Utiliser un outil tiers pour provisionner des comptes en masse rapidement

Cet article s'adresse aux administrateurs informatiques qui disposent d'un temps limité pour provisionner plus de 50 000 comptes utilisateur.

Il est possible de provisionner des comptes rapidement et à grande échelle à l'aide de solutions tierces. Par exemple, l'outil Google Apps Manager, sans frais, téléchargeable et Open Source, se sert de l'API Directory du SDK Admin pour créer et gérer les utilisateurs et les groupes Google Workspace.

GAM interagit avec de nombreuses API Google, qui vous permettent aussi de gérer d'autres fonctionnalités et ressources du compte. Pour en savoir plus sur les intégrations avec des outils tiers, consultez la page de tutoriels Résoudre des problèmes avec Google Cloud.

Avant de commencer

Le provisionnement de comptes à grande échelle nécessite :

  • Une bonne connaissance des invites de ligne de commande
  • Un compte Google Workspace payant qui :

Étape 1 : Évitez les conflits de compte

Certains de vos utilisateurs peuvent disposer d'un compte Google personnel, tel qu'une adresse Gmail, qui peut générer des conflits lorsque vous provisionnez leur nouveau compte géré Google Workspace ou Cloud Identity. Pour éviter ce type de problèmes :

  1. Consultez À propos des comptes en conflit.
  2. Découvrez comment rechercher et gérer des comptes existants.

Étape 2 : Créez une structure organisationnelle simple et horizontale

Évitez de créer une hiérarchie complexe d'unités organisationnelles comportant de nombreux niveaux. Vous pourrez modifier la hiérarchie et déplacer les utilisateurs ultérieurement. Voici quelques conseils pour configurer une structure organisationnelle simplifiée :

  • Concentrez-vous sur les services et les fonctionnalités auxquels les comptes utilisateur que vous gérez doivent accéder.
  • Restreignez la disponibilité des services et des fonctionnalités au niveau de l'unité organisationnelle racine, en accordant l'accès aux unités organisationnelles enfants.

En savoir plus sur le fonctionnement de la structure organisationnelle

Exemple dans le domaine de l'éducation

Dans le tableau ci-dessous, la colonne de gauche indique la structure réelle de l'organisation. Cette structure peut être difficile à gérer initialement, par exemple si vous devez accorder plusieurs fois aux enseignants l'accès aux fonctionnalités avancées de Google Meet pour de nombreuses unités organisationnelles de l'établissement.

La structure proposée est axée sur les fonctionnalités. En tant qu'administrateur, vous pouvez facilement désactiver les services et les fonctionnalités pour tous les élèves de l'unité organisationnelle /Élèves. Par exemple, vous pouvez désactiver la récupération des mots de passe en libre-service et appliquer des restrictions liées à YouTube. Vous pouvez également activer les fonctionnalités avancées pour les enseignants et les autres membres du personnel, telles que la diffusion et l'enregistrement dans Meet, ainsi que la validation en deux étapes.

Exemple de structure organisationnelle Structure organisationnelle recommandée

/School 1/Staff/Teachers

/School 1/Students/Year 2020/Class A

/School 1/Students/Year 2020/...

/School 2/Staff/Teachers

/School 2/Students/Year 2020/Class C

/School 2/Students/Year 2020/...

/ (root OrgUnit)

/Students

/Staff/IT

/Staff/Teachers

Exemple dans une grande entreprise

Déterminez tout d'abord les services et les fonctionnalités dont vos utilisateurs ont besoin. Ensuite :

  1. Appliquez ces paramètres à l'unité organisationnelle racine.
    À moins d'ignorer ces paramètres, les unités organisationnelles enfants en hériteront. Exemples :
  2. Pour renforcer la sécurité, imposez aux différents services d'utiliser la validation en deux étapes.
Exemple de structure organisationnelle Structure organisationnelle recommandée

/

/Sales

/IT

/Legal

/ (unité organisationnelle racine)

/2SV-Enforced (services informatique et juridique)

/2SV (et autoriser le partage externe)

