Le provisionnement d'identité (ou provisionnement de compte) consiste à configurer des comptes et à établir des connexions entre les trois systèmes, et dans certains cas, à configurer des connexions entre les utilisateurs et leurs appareils.
Dans un environnement Android Enterprise, les informations de compte sont stockées dans trois systèmes différents :
- L'annuaire des utilisateurs de l'organisation est la source d'informations de référence sur les utilisateurs.
- Vous (le fournisseur de solution EMM) devez tenir à jour au moins un répertoire minimal des utilisateurs de l'organisation.
- Google conserve certaines informations sur les comptes Google Play d'entreprise et les comptes Google pour permettre la gestion des applications via Google Play.
Une ressource Users représente un compte associé à une entreprise. Le compte peut être spécifique à un appareil ou associé à une personne qui possède plusieurs appareils (téléphone mobile, tablette, etc.) et qui utilise le compte sur tous ces appareils. Le compte peut donner accès à Google Play d'entreprise uniquement, ou à d'autres services Google, selon la façon dont vous configurez l'entreprise de votre client :
Les comptes Google Play d'entreprise permettent aux entreprises de créer automatiquement des comptes utilisateur ou d'appareil grâce à leur fournisseur de solution EMM (gestion de la mobilité en entreprise). Ces comptes ne donnent accès qu'à Google Play d'entreprise.
Les comptes Google sont des comptes existants gérés par Google. Ils nécessitent une synchronisation avec les sources de comptes Google.
Tableau 1 : Champs et méthodes de l'API Users
| Comptes Google Play d'entreprise | Comptes gérés par Google | |
|---|---|---|
| Champ | ||
| id | ||
| kind | ||
| accountIdentifier | Identifiant unique que vous créez et mappez à l'ID (userId) renvoyé par Google Play. N'utilisez pas d'informations permettant d'identifier personnellement l'utilisateur. | Non défini. |
| accountType | deviceAccount, userAccount | userAccount |
| displayName | Nom que vous affichez dans les éléments de l'UI, par exemple dans Google Play. N'utilisez pas d'informations permettant d'identifier personnellement l'utilisateur. | Non défini. |
| managementType | emmManaged | googleManaged, emmManaged |
| primaryEmail | Non défini. | Ce champ est la clé primaire avec laquelle vous gérez la synchronisation des comptes de domaine gérés par Google vers les comptes utilisateur de votre système. |
| Méthodes | ||
| supprimer | ||
| generateAuthenticationToken | ||
| generateToken | ||
| get | ||
| getAvailableProductSet | ||
| insert | ||
| list | ||
| revokeToken | ||
| setAvailableProductSet | ||
| update | ||
Comptes Google Play d'entreprise
Il existe deux types de comptes Google Play d'entreprise :
- Compte utilisateur
- Permet à un utilisateur d'accéder à Google Play d'entreprise depuis tous ses appareils. Vous devez provisionner des comptes utilisateur pour vos utilisateurs. Ils ne disposent pas des identifiants nécessaires pour ajouter eux-mêmes des comptes Google Play d'entreprise.
- Pour créer un compte utilisateur, appelez
Users.insert. Définissez le type de compte suruserTypeet définissez unaccountIdentifier, qui fait référence de manière unique à l'utilisateur dans l'entreprise. - Bonne pratique : N'utilisez pas le même compte sur plus de 10 appareils.
- Compte d'appareil
- Permet d'accéder à Google Play d'entreprise depuis un seul appareil. Si un jeton d'authentification a été émis pour un compte d'appareil, une nouvelle demande de jeton d'authentification pour ce compte d'appareil désactive le jeton précédent. Chaque appareil doit disposer de sa propre licence pour les applications.
- Pour créer un compte d'appareil, appelez
Users.insertet définissez le type de compte surdeviceType.
