Sử dụng công cụ của bên thứ ba để cấp phép nhanh chóng hàng loạt

Bài viết này dành cho quản trị viên CNTT có ít thời gian để cấp phép cho hơn 50.000 tài khoản người dùng.

Để nhanh chóng cấp phép cho tài khoản trên quy mô lớn, bạn có thể sử dụng các giải pháp của bên thứ ba. Ví dụ: Google Apps Manager (GAM) là một công cụ nguồn mở, miễn phí và có thể tải xuống. Công cụ này sử dụng Admin SDK Directory API để tạo và quản lý người dùng cũng như các nhóm trên Google Workspace.

GAM tương tác với nhiều API của Google mà bạn cũng có thể dùng để quản lý các tính năng và tài nguyên khác của tài khoản. Để biết thêm thông tin về cách tích hợp với các bên thứ ba, hãy truy cập vào trang hướng dẫn tại Giải quyết vấn đề bằng Google Cloud.

Trước khi bắt đầu

Để cấp phép cho tài khoản trên quy mô lớn, bạn cần:

  • Thành thạo các dấu nhắc dòng lệnh
  • Một tài khoản Google Workspace trả phí:

Bước 1: Tránh xung đột tài khoản

Một số người dùng có thể có Tài khoản Google cá nhân, chẳng hạn như địa chỉ Gmail. Tài khoản này có thể gây ra xung đột khi bạn cấp phép cho tài khoản Google Workspace hoặc Cloud Identity mới, được quản lý của họ. Để tránh các vấn đề như vậy:

  1. Đọc bài viết Giới thiệu về tài khoản xung đột.
  2. Tìm hiểu cách Tìm và quản lý tài khoản hiện có.

Bước 2: Tạo cơ cấu tổ chức đơn giản, phẳng

Tránh tạo cấu trúc phân cấp đơn vị tổ chức phức tạp có nhiều cấp. Bạn có thể sửa đổi cấu trúc phân cấp và di chuyển người dùng sau. Dưới đây là một số mẹo về cách thiết lập cơ cấu tổ chức đơn giản:

  • Tập trung vào các dịch vụ và tính năng mà người dùng bạn quản lý cần truy cập.
  • Hạn chế khả năng sử dụng dịch vụ và tính năng ở đơn vị tổ chức cấp cao nhất, cấp quyền truy cập cho các đơn vị tổ chức con.

Đọc thêm về Cách hoạt động của cơ cấu tổ chức.

Ví dụ về giáo dục

Trong bảng bên dưới, cấu trúc ở bên trái cho thấy cấu trúc thực tế của tổ chức. Ban đầu, cấu trúc này có thể khó quản lý. Ví dụ: nếu bạn phải cấp quyền truy cập vào các tính năng nâng cao của Google Meet cho giáo viên nhiều lần đối với nhiều đơn vị tổ chức trong trường.

Cấu trúc được đề xuất tập trung vào chức năng. Với tư cách là quản trị viên, bạn có thể dễ dàng tắt các dịch vụ và tính năng cho tất cả học sinh trong đơn vị tổ chức /Students (Học sinh). Ví dụ: bạn có thể tắt tính năng tự phục hồi mật khẩu và áp dụng các quy định hạn chế đối với YouTube. Bạn cũng có thể bật chức năng nâng cao cho giáo viên và các nhân viên khác, chẳng hạn như tính năng phát trực tiếp và ghi lại cuộc họp trên Meet cũng như tính năng Xác minh 2 bước.

Cơ cấu tổ chức mẫu Cơ cấu tổ chức nên áp dụng

/School 1/Staff/Teachers

/School 1/Students/Year 2020/Class A

/School 1/Students/Year 2020/...

/School 2/Staff/Teachers

/School 2/Students/Year 2020/Class C

/School 2/Students/Year 2020/...

/ (root OrgUnit)

/Students

/Staff/IT

/Staff/Teachers

Ví dụ về tổ chức lớn

Trước tiên, hãy xác định những dịch vụ và tính năng mà người dùng của bạn cần. Sau đó:

  1. Áp dụng các chế độ cài đặt này ở đơn vị tổ chức cấp cao nhất.
    Trừ phi bạn ghi đè các chế độ cài đặt đó, nếu không, các đơn vị tổ chức con sẽ kế thừa các chế độ cài đặt đó. Ví dụ:
  2. Để tăng cường bảo mật, hãy yêu cầu các bộ phận sử dụng tính năng Xác minh 2 bước.
Cơ cấu tổ chức mẫu Cơ cấu tổ chức nên áp dụng

/

/Sales

/IT

/Legal

/ (đơn vị tổ chức gốc)

