จัดสรรบัญชีผู้ใช้

การจัดสรรข้อมูลประจำตัว (หรือ การจัดสรรบัญชี) คือกระบวนการตั้งค่าบัญชีและการสร้างการเชื่อมต่อระหว่างระบบทั้ง 3 ระบบ และในบางกรณีก็เป็นการตั้งค่าการเชื่อมต่อระหว่างผู้ใช้กับอุปกรณ์

ในสภาพแวดล้อม Android Enterprise ระบบต่างๆ มากถึง 3 ระบบจะเก็บข้อมูลบัญชีไว้ ดังนี้

• ไดเรกทอรีผู้ใช้ขององค์กรเป็นแหล่งข้อมูลที่เชื่อถือได้เกี่ยวกับผู้ใช้
• คุณ (ผู้ให้บริการโซลูชัน EMM) ต้องดูแลรักษาไดเรกทอรีผู้ใช้ขององค์กรอย่างน้อยที่สุด
• Google จะเก็บข้อมูลบางอย่างเกี่ยวกับบัญชี Managed Google Play และบัญชี Google เพื่อให้การจัดการแอปผ่าน Google Play

---

ทรัพยากร Users แสดงถึงบัญชี ที่เชื่อมโยงกับองค์กร บัญชีอาจเฉพาะเจาะจงกับอุปกรณ์ หรืออาจเชื่อมโยงกับบุคคลที่มีอุปกรณ์หลายเครื่อง (โทรศัพท์มือถือ แท็บเล็ต และอื่นๆ) และใช้บัญชีในอุปกรณ์ทั้งหมด บัญชีอาจให้สิทธิ์เข้าถึง Managed Google Play เท่านั้น หรือให้สิทธิ์เข้าถึงบริการอื่นๆ ของ Google ก็ได้ ทั้งนี้ขึ้นอยู่กับวิธีที่คุณ ตั้งค่าองค์กรของลูกค้า

• บัญชี Managed Google Play เป็นวิธีที่โปร่งใสสำหรับองค์กรในการสร้างบัญชีผู้ใช้หรือบัญชีอุปกรณ์โดยอัตโนมัติผ่านผู้ให้บริการโซลูชัน Enterprise Mobility Management (EMM) บัญชีเหล่านี้ให้สิทธิ์เข้าถึง Managed Google Play เท่านั้น

• บัญชี Google เป็นบัญชีที่มีอยู่ซึ่ง Google จัดการ และต้องมีการซิงค์กับแหล่งที่มาของบัญชี Google

ตารางที่ 1: ฟิลด์และเมธอดของ Users API

	บัญชี Managed Google Play	บัญชี Google ที่มีการจัดการ
ช่อง
id
ชนิด
accountIdentifier	ตัวระบุที่ไม่ซ้ำกันที่คุณสร้างและแมปกับรหัส (userId) ที่ Google Play ส่งคืน อย่าใช้ข้อมูลส่วนบุคคลที่ระบุตัวบุคคลนั้นได้ (PII)	ไม่ได้ตั้งค่า
accountType	deviceAccount, userAccount	userAccount
displayName	ชื่อที่คุณแสดงในรายการ UI เช่น ภายใน Google Play อย่าใช้ข้อมูลส่วนบุคคลที่ระบุตัวบุคคลนั้นได้	ไม่ได้ตั้งค่า
managementType	emmManaged	googleManaged, emmManaged
primaryEmail	ไม่ได้ตั้งค่า	ฟิลด์นี้เป็นคีย์หลักที่คุณใช้จัดการการซิงค์จากบัญชีโดเมนที่ Google จัดการไปยังบัญชีผู้ใช้ในระบบ
เมธอด
ลบ
generateAuthenticationToken
generateToken
รับ
getAvailableProductSet
Insert
list
revokeToken
setAvailableProductSet
อัปเดต

---

บัญชี Managed Google Play

บัญชี Managed Google Play มี 2 ประเภท ได้แก่

บัญชีผู้ใช้

ให้สิทธิ์เข้าถึง Managed Google Play แก่ผู้ใช้รายเดียวจากอุปกรณ์ทุกเครื่อง คุณต้องจัดสรรบัญชีผู้ใช้ให้ผู้ใช้ เนื่องจากผู้ใช้ไม่มีข้อมูลเข้าสู่ระบบเพื่อเพิ่มบัญชี Managed Google Play ด้วยตนเอง