Vous créez et gérez un mappage entre les identités des utilisateurs ou des appareils et les comptes Google Play gérés correspondants, et vous gérez les comptes tout au long de leur cycle de vie. L'organisation n'a pas besoin de contrôler directement ces comptes Google Play d'entreprise, car ils existent uniquement pour la gestion des applications.
Conditions requises pour les consoles et les serveurs EMM
Les comptes Google Play d'entreprise gérés sont créés à la demande, de manière programmatique, à l'aide des API EMM Google Play et des API du framework Android dans les composants de votre solution EMM (console EMM, serveur EMM et DPC). Ces composants interagissent au moment de l'exécution pour créer un compte utilisateur et provisionner le profil professionnel sur l'appareil cible.
Votre console ou serveur EMM doit :
Fournissez un mécanisme permettant de créer des identifiants de compte anonymes uniques (champ
accountIdentifier) à utiliser dans l'appel àUsers.insert. Par exemple, vous pouvez utiliser une valeur interne pour l'utilisateur ("sanjeev237389") ou un numéro d'identifiant d'appareil crypté ("asset#44448"). Évitez d'utiliser des informations permettant d'identifier personnellement l'utilisateur pour l'identifiant de compte.Stockez le mappage entre le
userId(renvoyé par l'appelinsert) et leaccountIdentifierque vous sélectionnez.
Pour connaître les exigences concernant votre DPC, consultez Créer un outil de contrôle des règles relatives aux appareils.
Créer un compte utilisateur Google Play d'entreprise
- Un utilisateur se connecte à votre DPC à l'aide (généralement) d'identifiants d'entreprise.
- Le DPC demande des informations sur l'utilisateur au serveur ou à la console EMM.
En supposant que l'utilisateur soit inconnu de votre système :
- Envoyez une demande de nouveau compte Google Play d'entreprise en appelant le
Users.insertavec les valeurs pour le nouveauaccountIdentifier,displayNameetaccountType.- Votre système doit créer le
accountIdentifier. L'identifiant de compte doit être une valeur unique dans votre système. N'utilisez pas d'informations permettant d'identifier personnellement l'utilisateur pour l'identifiant de compte. - Le
displayNames'affiche dans le sélecteur de compte du Google Play Store et doit avoir une signification pour l'utilisateur (mais pas d'informations permettant de l'identifier personnellement). Par exemple, le nom peut inclure le nom de l'organisation ou un nom générique lié à l'EMM. - Définissez
accountTypesuruserAccountoudeviceAccount. UnuserAccountpeut être utilisé sur plusieurs appareils, tandis qu'undeviceAccountest spécifique à un seul appareil. LaaccountTypespécifiée peut êtredeviceTypeouuserType. - Définissez
managementTypesuremmManaged.
- Votre système doit créer le
- Google Play traite la demande, crée le compte et renvoie un
userId. - Stockez le mappage entre
accountIdentifieretuserIddans votre data store. - Appelez
Users.generateAuthenticationTokenavecuserIdetenterpriseId. Google Play renvoie un jeton d'authentification qui ne peut être utilisé qu'une seule fois et qui doit l'être dans un délai de quelques minutes. - Transférez de manière sécurisée le jeton d'authentification à votre DPC.
- Envoyez une demande de nouveau compte Google Play d'entreprise en appelant le
- Le DPC provisionne le profil professionnel et ajoute le compte au profil professionnel ou à l'appareil.
- L'utilisateur peut accéder à Google Play d'entreprise dans le profil professionnel ou sur l'appareil.
Comptes administrateur
Lorsqu'un administrateur crée une entreprise avec Google Play d'entreprise, le compte Google qu'il utilise ne peut pas être un compte Google Workspace. Le compte qu'il utilise devient propriétaire de l'entreprise. Le propriétaire peut ajouter d'autres propriétaires et administrateurs dans la console Google Play d'entreprise.
Enterprises.get et Enterprises.completeSignup renvoient tous les deux une liste des adresses e-mail des administrateurs associés à une entreprise (entreprises avec des comptes Google Play d'entreprise uniquement).