/2SV-Enforced (IT và Pháp lý)

/2SV (và cho phép chia sẻ ra bên ngoài)

Bước 3: Chuẩn bị nguồn dữ liệu

Tạo một tệp giá trị được phân tách bằng dấu phẩy (CSV) có dữ liệu cần thiết để tiếp tục tạo tài khoản người dùng. Các trường bắt buộc:

  • FirstName
  • LastName
  • PrimaryEmail – Email mà người dùng sẽ dùng để đăng nhập
  • Mật khẩu—Phải có ít nhất 8 ký tự

  • OrgUnit – Để tạo người dùng trong các đơn vị tổ chức tương ứng, có tính đến các đề xuất ở trên

    Lưu ý: Nhập / (dấu gạch chéo lên) để đưa người dùng vào đơn vị tổ chức cấp cao nhất (gốc). Phân tách các đơn vị tổ chức con bằng dấu gạch chéo lên, ví dụ: /Staff/Teachers.

Ví dụ về giáo dục

FirstName,LastName,PrimaryEmail,Password,OrgUnit

Jane,Doe,id12345678@students.example.com,Zee+HWdt,/Students

John,Smith,john.smith@example.com,X2Ae+pME,/Staff

Ví dụ về tổ chức lớn

FirstName,LastName,PrimaryEmail,Password,OrgUnit

Jane,Doe,jane.doe@example.co.uk,V8hmj/QE,/

John,Smith,john.smith@example.com,9/t0UHQ6,/Sales

Bước 4: Thiết lập GAM

Nếu bạn quyết định sử dụng GAM, hãy làm theo các bước đề xuất sau:

  1. Với GAM phiên bản 5.10 trở lên, trước khi thực thi GAM lần đầu tiên, hãy tạo một tệp có tên là noshorturls.txt trong cùng thư mục với GAM.
    Thao tác này sẽ tắt URL rút gọn gam-shortn.appspot.com.
  2. Trên trang web GAM, tải GAM xuống.
  3. Định cấu hình công cụ.
  4. Trong quá trình thiết lập, khi được hỏi liệu bạn có "sẵn sàng cho phép GAM quản lý chế độ cài đặt và dữ liệu người dùng Google Workspace" hay không, hãy trả lời là N (không) để bỏ qua việc Uỷ quyền trên toàn miền.

Lệnh này giúp bạn xác nhận rằng GAM được liên kết với đúng tài khoản Google Workspace:

gam info domain

Bước 5: Tạo nhiều người dùng bằng GAM

Để tạo người dùng, GAM sẽ đọc từ một tệp giá trị được phân tách bằng dấu phẩy (CSV) và đưa ra các yêu cầu có liên quan cho Directory API của SDK dành cho quản trị viên.

Nếu bạn đã tạo một tệp giá trị được phân tách bằng dấu phẩy (CSV) có các trường được chỉ định trong Bước 3 ở trên, thì lệnh này sẽ tạo người dùng trong tệp CSV:

gam csv users.csv gam create user ~PrimaryEmail firstname ~FirstName lastname ~LastName password ~Password org ~OrgUnit changepassword on

Đảm bảo bạn thực hiện những bước sau:

  1. Tạo mật khẩu riêng biệt cho mỗi người dùng.
  2. Sử dụng tham số không bắt buộc changepassword on để buộc người dùng thay đổi mật khẩu sau lần đăng nhập đầu tiên.

Giải pháp thay thế: Nếu nguồn dữ liệu của bạn thiếu một số trường thì sao?

Nếu nguồn dữ liệu của bạn chỉ có tên và họ, cùng với một mật khẩu cho mỗi người dùng, thì bạn có thể tạo tên người dùng theo định dạng first.last@example.com. Đối với người dùng có tên là Charlie Smith, hãy sử dụng Charlie.Smith@example.com.

Lệnh này là:

gam csv users.csv gam create user ~~FirstName~~.~~LastName~~@example.com password ~Password changepassword on

Phương pháp này giả định rằng không có người dùng nào:

  • Có cùng tên
  • Có tên và họ có:
    • Dấu cách
    • Các ký tự không được phép khác

Chuyển đến Nguyên tắc đặt tên cho người dùng và nhóm.

Câu hỏi

Tôi có thể tìm thông tin về quy trình đăng ký và phê duyệt Google Workspace for Education ở đâu?

Để biết thông tin chi tiết về quy trình Google Workspace for Education, hãy truy cập vào:

  • Bắt đầu sử dụng Google Workspace for Education
  • Câu hỏi thường gặp về Google Workspace for Education

Tôi có thể tìm thông tin về G Suite dành cho tổ chức phi lợi nhuận ở đâu?

