Sử dụng công cụ của bên thứ ba để cấp phép nhanh chóng hàng loạt

Bài viết này dành cho quản trị viên CNTT không có nhiều thời gian để thiết lập hơn 50.000 tài khoản người dùng.

Để nhanh chóng cấp phép cho tài khoản trên quy mô lớn, bạn có thể sử dụng các giải pháp của bên thứ ba. Ví dụ: Google Apps Manager (GAM) là một công cụ nguồn mở, miễn phí và có thể tải xuống. Công cụ này sử dụng Directory API của SDK dành cho quản trị viên để tạo và quản lý người dùng cũng như các nhóm trên Google Workspace.

GAM tương tác với nhiều API của Google mà bạn cũng có thể dùng để quản lý các tính năng và tài nguyên khác của tài khoản. Để biết thêm thông tin về việc tích hợp với bên thứ ba, hãy truy cập vào trang hướng dẫn tại Giải quyết vấn đề bằng Google Cloud.

Trước khi bắt đầu

Việc cấp tài khoản trên quy mô lớn đòi hỏi:

  • Thành thạo các lệnh trên dòng lệnh
  • Một tài khoản Google Workspace có tính phí:

Bước 1: Tránh xung đột tài khoản

Một số người dùng có thể có Tài khoản Google cá nhân (chẳng hạn như địa chỉ Gmail). Điều này có thể gây ra xung đột khi bạn cung cấp tài khoản Google Workspace hoặc Cloud Identity mới, được quản lý cho họ. Để tránh những vấn đề như vậy, hãy:

  1. Đọc bài viết Giới thiệu về tài khoản xung đột.
  2. Tìm hiểu cách Tìm và quản lý các tài khoản hiện có.

Bước 2: Tạo một cấu trúc tổ chức đơn giản, phẳng

Tránh tạo một hệ phân cấp đơn vị tổ chức phức tạp có nhiều cấp độ. Bạn có thể sửa đổi hệ thống phân cấp và di chuyển người dùng sau này. Sau đây là một số mẹo về cách thiết lập cấu trúc tổ chức đơn giản:

  • Tập trung vào các dịch vụ và tính năng mà người dùng bạn quản lý cần truy cập.
  • Hạn chế phạm vi cung cấp dịch vụ và tính năng ở đơn vị tổ chức cấp cao nhất, cấp quyền truy cập cho các đơn vị tổ chức con.

Đọc thêm về Cách hoạt động của cơ cấu tổ chức.

Ví dụ về Education

Trong bảng bên dưới, cấu trúc ở bên trái cho thấy cấu trúc thực tế của tổ chức. Ban đầu, có thể bạn sẽ gặp khó khăn khi quản lý cấu trúc này, chẳng hạn như nếu bạn phải cấp quyền truy cập vào các tính năng nâng cao của Google Meet cho giáo viên nhiều lần đối với nhiều đơn vị tổ chức trong trường.

Cấu trúc được đề xuất tập trung vào chức năng. Là quản trị viên, bạn có thể dễ dàng tắt các dịch vụ và tính năng cho tất cả học viên trong đơn vị tổ chức /Học viên. Ví dụ: bạn có thể tắt tính năng tự phục hồi mật khẩu và áp dụng các chế độ hạn chế của YouTube. Bạn cũng có thể bật chức năng nâng cao cho giáo viên và nhân viên khác, chẳng hạn như tính năng phát trực tiếp và ghi lại cuộc họp trên Meet cũng như tính năng Xác minh 2 bước.

Cơ cấu tổ chức mẫu Cơ cấu tổ chức nên áp dụng

/School 1/Staff/Teachers

/School 1/Students/Year 2020/Class A

/School 1/Students/Year 2020/...

/School 2/Staff/Teachers

/School 2/Students/Year 2020/Class C

/School 2/Students/Year 2020/...

/ (root OrgUnit)

/Students

/Staff/IT

/Staff/Teachers

Ví dụ về tổ chức lớn

Trước tiên, hãy xác định những dịch vụ và tính năng mà người dùng của bạn cần. Sau đó:

  1. Áp dụng các chế độ cài đặt này ở đơn vị tổ chức cấp cao nhất.
    Trừ phi bạn ghi đè các chế độ cài đặt đó, nếu không, các đơn vị tổ chức con sẽ kế thừa các chế độ cài đặt đó. Ví dụ:
  2. Để tăng cường bảo mật, hãy yêu cầu các bộ phận sử dụng tính năng Xác minh 2 bước.
Cơ cấu tổ chức mẫu Cơ cấu tổ chức nên áp dụng

