Используйте сторонний инструмент для быстрого массового выделения ресурсов.

Эта статья предназначена для ИТ-администраторов, у которых ограничено время на создание более 50 000 учетных записей пользователей.

Для быстрого и масштабного создания учетных записей можно использовать сторонние решения. Например, бесплатное, загружаемое, открытое программное обеспечение Google Apps Manager (GAM) использует API каталога Admin SDK для создания и управления пользователями и группами Google Workspace.

GAM взаимодействует со многими API Google, которые можно использовать для управления другими функциями и ресурсами учетной записи. Для получения дополнительной информации об интеграции со сторонними сервисами посетите страницу с руководствами на сайте Solve with Google Cloud .

Прежде чем начать

Для массового формирования учетных записей требуется:

  • Умение работать с командной строкой.
  • Платный аккаунт Google Workspace, который включает в себя:

Шаг 1: Избегайте конфликтов учетных записей.

У некоторых ваших пользователей может быть личный аккаунт Google, например, адрес Gmail, что может вызвать конфликты при создании их новых, управляемых учетных записей Google Workspace или Cloud Identity. Чтобы избежать подобных проблем:

  1. Прочитайте статью о противоречивых показаниях .
  2. Узнайте, как находить и управлять существующими учетными записями .

Шаг 2: Создайте простую, плоскую организационную структуру.

Избегайте создания сложной иерархии организационных подразделений с множеством уровней. Вы сможете изменить иерархию и переместить пользователей позже. Вот несколько советов по созданию упрощенной организационной структуры:

  • Сосредоточьтесь на услугах и функциях, к которым необходим доступ пользователям, которыми вы управляете.
  • Ограничить доступ к услугам и функциям на уровне верхнего организационного подразделения, предоставив доступ дочерним организационным подразделениям.

Узнайте больше о том, как работает организационная структура .

Пример образования

В таблице ниже слева показана фактическая структура организации. Изначально управлять такой структурой может быть сложно, например, если необходимо неоднократно предоставлять учителям доступ к расширенным функциям Google Meet для многочисленных подразделений школы.

Предлагаемая структура ориентирована на функциональность. Как администратор, вы можете легко отключать сервисы и функции для всех студентов в организационном подразделении /Students . Например, вы можете отключить самостоятельное восстановление паролей и установить ограничения на использование YouTube. Вы также можете включить расширенные функции для преподавателей и других сотрудников, такие как трансляция и запись Meet, а также двухфакторная аутентификация.

Пример организационной структуры Рекомендуемая организационная структура

/School 1/Staff/Teachers

/School 1/Students/Year 2020/Class A

/School 1/Students/Year 2020/...

/School 2/Staff/Teachers

/School 2/Students/Year 2020/Class C

/School 2/Students/Year 2020/...

/ (root OrgUnit)

/Students

/Staff/IT

/Staff/Teachers

Пример крупной организации

Сначала определите, какие услуги и функции необходимы вашим пользователям. Затем:

  1. Примените эти настройки к организационному подразделению верхнего уровня.
    Если вы не измените эти настройки, дочерние организационные подразделения унаследуют их. Примеры:
  2. Для повышения уровня безопасности следует обязать подразделения использовать двухфакторную аутентификацию .
Пример организационной структуры Рекомендуемая организационная структура

/

/Sales

/IT

/Legal

/ (корневая организационная единица)

/2SV-Enforced (ИТ и юриспруденция)

/2SV (и разрешить внешний доступ)

Шаг 3: Подготовка источника данных

Создайте CSV-файл с данными, разделенными запятыми, для дальнейшей обработки запроса на создание учетной записи пользователя. Обязательные поля:

  • Имя
  • Фамилия
  • PrimaryEmail — адрес электронной почты, с помощью которого пользователь будет входить в систему.
  • Пароль — должен состоять как минимум из 8 символов.

  • OrgUnit — Для создания пользователей в соответствующих организационных подразделениях с учетом приведенных выше рекомендаций.

    Примечание: Чтобы разместить пользователей в корневом организационном подразделении, введите косую черту ( / ). Дочерние организационные подразделения разделяйте косой чертой — например /Staff/Teachers.

Пример образования

FirstName,LastName,PrimaryEmail,Password,OrgUnit

Jane,Doe,id12345678@students.example.com,Zee+HWdt,/Students

John,Smith,john.smith@example.com,X2Ae+pME,/Staff

Пример крупной организации

FirstName,LastName,PrimaryEmail,Password,OrgUnit

Jane,Doe,jane.doe@example.co.uk,V8hmj/QE,/

John,Smith,john.smith@example.com,9/t0UHQ6,/Sales

Шаг 4: Настройка GAM

Если вы решите использовать GAM, выполните следующие рекомендуемые шаги:

  1. В версиях GAM 5.10 и выше перед первым запуском GAM создайте файл с именем noshorturls.txt в той же папке, что и GAM.
    Это отключает короткие URL-адреса gam-shortn.appspot.com.
  2. Загрузите GAM с сайта GAM.
  3. Настройте инструмент .
  4. В процессе настройки, когда вас спросят, готовы ли вы разрешить GAM управлять данными и настройками пользователей Google Workspace, ответьте N (нет), чтобы пропустить делегирование в масштабе домена.

