توفير الهوية (أو إدارة الحسابات) هي عملية إعداد. الحسابات وإجراء الاتصالات بين الأنظمة الثلاثة، وفي بعض الحالات وإعداد اتصالات بين المستخدمين وأجهزتهم.
في بيئة مؤسسية من Android، يحتوي ما يصل إلى ثلاثة أنظمة مختلفة على معلومات الحساب:
- دليل مستخدم المؤسسة هو المصدر النهائي للمعلومات عن المستخدمين.
- يجب أن تحتفظ أنت (موفِّر حلول إدارة الخدمات الجوّالة للمؤسسات (EMM)) بالحد الأدنى من دليل مستخدمي المؤسسة.
- تحتفظ Google ببعض المعلومات عن "حسابات Google Play للأعمال" حسابات Google التي تتيح إدارة التطبيقات من خلال Google Play
يمثل مورد Users
حسابًا
المرتبطة بمؤسسة. يمكن أن يكون الحساب خاصًا بأحد الأجهزة، أو يمكن أن
بشخص يمتلك أجهزة متعددة (هاتف جوّال أو جهاز لوحي
وما إلى ذلك) ويستخدم الحساب على جميع المستويات. يمكن أن يوفر الحساب إمكانية الوصول
إلى "Google Play للأعمال" فقط أو بخدمات Google الأخرى، بناءً على كيفية
إعداد مؤسسة العميل:
توفّر حسابات Google Play للأعمال وسيلة شفافة للمؤسسات. إنشاء حسابات المستخدمين أو حسابات الأجهزة تلقائيًا من خلال المؤسسة إدارة الخدمات الجوّالة للمؤسسات (EMM). توفّر هذه الحسابات إمكانية الوصول إلى Google Play للأعمال فقط.
حسابات Google هي حسابات حالية تديرها Google، وتتطلب المزامنة مع مصادر حساب Google.
الجدول 1: الحقول والطرق في واجهة برمجة التطبيقات للمستخدمين
حسابات Google Play للأعمال | الحسابات المُدارة من Google | |
---|---|---|
الحقل | ||
id | ||
النوع | ||
accountIdentifier | معرّف فريد تنشئه وتربطه
إلى رقم التعريف (userId ) الذي تم إرجاعه من Google Play. عدم الاستخدام شخصيًا
معلومات تحديد الهوية (PII). | لم يتم ضبطه. |
accountType | DeviceAccount، userAccount | userAccount |
displayName | الاسم الذي تعرضه في عناصر واجهة المستخدم، مثل داخل Google Play. لا تستخدم معلومات تحديد الهوية الشخصية. | لم يتم ضبطه. |
managementType | emmManaged | تطبيقات مُدارة، عبر خدمة إدارة البريد الإلكتروني |
primaryEmail | لم يتم ضبطه. | هذا الحقل هو المفتاح الأساسي من خلال الذي تديره من حسابات النطاق التي تديرها Google إلى المستخدم الحسابات في نظامك. |
الطُرق | ||
حذف | ||
generateAuthenticationToken | ||
generateToken | ||
الحصول على | ||
getAvailableProductSet | ||
insert | ||
قائمة | ||
revokeToken | ||
setAvailableProductSet | ||
تحديث |
حسابات Google Play للأعمال
هناك نوعان من حسابات "Google Play للأعمال":
- حساب المستخدم
- توفير إمكانية وصول مستخدم واحد إلى "Google Play للأعمال" من جميع أجهزته عليك إدارة حسابات المستخدمين للمستخدمين، لأنهم ليس لديهم بيانات الاعتماد. إضافة حسابات Google Play للأعمال بنفسها.
- لإنشاء حساب مستخدم، يمكنك الاتصال بالرقم
Users.insert
. ضبط نوع الحساب علىuserType
، وضبطaccountIdentifier
، الذي يشير إلى المستخدم داخل المؤسسة بشكل فريد. - أفضل الممارسات: يجب عدم استخدام الحساب نفسه في أكثر من 10 مواقع إلكترونية. الأجهزة.
