Utilizzare uno strumento di terze parti per eseguire rapidamente il provisioning in blocco

Questo articolo è rivolto agli amministratori IT che hanno poco tempo a disposizione per eseguire il provisioning di oltre 50.000 account utente.

Per un provisioning rapido e su larga scala degli account, puoi utilizzare soluzioni di terze parti. Ad esempio, Google Apps Manager (GAM) è uno strumento senza costi, scaricabile e open source che utilizza l'API Admin SDK Directory per creare e gestire utenti e gruppi di Google Workspace.

GAM interagisce con molte API di Google, che puoi utilizzare anche per gestire altre funzionalità e risorse per gli account. Per ulteriori informazioni sulle integrazioni con terze parti, visita la pagina dei tutorial delle soluzioni Google Cloud.

Prima di iniziare

Il provisioning degli account su larga scala richiede quanto segue:

  • Conoscenza dei prompt della riga di comando
  • Un account Google Workspace a pagamento che sia:

Passaggio 1: evita i conflitti tra account

Alcuni dei tuoi utenti potrebbero avere un Account Google personale, ad esempio un indirizzo Gmail, che può generare conflitti quando esegui il provisioning del loro nuovo account Google Workspace o Cloud Identity gestito. Per evitare problemi di questo tipo:

  1. Leggi Informazioni sugli account in conflitto.
  2. Scopri come Individuare e gestire account esistenti.

Passaggio 2: crea una struttura organizzativa semplice

Evita di creare una gerarchia di unità organizzative complessa con molti livelli. Puoi modificare la gerarchia e spostare gli utenti in un secondo momento. Ecco alcuni suggerimenti su come configurare una struttura organizzativa semplificata:

  • Concentrati sui servizi e sulle funzionalità a cui devono accedere gli utenti che gestisci.
  • Limita la disponibilità di funzionalità e servizi nell'unità organizzativa di primo livello, consentendo l'accesso alle unità organizzative secondarie.

Scopri di più sul funzionamento della struttura organizzativa.

Esempio per Education

Nella tabella seguente, quella a sinistra è la struttura effettiva dell'organizzazione. Inizialmente, questa struttura potrebbe essere difficile da gestire, ad esempio se devi consentire ripetutamente agli insegnanti l'accesso alle funzionalità avanzate di Google Meet per molte unità organizzative della scuola.

La struttura proposta risulta più funzionale. In qualità di amministratore, puoi disattivare facilmente i servizi e le funzionalità per tutti gli studenti dell'unità organizzativa /Studenti. Ad esempio, potresti disattivare il recupero self-service della password e applicare limitazioni per YouTube. Puoi anche attivare funzionalità avanzate per gli insegnanti e altri membri del personale, ad esempio lo streaming e la registrazione di Meet e la verifica in due passaggi.

Esempio di struttura organizzativa Struttura organizzativa consigliata

/School 1/Staff/Teachers

/School 1/Students/Year 2020/Class A

/School 1/Students/Year 2020/...

/School 2/Staff/Teachers

/School 2/Students/Year 2020/Class C

/School 2/Students/Year 2020/...

/ (root OrgUnit)

/Students

/Staff/IT

/Staff/Teachers

Esempio di organizzazione di grandi dimensioni

Per prima cosa, stabilisci quali servizi e funzionalità servono ai tuoi utenti. Quindi:

  1. Applica queste impostazioni all'unità organizzativa di primo livello.
    Se non le sostituisci, le unità organizzative secondarie le erediteranno. Esempi:
  2. Per maggiore sicurezza, richiedi ai reparti di utilizzare la verifica in due passaggi.
Esempio di struttura organizzativa Struttura organizzativa consigliata

/

/Sales

/IT

/Legal

/ (unità organizzativa radice)

/2SV-Enforced (IT e Legale)

/2SV (e consenti la condivisione esterna)

Passaggio 3: prepara un'origine dati

Crea un file CSV (valori separati da virgole) con i dati necessari per procedere alla creazione dell'account utente. Campi obbligatori:

  • FirstName
  • LastName
  • PrimaryEmail: indirizzo email con cui accede l'utente
  • Password: deve contenere almeno 8 caratteri

  • OrgUnit: per creare gli utenti nelle rispettive unità organizzative, tenendo presenti i consigli riportati sopra

    Nota:inserisci una barra (/) per aggiungere gli utenti all'unità organizzativa di primo livello (root). Separa le unità organizzative secondarie con una barra, ad esempio /Staff/Teachers.

Esempio per Education

FirstName,LastName,PrimaryEmail,Password,OrgUnit

Jane,Doe,id12345678@students.example.com,Zee+HWdt,/Students

John,Smith,john.smith@example.com,X2Ae+pME,/Staff

Esempio di organizzazione di grandi dimensioni

FirstName,LastName,PrimaryEmail,Password,OrgUnit

Jane,Doe,jane.doe@example.co.uk,V8hmj/QE,/

John,Smith,john.smith@example.com,9/t0UHQ6,/Sales

Passaggio 4: configura GAM

Se decidi di utilizzare GAM, segui questa procedura consigliata:

  1. Con GAM 5.10 e versioni successive, prima di eseguire GAM per la prima volta, crea un file denominato noshorturls.txt nella stessa cartella di GAM.
    In questo modo gli URL brevi di gam-shortn.appspot.com vengono disattivati.
  2. Scarica GAM dal sito web di GAM.
  3. Configura lo strumento.
  4. Durante la configurazione, quando viene chiesto se si è pronti ad autorizzare GAM a gestire i dati e le impostazioni degli utenti di Google Workspace, rispondi N (no) per ignorare la delega a livello di dominio.