หากต้องการสร้างบัญชีผู้ใช้ ให้เรียก Users.insert ตั้งค่าประเภทบัญชีเป็น userType และตั้งค่า accountIdentifier ซึ่งอ้างอิงถึงผู้ใช้ภายในองค์กรโดยไม่ซ้ำกัน

แนวทางปฏิบัติแนะนำ: อย่าใช้บัญชีเดียวกันในอุปกรณ์เกิน 10 เครื่อง

บัญชีอุปกรณ์

ให้สิทธิ์เข้าถึง Managed Google Play จากอุปกรณ์เครื่องเดียว หากมีการออกโทเค็นการตรวจสอบสิทธิ์สำหรับบัญชีอุปกรณ์ คำขอโทเค็นการตรวจสอบสิทธิ์ใหม่สำหรับบัญชีอุปกรณ์นั้นจะปิดใช้งานโทเค็นก่อนหน้า อุปกรณ์แต่ละเครื่องควรมีใบอนุญาตสำหรับแอปแยกกัน

หากต้องการสร้างบัญชีอุปกรณ์ ให้เรียก Users.insert และตั้งค่าประเภทบัญชีเป็น deviceType

คุณสร้างและดูแลรักษาการแมประหว่างข้อมูลประจำตัวของผู้ใช้หรืออุปกรณ์กับบัญชี Managed Google Play ที่เกี่ยวข้อง และจัดการบัญชีตลอดอายุการใช้งาน องค์กรไม่จำเป็นต้องควบคุมบัญชี Managed Google Play เหล่านี้โดยตรง เนื่องจากบัญชีมีไว้เพื่อการจัดการแอปพลิเคชันเท่านั้น

ข้อกำหนดสำหรับคอนโซลและเซิร์ฟเวอร์ EMM

บัญชี Managed Google Play จะสร้างขึ้นตามความต้องการโดยใช้โปรแกรมผ่าน Google Play EMM API และ Android Framework API ในคอมโพเนนต์ต่างๆ ของโซลูชัน EMM (คอนโซล EMM, เซิร์ฟเวอร์ EMM และ DPC) คอมโพเนนต์เหล่านี้จะโต้ตอบกันในขณะที่ รันไทม์เพื่อสร้างบัญชีผู้ใช้และเพื่อ จัดสรรโปรไฟล์งานในอุปกรณ์เป้าหมาย

คอนโซลหรือเซิร์ฟเวอร์ EMM ต้องมีคุณสมบัติดังนี้

• มีกลไกในการสร้างตัวระบุบัญชีที่ไม่ซ้ำกันและไม่เปิดเผยตัวตน (accountIdentifier field) เพื่อใช้ในการเรียก Users.insert เช่น คุณอาจใช้ค่าภายในบางอย่างสำหรับผู้ใช้ ("sanjeev237389") หรือหมายเลขแท็กเนื้อหาที่เข้ารหัส ("asset#44448") หลีกเลี่ยงการใช้ข้อมูลส่วนบุคคลที่ระบุตัวบุคคลนั้นได้ (PII) สำหรับตัวระบุบัญชี

• จัดเก็บการแมประหว่าง userId (ส่งคืนจากการเรียก insert) กับ accountIdentifier ที่คุณเลือก