Эта команда поможет вам убедиться, что GAM связан с правильной учетной записью Google Workspace:

gam info domain

Шаг 5: Создайте несколько пользователей с помощью GAM.

Для создания пользователей GAM считывает данные из CSV-файла и отправляет соответствующие запросы к API каталога Admin SDK .

Если вы создали CSV-файл с полями, указанными в шаге 3 выше, эта команда создаст пользователей из CSV-файла:

gam csv users.csv gam create user ~PrimaryEmail firstname ~FirstName lastname ~LastName password ~Password org ~OrgUnit changepassword on

Обязательно:

  1. Создайте уникальный пароль для каждого пользователя.
  2. Используйте необязательный параметр changepassword on чтобы заставить пользователя сменить пароль после первого входа в систему.

Альтернативный вариант: Что делать, если в вашем источнике данных отсутствуют некоторые поля?

Если ваш источник данных содержит только имя и фамилию, а также один пароль для каждого пользователя, вы можете создать имена пользователей в формате first.last@example.com . Для пользователя по имени Чарли Смит используйте Charlie.Smith@example.com .

Команда следующая:

gam csv users.csv gam create user ~~FirstName~~.~~LastName~~@example.com password ~Password changepassword on

Этот подход предполагает, что ни у одного из пользователей нет:

  • то же имя
  • Имя и фамилия, включая:
    • Пространства
    • Другие запрещенные персонажи

Перейдите к разделу «Правила именования пользователей и групп» .

Вопросы

Где я могу найти информацию о подаче заявки и получении одобрения на использование Google Workspace for Education?

Подробную информацию о процессе использования Google Workspace for Education можно найти по ссылке:

Где я могу найти информацию о G Suite для некоммерческих организаций?

Чтобы узнать о преимуществах программы, критериях отбора и многом другом, посетите справочный центр Google для некоммерческих организаций .

Я не могу получить доступ к консоли администратора или к своей учетной записи администратора. Что мне делать?

Перейдите на страницу входа , введите свое имя пользователя и нажмите «Забыли пароль?».

Если вы выполните все инструкции, но доступ по-прежнему не восстановится, вам будет предложено обратиться в службу поддержки Google Cloud. Вам потребуется подтверждение владения доменом и ответы на несколько контрольных вопросов.

Как я могу убедиться, что мой домен подтвержден?

После создания учетной записи Google Workspace вам будет предложено подтвердить право собственности на ваш домен. Если вы этого не помните, войдите в консоль администратора , перейдите в раздел «Домены» и нажмите «Управление доменами» .

Первый указанный домен — ваш основной домен. В столбце «Статус» отображается информация о том, требуется ли подтверждение домена.

Может ли служба поддержки Google Cloud помочь мне с вопросами по GAM?

Служба поддержки Google Cloud не оказывает поддержку этим или другим сторонним решениям, а только API каталога Admin SDK, используемому этими инструментами. Хотя мы не можем помочь с самим инструментом GAM, мы можем помочь, если базовые API возвращают ошибки, в частности, API каталога Admin SDK. Подробнее о командах и методах GAM можно узнать в вики GAM .

Нужна помощь с GAM? Обратитесь к сообществу администраторов Google Workspace, готовых оказать поддержку, в дискуссионной группе GAM .

Если вы считаете, что возникла проблема с API каталога в Admin SDK, предоставьте в службу поддержки Google Cloud следующие сведения:

  • HTTP-метод и конечная точка, к которым обращается стороннее решение (например, POST /admin/directory/v1/users?fields=primaryEmail )

  • Код ответа и сообщение (например, 403: Доступ к этому ресурсу/API запрещен)

  • Дата в HTTP-заголовке ответа (например, Date: Wed, 22 Jun 2020 17:48:48 GMT )
  • Объект, осуществляющий вызов: имя пользователя, учетная запись службы или идентификатор проекта Google Cloud.

Удалите такую ​​информацию, как имена, пароли, заголовки запросов аутентификации, IP-адреса, значения пользовательских схем или любую другую информацию, которую вы считаете конфиденциальной.

В моём проекте заканчивается квота. Что мне делать?

Настройки квот по умолчанию должны быть достаточны для большинства клиентов. Для получения дополнительной информации об ограничениях API перейдите по ссылке Directory API: Limits and Quotas .

Если вам требуется больше квоты для вашего проекта, ознакомьтесь с требованиями в разделе «Квоты» консоли Google Cloud:

  1. Откройте консоль Google Cloud .
  2. Вверху выберите проект, созданный GAM.
  3. Слева нажмите «Навигационное меню». > IAM и администрирование > Квоты .
  4. В разделе «Сервис» отфильтруйте по Admin SDK (это актуально для управления учетными записями пользователей).
  5. Выберите товары, на которые вы хотите запросить дополнительную квоту.
  6. Вверху нажмите «Редактировать квоты» .

Чтобы включить выставление счетов в проекте Google Cloud, созданном с помощью GAM, перейдите по ссылке «Как включить выставление счетов в моих текущих проектах» .