Questo comando consente di verificare se GAM è associato all'account Google Workspace corretto:

gam info domain

Passaggio 5: crea più utenti con GAM

Per creare gli utenti, GAM legge da un file CSV (valori delimitati da virgole) e invia le richieste pertinenti all'API Admin SDK Directory.

Se hai creato un file CSV (valori delimitati da virgole) con i campi specificati nel Passaggio 3, questo comando crea gli utenti nel file CSV:

gam csv users.csv gam create user ~PrimaryEmail firstname ~FirstName lastname ~LastName password ~Password org ~OrgUnit changepassword on

Assicurati di:

  1. Creare una password univoca per ogni utente.
  2. Utilizza il parametro facoltativo changepassword on per obbligare l'utente a cambiare la password dopo il primo accesso.

Alternativa: cosa succede se nell'origine dati mancano alcuni campi?

Se l'origine dati contiene solo il nome e il cognome e una password per ogni utente, puoi creare nomi utente nel formato first.last@example.com. Per un utente di nome Carlo Bianchi, utilizza Charlie.Smith@example.com.

Il comando è:

gam csv users.csv gam create user ~~FirstName~~.~~LastName~~@example.com password ~Password changepassword on

Questo approccio presuppone che nessun utente abbia:

  • Lo stesso nome
  • Nome e cognome con:
    • Spazi
    • Altri caratteri non consentiti

Vai alle Linee guida per i nomi di utenti e gruppi.

Domande

Dove posso trovare informazioni sull'applicazione e l'approvazione di Google Workspace for Education?

Per informazioni dettagliate sulla procedura per Google Workspace for Education, vai a:

Dove posso trovare informazioni su G Suite per il non profit?

Per i vantaggi offerti dal programma, i criteri di idoneità e altro ancora, visita il Centro assistenza Google per il non profit.

Non riesco ad accedere alla Console di amministrazione o al mio account amministratore. Che cosa devo fare?

Vai alla pagina di accesso, inserisci il tuo nome utente e fai clic su Password dimenticata?

Se segui le indicazioni ma non riesci comunque ad accedere, hai la possibilità di contattare l'assistenza Google Cloud. Dovrai dimostrare di essere il proprietario del dominio e rispondere ad alcune domande di sicurezza.

Come faccio a verificare se il mio dominio è stato verificato?

Dopo aver creato l'account Google Workspace, ti verrà chiesto di verificare la proprietà del dominio. Se non ricordi di averlo fatto, accedi alla Console di amministrazione, vai alla sezione relativa ai domini e fai clic su Gestisci domini.

Il primo dominio elencato è il tuo dominio principale. La colonna dello stato indica se il dominio richiede o meno la verifica.

L'assistenza di Google Cloud può rispondere a eventuali domande su GAM?

L'assistenza di Google Cloud non supporta né questa né altre soluzioni di terze parti, ma solo l'API Admin SDK Directory utilizzata da tali strumenti. Anche se non possiamo fornirti assistenza per lo strumento GAM, possiamo aiutarti se le API sottostanti restituiscono errori, in particolare l'API Admin SDK Directory. Scopri di più su tecniche e comandi di GAM nel wiki di GAM.

Hai bisogno di aiuto con GAM? Contatta una community di amministratori di Google Workspace disponibile a offrire assistenza nel gruppo di discussione di GAM.

Se ritieni che ci sia un problema con l'API Admin SDK Directory, fornisci questi dettagli all'assistenza di Google Cloud:

  • Il metodo e l'endpoint HTTP chiamati dalla soluzione di terze parti (ad esempio, POST /admin/directory/v1/users?fields=primaryEmail)

  • Codice e messaggio di risposta (ad esempio, 403: Accesso all'api/risorsa non autorizzato - vietato)

  • Data intestazione HTTP di risposta (ad esempio, Date: Wed, 22 Jun 2020 17:48:48 GMT)
  • Entità che effettua la chiamata: nome utente, service account o ID progetto Google Cloud

Rimuovi informazioni quali nomi, password, intestazioni delle richieste di autenticazione, indirizzi IP, valori di schemi personalizzati o qualsiasi altra informazione che ritieni sensibile.

Il mio progetto sta per esaurire la quota. Che cosa devo fare?

Le quote predefinite dovrebbero essere sufficienti per la maggior parte dei clienti. Per ulteriori informazioni sui limiti API, vedi limiti e quote per l'API Directory.

Se vuoi aumentare la quota per il tuo progetto, consulta i requisiti nella sezione relativa alla quota della console Google Cloud:

  1. Apri la console Google Cloud.
  2. Seleziona il progetto GAM creato in alto.
  3. A sinistra, fai clic sul menu di navigazione > IAM e amministrazione > Quote.
  4. In Servizio, filtra in base a SDK Admin (per il provisioning degli utenti).
  5. Seleziona gli elementi per i quali vuoi richiedere l'aumento di quota.
  6. In alto, fai clic su Modifica quote.

Per attivare la fatturazione per il progetto Google Cloud creato da GAM, vai a Come faccio ad attivare la fatturazione per i progetti in corso.