ดูข้อกำหนดสำหรับ DPC ได้ที่หัวข้อสร้างเครื่องมือควบคุมนโยบายด้านอุปกรณ์

สร้างบัญชีผู้ใช้ Managed Google Play

1. ผู้ใช้ลงชื่อเข้าใช้ DPC โดยใช้ข้อมูลเข้าสู่ระบบของบริษัท (โดยปกติ)
2. DPC ขอรายละเอียดเกี่ยวกับผู้ใช้จากเซิร์ฟเวอร์หรือคอนโซล EMM โดยสมมติว่าระบบของคุณไม่รู้จักผู้ใช้ ให้ทำดังนี้
   1. ส่งคำขอสำหรับบัญชี Managed Google Play ใหม่โดยเรียก Users.insert ด้วยค่าสำหรับ ใหม่ accountIdentifier, displayName และ accountType
      • ระบบของคุณต้องสร้าง accountIdentifier ตัวระบุบัญชีต้องเป็นค่าที่ไม่ซ้ำกันในระบบ อย่าใช้ PII สำหรับตัวระบุบัญชี
      • displayName จะแสดงในตัวสลับบัญชีของ Google Play Store และควรมีความหมายสำหรับผู้ใช้ (แต่ไม่ใช่ PII เกี่ยวกับผู้ใช้) เช่น ชื่ออาจรวมถึงชื่อองค์กรหรือชื่อทั่วไปที่เกี่ยวข้องกับ EMM
      • ตั้งค่า accountType เป็น userAccount หรือ deviceAccount userAccount สามารถใช้ในอุปกรณ์หลายเครื่องได้ ส่วน deviceAccount จะเฉพาะเจาะจงกับอุปกรณ์เครื่องเดียว accountType ที่ระบุอาจเป็น deviceType หรือ userType
      • ตั้งค่า managementType เป็น emmManaged
   2. Google Play จะประมวลผลคำขอ สร้างบัญชี และส่งคืน userId
   3. จัดเก็บการแมประหว่าง accountIdentifier กับ userId ใน Datastore
   4. เรียก Users.generateAuthenticationToken ด้วย userId และ enterpriseId Google Play จะส่งคืนโทเค็นการตรวจสอบสิทธิ์ที่ใช้ได้ครั้งเดียว และต้องใช้ภายในไม่กี่นาที
   5. ส่งต่อโทเค็นการตรวจสอบสิทธิ์ไปยัง DPC อย่างปลอดภัย
3. DPC จะจัดสรรโปรไฟล์งานและเพิ่มบัญชีลงในโปรไฟล์งานหรืออุปกรณ์
4. ผู้ใช้จะเข้าถึง Managed Google Play ได้ภายในโปรไฟล์งานหรืออุปกรณ์

บัญชีผู้ดูแลระบบ

เมื่อผู้ดูแลระบบสร้างองค์กรที่มี Managed Google Play บัญชี, บัญชี Google ที่ใช้จะต้องไม่ใช่บัญชี Google Workspace บัญชีที่ใช้จะกลายเป็นเจ้าขององค์กร และเจ้าของจะเพิ่มเจ้าของและผู้ดูแลระบบเพิ่มเติมในคอนโซล Managed Google Play ได้

ทั้ง Enterprises.get และ Enterprises.completeSignup จะส่งคืนรายชื่ออีเมลของผู้ดูแลระบบที่เชื่อมโยงกับองค์กร (เฉพาะองค์กรที่มีบัญชี Managed Google Play)

จัดการวงจรของบัญชี

ในการติดตั้งใช้งานบัญชี Managed Google Play คุณมีหน้าที่รับผิดชอบวงจรของบัญชีผู้ใช้และบัญชีอุปกรณ์ ซึ่งหมายความว่าคุณต้องสร้าง อัปเดต และลบบัญชีเหล่านี้

คุณสร้างบัญชีระหว่างการจัดเตรียมอุปกรณ์ ซึ่งเป็นกระบวนการที่เกี่ยวข้องกับแอป DPC และคอนโซล EMM ดูวิธีการได้ที่หัวข้อเมธอดบัญชี Managed Google Play

หากต้องการเปลี่ยนข้อมูลของบัญชี ให้เรียก Users.update

หากต้องการลบบัญชี ให้เรียก Users.delete

ผู้ดูแลระบบจะลบบัญชีแต่ละบัญชีไม่ได้ แต่จะลบองค์กรที่มีบัญชี Managed Google Play ได้ เมื่อดำเนินการดังกล่าว ระบบจะลบบัญชีอุปกรณ์และ บัญชีผู้ใช้ที่เชื่อมโยงกับองค์กรในที่สุดตามที่ อธิบายไว้ใน ยกเลิกการลงทะเบียน ลงทะเบียนอีกครั้ง ลบ