- حساب الجهاز
- يوفّر إمكانية الوصول إلى "Google Play للأعمال" من جهاز واحد. إذا كانت تم إصدار رمز مميز للمصادقة لحساب أحد الأجهزة، وهو طلب جديد يؤدي هذا الرمز إلى إيقاف الرمز المميّز السابق. يجب أن يكون لكل جهاز تراخيص منفصلة للتطبيقات.
- لإنشاء حساب على الجهاز، عليك الاتصال بالرقم
Users.insert
وضبط نوع الحساب علىdeviceType
يمكنك إنشاء تعيين والحفاظ عليه بين هويتي المستخدم أو الجهاز حسابات Google Play للأعمال المقابلة، وإدارة الحسابات من خلال دورة حياتهم. لا تحتاج المؤسسة إلى أي سيطرة مباشرة على حسابات Google Play للأعمال، لأنّ الحسابات تقتصر على التطبيقات المشروع.
متطلبات وحدات التحكّم والخوادم في إدارة الخدمات الجوّالة للمؤسسات (EMM)
يتم إنشاء "حسابات Google Play للأعمال" عند الطلب وآليًا باستخدام واجهات برمجة التطبيقات Google Play EMM API وواجهات برمجة التطبيقات لإطار عمل Android على مستوى مكونات حلّ إدارة الخدمات الجوّالة للمؤسسات (وحدة تحكّم إدارة الخدمات الجوّالة للمؤسسات (EMM) وخادم إدارة الخدمات الجوّالة للمؤسسات (EMM) ووحدة التحكّم بسياسة الجهاز (DPC)) تتفاعل هذه المكونات في التشغيل لإنشاء حساب مستخدم إدارة ملف العمل على الجهاز المستهدَف. يجب أن تستوفي وحدة التحكّم في إدارة الخدمات الجوّالة للمؤسسات أو الخادم ما يلي:
توفير آلية لإنشاء معرّفات فريدة للحساب المجهول (الحقل
accountIdentifier
) للاستخدام في استدعاءUsers.insert
على سبيل المثال، قد تستخدم قيمة داخلية للمستخدم ("sanjeev237389")، أو رقم علامة مادة العرض المشفَّرة ("asset#44448") تجنب استخدام البيانات الشخصية معلومات تحديد الهوية (PII) لمعرِّف الحساب.تخزين عملية الربط بين
userId
(تم إرجاعها منinsert
) الاتصال) ورقمaccountIdentifier
الذي تختاره.
لمعرفة متطلبات وحدة التحكّم بسياسة الجهاز (DPC)، يُرجى الاطّلاع على مقالة إنشاء سياسة جهاز. فقط.
إنشاء حساب مستخدم على "Google Play للأعمال"
- يسجِّل أحد المستخدمين الدخول إلى وحدة التحكّم بسياسة الجهاز (DPC) باستخدام بيانات اعتماد الشركة (عادةً).
- وتطلب وحدة التحكّم بسياسة الجهاز (DPC) تفاصيل عن المستخدم من خادم أو وحدة تحكّم إدارة الخدمات الجوّالة للمؤسسات (EMM).
بافتراض أن النظام غير معروف في النظام:
- إرسال طلب للحصول على حساب جديد على Google Play للأعمال من خلال الاتصال
Users.insert
بقيمaccountIdentifier
وdisplayName
وaccountType
الجديدة- يجب أن ينشئ نظامك
accountIdentifier
. معرّف الحساب يجب أن تكون قيمة فريدة عبر نظامك. عدم استخدام معلومات تحديد الهوية الشخصية معرِّف الحساب. - يتم عرض "
displayName
" في مبدِّل الحسابات على Google Play. ويجب أن يكون له معنى بالنسبة إلى المستخدم (وليس معلومات تحديد الهوية الشخصية المتعلقة مستخدم). على سبيل المثال، يمكن أن يتضمن الاسم اسم المؤسسة أو اسمًا عامًا ذا صلة بإدارة الخدمات الجوّالة للمؤسسات (EMM). - اضبط السمة
accountType
علىuserAccount
أوdeviceAccount
. حاسمة يمكن استخدامuserAccount
على أجهزة متعددة، في حين يمكن استخدامdeviceAccount
تكون خاصة بجهاز واحد. يمكن أن يكونaccountType
المحدّدdeviceType
أوuserType
. - يجب ضبط قيمة
managementType
علىemmManaged
.