Gérer les cycles de vie des comptes
Dans un déploiement de comptes Google Play d'entreprise gérés, vous êtes responsable du cycle de vie des comptes utilisateur et d'appareils, ce qui signifie que vous créez, mettez à jour et supprimez ces comptes.
Vous créez les comptes lors de la préparation de l'appareil, un processus qui implique votre application DPC et votre console EMM. Pour obtenir des instructions, consultez la méthode Comptes Google Play d'entreprise gérés.
Pour modifier les informations d'un compte, appelez Users.update.
Pour supprimer un compte, appelez Users.delete.
Les administrateurs ne peuvent pas supprimer de comptes individuels, mais ils peuvent supprimer une entreprise avec des comptes Google Play d'entreprise. Dans ce cas, les comptes d'utilisateur et d'appareil associés à l'entreprise sont supprimés à terme, comme décrit dans Désinscrire, réinscrire, supprimer.
Expiration du compte
Il arrive que des comptes ou leurs jetons expirent, ce qui peut se produire pour plusieurs raisons :
- Le jeton d'authentification obtenu pour ajouter le compte à l'appareil a expiré.
- Le compte ou l'entreprise ont été supprimés.
- Pour les comptes d'appareil, le compte a été ajouté à un nouvel appareil et est donc désactivé sur l'ancien appareil.
- Des vérifications automatiques des utilisations abusives sont déclenchées.
- Si un appareil est hors connexion pendant plus de 270 jours, ses informations peuvent être supprimées lors d'un processus de nettoyage par lot.
Dans la plupart des cas (sauf si l'EMM transfère intentionnellement un compte d'appareil vers un nouvel appareil), la bonne pratique consiste à utiliser l'API Play EMM pour demander un nouveau jeton au serveur EMM, à noter l'état du compte et de l'entreprise, ainsi que les éventuelles erreurs renvoyées, puis à prendre les mesures appropriées sur l'appareil. Par exemple, renouvelez le jeton ou, si l'erreur n'est pas récupérable, réinitialisez ou désinscrivez l'appareil.
Pour renouveler correctement le jeton, vous devez :
- Appelez
users.generateAuthenticationTokenpour demander un nouveau jeton d'authentification pour le compte. - Si l'appel aboutit, supprimez le compte existant et ajoutez le nouveau compte à l'aide de la bibliothèque d'assistance DPC.
- Si l'appel échoue, supprimez le compte de l'appareil et créez un nouvel utilisateur avec
users.insert, générez un jeton d'authentification et ajoutez le compte à l'appareil.
La version 9.0.00 des services Google Play informe votre DPC que le compte a expiré à l'aide de l'action de diffusion suivante :
Lorsque le compte Google Play d'entreprise est invalidé sur un appareil, le DPC reçoit une diffusion avec l'action suivante :
com.google.android.gms.auth.ACCOUNT_REAUTH_REQUIRED
L'intent de diffusion contient un extra
Parcelableavec le nomaccount, qui est l'objetAccountLe DPC vérifie
Account#nameauprès du serveur EMM pour identifier le compte invalidé.Le DPC demande de nouveaux identifiants ou un nouveau compte, en suivant le même flux que celui utilisé pour provisionner l'appareil initialement.
Comptes Google
Pour les organisations qui utilisent des comptes Google, les comptes utilisateur dans la solution EMM reflètent les comptes utilisateur existants associés à un autre service Google (par exemple, Google Workspace). Ces comptes sont googleManaged (tableau 1), car les services de backend de Google sont à l'origine de la création et des informations sur le compte.
En tant qu'EMM, vous pouvez fournir des mécanismes dans votre console pour faciliter la création et la synchronisation continue des comptes utilisateur détenus dans votre système avec leurs sources de compte de domaine Google à l'aide d'outils tels que Google Cloud Directory Sync (GCDS) et l'API Directory du SDK Admin. Pour obtenir une vue d'ensemble des différentes approches, consultez la documentation. Le modèle d'identité de domaine géré par Google exige que le compte utilisateur existe dans le contexte de votre solution (console EMM, serveur EMM, peut-être dans un data store) avant de pouvoir être provisionné sur l'un des appareils de l'utilisateur dans le contexte d'un profil professionnel.