การหมดอายุของบัญชี

บางครั้งบัญชีหรือโทเค็นของบัญชีจะหมดอายุ ซึ่งอาจเกิดขึ้นได้จากหลายสาเหตุ ดังนี้

• โทเค็นการตรวจสอบสิทธิ์ ที่ได้รับเพื่อเพิ่มบัญชีลงในอุปกรณ์หมดอายุแล้ว
• บัญชีหรือองค์กรถูกลบแล้ว
• สำหรับบัญชีอุปกรณ์ บัญชีถูกเพิ่มลงในอุปกรณ์ใหม่และจึงถูกปิดใช้ในอุปกรณ์เครื่องเก่า
• ระบบจะทริกเกอร์การตรวจสอบการละเมิดโดยอัตโนมัติ
• หากอุปกรณ์ออฟไลน์นานกว่า 270 วัน ระบบอาจลบข้อมูลของอุปกรณ์เนื่องจากกระบวนการล้างข้อมูลเป็นชุด

ในกรณีส่วนใหญ่ (ยกเว้นกรณีที่ EMM ย้ายบัญชีอุปกรณ์ไปยังอุปกรณ์ใหม่โดยเจตนา) แนวทางปฏิบัติแนะนำคือใช้ Google Play EMM API เพื่อขอโทเค็นใหม่จากเซิร์ฟเวอร์ EMM จดบันทึกสถานะของบัญชีและองค์กร รวมถึงข้อผิดพลาดที่ส่งคืน แล้วดำเนินการที่เหมาะสมกับอุปกรณ์ เช่น ต่ออายุโทเค็น หรือหากข้อผิดพลาดไม่สามารถกู้คืนได้ ให้รีเซ็ตหรือยกเลิกการลงทะเบียนอุปกรณ์

หากต้องการต่ออายุโทเค็นอย่างถูกต้อง คุณควรทำดังนี้

1. เรียกusers.generateAuthenticationToken เพื่อขอโทเค็นการตรวจสอบสิทธิ์ใหม่สำหรับบัญชี
2. หากการเรียกใช้สำเร็จ ให้ลบบัญชีที่มีอยู่ออกและเพิ่มบัญชีใหม่โดยใช้ไลบรารีการสนับสนุน DPC
3. หากการเรียกใช้ไม่สำเร็จ ให้ลบบัญชีออกจากอุปกรณ์และสร้างผู้ใช้ใหม่โดยใช้ users.insert สร้างโทเค็นการตรวจสอบสิทธิ์ และเพิ่มบัญชีลงในอุปกรณ์

บริการ Google Play เวอร์ชัน 9.0.00 จะแจ้งให้ DPC ทราบว่าบัญชีหมดอายุแล้วโดยใช้การดำเนินการออกอากาศต่อไปนี้

1. เมื่อบัญชี Managed Google Play ไม่ถูกต้องในอุปกรณ์ DPC จะได้รับการออกอากาศด้วยการดำเนินการต่อไปนี้

   com.google.android.gms.auth.ACCOUNT_REAUTH_REQUIRED

   Intent การออกอากาศมีข้อมูลเพิ่มเติม Parcelable ที่มีชื่อ account ซึ่ง เป็นออบเจ็กต์ Account ของบัญชีที่ไม่ถูกต้อง

2. DPC จะตรวจสอบ Account#name กับเซิร์ฟเวอร์ EMM เพื่อระบุบัญชีที่ไม่ถูกต้อง

3. DPC จะขอข้อมูลเข้าสู่ระบบใหม่หรือบัญชีใหม่ โดยทำตามขั้นตอนเดียวกับที่ใช้ในการจัดสรรอุปกรณ์ในตอนแรก

---

บัญชี Google

สำหรับองค์กรที่ใช้บัญชี Google บัญชีผู้ใช้ในโซลูชันของ EMM จะจำลองบัญชีผู้ใช้ที่มีอยู่ซึ่งเชื่อมโยงกับบริการอื่นของ Google (เช่น Google Workspace) บัญชีเหล่านี้เป็น googleManaged (ตารางที่ 1) เนื่องจาก บริการแบ็กเอนด์ของ Google เป็นแหล่งที่มาของการสร้างและข้อมูล เกี่ยวกับบัญชี

