Använd ett tredjepartsverktyg för snabb massprovisionering

Den här artikeln är för IT-administratörer som har begränsad tid att etablera fler än 50 000 användarkonton.

För snabb och storskalig kontoadministration kan du använda tredjepartslösningar. Till exempel använder den kostnadsfria, nedladdningsbara och öppna källkoden Google Apps Manager (GAM) Admin SDK Directory API för att skapa och hantera Google Workspace-användare och -grupper.

GAM interagerar med många Google API:er, som du även kan använda för att hantera andra kontofunktioner och resurser. För mer information om integrationer med tredje part, besök handledningssidan på Solve with Google Cloud .

Innan du börjar

Att provisionera konton i stor skala kräver:

  • Funktion med kommandoradstolkar
  • Ett betalt Google Workspace-konto som är:

Steg 1: Undvik kontokonflikter

Vissa av dina användare kan ha ett personligt Google-konto, till exempel en Gmail-adress, vilket kan skapa konflikter när du etablerar deras nya, hanterade Google Workspace- eller Cloud Identity-konto. Så här undviker du sådana problem:

  1. Läs om kontokonflikter .
  2. Lär dig hur du hittar och hanterar befintliga konton .

Steg 2: Skapa en enkel, platt organisationsstruktur

Undvik att skapa en komplex hierarki för organisationsenheter med många nivåer. Du kan ändra hierarkin och flytta användare senare. Här är några tips om hur du skapar en förenklad organisationsstruktur:

  • Fokusera på de tjänster och funktioner som användarna du hanterar behöver åtkomst till.
  • Begränsa tillgängligheten för tjänster och funktioner på den översta organisationsenheten och bevilja åtkomst till underordnade organisationsenheter.

Läs mer om hur organisationsstrukturen fungerar .

Utbildningsexempel

I tabellen nedan visar strukturen till vänster organisationens faktiska struktur. Inledningsvis kan denna struktur vara svår att hantera, till exempel om du upprepade gånger måste ge lärare åtkomst till avancerade Google Meet-funktioner för flera organisationsenheter i skolan.

Den föreslagna strukturen fokuserar på funktionalitet. Som administratör kan du enkelt stänga av tjänster och funktioner för alla elever i organisationsenheten /Students . Du kan till exempel stänga av självbetjäning för lösenordsåterställning och tillämpa YouTube-begränsningar. Du kan också aktivera avancerade funktioner för lärare och annan personal, till exempel Meet-streaming och inspelning samt tvåstegsverifiering.

Exempel på organisationsstruktur Rekommenderad organisationsstruktur

/School 1/Staff/Teachers

/School 1/Students/Year 2020/Class A

/School 1/Students/Year 2020/...

/School 2/Staff/Teachers

/School 2/Students/Year 2020/Class C

/School 2/Students/Year 2020/...

/ (root OrgUnit)

/Students

/Staff/IT

/Staff/Teachers

Exempel på stor organisation

Först, bestäm vilka tjänster och funktioner dina användare behöver. Sedan:

  1. Tillämpa dessa inställningar på den översta organisationsenheten.
    Om du inte åsidosätter dessa inställningar ärver underordnade organisationsenheter dem. Exempel:
  2. För ökad säkerhet, kräv att avdelningar använder tvåstegsverifiering .
Exempel på organisationsstruktur Rekommenderad organisationsstruktur

/

/Sales

/IT

/Legal

/ (rotorganisationsenhet)

/2SV-Enforced (IT och juridik)

/2SV (och tillåt extern delning)

Steg 3: Förbered en datakälla

Skapa en kommaseparerad fil (CSV) med nödvändiga data för att fortsätta med skapandet av användarkontot. Obligatoriska fält:

  • Förnamn
  • Efternamn
  • Primär e-postadress — Den e-postadress som användaren loggar in med
  • Lösenord — Måste vara minst 8 tecken långt

  • Organisationsenhet — För att skapa användare i deras respektive organisationsenheter, med hänsyn till rekommendationerna ovan.

    Obs! Ange ett / (snedstreck) för att placera användare i din toppnivåorganisationsenhet (rotorganisationsenhet). Separera underordnade organisationsenheter med ett snedstreck – till exempel /Staff/Teachers.

Utbildningsexempel

FirstName,LastName,PrimaryEmail,Password,OrgUnit

Jane,Doe,id12345678@students.example.com,Zee+HWdt,/Students

John,Smith,john.smith@example.com,X2Ae+pME,/Staff

Exempel på stor organisation

FirstName,LastName,PrimaryEmail,Password,OrgUnit

Jane,Doe,jane.doe@example.co.uk,V8hmj/QE,/

John,Smith,john.smith@example.com,9/t0UHQ6,/Sales

Steg 4: Konfigurera GAM

Om du bestämmer dig för att spela spelet, följ dessa rekommenderade steg:

  1. Med GAM version 5.10 och senare, innan du kör GAM för första gången, skapa en fil med namnet noshorturls.txt i samma mapp som GAM.
    Detta stänger av korta URL:er för gam-shortn.appspot.com.
  2. Ladda ner GAM från GAMs webbplats.
  3. Konfigurera verktyget .
  4. När du under konfigurationen tillfrågas om du är "redo att ge GAM behörighet att hantera Google Workspace-användardata och -inställningar" svarar du N (nej) för att hoppa över domänomfattande delegering.