Lors du provisionnement des identités, le domaine Google géré de l'organisation est renseigné avec des comptes utilisateur. Dans certains cas, les identités en ligne existantes des utilisateurs (par exemple, leurs comptes Microsoft Exchange) sont synchronisées avec leurs comptes Google.
Après la synchronisation initiale, mais avant la distribution des applications sur l'appareil d'un utilisateur, celui-ci doit activer son compte Google, comme décrit dans Activer des comptes sur des appareils. Cette activation permet à l'appareil d'accéder à Google Play d'entreprise.
Synchroniser les comptes client
Dans un déploiement de comptes Google, l'organisation peut utiliser l'outil GCDS pour synchroniser les données de son domaine Google Workspace avec celles de son annuaire LDAP. Vous pouvez également utiliser GCDS pour effectuer cette opération au nom de l'organisation, si elle vous y autorise.
L'outil GCDS appelle l'API Google Directory et synchronise les noms d'utilisateur, mais pas les mots de passe.
Si l'organisation utilise Microsoft Active Directory et souhaite synchroniser les mots de passe Google Workspace des utilisateurs avec leurs mots de passe Active Directory, consultez Se préparer à utiliser Password Sync.
Pour obtenir des instructions concernant GCDS pour les administrateurs, consultez Autoriser votre compte Google.
API Google Directory
Dans un déploiement de comptes Google, vous pouvez utiliser l'API Google Directory pour synchroniser les annuaires actifs, les mots de passe ou les deux :
Utiliser l'API Directory pour la synchronisation d'annuaire uniquement Si vous disposez d'un accès en lecture seule au domaine Google géré de l'organisation, vous pouvez utiliser l'API Google Directory pour obtenir des informations sur les comptes Google, comme les noms d'utilisateur (mais pas les mots de passe) de Google. Étant donné que vous ne pouvez écrire aucune donnée dans les comptes Google des utilisateurs, l'organisation est entièrement responsable du cycle de vie des comptes.
Les scénarios 1 et d'authentification unique basée sur SAML décrivent cette situation plus en détail.
Pour savoir comment utiliser l'API Directory de cette manière, consultez Récupérer tous les utilisateurs d'un compte dans la documentation de l'API Directory.
Utiliser l'API Directory pour la synchronisation de l'annuaire et du mot de passe (facultatif) Si vous disposez d'un accès en lecture et en écriture au domaine Google géré de l'organisation, vous pouvez utiliser l'API Google Directory pour obtenir des noms d'utilisateur, des mots de passe et d'autres informations sur les comptes Google. Vous pouvez mettre à jour ces informations et les synchroniser avec votre propre base de données. Vous pouvez être responsable du cycle de vie des comptes en totalité ou en partie, selon la solution que vous proposez à votre client.
Le Scénario 2 décrit cette situation plus en détail.
Pour en savoir plus sur l'utilisation de l'API Directory pour gérer les informations des comptes utilisateur, consultez le guide du développeur API Directory : comptes utilisateur.
Scénarios de comptes Google
Vous trouverez ci-dessous quelques scénarios typiques de provisionnement d'identité de comptes Google.
Scénario 1 : Le client est responsable du cycle de vie des comptes
Dans ce scénario, votre client crée et gère des comptes Google pour ses utilisateurs.
Vous obtenez les informations sur les comptes utilisateur à partir de l'annuaire LDAP de l'organisation et vous les mettez en corrélation avec les données de compte Google que vous obtenez de Google via l'API Directory.
L'organisation est entièrement responsable du cycle de vie des comptes. Par exemple, lorsqu'un nouveau compte Google est créé, l'organisation ajoute l'utilisateur à son annuaire LDAP. La prochaine fois que vous synchroniserez votre base de données avec l'annuaire LDAP, votre base de données recevra des informations sur ce nouvel utilisateur.