- يجب أن ينشئ نظامك
- يعالج Google Play الطلب وينشئ الحساب
تعرض
userId
. - تخزين عملية الربط بين
accountIdentifier
وuserId
في مخزن البيانات لديك. - الاتصال بالرقم
Users.generateAuthenticationToken
معuserId
وenterpriseId
. يُرجع Google Play هو رمز مصادقة يمكن استخدامه مرة واحدة، ويجب استخدامه في بضع دقائق. - أعِد توجيه الرمز المميّز للمصادقة بأمان إلى وحدة التحكّم بسياسة الجهاز (DPC).
- إرسال طلب للحصول على حساب جديد على Google Play للأعمال من خلال الاتصال
- تتولّى وحدة التحكّم بسياسة الجهاز إدارة ملف العمل وتضيف الحساب إلى ملف العمل. أو الجهاز.
- يمكن للمستخدم الوصول إلى "Google Play للأعمال" ضمن الجهاز أو الملف الشخصي للعمل.
حسابات المشرفين
عندما ينشئ المشرف مؤسسة باستخدام "Google Play للأعمال" الحسابات لا يمكن أن يكون حساب Google الذي يستخدمونه حساب G Suite. الحساب الذي يستخدمه يصبح مالكًا للمؤسسة ويمكن للمالك إضافة المزيد من المالكين المشرفين في "وحدة تحكّم Google Play للأعمال".
كل من Enterprises.get
Enterprises.completeSignup
عرض قائمة بعناوين البريد الإلكتروني للمشرف والمرتبطة بمؤسسة
(للمؤسسات التي لديها حسابات Google Play للأعمال فقط)
إدارة دورات حياة الحساب
عند نشر "حسابات Google Play للأعمال"، تكون أنت المسؤول عن حساب الجهاز، أي إنشاء وتحديث وحذف هذه الحسابات.
يمكنك إنشاء الحسابات أثناء توفير الأجهزة، وهي عملية تتضمن تطبيق وحدة التحكّم بسياسة الجهاز (DPC) ووحدة تحكّم إدارة الخدمات الجوّالة للمؤسسات (EMM) للحصول على التعليمات، يُرجى الاطّلاع على حسابات Google Play للأعمال .
لتغيير معلومات أحد الحسابات، اتصل Users.update.
لحذف حساب، اتصل Users.delete.
لا يمكن للمشرفين حذف حسابات فردية، ولكن يمكنهم حذف لديها حسابات Google Play للأعمال. عندما يقومون بذلك، فإن الجهاز يتم حذف حسابات المستخدمين المرتبطة بالمؤسسة في نهاية المطاف، نظرًا كما هو موضح في القسم إلغاء التسجيل وإعادة التسجيل حذف.
انتهاء صلاحية الحساب
تنتهي صلاحية الحسابات أو رموزها المميزة أحيانًا، وقد يحدث ذلك لعدد من الأسباب:
- الرمز المميز للمصادقة الذي تم الحصول عليه لإضافة الحساب إلى الجهاز منتهي الصلاحية.
- حذف الحساب أو المؤسسة
- بالنسبة إلى حسابات الجهاز، تمت إضافة الحساب إلى جهاز جديد وبالتالي تم إيقافها على الجهاز القديم.
- يتم تشغيل عمليات التحقّق التلقائية من إساءة الاستخدام.
في معظم الحالات (ما لم تكن إدارة الخدمات الجوّالة للمؤسسات (EMM) تنقل حساب الجهاز عمدًا إلى حساب جهاز)، فإن أفضل الممارسات هي استخدام واجهة برمجة التطبيقات Play EMM API لطلب رمز مميز جديد من خادم EMM، لاحظ حالة الحساب والمؤسسة وأية الأخطاء ثم اتخاذ الإجراء المناسب على الجهاز. على سبيل المثال: أعِد تحميل الرمز المميّز، أو إذا لم تتمكّن من استرداد الخطأ، يمكنك إعادة ضبط الرمز أو إلغاء تسجيله الخاص بك.