Det här kommandot hjälper dig att bekräfta att GAM är kopplat till rätt Google Workspace-konto:

gam info domain

Steg 5: Skapa flera användare med GAM

För att skapa användarna läser GAM från en kommaseparerad fil (CSV) och skickar relevanta förfrågningar till Admin SDK Directory API .

Om du skapade en kommaseparerad fil (CSV) med fälten som angavs i steg 3 ovan, skapar det här kommandot användarna i CSV-filen:

gam csv users.csv gam create user ~PrimaryEmail firstname ~FirstName lastname ~LastName password ~Password org ~OrgUnit changepassword on

Se till att:

  1. Skapa ett unikt lösenord för varje användare.
  2. Använd den valfria parametern changepassword on för att tvinga användaren att ändra sitt lösenord efter sin första inloggning.

Alternativ: Vad händer om din datakälla saknar vissa fält?

Om din datakälla bara har för- och efternamn och ett lösenord för varje användare kan du skapa användarnamn i formatet first.last@example.com . För en användare som heter Charlie Smith, använd Charlie.Smith@example.com .

Kommandot är:

gam csv users.csv gam create user ~~FirstName~~.~~LastName~~@example.com password ~Password changepassword on

Denna metod förutsätter att inga användare har:

  • Samma namn
  • För- och efternamn med:
    • Utrymmen
    • Andra otillåtna tecken

Gå till namnriktlinjerna för användare och grupper .

Frågor

Var kan jag hitta information om ansökan och godkännande av Google Workspace for Education?

För mer information om Google Workspace for Education-processen, gå till:

Var kan jag hitta information om G Suite för ideella organisationer?

För programförmåner, behörighetsriktlinjer och mer, besök Google för ideella organisationers hjälpcenter .

Jag kan inte komma åt administratörskonsolen eller mitt administratörskonto. Vad ska jag göra?

Gå till inloggningssidan , ange ditt användarnamn och klicka på Glömt lösenordet?

Om du följer anvisningarna men fortfarande inte kan återställa åtkomsten erbjuds du möjligheten att kontakta Google Cloud-supporten. Du behöver bevis på domänägande och svar på några säkerhetsfrågor.

Hur kan jag bekräfta om min domän har verifierats?

När du har skapat ditt Google Workspace-konto uppmanas du att verifiera ägarskapet för din domän. Om du inte minns att du gjorde det loggar du in på administratörskonsolen , går till avsnittet domäner och klickar på Hantera domäner .

Den första domänen som listas är din primära domän. Statuskolumnen visar om domänen kräver verifiering eller inte.

Kan Google Cloud-supporten hjälpa mig med GAM-frågor?

Google Cloud Support har inte stöd för dessa eller andra tredjepartslösningar, bara Admin SDK Directory API som dessa verktyg använder. Även om vi inte kan hjälpa till med själva GAM-verktyget, kan vi hjälpa till om de underliggande API:erna returnerar fel, särskilt Admin SDK Directory API. Läs mer om GAM-kommandon och tekniker på GAM Wiki .

Behöver du hjälp med GAM? Kontakta en grupp Google Workspace-administratörer som är villiga att erbjuda support i GAM-diskussionsgruppen .

Om du tror att det finns ett problem med Admin SDK Directory API, ange följande information till Google Cloud Support:

  • HTTP-metoden och slutpunkten som tredjepartslösningen anropar (till exempel POST /admin/directory/v1/users?fields=primaryEmail )

  • Svarskod och meddelande (till exempel 403: Inte behörig att komma åt denna resurs/API - förbjuden)

  • Datum för HTTP-header för svar (till exempel datum: ons, 22 juni 2020 17:48:48 GMT )
  • Enhet som gör samtalet: användarnamn, tjänstkonto eller Google Cloud-projekt-ID

Ta bort information som namn, lösenord, rubriker för autentiseringsbegäran, IP-adresser, värden för anpassade scheman eller annan information som du anser vara känslig.

Mitt projekt håller på att ta slut. Vad ska jag göra?

Standardkvoterna borde vara tillräckliga för de flesta kunder. För ytterligare information om API-gränser, gå till Directory API: Limits and Quotas .

Om du fortfarande vill ha mer kvot för ditt projekt, se kraven i kvotavsnittet i Google Cloud-konsolen:

  1. Öppna Google Cloud-konsolen .
  2. Välj det projekt-GAM som skapades högst upp.
  3. Till vänster klickar du på Navigeringsmenyn > IAM och administration > Kvoter .
  4. Under Tjänst filtrerar du efter Admin SDK (relevant för användarprovisionering).
  5. Välj de artiklar du vill begära mer kvot för.
  6. Klicka på Redigera kvoter högst upp.

För att aktivera fakturering för Google Cloud-projektet som skapats av GAM, gå till Hur aktiverar jag fakturering för mitt/mina nuvarande projekt.