Usar uma ferramenta de terceiros para acelerar o provisionamento em massa

Este artigo é destinado aos administradores de TI com tempo limitado para provisionar mais de 50.000 contas de usuário.

Para um provisionamento de contas rápido e em grande escala, você pode usar soluções de terceiros. Por exemplo, o Google Apps Manager (GAM), que é sem custo financeiro, tem código aberto e está disponível para download, usa a API Directory do SDK Admin para criar e gerenciar usuários e grupos do Google Workspace.

O GAM interage com várias APIs do Google que você também pode usar para gerenciar outros recursos da conta. Para saber mais sobre integrações com terceiros, acesse a página de tutoriais em Soluções com o Google Cloud.

Antes de começar

O provisionamento de contas em grande escala requer o seguinte:

  • Experiência com prompts de linha de comando
  • Uma conta paga do Google Workspace que seja:
    • Que não esteja mais em teste sem custo financeiro. Saiba mais
    • Com domínio verificado. Saiba mais

Etapa 1: evitar conflitos de contas

Alguns usuários podem ter uma Conta do Google pessoal (como um endereço do Gmail), o que pode gerar conflitos quando você provisionar a nova conta gerenciada do Google Workspace ou Cloud Identity. Para evitar esses problemas:

  1. Leia Sobre contas conflitantes.
  2. Aprenda a encontrar e gerenciar contas.

Etapa 2: criar uma estrutura organizacional simples e plana

Evite criar uma hierarquia complexa de unidades organizacionais com vários níveis. Você pode modificar a hierarquia e mover os usuários depois. Confira algumas dicas sobre como configurar uma estrutura organizacional simplificada:

  • Concentre-se nos serviços e recursos que os usuários que você gerencia precisam acessar.
  • Restrinja a disponibilidade dos serviços e recursos na unidade organizacional de nível superior, concedendo acesso às unidades organizacionais filhas.

Leia mais em Como funciona a estrutura organizacional.

Exemplo para educação

Na tabela abaixo, a estrutura à esquerda mostra a estrutura real da organização. A princípio, talvez seja difícil gerenciar essa estrutura, por exemplo, se você precisar conceder aos professores acesso aos recursos avançados do Google Meet repetidamente em várias unidades organizacionais da escola.

O foco da estrutura proposta é a funcionalidade. Como administrador, você pode desativar facilmente os serviços e os recursos de todos os estudantes na unidade organizacional /Alunos. Por exemplo, você pode desativar a recuperação de senha de autoatendimento e aplicar restrições ao YouTube. Você também pode ativar a funcionalidade avançada para professores e outros membros da equipe, como o streaming e a gravação do Meet e a verificação em duas etapas.

Exemplo de estrutura organizacional Estrutura organizacional recomendada

/School 1/Staff/Teachers

/School 1/Students/Year 2020/Class A

/School 1/Students/Year 2020/...

/School 2/Staff/Teachers

/School 2/Students/Year 2020/Class C

/School 2/Students/Year 2020/...

/ (root OrgUnit)

/Students

/Staff/IT

/Staff/Teachers

Exemplo com uma organização grande

Primeiro, determine quais serviços e recursos seus usuários precisam. Em seguida:

  1. Aplique essas configurações na unidade organizacional de nível superior.
    A menos que você modifique essas configurações, as unidades organizacionais filhas as herdarão. Exemplos:
  2. Para ter mais segurança, exija que os departamentos usem a verificação em duas etapas.
Exemplo de estrutura organizacional Estrutura organizacional recomendada

/

/Sales

/IT

/Legal

/ (unidade organizacional raiz)

/2SV-Enforced (TI e Jurídico)

/2SV (e permitir compartilhamento externo)

Etapa 3: preparar uma fonte de dados

Crie um arquivo com valores separados por vírgulas (CSV) contendo os dados necessários para continuar criando a conta de usuário. Campos obrigatórios:

  • FirstName
  • LastName
  • PrimaryEmail: o e-mail que o usuário usa para fazer login.
  • Senha: precisa ter pelo menos oito caracteres.

  • OrgUnit: para criar usuários nas respectivas unidades organizacionais, considerando as recomendações acima

    Observação:digite uma / (barra) para colocar os usuários na unidade organizacional de nível superior (raiz). Separe as unidades organizacionais filhas com uma barra, por exemplo, /Staff/Teachers.

Exemplo para educação

FirstName,LastName,PrimaryEmail,Password,OrgUnit

Jane,Doe,id12345678@students.example.com,Zee+HWdt,/Students

John,Smith,john.smith@example.com,X2Ae+pME,/Staff

Exemplo com uma organização grande

FirstName,LastName,PrimaryEmail,Password,OrgUnit

Jane,Doe,jane.doe@example.co.uk,V8hmj/QE,/

John,Smith,john.smith@example.com,9/t0UHQ6,/Sales

Etapa 4: configurar o GAM

Se você decidir usar o GAM, siga estas etapas recomendadas:

  1. Antes de executar o GAM versão 5.10 e mais recente pela primeira vez, crie um arquivo chamado noshorturls.txt na mesma pasta dele.
    Isso desativa os URLs curtos gam-shortn.appspot.com.
  2. No site do GAM, faça o download da ferramenta.
  3. Configure a ferramenta.
  4. Durante a configuração, quando aparecer uma mensagem perguntando se você autoriza o GAM a gerenciar os dados e as configurações dos usuários do Google Workspace, responda N (não) para pular a delegação em todo o domínio.