Étape 3 : Préparez une source de données

Créez un fichier CSV (valeurs séparées par une virgule) contenant les données nécessaires à la création du compte utilisateur. Champs obligatoires :

  • FirstName
  • LastName
  • PrimaryEmail (Adresse e-mail principale) : adresse e-mail avec laquelle l'utilisateur se connecte
  • Password (Mot de passe) : doit comporter au moins huit caractères

  • OrgUnit (Unité organisationnelle) : permet de créer des comptes utilisateur dans leurs unités organisationnelles respectives, en tenant compte des recommandations ci-dessus

    Remarque : Saisissez une barre oblique (/) pour placer les utilisateurs dans votre unité organisationnelle racine. Séparez les unités organisationnelles enfants par une barre oblique, par exemple /Staff/Teachers..

Exemple dans le domaine de l'éducation

FirstName,LastName,PrimaryEmail,Password,OrgUnit

Jane,Doe,id12345678@students.example.com,Zee+HWdt,/Students

John,Smith,john.smith@example.com,X2Ae+pME,/Staff

Exemple dans une grande entreprise

FirstName,LastName,PrimaryEmail,Password,OrgUnit

Jane,Doe,jane.doe@example.co.uk,V8hmj/QE,/

John,Smith,john.smith@example.com,9/t0UHQ6,/Sales

Étape 4 : Configurez GAM

Si vous décidez d'utiliser GAM, procédez comme indiqué ci-après.

  1. Avec la version 5.10 ou ultérieure, avant d'exécuter GAM pour la première fois, créez un fichier nommé noshorturls.txt dans le même dossier que GAM.
    Cette action désactive les URL courtes gam-shortn.appspot.com.
  2. Sur le site Web de GAM, téléchargez GAM.
  3. Configurez l'outil.
  4. Lors de la configuration, lorsque vous devez indiquer si vous souhaitez autoriser GAM à gérer les données et les paramètres utilisateur de Google Workspace, répondez N (Non) pour ignorer la délégation au niveau du domaine.

La commande suivante vous permet de vérifier que GAM est associé au bon compte Google Workspace :

gam info domain

Étape 5 : Créez plusieurs comptes utilisateur avec GAM

Pour créer les comptes utilisateur, GAM lit un fichier CSV (valeurs séparées par une virgule), puis envoie les requêtes correspondantes à l'API Directory du SDK Admin.

Si vous avez créé un fichier CSV (valeurs séparées par une virgule) dont les champs ont été spécifiés conformément à l'étape 3 ci-dessus, la commande suivante permet de créer des comptes utilisateur dans le fichier CSV :

gam csv users.csv gam create user ~PrimaryEmail firstname ~FirstName lastname ~LastName password ~Password org ~OrgUnit changepassword on

Assurez-vous de :

  1. Créez un mot de passe unique pour chaque utilisateur.
  2. Le paramètre facultatif changepassword on vous permet d'obliger l'utilisateur à modifier son mot de passe après sa première connexion.

Solution alternative : que se passe-t-il si certains champs sont manquants dans votre source de données ?

Si votre source de données ne comporte que le prénom, le nom et un mot de passe pour chaque utilisateur, vous pouvez créer des noms d'utilisateur au format first.last@example.com. Pour un utilisateur nommé Charlie Smith, utilisez Charlie.Smith@example.com.

Exécutez pour cela la commande suivante :

gam csv users.csv gam create user ~~FirstName~~.~~LastName~~@example.com password ~Password changepassword on

Cette approche suppose qu'aucun utilisateur n'a :

  • le même nom ;
  • un prénom ou nom comportant l'un des éléments suivants :
    • Spaces
    • Autres caractères non autorisés

Consultez les Consignes relatives aux noms des utilisateurs et des groupes.

Questions

Où puis-je trouver des informations concernant l'inscription à Google Workspace for Education et son approbation ?

Pour en savoir plus sur la procédure à suivre dans Google Workspace for Education :

  • Premiers pas avec Google Workspace for Education
  • Questions fréquentes concernant Google Workspace for Education

Où puis-je trouver des informations sur G Suite pour les associations ?