Để biết các lợi ích của chương trình, nguyên tắc về tính đủ điều kiện và nhiều thông tin khác, hãy truy cập vào Trung tâm trợ giúp Google cho Tổ chức phi lợi nhuận.

Tôi không truy cập được vào Bảng điều khiển dành cho quản trị viên hoặc tài khoản quản trị của mình. Em nên làm gì?

Chuyển đến trang đăng nhập, nhập tên người dùng rồi nhấp vào Bạn quên mật khẩu?

Nếu bạn làm theo lời nhắc nhưng vẫn không khôi phục được quyền truy cập, thì bạn sẽ được cung cấp lựa chọn liên hệ với Nhóm hỗ trợ Google Cloud. Bạn sẽ cần cung cấp bằng chứng về quyền sở hữu miền và trả lời một vài câu hỏi bảo mật.

Làm cách nào để xác nhận xem miền của tôi đã được xác minh hay chưa?

Sau khi tạo tài khoản Google Workspace, bạn sẽ được nhắc xác minh quyền sở hữu miền. Nếu bạn không nhớ đã làm việc này, hãy đăng nhập vào Bảng điều khiển dành cho quản trị viên, chuyển đến phần miền rồi nhấp vào Quản lý miền.

Miền đầu tiên được liệt kê là miền chính của bạn. Cột trạng thái cho biết liệu miền có cần xác minh hay không.

Nhóm hỗ trợ Google Cloud có thể giúp tôi giải đáp các câu hỏi về GAM không?

Nhóm hỗ trợ Google Cloud không hỗ trợ các giải pháp này hoặc các giải pháp khác của bên thứ ba, mà chỉ hỗ trợ Admin SDK Directory API mà các công cụ đó sử dụng. Mặc dù không thể trợ giúp về chính công cụ GAM, nhưng chúng tôi có thể trợ giúp nếu các API cơ bản trả về lỗi, cụ thể là Admin SDK Directory API. Tìm hiểu thêm về các lệnh và kỹ thuật GAM tại GAM Wiki.

Bạn cần được trợ giúp về GAM? Hãy liên hệ với một cộng đồng quản trị viên Google Workspace sẵn sàng hỗ trợ tại nhóm thảo luận GAM.

Nếu bạn cho rằng có vấn đề với Admin SDK Directory API, hãy cung cấp cho Nhóm hỗ trợ Google Cloud những thông tin chi tiết sau:

  • Phương thức và điểm cuối HTTP mà giải pháp của bên thứ ba đang gọi (ví dụ: POST /admin/directory/v1/users?fields=primaryEmail)

  • Mã phản hồi và thông báo (ví dụ: 403: Not Authorized to access this resource/api - forbidden (Không được phép truy cập vào tài nguyên/API này – bị cấm))

  • Ngày tiêu đề HTTP phản hồi (ví dụ: Date: Wed, 22 Jun 2020 17:48:48 GMT (Ngày: Thứ Tư, ngày 22 tháng 6 năm 2020, 17:48:48 GMT))
  • Thực thể thực hiện lệnh gọi: tên người dùng, tài khoản dịch vụ hoặc mã dự án trên đám mây của Google

Xoá các thông tin như tên, mật khẩu, tiêu đề yêu cầu xác thực, địa chỉ IP, giá trị của lược đồ tuỳ chỉnh hoặc bất kỳ thông tin nào khác mà bạn cho là nhạy cảm.

Dự án của tôi sắp hết hạn mức. Em nên làm gì?

Hạn mức mặc định sẽ đủ cho hầu hết khách hàng. Để biết thêm thông tin về hạn mức API, hãy chuyển đến bài viết Directory API: Limits and Quotas (Directory API: Hạn mức và hạn ngạch).

Nếu bạn vẫn muốn có thêm hạn mức cho dự án của mình, hãy tham khảo các yêu cầu trong phần hạn mức của bảng điều khiển Cloud:

  1. Mở bảng điều khiển Cloud.
  2. Chọn dự án mà GAM đã tạo ở trên cùng.
  3. Ở bên trái, hãy nhấp vào trình đơn điều hướng > IAM và quản trị > Hạn mức.
  4. Trong phần Dịch vụ, hãy lọc theo SDK dành cho quản trị viên (có liên quan đến việc cấp phép cho người dùng).
  5. Chọn các mục mà bạn muốn yêu cầu thêm hạn mức.
  6. Ở trên cùng, hãy nhấp vào Chỉnh sửa hạn mức.

Để bật tính năng thanh toán cho dự án trên Google Cloud do GAM tạo, hãy chuyển đến bài viết Làm cách nào để bật tính năng thanh toán cho(các) dự án hiện tại của tôi.