ในฐานะ EMM คุณสามารถจัดหากลไกในคอนโซลเพื่อช่วยในการสร้าง และซิงค์บัญชีผู้ใช้ที่จัดเก็บไว้ในระบบกับ แหล่งที่มาของบัญชี Google Domain อย่างต่อเนื่องโดยใช้เครื่องมือต่างๆ เช่น Google Cloud Directory Sync (GCDS) และ Google Admin SDK Directory API ดูภาพรวมของแนวทางต่างๆ ได้ที่ โมเดลข้อมูลประจำตัวของโดเมนที่ Google จัดการกำหนดให้บัญชีผู้ใช้ต้องมีอยู่ในบริบทของโซลูชัน (คอนโซล EMM, เซิร์ฟเวอร์ EMM หรืออาจอยู่ใน Datastore) ก่อนที่จะจัดสรรในอุปกรณ์ของผู้ใช้ในบริบทของโปรไฟล์งานได้

ระหว่างการจัดสรรข้อมูลประจำตัว ระบบจะป้อนข้อมูลบัญชีผู้ใช้ลงในโดเมนที่ Google จัดการขององค์กร ในบางกรณี ระบบจะซิงค์ข้อมูลประจำตัวออนไลน์ที่มีอยู่ของผู้ใช้ (เช่น บัญชี Microsoft Exchange) กับบัญชี Google

หลังจากซิงค์ครั้งแรก แต่ก่อนที่จะเผยแพร่แอปไปยังอุปกรณ์ของผู้ใช้ ผู้ใช้ต้องเปิดใช้งานบัญชี Google ตามที่อธิบายไว้ใน หัวข้อเปิดใช้งานบัญชีในอุปกรณ์ การเปิดใช้งานนี้จะช่วยให้อุปกรณ์เข้าถึง Managed Google Play ได้

ซิงค์บัญชีลูกค้า

ในการติดตั้งใช้งานบัญชี Google องค์กรสามารถใช้เครื่องมือ GCDS เพื่อซิงค์ข้อมูลในโดเมน Google Workspace กับข้อมูลในไดเรกทอรี LDAP หรือคุณจะใช้ GCDS เพื่อดำเนินการนี้ในนามขององค์กรก็ได้ หากองค์กรให้สิทธิ์เข้าถึงแก่คุณ

เครื่องมือ GCDS จะเรียก Google Directory API และซิงค์ชื่อผู้ใช้ แต่ไม่ซิงค์รหัสผ่าน

หากองค์กรใช้ Microsoft Active Directory และต้องการซิงค์รหัสผ่าน Google Workspace ของผู้ใช้กับรหัสผ่าน Active Directory โปรดดูหัวข้อเตรียมพร้อมใช้งาน Password Sync

ดูวิธีการ GCDS สำหรับผู้ดูแลระบบได้ที่หัวข้อ ให้สิทธิ์บัญชี Google

Google Directory API

ในการติดตั้งใช้งานบัญชี Google คุณสามารถใช้ Google Directory API เพื่อซิงค์ Active Directory, รหัสผ่าน หรือทั้ง 2 อย่างได้

• การใช้ Directory API เพื่อซิงค์ไดเรกทอรีเท่านั้น หากคุณมีสิทธิ์เข้าถึงระดับอ่านอย่างเดียวในโดเมน Google ที่มีการจัดการขององค์กร คุณสามารถใช้ Google Directory API เพื่อรับข้อมูลบัญชี Google เช่น ชื่อผู้ใช้ (แต่ไม่ใช่รหัสผ่าน) จาก Google ได้ เนื่องจากคุณเขียนข้อมูลลงในบัญชี Google ของผู้ใช้ไม่ได้ องค์กรจึงรับผิดชอบวงจรของบัญชีอย่างเต็มที่

  สถานการณ์ที่ 1 และ สถานการณ์การตรวจสอบสิทธิ์ SSO ที่ใช้ SAML อธิบายสถานการณ์นี้อย่างละเอียดมากขึ้น

  ดูข้อมูลเกี่ยวกับการใช้ Directory API ในลักษณะนี้ได้ที่หัวข้อดึงข้อมูลผู้ใช้บัญชีทั้งหมดในเอกสารประกอบของ Directory API