/

/Sales

/IT

/Legal

/ (đơn vị tổ chức gốc)

/2SV-Enforced (CNTT và Pháp lý)

/2SV (và cho phép chia sẻ ra bên ngoài)

Bước 3: Chuẩn bị nguồn dữ liệu

Tạo một tệp giá trị được phân tách bằng dấu phẩy (CSV) có dữ liệu cần thiết để tiếp tục tạo tài khoản người dùng. Các trường bắt buộc:

  • FirstName
  • LastName
  • PrimaryEmail – Email mà người dùng sẽ dùng để đăng nhập
  • Mật khẩu – Phải có ít nhất 8 ký tự

  • OrgUnit – Để tạo người dùng trong các đơn vị tổ chức tương ứng, có tính đến các đề xuất ở trên

    Lưu ý: Nhập / (dấu gạch chéo lên) để đưa người dùng vào đơn vị tổ chức cấp cao nhất (gốc). Sử dụng dấu gạch chéo lên để phân tách các đơn vị tổ chức con, ví dụ: /Staff/Teachers.

Ví dụ về Education

FirstName,LastName,PrimaryEmail,Password,OrgUnit

Jane,Doe,id12345678@students.example.com,Zee+HWdt,/Students

John,Smith,john.smith@example.com,X2Ae+pME,/Staff

Ví dụ về tổ chức lớn

FirstName,LastName,PrimaryEmail,Password,OrgUnit

Jane,Doe,jane.doe@example.co.uk,V8hmj/QE,/

John,Smith,john.smith@example.com,9/t0UHQ6,/Sales

Bước 4: Thiết lập GAM

Nếu bạn quyết định sử dụng GAM, hãy làm theo các bước đề xuất sau:

  1. Với GAM phiên bản 5.10 trở lên, trước khi thực thi GAM lần đầu tiên, hãy tạo một tệp có tên noshorturls.txt trong cùng thư mục với GAM.
    Thao tác này sẽ tắt URL rút gọn gam-shortn.appspot.com.
  2. Trên trang web GAM, hãy tải GAM xuống.
  3. Định cấu hình công cụ.
  4. Trong quá trình thiết lập, khi được hỏi liệu bạn có "sẵn sàng cho phép GAM quản lý chế độ cài đặt và dữ liệu người dùng Google Workspace" hay không, hãy trả lời là N (không) để bỏ qua việc Uỷ quyền trên toàn miền.

Lệnh này giúp bạn xác nhận rằng GAM được liên kết với đúng tài khoản Google Workspace:

gam info domain

Bước 5: Tạo nhiều người dùng bằng GAM

Để tạo người dùng, GAM sẽ đọc từ một tệp giá trị được phân tách bằng dấu phẩy (CSV) và đưa ra các yêu cầu liên quan đến API Thư mục SDK dành cho quản trị viên.

Nếu bạn đã tạo một tệp giá trị được phân tách bằng dấu phẩy (CSV) có các trường được chỉ định trong Bước 3 ở trên, thì lệnh này sẽ tạo người dùng trong tệp CSV:

gam csv users.csv gam create user ~PrimaryEmail firstname ~FirstName lastname ~LastName password ~Password org ~OrgUnit changepassword on

Hãy nhớ:

  1. Tạo mật khẩu riêng biệt cho mỗi người dùng.
  2. Sử dụng tham số không bắt buộc changepassword on để buộc người dùng thay đổi mật khẩu sau lần đăng nhập đầu tiên.

Trường hợp khác: Nếu nguồn dữ liệu của bạn thiếu một số trường thì sao?

Nếu nguồn dữ liệu của bạn chỉ có tên và họ, cùng một mật khẩu cho mỗi người dùng, thì bạn có thể tạo tên người dùng theo định dạng first.last@example.com. Đối với người dùng tên là Charlie Smith, hãy sử dụng Charlie.Smith@example.com.

Lệnh này là:

gam csv users.csv gam create user ~~FirstName~~.~~LastName~~@example.com password ~Password changepassword on

Phương pháp này giả định rằng không có người dùng nào:

  • Cùng tên
  • Họ và tên có:
    • Không gian
    • Các ký tự không được phép khác

Xem Nguyên tắc đặt tên cho người dùng và nhóm.

Câu hỏi

Tôi có thể tìm thông tin về đơn đăng ký và quy trình phê duyệt Google Workspace for Education ở đâu?

Để biết thông tin chi tiết về quy trình Google Workspace for Education, hãy truy cập vào:

Tôi có thể tìm thông tin về G Suite dành cho tổ chức phi lợi nhuận ở đâu?