يرسِل الإصدار 9.0.00 من خدمات Google Play إشعارًا إلى وحدة التحكّم بسياسة الجهاز (DPC) التي تشير إلى انتهاء صلاحية الحساب باستخدام إجراء البث:
وعند إلغاء صلاحية "حساب Google Play للأعمال" على أحد الأجهزة، تعمل وحدة التحكّم بسياسة الجهاز (DPC) على بثًا من خلال الإجراء التالي:
com.google.android.gms.auth.ACCOUNT_REAUTH_REQUIRED
يتضمّن هدف البث محتوى إضافي
Parcelable
يحمل الاسمaccount
، هلAccount
كائن الحساب الذي تم إلغاء صلاحيته.تتحقّق وحدة التحكّم بسياسة الجهاز من
Account#name
. مع خادم إدارة الخدمات الجوّالة للمؤسسات (EMM) لتحديد الحساب الذي تم إلغاء صلاحيته.تطلب وحدة التحكّم بسياسة الجهاز إما بيانات اعتماد جديدة أو حسابًا جديدًا باتّباع المسار المستخدَم لتوفير المتطلبات اللازمة للجهاز في البداية.
حسابات Google
بالنسبة إلى المؤسسات التي تستخدم حسابات Google، يتم استخدام حسابات المستخدمين في خدمة إدارة الخدمات الجوّالة للمؤسسات (EMM)
يمثّل هذا الحلّ حسابات المستخدمين الحالية المرتبطة بخدمة أخرى من Google.
(على سبيل المثال، G Suite). هذه الحسابات هي googleManaged
(الجدول 1) لأن
خدمات Google الخلفية هي المصدر لإنشاء
حول الحساب.
بصفتك موفِّر إدارة الخدمات الجوّالة للمؤسسات (EMM)، يمكنك توفير آليات في وحدة التحكّم لتسهيل الإنشاء. والمزامنة المستمرة لحسابات المستخدمين في نظامك مع مصادر حساب نطاق Google باستخدام أدوات مثل أداة مزامنة دليل Google Cloud وGoogle Admin SDK Directory API. للحصول على نظرة عامة على الأساليب المختلفة). نموذج هوية النطاق الذي تديره Google توفّر حساب المستخدم في سياق الحل الذي قدّمته (وحدة تحكّم إدارة الخدمات الجوّالة للمؤسسات (EMM)، EMM، ربما في مخزن بيانات) قبل أن يمكن إدارته على أي أجهزة المستخدم في سياق ملف العمل.
أثناء توفير الهوية، يكون نطاق المؤسسة الذي تديره Google معبئته بحسابات المستخدمين. في بعض الحالات، تكون الهويات الحالية للمستخدمين على الإنترنت (على سبيل المثال، حسابات Microsoft Exchange) تتم مزامنتها مع حسابات Google.
بعد المزامنة الأولية، وقبل توزيع التطبيقات على حسابات المستخدمين على الجهاز، على المستخدم تفعيل حسابه على Google على النحو الموضَّح في تفعيل الحسابات على الأجهزة هذا التفعيل يسمح للجهاز بالوصول إلى "Google Play للأعمال".
مزامنة حسابات العملاء
في عملية نشر "حسابات Google"، يمكن للمؤسسة استخدام أداة "أداة مزامنة دليل Google Cloud" من أجل مزامنة البيانات في نطاق G Suite مع البيانات في LDAP الدليل. يمكنك بدلاً من ذلك استخدام "أداة مزامنة دليل Google Cloud" لإجراء ذلك على حساب إذا سمحت لك المؤسسة بالوصول إليها.
تستدعي أداة مزامنة دليل Google Cloud واجهة برمجة تطبيقات دليل Google وتزامن أسماء المستخدمين، ولكن لا كلمات المرور.
إذا كانت المؤسسة تستخدم Microsoft Active Directory وتريد الاحتفاظ ببيانات المستخدمين تتم مزامنة كلمات مرور G Suite مع كلمات مرور Active Directory، ثم يمكنك - أو يمكنك - استخدام مزامنة كلمات المرور في G Suite (GSPS) باستخدام أداة مزامنة دليل Google Cloud.