• การใช้ Directory API เพื่อซิงค์ไดเรกทอรีและรหัสผ่าน (ไม่บังคับ) หากคุณมีสิทธิ์เข้าถึงระดับอ่านและเขียนในโดเมน Google ที่มีการจัดการขององค์กร คุณสามารถใช้ Google Directory API เพื่อรับชื่อผู้ใช้ รหัสผ่าน และข้อมูลบัญชี Google อื่นๆ ได้ คุณสามารถอัปเดตข้อมูลนี้และซิงค์กับฐานข้อมูลของคุณเอง และอาจรับผิดชอบวงจรของบัญชีทั้งหมดหรือบางส่วน ทั้งนี้ขึ้นอยู่กับโซลูชันที่คุณเสนอให้ลูกค้า

  สถานการณ์ที่ 2 อธิบายสถานการณ์นี้อย่างละเอียดมากขึ้น

  ดูข้อมูลเพิ่มเติมเกี่ยวกับการใช้ Directory API เพื่อจัดการข้อมูลบัญชีผู้ใช้ได้ที่ คู่มือสำหรับนักพัฒนาแอปDirectory API: บัญชีผู้ใช้

สถานการณ์บัญชี Google

ด้านล่างนี้เป็นตัวอย่างสถานการณ์การจัดสรรข้อมูลประจำตัวของบัญชี Google ทั่วไป

สถานการณ์ที่ 1: ลูกค้ารับผิดชอบวงจรของบัญชี

ในสถานการณ์นี้ ลูกค้าของคุณจะสร้างและดูแลรักษาบัญชี Google ให้กับผู้ใช้

คุณจะได้รับข้อมูลบัญชีผู้ใช้จากไดเรกทอรี LDAP ขององค์กร และคุณ เชื่อมโยงข้อมูลนี้กับข้อมูลบัญชี Google ที่คุณได้รับจาก Google ผ่าน Google Directory API

องค์กรรับผิดชอบวงจรของบัญชีอย่างเต็มที่ เช่น เมื่อมีการสร้างบัญชี Google ใหม่ องค์กรจะเพิ่มผู้ใช้ลงในไดเรกทอรี LDAP เมื่อคุณซิงค์ฐานข้อมูลกับไดเรกทอรี LDAP ในครั้งถัดไป ฐานข้อมูลจะได้รับข้อมูลเกี่ยวกับผู้ใช้ใหม่รายนี้

ในสถานการณ์นี้จะมีผลดังต่อไปนี้

• คุณมีสิทธิ์เข้าถึงบัญชี Google ระดับอ่านอย่างเดียว
• ฐานข้อมูลของคุณจะได้รับชื่อบัญชี Google แต่ไม่ได้รับชื่อผู้ใช้หรือรหัสผ่าน LDAP
• คุณใช้ Google Directory API เพื่อรับข้อมูลบัญชีพื้นฐานสำหรับผู้ใช้ของลูกค้า (ข้อมูลที่คุณเข้าถึงได้คือข้อมูลที่เขียนไม่ได้ ซึ่งส่งคืนโดยคำขอ Users.get ) คุณใช้ข้อมูลนี้เพื่อยืนยันว่าบัญชี Google ของผู้ใช้มีอยู่ เพื่อให้ผู้ใช้สามารถตรวจสอบสิทธิ์กับอุปกรณ์ได้
• ลูกค้าของคุณใช้เครื่องมือ GCDS เพื่อซิงค์แบบทางเดียวเพื่อป้อนข้อมูลลงในบัญชี Google ของผู้ใช้ (องค์กรอาจใช้ GCDS เพื่อซิงค์อย่างต่อเนื่องของตนเองหลังจากจัดสรรข้อมูลประจำตัวเสร็จแล้วด้วย) หรือองค์กรจะใช้เครื่องมือ GSPS เพื่อซิงค์ไม่เพียงแต่ชื่อผู้ใช้ แต่ยังรวมถึงรหัสผ่านด้วยก็ได้

