Эта статья предназначена для ИТ-администраторов, которым нужно в сжатые сроки подготовить более 50 тысяч аккаунтов.
Для быстрой инициализации большого количества аккаунтов можно использовать решения сторонних разработчиков. Например, бесплатное ПО с открытым исходным кодом Google Apps Manager (GAM) позволяет создавать пользователей и группы Google Workspace и управлять ими при помощи Admin SDK Directory API.
GAM взаимодействует со многими API Google, с помощью которых можно также управлять другими функциями и ресурсами аккаунтов. Подробнее об интеграции Google Cloud со сторонним ПО…
Подготовка
Предварительные условия для подготовки большого количества аккаунтов:
- Умение работать с командной строкой.
- Наличие платного аккаунта Google Workspace, для которого выполняются перечисленные ниже условия.
- Бесплатный пробный период использования аккаунта завершен. Подробнее…
- Право собственности на домен подтверждено. Подробнее…
Шаг 1. Не допускайте конфликта аккаунтов
У некоторых из ваших пользователей может быть личный аккаунт Google, например адрес Gmail, из-за которого могут возникать конфликты при подготовке нового управляемого аккаунта Google Workspace или Cloud Identity. Чтобы избежать таких проблем:
- Ознакомьтесь со сведениями о конфликтующих аккаунтах.
- Узнайте, как искать существующие аккаунты и управлять ими.
Шаг 2. Создайте простую организационную структуру
Не создавайте сложную многоуровневую иерархию организационных подразделений. Изменить структуру и переместить пользователей можно будет позже. Ниже приведены советы по созданию упрощенной структуры организации.
- В первую очередь обратите внимание на сервисы и функции, которые нужны пользователям под вашим управлением.
- Ограничьте доступ к сервисам и функциям на верхнем уровне структуры и предоставляйте доступ отдельным дочерним организационным подразделениям.
Подробнее о том, как работает организационная структура…
Пример для учебного заведения
В приведенной ниже таблице слева показана фактическая организационная структура. Изначально этой структурой может быть сложно управлять, например если вам нужно предоставить доступ к дополнительным функциям Google Meet преподавателям в каждом из многочисленных организационных подразделений учебного заведения.
Предлагаемая структура основана на функциональности. Как администратор, вы можете легко отключить сервисы и функции для всех учащихся в организационном подразделении /Учащиеся. Например, можно отключить самостоятельное восстановление пароля и ограничить доступ к YouTube. Вы также можете включить дополнительные функции для преподавателей и других сотрудников, например трансляцию и запись встреч Meet и двухэтапную аутентификацию.
| Фактическая организационная структура | Рекомендуемая структура |
|---|---|
|
|
|
Пример для крупной компании
Сначала определите, какие сервисы и функции нужны вашим пользователям. Затем:
- Примените эти настройки для организационного подразделения верхнего уровня.
Если вы не переопределите эти настройки, они будут унаследованы дочерними организационными подразделениями. Примеры: - Чтобы повысить безопасность, попросите подразделения использовать двухэтапную аутентификацию.
| Фактическая организационная структура | Рекомендуемая структура |
|---|---|
|
|
|
Шаг 3. Подготовьте источник данных
Создайте CSV-файл с необходимыми данными, чтобы приступить к созданию аккаунтов пользователей. Поля, обязательные для заполнения:
- FirstName (Имя).
- LastName (Фамилия).
- PrimaryEmail (Основной адрес электронной почты). Адрес, который пользователь будет использовать для входа.
- Password (Пароль). Этот параметр должен содержать не менее 8 символов.
- OrgUnit (Организационное подразделение). Используется для создания пользователей в соответствующих организационных подразделениях с учетом приведенных выше рекомендаций.
Примечание. Чтобы указать, что пользователь относится к организационному подразделению верхнего уровня (корневому), используйте "
/" (косую черту). Разделяйте дочерние организационные подразделения с помощью косой черты: например/Сотрудники/Преподаватели.
Пример для учебного заведения
FirstName,LastName,PrimaryEmail,Password,OrgUnit
Anna,Nikitina,id12345678@uchashiyesya.primer.com,Zee+HWdt,/Uchashiyesya
Lev,Petrov,lev.petrov@primer.com,X2Ae+pME,/Sotrudniki
Пример для крупной компании
FirstName,LastName,PrimaryEmail,Password,OrgUnit
Anna,Nikitina,anna.nikitina@primer.co.uk,V8hmj/Otdel_kontrolya_kachestva
Lev,Petrov,lev.petrov@primer.com,9/t0UHQ6,/Otdel_prodazh
Шаг 4. Настройте GAM
Если вы решите использовать GAM, выполните следующие рекомендуемые действия:
- Если вы используете GAM 5.10 или последующей версии, перед первым выполнением программы создайте файл с названием noshorturls.txt в ее корневой папке.
Это необходимо для того, чтобы отключить короткие URL gam-shortn.appspot.com. - Скачайте GAM на сайте программы.
