Este artigo é destinado aos administradores de TI com tempo limitado para provisionar mais de 50.000 contas de usuário.
Para um provisionamento de contas rápido e em grande escala, você pode usar soluções de terceiros. Por exemplo, o Google Apps Manager (GAM), que é gratuito, tem código aberto e está disponível para download, usa a API Directory do SDK Admin para criar e gerenciar usuários e grupos do Google Workspace.
O GAM interage com várias APIs do Google que você também pode usar para gerenciar outros recursos da conta. Para saber mais sobre integrações com terceiros, acesse a página de tutoriais em Soluções com o Google Cloud.
Antes de começar
O provisionamento de contas em grande escala requer o seguinte:
- Experiência com prompts de linha de comando
- Uma conta paga do Google Workspace:
- Que não esteja mais em teste gratuito. Saiba mais
- Com domínio verificado. Saiba mais
Etapa 1: evitar conflitos de contas
Alguns usuários podem ter uma Conta do Google pessoal (como um endereço do Gmail), o que pode gerar conflitos quando você provisionar a nova conta gerenciada do Google Workspace ou Cloud Identity. O que fazer para evitar esse problema:
- Leia Sobre contas conflitantes.
- Acesse Encontrar e gerenciar contas.
Etapa 2: criar uma estrutura organizacional simples e plana
Evite criar uma hierarquia complexa de unidades organizacionais com vários níveis. Você pode modificar a hierarquia e mover os usuários depois. Veja algumas dicas sobre como configurar uma estrutura organizacional simplificada:
- Concentre-se nos serviços e recursos que os usuários que você gerencia precisam acessar.
- Restrinja a disponibilidade dos serviços e recursos na unidade organizacional de nível superior, concedendo acesso às unidades organizacionais filhas.
Leia mais em Como funciona a estrutura organizacional.
Exemplo com uma instituição educacional
Na tabela abaixo, a estrutura à esquerda mostra a estrutura real da organização. A princípio, talvez seja difícil gerenciar essa estrutura, por exemplo, se você precisar conceder aos professores acesso aos recursos avançados do Google Meet repetidamente em várias unidades organizacionais da escola.
O foco da estrutura proposta é a funcionalidade. Como administrador, você pode desativar facilmente os serviços e os recursos de todos os alunos na unidade organizacional /Alunos. Por exemplo, você pode desativar a recuperação de senha de autoatendimento e aplicar restrições ao YouTube. Você também pode ativar a funcionalidade avançada para professores e outros membros da equipe, como o streaming e a gravação do Meet e a verificação em duas etapas.
Exemplo com uma estrutura organizacional | Estrutura organizacional recomendada |
---|---|
|
|
Exemplo com uma organização grande
Primeiro determine quais serviços e recursos seus usuários precisam. Em seguida:
- Aplique estas configurações na unidade organizacional de nível superior.
A menos que você modifique essas configurações, as unidades organizacionais filhas as herdarão. Exemplos: - Para ter mais segurança, exija que os departamentos usem a verificação em duas etapas.
Exemplo com uma estrutura organizacional | Estrutura organizacional recomendada |
---|---|
|
|
Etapa 3: preparar uma origem de dados
Crie um arquivo com valores separados por vírgulas (CSV) contendo os dados necessários para continuar criando a conta de usuário. Os campos obrigatórios são os seguintes:
- FirstName
- LastName
- PrimaryEmail: este é o e-mail que o usuário utiliza para fazer login.
- Password: precisa ter pelo menos oito caracteres.
- OrgUnit: para criar usuários nas respectivas unidades organizacionais, considerando as recomendações acima
Observação: digite uma
/
(barra) para colocar os usuários na unidade organizacional de nível superior (raiz). Separe as unidades organizacionais filhas com uma barra, por exemplo,/Equipe/Professores
.
Exemplo com uma instituição educacional
FirstName,LastName,PrimaryEmail,Password,OrgUnit
Jane,Doe,id12345678@students.example.com,Zee+HWdt,/Alunos
John,Smith,john.smith@example.com,X2Ae+pME,/Equipe
Exemplo com uma organização grande
FirstName,LastName,PrimaryEmail,Password,OrgUnit
Jane,Doe,jane.doe@example.co.uk,V8hmj/QE,/
John,Smith,john.smith@example.com,9/t0UHQ6,/Vendas
Etapa 4: configurar o GAM
Se você decidir usar o GAM, siga estas etapas recomendadas:
- Antes de executar o GAM versão 5.10 e mais recente pela primeira vez, crie um arquivo chamado noshorturls.txt na mesma pasta dele.
Isso desativa os URLs curtos gam-shortn.appspot.com. - No site do GAM, faça o download da ferramenta.