Pour connaître les avantages du programme, les critères d'éligibilité, ainsi que d'autres informations, consultez le Centre d'aide Google pour les associations.

Je ne parviens pas à accéder à la console d'administration ni à mon compte administrateur. Que dois-je faire ?

Accédez à la page de connexion, saisissez votre nom d'utilisateur, puis cliquez sur Mot de passe oublié ?.

Si vous ne parvenez toujours pas à récupérer l'accès en suivant ces instructions, vous pouvez contacter l'assistance Google Cloud. Vous devrez prouver que vous êtes propriétaire du domaine et répondre à quelques questions de sécurité.

Comment puis-je vérifier si mon domaine a été validé ?

Après avoir créé votre compte Google Workspace, vous êtes invité à valider la propriété de votre domaine. Si vous ne vous souvenez pas l'avoir fait, connectez-vous à la console d'administration, accédez à la section "Domaines", puis cliquez sur Gérer les domaines.

Le premier domaine de la liste est votre domaine principal. La colonne "État" indique si le domaine doit être validé ou non.

L'assistance Google Cloud peut-elle répondre aux questions que je me pose concernant Google Apps Manager ?

L'assistance Google Cloud ne permet pas de répondre à ces questions, ni à celles concernant d'autres solutions tierces. Elle ne peut vous aider qu'en ce qui concerne l'API Directory du SDK Admin utilisée par ces outils. Bien que nous ne fournissions pas d'assistance avec l'outil Google Apps Manager, nous pouvons vous aider si les API sous-jacentes renvoient des erreurs, en particulier l'API Directory du SDK Admin. Pour découvrir d'autres commandes et techniques Google Apps Manager, consultez le wiki consacré à l'outil.

Vous avez besoin d'aide concernant GAM ? Contactez le groupe de discussion au sujet de cet outil pour joindre une communauté d'administrateurs Google Workspace prêts à vous aider.

Si vous pensez qu'il y a un problème avec l'API Directory du SDK Admin, fournissez les informations suivantes à l'assistance Google Cloud :

  • La méthode HTTP et le point de terminaison appelés par la solution tierce (POST /admin/directory/v1/users?fields=primaryEmail, par exemple)

  • Le code et le message de réponse ("403: Not Authorized to access this resource/api - forbidden" [403 : Vous n'êtes pas autorisé à accéder à cette ressource/API - accès interdit], par exemple)

  • La date figurant dans l'en-tête de réponse HTTP (Date: Mon, 22 Jun 2020 17:48:48 GMT [Date : lundi 22 juin 2020 17:48:48 GMT], par exemple)
  • L'entité à l'origine de l'appel : nom d'utilisateur, compte de service ou ID de projet Google Cloud

Supprimez les informations telles que les noms, les mots de passe, les en-têtes de demandes d'authentification, les adresses IP, les valeurs de schémas personnalisés ou toute autre information que vous jugez sensible.

Mon projet atteint les limites imposées par les quotas. Que dois-je faire ?

Les quotas par défaut devraient suffire pour la plupart des clients. Pour en savoir plus sur les limites applicables à l'API, consultez API Directory : Limites et quotas.

Si vous souhaitez malgré tout bénéficier de quotas plus permissifs pour votre projet, consultez les conditions requises dans la section "Quotas" de la console Google Cloud :

  1. Ouvrez Google Cloud Console.
  2. Sélectionnez le projet Google Apps Manager créé en haut de page.
  3. Sur la gauche, cliquez sur le menu de navigation  > IAM et administration > Quotas.
  4. Sous Service, filtrez par SDK Admin (utile pour le provisionnement des comptes utilisateur).
  5. Sélectionnez les éléments pour lesquels vous souhaitez demander un quota supplémentaire.
  6. En haut de la page, cliquez sur Modifier les quotas.

Pour activer la facturation sur le projet Google Cloud créé par GAM, accédez à Comment activer la facturation sur mes projets actuels.