Usa una herramienta de terceros para el aprovisionamiento masivo rápido

Este artículo está dirigido a los administradores de TI que tienen poco tiempo para aprovisionar más de 50,000 cuentas de usuario.

Para el aprovisionamiento de cuentas rápido y a gran escala, puedes usar soluciones de terceros. Por ejemplo, Google Apps Manager (GAM), que es gratuito, descargable y de código abierto, usa la API de Directory del SDK de Admin para crear y administrar los usuarios y grupos de Google Workspace.

GAM interactúa con muchas APIs de Google, que también puedes usar para administrar otros recursos y funciones de cuentas. Para obtener más información sobre las integraciones con terceros, visita la página de instructivos en Solve with Google Cloud.

Antes de comenzar

El aprovisionamiento de cuentas a gran escala requiere lo siguiente:

  • Facilidad para usar indicaciones de línea de comandos
  • Una cuenta pagada de Google Workspace que cumpla con los siguientes requisitos:

Paso 1: Evita conflictos de cuentas

Es posible que algunos de tus usuarios tengan una Cuenta de Google personal, como una dirección de Gmail, que podría generar conflictos cuando aprovisiones su nueva cuenta administrada de Google Workspace o Cloud Identity. Para evitar estos problemas, haz lo siguiente:

  1. Lee Acerca de las cuentas en conflicto.
  2. Obtén más información para buscar y administrar cuentas existentes.

Paso 2: Crea una estructura organizativa simple y plana

Evita crear una jerarquía de unidades organizativas compleja con muchos niveles. Puedes modificar la jerarquía y mover a los usuarios más adelante. Estas son algunas sugerencias para configurar una estructura organizativa simplificada:

  • Enfócate en los servicios y las funciones a los que deben acceder los usuarios que administras.
  • Restringe la disponibilidad de servicios y funciones en la unidad organizativa de nivel superior y otorga acceso a las unidades organizativas secundarias.

Obtén más información sobre cómo funciona la estructura organizativa.

Ejemplo de educación

En la siguiente tabla, la estructura de la izquierda muestra la estructura real de la organización. Inicialmente, esta estructura puede ser difícil de administrar, por ejemplo, si debes otorgar acceso repetidamente a los profesores a las funciones avanzadas de Google Meet para numerosas unidades organizativas de la institución educativa.

La estructura propuesta se enfoca en la funcionalidad. Como administrador, puedes desactivar fácilmente los servicios y las funciones para todos los estudiantes de la unidad organizativa /Students. Por ejemplo, puedes desactivar la recuperación de contraseñas por medio del autoservicio y aplicar restricciones de YouTube. También puedes habilitar funciones avanzadas para los profesores y otros miembros del personal, como la transmisión y la grabación de Meet, y la verificación en 2 pasos.

Ejemplo de estructura organizativa Estructura organizativa recomendada

/School 1/Staff/Teachers

/School 1/Students/Year 2020/Class A

/School 1/Students/Year 2020/...

/School 2/Staff/Teachers

/School 2/Students/Year 2020/Class C

/School 2/Students/Year 2020/...

/ (root OrgUnit)

/Students

/Staff/IT

/Staff/Teachers

Ejemplo de organización grande

Primero, determina qué servicios y funciones necesitan tus usuarios. Luego:

  1. Aplica estos parámetros de configuración en la unidad organizativa de nivel superior.
    A menos que anules esos parámetros de configuración, las unidades organizativas secundarias los heredarán. Ejemplos:
  2. Para mayor seguridad, exige que los departamentos usen la verificación en 2 pasos.
Ejemplo de estructura organizativa Estructura organizativa recomendada

/

/Sales

/IT

/Legal

/ (unidad organizativa raíz)

/2SV-Enforced (TI y Legal)

/2SV (y permitir el uso compartido externo)

Paso 3: Prepara una fuente de datos

Crea un archivo de valores separados por comas (CSV) con los datos necesarios para continuar con la creación de la cuenta de usuario. Campos obligatorios:

  • FirstName
  • LastName
  • PrimaryEmail: Es el correo electrónico con el que accederá el usuario.
  • Contraseña: Debe tener al menos 8 caracteres.

  • OrgUnit: Para crear usuarios en sus respectivas unidades organizativas, teniendo en cuenta las recomendaciones anteriores

    Nota: Ingresa una / (barra diagonal) para colocar los usuarios en la unidad organizativa de nivel superior (raíz). Separa las unidades organizativas secundarias con una barra diagonal, por ejemplo, /Staff/Teachers..

Ejemplo de educación

FirstName,LastName,PrimaryEmail,Password,OrgUnit

Jane,Doe,id12345678@students.example.com,Zee+HWdt,/Students

John,Smith,john.smith@example.com,X2Ae+pME,/Staff

Ejemplo de organización grande

FirstName,LastName,PrimaryEmail,Password,OrgUnit

Jane,Doe,jane.doe@example.co.uk,V8hmj/QE,/

John,Smith,john.smith@example.com,9/t0UHQ6,/Sales

Paso 4: Configura GAM

Si decides usar GAM, sigue estos pasos recomendados:

  1. Con la versión 5.10 y posteriores de GAM, antes de ejecutar GAM por primera vez, crea un archivo llamado noshorturls.txt en la misma carpeta que GAM.
    Esto desactiva las URLs cortas de gam-shortn.appspot.com.
  2. Descarga GAM desde el sitio web de GAM.
  3. Configura la herramienta.
  4. Durante la configuración, cuando se te pregunte si tienes todo listo para autorizar que GAM administre la configuración y los datos de usuarios de Google Workspace (“ready to authorize GAM to manage Google Workspace user data and settings”), responde N (no) para omitir la delegación de todo el dominio.