Để biết các lợi ích của chương trình, nguyên tắc về tính đủ điều kiện và nhiều thông tin khác, hãy truy cập vào trung tâm trợ giúp của Google cho Tổ chức phi lợi nhuận.

Tôi không truy cập được vào Bảng điều khiển dành cho quản trị viên hoặc tài khoản quản trị của mình. Tôi nên làm gì?

Chuyển đến trang đăng nhập, nhập tên người dùng của bạn rồi nhấp vào Quên mật khẩu?

Nếu làm theo lời nhắc nhưng vẫn không khôi phục được quyền truy cập, bạn sẽ thấy lựa chọn liên hệ với Nhóm hỗ trợ Google Cloud. Bạn cần cung cấp bằng chứng về quyền sở hữu miền và trả lời một vài câu hỏi bảo mật.

Làm cách nào để xác nhận xem miền của tôi đã được xác minh hay chưa?

Sau khi tạo tài khoản Google Workspace, bạn sẽ được nhắc xác minh quyền sở hữu miền của mình. Nếu bạn không nhớ đã làm việc này, hãy đăng nhập vào Bảng điều khiển dành cho quản trị viên, chuyển đến phần miền rồi nhấp vào Quản lý miền.

Miền đầu tiên trong danh sách là miền chính của bạn. Cột trạng thái cho biết miền có cần xác minh hay không.

Nhóm hỗ trợ Google Cloud có thể giúp tôi giải đáp các câu hỏi về GAM không?

Nhóm hỗ trợ Google Cloud không hỗ trợ các giải pháp này hoặc các giải pháp khác của bên thứ ba, mà chỉ hỗ trợ Admin SDK Directory API mà các công cụ đó sử dụng. Mặc dù không thể trợ giúp về chính công cụ GAM, nhưng chúng tôi có thể trợ giúp nếu các API cơ bản trả về lỗi, cụ thể là Admin SDK Directory API. Tìm hiểu thêm về các lệnh và kỹ thuật của GAM trên GAM Wiki.

Bạn cần được trợ giúp về GAM? Liên hệ với cộng đồng quản trị viên Google Workspace sẵn sàng hỗ trợ tại nhóm thảo luận về GAM.

Nếu bạn cho rằng có vấn đề với Directory API của Admin SDK, hãy cung cấp cho Nhóm hỗ trợ Google Cloud những thông tin chi tiết sau:

  • Phương thức và điểm cuối HTTP mà giải pháp bên thứ ba đang gọi (ví dụ: POST /admin/directory/v1/users?fields=primaryEmail)

  • Mã và thông báo phản hồi (ví dụ: 403: Not Authorized to access this resource/api – forbidden (Không được phép truy cập vào tài nguyên/API này – bị cấm))

  • Ngày trong tiêu đề phản hồi HTTP (ví dụ: Date: Wed, 22 Jun 2020 17:48:48 GMT)
  • Đối tượng thực hiện lệnh gọi: tên người dùng, tài khoản dịch vụ hoặc mã dự án trên Google Cloud

Xoá các thông tin như tên, mật khẩu, tiêu đề yêu cầu xác thực, địa chỉ IP, giá trị của lược đồ tuỳ chỉnh hoặc bất kỳ thông tin nào khác mà bạn cho là nhạy cảm.

Dự án của tôi sắp hết hạn mức. Tôi nên làm gì?

Hạn mức mặc định sẽ đủ cho hầu hết khách hàng. Để biết thêm thông tin về hạn mức API, hãy xem bài viết Directory API: Hạn mức và hạn ngạch.

Nếu bạn vẫn muốn có thêm hạn mức cho dự án của mình, hãy tham khảo các yêu cầu trong phần hạn mức của bảng điều khiển Google Cloud:

  1. Mở Google Cloud Console.
  2. Chọn dự án GAM mà bạn đã tạo ở trên cùng.
  3. Ở bên trái, hãy nhấp vào Trình đơn điều hướng > IAM và Quản trị > Hạn mức.
  4. Trong mục Dịch vụ, hãy lọc theo Admin SDK (phù hợp cho việc cung cấp người dùng).
  5. Chọn những mục mà bạn muốn yêu cầu thêm hạn mức.
  6. Ở trên cùng, hãy nhấp vào Chỉnh sửa hạn mức.

Để bật tính năng thanh toán cho dự án trên Google Cloud do GAM tạo, hãy xem phần Làm cách nào để bật tính năng thanh toán cho(các) dự án hiện tại của tôi.