- Настройте GAM.
- Во время настройки на вопрос Are you ready to authorize GAM to manage Google Workspace user data and settings? (Готовы ли вы разрешить GAM управлять данными и настройками пользователей?) дайте ответ N (Нет), чтобы пропустить делегирование доступа к данным в домене.
Чтобы убедиться, что инструмент GAM связан с нужным аккаунтом Google Workspace, используйте следующую команду:
gam info domain
Шаг 5. Создайте аккаунты с помощью GAM
Чтобы создать аккаунты пользователей, GAM считывает данные из CSV-файла и отправляет соответствующие запросы к Admin SDK Directory API.
Если вы создали CSV-файл с полями, указанными на шаге 3, эта команда создаст перечисленные в нем аккаунты пользователей:
gam csv users.csv gam create user ~PrimaryEmail firstname ~FirstName lastname ~LastName password ~Password org ~OrgUnit changepassword on
Рекомендуется:
- убедиться, что для каждого пользователя указан уникальный пароль;
- использовать необязательный параметр
changepassword on, чтобы пользователю нужно было сменить пароль после первого входа в систему.
Что делать, если в источнике данных отсутствует часть полей?
Если в источнике данных есть только имя, фамилия и один пароль для каждого пользователя, вы можете создавать имена пользователей в формате imya.familiya@primer.com. Например, у Ивана Смирнова будет имя пользователя Ivan.Smirnov@primer.com.
Используйте следующую команду:
gam csv users.csv gam create user ~~FirstName~~.~~LastName~~@example.com password ~Password changepassword on
Этот подход предполагает, что выполняются следующие условия:
- Нет пользователей с одинаковыми сочетаниями имен и фамилий.
- Имена и фамилии не содержат:
- пробелы;
- другие недопустимые символы.
Ознакомьтесь с правилами присвоения имен пользователей и названий групп.
Вопросы
Ознакомьтесь со статьей Как обратиться в службу поддержки Google Workspace.
Если у вас возникли вопросы, связанные с содержимым этой статьи, укажите их в запросе на поддержку и приведите ссылку на статью. Если у вас есть журналы и другие сведения, которые могут помочь в решении ваших вопросов, свяжитесь со службой поддержки по электронной почте.
Информация о подаче заявки на Google Workspace for Education приведена в следующих ресурсах:
- Начало работы с Google Workspace for Education
- Google Workspace for EducationЧасто задаваемые вопросы
После создания аккаунта Google Workspace вам будет предложено подтвердить право собственности на домен. Если вы не помните, подтверждали ли вы домен, войдите в консоль администратора, перейдите в раздел доменов и нажмите Управление доменами.
Первым в списке будет указан ваш основной домен. По столбцу статуса можно определить, нужно ли его подтвердить.
Служба поддержки Google Cloud не предоставляет помощь по использованию GAM и других решений сторонних разработчиков. Вы можете получить ответы только на вопросы об Admin SDK Directory API, который используется этими инструментами. Вы можете проконсультироваться относительно ошибок API, которые использует GAM, в частности Admin SDK Directory API. Подробнее о командах и способах использования GAM…
Нужна помощь по использованию GAM? Обратитесь к другим администраторам Google Workspace в группе обсуждения GAM.
Если вы считаете, что возникла ошибка, связанная с Admin SDK Directory API, предоставьте службе поддержки Google Cloud следующие сведения:
- Метод HTTP и конечная точка, которую вызывает решение стороннего разработчика (например,
POST /admin/directory/v1/users?fields=primaryEmail). -
Код ответа и сообщение (например, 403: Not Authorized to access this resource/api - forbidden).
- Дата заголовка ответа HTTP (например, Date: Wed, 22 Jun 2020 17:48:48 GMT).
- Объект, инициирующий вызов: имя пользователя, сервисный аккаунт или идентификатор проекта Google Cloud.
Удалите имена, пароли, заголовки запросов на аутентификацию, IP-адреса, значения специальных схем и другую информацию, которую считаете конфиденциальной.
Квот по умолчанию должно быть достаточно для большинства клиентов. Дополнительная информация приведена в статье Directory API: квоты и ограничения.
Если вы хотите увеличить квоту для своего проекта, сверьтесь с требованиями в разделе о квотах Google Cloud Console:
- Откройте Google Cloud Console.
- В верхней части страницы выберите проект, созданный с помощью GAM.
- В левой части окна выберите меню навигации
> IAM и администрирование > Квоты.
- В разделе Сервис примените фильтрацию по Admin SDK (для поиска API, предназначенных для подготовки аккаунтов).
- Выберите элементы, для которых вы хотите запросить увеличение квоты.
- В верхней части страницы нажмите Изменить квоты.
Сведения о том, как включить платежные функции для проекта Google Cloud, созданного с помощью GAM, можно найти в статье о запросах на увеличение квот для проектов.
