identidad, el dominio administrado por Google de la organización con cuentas de usuario. En algunos casos, las identidades en línea existentes (por ejemplo, sus cuentas de Microsoft Exchange) se sincronizan con su Cuentas de Google.

Después de la sincronización inicial, pero antes de que las apps se distribuyan al dispositivo, el usuario debe activar su Cuenta de Google, como se describe en Activa cuentas en dispositivos. Esta activación permite que el dispositivo acceda a Google Play administrado.

Sincroniza cuentas de clientes

En una implementación de Cuentas de Google, la organización puede usar la herramienta GCDS para sincronizar los datos en su dominio de G Suite con los datos en su LDAP . Por otro lado, puedes usar GCDS para hacer esto en la infraestructura si la organización te otorga el acceso.

La herramienta GCDS llama a la API de Google Directory y sincroniza los nombres de usuario, pero no contraseñas.

Si la organización usa Microsoft Active Directory y quiere conservar las contraseñas de G Suite sincronizadas con las de Active Directory y, luego, ellos (o usted) pueden usar la Sincronización de contraseñas de G Suite (GSPS) con GCDS.

Si desea obtener instrucciones de GCDS para los administradores, consulte Prepare su dominio de G Suite para la sincronización.

API de Google Directory

En una implementación de Cuentas de Google, puedes usar la API de Directory de Google para sincronizar directorios activos, contraseñas o ambos:

  • Usa la API de Directory para la sincronización solo del directorio. Si tienes acceso de solo lectura acceso al dominio de Google administrado de la organización, puedes usar el Directory para obtener información de la Cuenta de Google, como nombres de usuario (pero no contraseñas) de Google. Debido a que no puedes escribir ningún dato en las contraseñas de los usuarios Cuentas de Google, la organización es completamente responsable de la vida útil de la cuenta en ciclos de vida.

    Situación 1 y situaciones de autenticación de SSO basadas en SAML describir la situación con más detalle.

    Para obtener información sobre cómo usar la API de Directory de esta manera, consulta Recuperar todo usuarios de la cuenta en la documentación de la API de Directory.

  • Usa la API de Directory para la sincronización de contraseñas y el directorio. Si acceso de lectura/escritura al dominio de Google administrado por la organización, puedes usar la API de Directory de Google para obtener nombres de usuario, contraseñas y otros Información de la Cuenta de Google. Puedes actualizar esta información y sincronizarla con tu propia base de datos, y es posible que tengas la responsabilidad total o parcial de de los ciclos de vida de tu cuenta, según la solución que ofrezcas cliente.

    Situación 2 describe mejor esta situación.

    Para obtener más información sobre cómo usar la API de Directory para administrar información de cuentas de usuario, consulta el artículo API de Directory: Cuentas de usuario en la guía para desarrolladores.

Casos relacionados con las Cuentas de Google

Se describen algunas situaciones típicas de aprovisionamiento de identidades de Cuentas de Google a continuación.

Situación 1: El cliente es responsable de los ciclos de vida de la cuenta

Uso de la API de Directory (con acceso de solo lectura) y GCDS

En este caso, el cliente crea y mantiene Cuentas de Google para su usuarios.

Obtienes información de cuentas de usuario desde el directorio LDAP de la organización, y correlaciona esto con los datos de la Cuenta de Google que recibes de Google a través del servicio API de Directory

La organización es completamente responsable de los ciclos de vida de las cuentas. Por ejemplo, cuando se crea una nueva Cuenta de Google, la organización agrega al usuario a su LDAP . La próxima vez que sincronices tu base de datos con el directorio LDAP, tu recibe información sobre este usuario nuevo.

En este caso, ocurre lo siguiente:

  • Tienes acceso de solo lectura a las Cuentas de Google.
  • Tu base de datos adquiere nombres de cuentas de Google, pero no nombres de usuario ni nombres de usuario de LDAP contraseñas.
  • Usas Google Directory API para obtener información básica de la cuenta para tu de los usuarios del cliente. (La información disponible para ti es la información que no se puede escribir que devuelve un Users.get solicitud). Usas esta información para verificar que existan Cuentas de Google de los usuarios para que los usuarios puedan autenticarse en sus dispositivos.
  • Tu cliente usa la herramienta GCDS para realizar una sincronización unidireccional para propagar datos de usuarios Cuentas de Google. (Es probable que la organización también use GCDS para sus propios procesos una vez completado el aprovisionamiento de identidad). De forma opcional, el organización también pueden usar la herramienta GSPS para sincronizar nombres de usuario y contraseñas.

Situación 2: EMM responsable de los ciclos de vida de la cuenta

Cómo usar la API de Directory con
  acceso de lectura y escritura

En esta situación, te encargarás del proceso de crear Cuentas de Google en nombre de del cliente y eres responsable de los ciclos de vida de las cuentas de los usuarios.

Por ejemplo, cuando la información del usuario cambia en el directorio LDAP de la organización, es tu responsabilidad actualizar la Cuenta de Google del usuario. GCDS no se usa en este escenario.

En este caso, ocurre lo siguiente:

  • Tienes acceso de lectura y escritura a las Cuentas de Google.
  • Tu base de datos adquiere nombres de cuentas de Google y nombres de usuario de LDAP (y de forma opcional, los hashes de contraseñas).
  • Usas la API de Google Directory en nombre de tu cliente para leer y escribir la información de la cuenta para los usuarios de la organización. (La información disponible es la información que no admite escritura que devuelve un Users.get solicitud). Usas esta información para verificar que existan Cuentas de Google de los usuarios para que los usuarios puedan autenticarse en sus dispositivos.
  • La herramienta GCDS no se usa.

Situaciones de autenticación de SSO basadas en SAML

En una implementación de Cuentas de Google, tú o tu cliente pueden usar Security Lenguaje de marcado de aserciones (SAML) con un proveedor de identidad (IdP) para la autenticación la Cuenta de Google asociada a cada usuario. Usas los nombres de las Cuentas de Google. como verificación de la existencia de las Cuentas de Google de los usuarios, lo cual es necesario para que autenticación cuando los usuarios acceden a sus dispositivos. Por ejemplo, SAML podría que se usa en la situación 2. Para obtener más información sobre cómo realizar esta configuración, consulta Cómo configurar una Inicio de sesión (SSO) para cuentas de G Suite.

Activar cuentas en dispositivos

Para que las apps se distribuyan al dispositivo de un usuario a través de Google Play administrado, el usuario debes acceder al dispositivo durante el aprovisionamiento de dispositivos:

  • En el aprovisionamiento de dispositivos de las Cuentas de Google Play administradas, tu DPC guía al usuario para que acceda con las credenciales aceptadas por tu EMM de correo electrónico local, típicamente credenciales de correo electrónico corporativo.
  • En una implementación de Cuentas de Google, tu DPC guía al usuario para que ingrese su Credenciales de acceso de la Cuenta de Google. Por lo general, estas credenciales coinciden con las con los que los usuarios acceden a su dominio corporativo cuando se sincronizan con GCDS o GSPS, o cuando una organización usa un IdP para la autenticación. Esto activa la Cuenta de Google del usuario, genera un ID de dispositivo único. vincula la identidad de la Cuenta de Google del usuario y el ID de su dispositivo.