- Configure a ferramenta.
- Durante a configuração, quando você receber uma mensagem perguntando se autoriza o GAM a gerenciar os dados e as configurações do usuário do Google Workspace, responda N (não) para pular a delegação em todo o domínio.
Este comando confirma que o GAM está associado à conta certa do Google Workspace:
gam info domain
Etapa 5: criar vários usuários com o GAM
Para criar os usuários, o GAM faz a leitura de um arquivo com valores separados por vírgulas (CSV) e emite as solicitações relevantes para a API Admin SDK Directory.
Se você criou um arquivo com valores separados por vírgulas (CSV) contendo os campos especificados na Etapa 3 acima, este comando cria os usuários no CSV:
gam csv users.csv gam create user ~PrimaryEmail firstname ~FirstName lastname ~LastName password ~Password org ~OrgUnit changepassword on
Confirme o seguinte:
- Se você criou uma senha exclusiva para cada usuário
- Se usou o parâmetro opcional
changepassword on
para forçar o usuário a mudar a senha após o primeiro login
Alternativa: e quando sua origem de dados não tem alguns campos?
Quando sua origem de dados tem apenas o nome, o sobrenome e uma senha para cada usuário, você pode criar nomes de usuário no formato nome.sobrenome@example.com
. Para um usuário chamado Carlos Silva, use Carlos.Silva@example.com
.
O comando é este:
gam csv users.csv gam create user ~~FirstName~~.~~LastName~~@example.com password ~Password changepassword on
Essa abordagem pressupõe que nenhum usuário tenha o seguinte:
- O mesmo nome
- Nome e sobrenome com:
- espaços;
- outros caracteres não permitidos.
Acesse a página Diretrizes de nome para usuários e grupos.
Dúvidas
Acesse Entrar em contato com o suporte do Google Workspace.
Em caso de dúvidas sobre o conteúdo deste artigo, inclua as informações e o link do artigo no caso de suporte. Para compartilhar registros ou outros detalhes que possam nos ajudar, envie um e-mail.
Para saber mais sobre o processo da edição Google Workspace for Education, acesse:
- Primeiros passos no Google Workspace for Education
- Google Workspace for Education Perguntas frequentes
Depois que você criar sua conta do Google Workspace, precisará verificar a propriedade do domínio. Caso você não lembre se já fez isso, faça login no Admin Console, acesse a seção de domínios e clique em Gerenciar domínios.
O primeiro domínio listado é o principal. A coluna de status mostra se o domínio exige a verificação.
O suporte do Google Cloud não é compatível com essas ou outras soluções de terceiros, somente com a API Directory do SDK Admin que essas ferramentas usam. Embora não possamos ajudar com a ferramenta GAM, podemos fazer isso se as APIs retornarem erros, especificamente a API Directory do SDK Admin. Veja mais comandos e técnicas da ferramenta na página wiki do GAM.
Você precisa de ajuda com o GAM? Entre em contato com uma comunidade de administradores do Google Workspace que ofereça suporte na página do grupo de discussão do GAM.
Se você achar que há um problema com a API Directory do SDK Admin, informe estes detalhes ao suporte do Google Cloud:
- O método HTTP e o endpoint que a solução de terceiros está chamando (por exemplo,
POST /admin/directory/v1/users?fields=primaryEmail
) -
O código e a mensagem de resposta (por exemplo, 403: Not Authorized to access this resource/api - forbidden)
- A data de cabeçalho HTTP da resposta (por exemplo, Date: Wed, 22 Jun 2020 17:48:48)
- A entidade que faz a chamada: nome de usuário, conta de serviço ou ID do projeto do Google Cloud
Remova nomes, senhas, cabeçalhos da solicitação de autenticação, endereços IP, valores de esquemas personalizados ou qualquer outra informação que você considere confidencial.
As cotas padrão devem ser suficientes para a maioria dos clientes. Para saber mais sobre os limites da API, consulte Directory API: Limits and Quotas (em inglês).
Se você ainda quiser mais cotas para seu projeto, consulte os requisitos na seção de cotas do Console do Google Cloud:
- Abra o Console do Google Cloud.
- Na parte de cima da tela, selecione o projeto criado pelo GAM.
- À esquerda, clique no Menu de navegação > IAM e administrador > Cotas.
- Em Serviço, filtre por Admin SDK (relevante para o provisionamento de usuários).
- Selecione os itens para os quais você quer pedir mais cotas.
- Na parte superior, clique em Editar cotas.
Para ativar o faturamento no projeto do Google Cloud criado pelo GAM, acesse Como posso ativar o faturamento nos meus projetos atuais?.