สถานการณ์ที่ 2: EMM รับผิดชอบวงจรของบัญชี

ในสถานการณ์นี้ คุณจะจัดการกระบวนการสร้างบัญชี Google ในนามของลูกค้า และรับผิดชอบวงจรของบัญชีผู้ใช้

เช่น เมื่อข้อมูลผู้ใช้เปลี่ยนแปลงในไดเรกทอรี LDAP ขององค์กร คุณมีหน้าที่รับผิดชอบในการอัปเดตบัญชี Google ของผู้ใช้ ในสถานการณ์นี้จะไม่มีการใช้ GCDS

ในสถานการณ์นี้จะมีผลดังต่อไปนี้

• คุณมีสิทธิ์เข้าถึงบัญชี Google ระดับอ่านและเขียน
• ฐานข้อมูลของคุณจะได้รับชื่อบัญชี Google และชื่อผู้ใช้ LDAP (และแฮชรหัสผ่านด้วยก็ได้)
• คุณใช้ Google Directory API ในนามของลูกค้าเพื่ออ่านและเขียนข้อมูลบัญชีสำหรับผู้ใช้ขององค์กร (ข้อมูลที่คุณเข้าถึงได้คือข้อมูลที่เขียนไม่ได้ซึ่งส่งคืนโดยคำขอ)Users.get คุณใช้ข้อมูลนี้เพื่อยืนยันว่าบัญชี Google ของผู้ใช้มีอยู่ เพื่อให้ผู้ใช้สามารถตรวจสอบสิทธิ์กับอุปกรณ์ได้
• ไม่มีการใช้เครื่องมือ GCDS

สถานการณ์การตรวจสอบสิทธิ์ SSO ที่ใช้ SAML

ในการติดตั้งใช้งานบัญชี Google คุณหรือลูกค้าอาจใช้ภาษามาร์กอัปเพื่อยืนยันความปลอดภัย (SAML) กับผู้ให้บริการข้อมูลประจำตัว (IdP) เพื่อตรวจสอบสิทธิ์บัญชี Google ที่เชื่อมโยงกับผู้ใช้แต่ละราย คุณใช้ชื่อบัญชี Google เป็นการยืนยันว่าบัญชี Google ของผู้ใช้มีอยู่ ซึ่งจำเป็นสำหรับการตรวจสอบสิทธิ์ผู้ใช้เมื่อผู้ใช้ลงชื่อเข้าใช้อุปกรณ์ เช่น อาจใช้ SAML ในสถานการณ์ที่ 2 ดูรายละเอียดเกี่ยวกับวิธีตั้งค่าได้ที่หัวข้อเกี่ยวกับ SSO

เปิดใช้งานบัญชีในอุปกรณ์

หากต้องการเผยแพร่แอปไปยังอุปกรณ์ของผู้ใช้ผ่าน Managed Google Play ผู้ใช้ต้องลงชื่อเข้าใช้อุปกรณ์ระหว่าง การจัดเตรียมอุปกรณ์:

• ในการจัดเตรียมอุปกรณ์สำหรับบัญชี Managed Google Play แอป DPC จะแนะนำให้ผู้ใช้ลงชื่อเข้าใช้โดยใช้ข้อมูลเข้าสู่ระบบที่คอนโซล EMM ยอมรับ ซึ่งโดยปกติจะเป็นข้อมูลเข้าสู่ระบบอีเมลของบริษัท
• ในการติดตั้งใช้งานบัญชี Google แอป DPC จะแนะนำให้ผู้ใช้ป้อนข้อมูลเข้าสู่ระบบบัญชี Google โดยปกติข้อมูลเข้าสู่ระบบเหล่านี้จะตรงกับข้อมูลที่ผู้ใช้ใช้ลงชื่อเข้าใช้โดเมนของบริษัทเมื่อซิงค์กับ GCDS หรือ GSPS หรือเมื่อองค์กรใช้ IdP เพื่อการตรวจสอบสิทธิ์ การดำเนินการนี้จะเปิดใช้งานบัญชี Google ของผู้ใช้ สร้างรหัสอุปกรณ์ที่ไม่ซ้ำกัน และผูกข้อมูลประจำตัวบัญชี Google ของผู้ใช้กับรหัสอุปกรณ์ของอุปกรณ์