للحصول على تعليمات "أداة مزامنة دليل Google Cloud" للمشرفين، يُرجى الاطّلاع على إعداد نطاق G Suite. للمزامنة.
واجهة برمجة تطبيقات دليل Google
في نشر حسابات Google، يمكنك استخدام Google Directory API من أجل: مزامنة الأدلة النشطة أو كلمات المرور أو كليهما:
استخدام واجهة برمجة التطبيقات للدليل لمزامنة الدليل فقط إذا كان لديك إذن بالقراءة فقط الوصول إلى نطاق Google المُدار للمؤسسة، يمكنك استخدام واجهة برمجة التطبيقات واجهة برمجة التطبيقات للدليل للحصول على معلومات حساب Google، مثل أسماء المستخدمين (ولكن ليس كلمات المرور) من Google. لأنه لا يمكنك كتابة أي بيانات إلى عناوين على حسابات Google، فإن المؤسسة مسؤولة بالكامل عن عمر الحساب دورات.
السيناريو 1 وسيناريوهات مصادقة الدخول المُوحَّد (SSO) المستنِدة إلى SAML ووصف هذا الموقف بشكل أكثر تفصيلاً.
لمزيد من المعلومات عن استخدام واجهة برمجة التطبيقات للدليل بهذه الطريقة، راجع استرداد جميع مستخدمو الحساب في وثائق واجهة برمجة تطبيقات الدليل.
استخدام واجهة برمجة التطبيقات للدليل ومزامنة كلمة المرور الاختيارية إذا كنت الحصول على إذن وصول للقراءة والكتابة إلى نطاق Google المُدار للمؤسسة، يمكنك استخدام واجهة برمجة تطبيقات دليل Google للحصول على أسماء المستخدمين وكلمات المرور معلومات حساب Google يمكنك تعديل هذه المعلومات ومزامنتها مع قاعدة البيانات الخاصة بك، وقد تتحمل مسئولية كاملة أو جزئية عن دورة حياة الحساب، اعتمادًا على الحل الذي تقدمه العميل.
السيناريو 2 يصف هذا الموقف بشكل أكثر تفصيلاً.
لمزيد من المعلومات عن استخدام واجهة برمجة التطبيقات للدليل لإدارة معلومات حساب المستخدم، يُرجى الاطِّلاع على Directory API: حسابات المستخدمين. دليل المطوِّرين.
سيناريوهات حسابات Google
تم توضيح بعض السيناريوهات النموذجية لتوفير المتطلبات اللازمة لحسابات Google. أدناه.
السيناريو 1: العميل المسؤول عن دورات حياة الحساب
في هذا السيناريو، يقوم العميل بإنشاء حسابات Google والحفاظ عليها المستخدمين.
يمكنك الحصول على معلومات حساب المستخدم من دليل LDAP للمؤسسة نربط ذلك ببيانات حساب Google التي تحصل عليها من Google من خلال واجهة برمجة التطبيقات للدليل:
المؤسسة مسؤولة بالكامل عن دورات حياة الحسابات. على سبيل المثال، عندما إنشاء حساب Google جديد، تضيف المؤسسة المستخدم إلى دليل LDAP الدليل. في المرة التالية التي تقوم فيها بمزامنة قاعدة البيانات مع دليل LDAP، قاعدة البيانات معلومات حول هذا المستخدم الجديد.
في هذا السيناريو:
- لديك إذن بالقراءة فقط على حسابات Google.
- تحصل قاعدة البيانات على أسماء حسابات Google، ولكن لا تحصل على أسماء مستخدمي LDAP أو كلمات المرور.
- تستخدم واجهة برمجة تطبيقات دليل Google للحصول على معلومات الحساب الأساسية
المستخدمين لدى العميل. (المعلومات المتوفرة لك هي المعلومات غير القابلة للكتابة)
تم إرجاعه من خلال
Users.get
). تستخدم هذه المعلومات لإثبات ملكية حسابات Google الخاصة بالمستخدمين. لكي يتمكّن المستخدمون من المصادقة على أجهزتهم. - يستخدم عميلك أداة "أداة مزامنة دليل Google Cloud" لإجراء مزامنة أحادية الاتجاه لتعبئة بيانات حسابات Google. (ربما تستخدم المؤسسة أيضًا "أداة مزامنة دليل Google Cloud" لإدارة عمليات إنشاء المزامنة بعد اكتمال توفير المتطلبات اللازمة). اختياريًا، يمكن لمؤسستك أيضًا استخدام أداة GSPS وذلك ليس فقط لمزامنة أسماء المستخدمين، ولكن أيضًا كلمات المرور.