Dans ce cas, on a :
- Vous disposez d'un accès en lecture seule aux comptes Google.
- Votre base de données acquiert les noms de compte Google, mais pas les noms d'utilisateur ni les mots de passe LDAP.
- Vous utilisez l'API Google Directory pour obtenir des informations de base sur les comptes des utilisateurs de votre client. (Les informations auxquelles vous avez accès sont les informations non modifiables renvoyées par une requête
Users.get.) Vous utilisez ces informations pour vérifier que les comptes Google des utilisateurs existent afin qu'ils puissent s'authentifier sur leurs appareils. - Votre client utilise l'outil GCDS pour effectuer une synchronisation unidirectionnelle afin de renseigner les comptes Google des utilisateurs. (L'organisation utilise probablement aussi GCDS pour sa propre synchronisation continue une fois le provisionnement des identités terminé.) Si elle le souhaite, l'organisation peut également utiliser l'outil GSPS pour synchroniser non seulement les noms d'utilisateur, mais aussi les mots de passe.
Scénario 2 : EMM responsable des cycles de vie des comptes
Dans ce scénario, vous gérez la création de comptes Google pour le compte de votre client et vous êtes responsable du cycle de vie des comptes des utilisateurs.
Par exemple, lorsque les informations utilisateur changent dans l'annuaire LDAP de l'organisation, vous êtes responsable de la mise à jour du compte Google de l'utilisateur. GCDS n'est pas utilisé dans ce scénario.
Dans ce cas, on a :
- Vous disposez d'un accès en lecture et en écriture aux comptes Google.
- Votre base de données acquiert les noms de compte Google et les noms d'utilisateur LDAP (ainsi que les hachages de mot de passe, le cas échéant).
- Vous utilisez l'API Google Directory au nom de votre client pour lire et écrire les informations de compte des utilisateurs de l'organisation. (Les informations dont vous disposez sont les informations non modifiables renvoyées par une requête
Users.get.) Vous utilisez ces informations pour vérifier que les comptes Google des utilisateurs existent afin qu'ils puissent s'authentifier sur leurs appareils. - L'outil GCDS n'est pas utilisé.
Scénarios d'authentification unique basée sur SAML
Dans un déploiement de comptes Google, vous ou votre client pouvez utiliser SAML (Security Assertion Markup Language) avec un fournisseur d'identité (IdP) pour authentifier le compte Google associé à chaque utilisateur. Vous utilisez les noms de compte Google pour vérifier que les comptes Google des utilisateurs existent, ce qui est nécessaire pour l'authentification des utilisateurs lorsqu'ils se connectent à leurs appareils. Par exemple, SAML pourrait être utilisé dans le scénario 2. Pour savoir comment configurer l'authentification unique, consultez À propos de l'authentification unique.
Activer des comptes sur des appareils
Pour que les applications soient distribuées sur l'appareil d'un utilisateur via Google Play d'entreprise, l'utilisateur doit se connecter à l'appareil lors de la préparation de l'appareil :
- Dans le provisionnement d'appareils avec des comptes Google Play d'entreprise, votre (outil) DPC guide l'utilisateur pour qu'il se connecte à l'aide d'identifiants acceptés par votre console EMM, généralement des identifiants d'adresse e-mail professionnelle.
- Dans un déploiement de comptes Google, votre DPC invite l'utilisateur à saisir ses identifiants de connexion à son compte Google. En règle générale, ces identifiants correspondent à ceux avec lesquels les utilisateurs se connectent à leur domaine d'entreprise lorsqu'ils sont synchronisés avec GCDS ou GSPS, ou lorsqu'une organisation utilise un IdP pour l'authentification. Cela active le compte Google de l'utilisateur, génère un ID d'appareil unique et associe l'identité du compte Google de l'utilisateur à l'ID d'appareil de son appareil.