Este comando te ayuda a confirmar que GAM está asociado a la cuenta correcta de Google Workspace:

gam info domain

Paso 5: Crea varios usuarios con GAM

Para crear los usuarios, GAM lee un archivo de valores separados por comas (CSV) y emite las solicitudes pertinentes a la API de Directory del SDK de Admin.

Si creaste un archivo de valores separados por comas (CSV) con los campos especificados en el paso 3 anterior, este comando crea los usuarios en el archivo CSV:

gam csv users.csv gam create user ~PrimaryEmail firstname ~FirstName lastname ~LastName password ~Password org ~OrgUnit changepassword on

Asegúrate de hacer lo siguiente:

  1. Crea una contraseña única para cada usuario.
  2. Usa el parámetro opcional changepassword on para obligar al usuario a cambiar su contraseña después de su primer acceso.

Alternativa: ¿Qué sucede si faltan algunos campos en tu fuente de datos?

Si tu fuente de datos solo tiene el nombre y el apellido, y una contraseña para cada usuario, puedes crear nombres de usuario con el formato first.last@example.com. Para un usuario llamado Charlie Smith, usa Charlie.Smith@example.com.

El comando es el siguiente:

gam csv users.csv gam create user ~~FirstName~~.~~LastName~~@example.com password ~Password changepassword on

Este enfoque supone que ningún usuario tiene lo siguiente:

  • El mismo nombre
  • Nombres y apellidos con los siguientes caracteres:
    • Espacios
    • Otros caracteres no permitidos

Consulta los Lineamientos para los nombres de los usuarios y los grupos.

Preguntas

¿Dónde puedo encontrar información sobre la solicitud y la aprobación de Google Workspace for Education?

Para obtener detalles sobre el proceso de Google Workspace for Education, consulta los siguientes recursos:

¿Dónde puedo encontrar información sobre G Suite for Nonprofits?

Para conocer los beneficios del programa, las pautas de elegibilidad y mucho más, visita el Centro de ayuda de Google para organizaciones sin fines de lucro.

No puedo acceder a la Consola del administrador ni a mi cuenta de administrador. ¿Qué debo hacer?

Ve a la página de acceso, ingresa tu nombre de usuario y haz clic en ¿Olvidaste la contraseña?

Si sigues las instrucciones, pero aún no puedes recuperar el acceso, se te ofrecerá la opción de comunicarte con el equipo de asistencia de Google Cloud. Necesitarás un comprobante de propiedad del dominio y las respuestas a algunas preguntas de seguridad.

¿Cómo puedo confirmar si se verificó mi dominio?

Después de crear tu cuenta de Google Workspace, se te pedirá que verifiques la propiedad de tu dominio. Si no recuerdas haberlo hecho, accede a la Consola del administrador, ve a la sección de dominios y haz clic en Administrar dominios.

El primer dominio que aparece en la lista es tu dominio principal. La columna de estado muestra si el dominio requiere verificación o no.

¿Puede ayudarme el equipo de asistencia de Google Cloud con preguntas sobre GAM?

La Asistencia de Google Cloud no admite estas ni otras soluciones de terceros, solo la API de Directory del SDK de Admin que usan esas herramientas. Si bien no podemos ayudarte con la herramienta de GAM en sí, podemos hacerlo si las APIs subyacentes muestran errores, específicamente la API de Directory del SDK de Admin. Obtén más información sobre los comandos y las técnicas de GAM en la wiki de GAM.

¿Necesitas ayuda con GAM? Comunícate con una comunidad de administradores de Google Workspace dispuestos a ofrecer asistencia en el grupo de debate de GAM.

Si crees que hay un problema con la API de Directory del SDK de Admin, proporciona los siguientes detalles al equipo de asistencia de Google Cloud:

  • El método y el extremo HTTP que llama la solución de terceros (por ejemplo, POST /admin/directory/v1/users?fields=primaryEmail)

  • Código y mensaje de respuesta (por ejemplo, 403: No se autorizó el acceso a este recurso o API; prohibido)

  • Fecha del encabezado HTTP de la respuesta (por ejemplo, Date: Wed, 22 Jun 2020 17:48:48 GMT)
  • Entidad que realiza la llamada: nombre de usuario, cuenta de servicio o ID del proyecto de Google Cloud

Quita información como nombres, contraseñas, encabezados de solicitudes de autenticación, direcciones IP, valores de esquemas personalizados o cualquier otra información que consideres sensible.

Mi proyecto se está quedando sin cuota. ¿Qué debo hacer?

Las cuotas predeterminadas deberían ser suficientes para la mayoría de los clientes. Para obtener más información sobre los límites de la API, consulta API de Directory: Límites y cuotas.

Si aún deseas obtener más cuota para tu proyecto, consulta los requisitos en la sección de cuotas de la consola de Google Cloud:

  1. Abre Google Cloud Console
  2. Selecciona el proyecto que creó GAM en la parte superior.
  3. A la izquierda, haz clic en Menú de navegación > IAM y administración > Cuotas.
  4. En Servicio, filtra por SDK de Admin (relevante para el aprovisionamiento de usuarios).
  5. Selecciona los elementos para los que deseas solicitar más cuota.
  6. En la parte superior, haz clic en Editar cuotas.

Para habilitar la facturación en el proyecto de Google Cloud que creó GAM, consulta ¿Cómo habilito la facturación en mis proyectos actuales?.