السيناريو 2: إدارة الخدمات الجوّالة للمؤسسات (EMM) المسؤولة عن دورات حياة الحساب
في هذا السيناريو، ستتولى عملية إنشاء حسابات Google نيابةً عن من عميلك، وأنت مسئول عن دورات حياة حسابات المستخدمين.
على سبيل المثال، عندما تتغير معلومات المستخدم في دليل LDAP للمؤسسة، أنت مسؤول عن تحديث حساب Google للمستخدم. لا يتم استخدام "أداة مزامنة دليل Google Cloud" في هذا السيناريو.
في هذا السيناريو:
- لديك إذن بالقراءة والكتابة في حسابات Google.
- تحصل قاعدة البيانات على أسماء حسابات Google وأسماء مستخدمي LDAP (و اختياريًا، تجزئات كلمة المرور).
- أنت تستخدم Google Directory API نيابةً عن عميلك للاطّلاع على
كتابة معلومات الحساب لمستخدمي المؤسسة. (المعلومات
المتاحة لك هي المعلومات غير القابلة للكتابة
تم إرجاعه من خلال
Users.get
). تستخدم هذه المعلومات لإثبات ملكية حسابات Google الخاصة بالمستخدمين. لكي يتمكّن المستخدمون من المصادقة على أجهزتهم. - أداة مزامنة دليل Google Cloud غير مستخدمة.
سيناريوهات مصادقة الدخول الموحَّد (SSO) المستند إلى SAML
أثناء نشر "حسابات Google"، قد تستخدم أنت أو عميلك ميزات "الأمان" لغة ترميز التأكيد (SAML) مع موفِّر الهوية (IdP) للمصادقة حساب Google المرتبط بكل مستخدم. أنت تستخدم أسماء حسابات Google للتحقق من وجود حسابات Google الخاصة بالمستخدمين، وهو أمر ضروري يحتاج المستخدم المصادقة عندما يسجّل المستخدمون الدخول إلى أجهزتهم. على سبيل المثال، يمكن أن يكون SAML المستخدم في السيناريو 2. للحصول على تفاصيل عن كيفية إعداد هذه الطريقة، يُرجى الاطّلاع على مقالة إعداد كلمة مرور فردية. تسجيل الدخول (SSO) لحسابات G Suite
تفعيل الحسابات على الأجهزة
لكي يتم توزيع التطبيقات على جهاز مستخدم عبر "Google Play للأعمال"، تسجيل الدخول إلى الجهاز أثناء إدارة الأجهزة:
- في إدارة حسابات الأجهزة في "حسابات Google Play للأعمال"، توجِّه وحدة التحكّم بسياسة الجهاز المستخدم إلى تسجيل الدخول باستخدام بيانات الاعتماد المقبولة في إدارة الخدمات الجوّالة للمؤسسات (EMM). وحدة التحكم، وعادةً ما تكون بيانات اعتماد البريد الإلكتروني للشركة.
- عند نشر حسابات Google، توجِّه وحدة التحكّم بسياسة الجهاز (DPC) المستخدم إلى إدخال بيانات اعتماد تسجيل الدخول إلى حساب Google تتطابق بيانات الاعتماد هذه عادةً مع تلك البيانات التي يسجّل المستخدمون من خلالها الدخول إلى نطاق الشركة عند مزامنتها باستخدام "أداة مزامنة دليل Google Cloud" أو GSPS، أو عندما تستخدم مؤسسة موفِّر هوية لإجراء المصادقة. يؤدي ذلك إلى تفعيل حساب المستخدم على Google وإنشاء رقم تعريف فريد للجهاز. يربط هوية حساب المستخدم على Google ورقم تعريف جهازه.