Esse comando ajuda a confirmar que o GAM está associado à conta certa do Google Workspace:

gam info domain

Etapa 5: criar vários usuários com o GAM

Para criar os usuários, o GAM faz a leitura de um arquivo com valores separados por vírgulas (CSV) e emite as solicitações relevantes para a API Directory do SDK Admin.

Se você criou um arquivo com valores separados por vírgulas (CSV) contendo os campos especificados na Etapa 3 acima, este comando cria os usuários no CSV:

gam csv users.csv gam create user ~PrimaryEmail firstname ~FirstName lastname ~LastName password ~Password org ~OrgUnit changepassword on

Não se esqueça de:

  1. Crie uma senha exclusiva para cada usuário.
  2. Use o parâmetro opcional changepassword on para forçar o usuário a mudar a senha após o primeiro login.

Alternativa: e quando sua fonte de dados não tem alguns campos?

Quando sua fonte de dados tem apenas o nome, o sobrenome e uma senha para cada usuário, você pode criar nomes de usuário no formato first.last@example.com. Para um usuário chamado Carlos Silva, use Charlie.Smith@example.com.

O comando é:

gam csv users.csv gam create user ~~FirstName~~.~~LastName~~@example.com password ~Password changepassword on

Essa abordagem pressupõe que nenhum usuário tenha o seguinte:

  • O mesmo nome
  • Nome e sobrenome com:
    • Espaços
    • Outros caracteres não permitidos

Acesse as Diretrizes de nome para usuários e grupos.

Perguntas

Onde posso encontrar informações sobre a inscrição e a aprovação do Google Workspace for Education?

Para saber mais sobre o processo do Google Workspace for Education, acesse:

Onde posso encontrar informações sobre o G Suite para organizações sem fins lucrativos?

Para conferir os benefícios do programa, as diretrizes de qualificação e muito mais, acesse a Central de Ajuda do Google para organizações sem fins lucrativos.

Não consigo acessar o Admin Console ou minha conta de administrador. O que devo fazer?

Acesse a página de login, digite seu nome de usuário e clique em Esqueceu a senha?.

Se você seguir as solicitações, mas não conseguir recuperar o acesso, poderá entrar em contato com o suporte do Google Cloud. Você vai precisar enviar um comprovante de propriedade do domínio e responder a algumas perguntas de segurança.

Como confirmo se meu domínio foi verificado?

Depois de criar sua conta do Google Workspace, você precisa verificar a propriedade do domínio. Caso você não lembre se já fez isso, faça login no Admin Console, acesse a seção de domínios e clique em Gerenciar domínios.

O primeiro domínio listado é o principal. A coluna de status mostra se o domínio exige a verificação.

O suporte do Google Cloud pode me ajudar a esclarecer dúvidas sobre o GAM?

O suporte do Google Cloud não é compatível com essas ou outras soluções de terceiros, somente com a API Directory do SDK Admin que essas ferramentas usam. Embora não possamos ajudar com a ferramenta GAM, podemos fazer isso se as APIs retornarem erros, especificamente a API Directory do SDK Admin. Confira mais comandos e técnicas do GAM na wiki do GAM.

Precisa de ajuda com o GAM? Entre em contato com uma comunidade de administradores do Google Workspace que ofereça suporte no grupo de discussão do GAM.

Se você achar que há um problema com a API Directory do SDK Admin, informe estes detalhes ao suporte do Google Cloud:

  • O método HTTP e o endpoint que a solução de terceiros está chamando (por exemplo, POST /admin/directory/v1/users?fields=primaryEmail)

  • O código e a mensagem de resposta (por exemplo, 403: Not Authorized to access this resource/api - forbidden)

  • A data de cabeçalho HTTP da resposta (por exemplo, Date: Wed, 22 Jun 2020 17:48:48 GMT)
  • A entidade que faz a chamada: nome de usuário, conta de serviço ou ID do projeto do Google Cloud

Remova nomes, senhas, cabeçalhos da solicitação de autenticação, endereços IP, valores de esquemas personalizados ou qualquer outra informação que você considere confidencial.

Meu projeto está quase sem cota. O que devo fazer?

As cotas padrão devem ser suficientes para a maioria dos clientes. Para mais informações sobre os limites da API, acesse API Directory: limites e cotas.

Se você ainda quiser mais cotas para seu projeto, consulte os requisitos na seção de cotas do Console do Google Cloud:

  1. Abra o Console do Google Cloud.
  2. Na parte de cima da tela, selecione o projeto criado pelo GAM.
  3. À esquerda, clique no Menu de navegação > IAM e administrador > Cotas.
  4. Em Serviço, filtre por Admin SDK (relevante para o provisionamento de usuários).
  5. Selecione os itens para os quais você quer pedir mais cotas.
  6. Na parte de cima, clique em Editar cotas.

Para ativar o faturamento no projeto do Google Cloud criado pelo GAM, acesse Como posso ativar o faturamento nos meus projetos atuais?.