Disattiva la verifica in due passaggi per un utente tramite API come super amministratore di Google Apps

Question

Come parte del nostro processo di "off-boarding" per i dipendenti che escono dall'azienda, come super amministratori utilizziamo l'API Directory SDK Admin di Google Apps per cambiare la password dell'utente in modo che non possano più accedere al proprio account. Quindi eseguiamo l'accesso per eseguire un prelievo Google, reimpostare le password per gli altri account, ecc.

Tuttavia, di recente abbiamo deciso di applicare la verifica in due passaggi per tutti i nostri utenti. Così ora, quando andiamo ad accedere al loro account, invia un codice al loro telefono.

Poiché 2-Step è applicato per il loro SubOrg, non possiamo nemmeno spegnerlo tramite la console di amministrazione. Quindi tutto ciò che posso fare ora è che l'API spostera l'utente su un SubORg differente in cui l'impostazione di imposizione in 2 fasi è disattivata, quindi disattiva manualmente la modalità 2 fasi.

Esiste un modo per disattivare a livello di codice la verifica in due passaggi per un account?

Ho cercato nella documentazione Google Apps Admin SDK Directory API Users:update, ma non sembra avere nulla a che fare con 2-Step.

Reports API è in grado di rilevare lo stato di registrazione dell'utente, ma è di sola lettura a fini di reporting.

Answer 1

Quello che stai facendo è il modo corretto per rimuovere la verifica in 2 passaggi. Come hai menzionato se è applicato sotto un'unità organizzativa, rimuoverlo sarebbe contro quella regola ed è per questo che non sei in grado di farlo a meno che tu non sposti l'utente in un'altra OU dove non viene applicata.

Non è stato possibile trovare un modo per farlo a livello di programmazione. Tuttavia, è possibile sospendere l'utente. Successivamente, l'utente non sarà in grado di accedere a tale account. L'account sarà comunque visibile nella tua Console di amministrazione e tutte le informazioni nei diversi servizi Google rimarranno associate a tale account fino alla cancellazione definitiva dell'account.

Mentre l'utente è sospeso, come amministratore, è possibile utilizzare l'account di servizio per l'utente impersonate. In questo modo puoi agire come utente e modificare le autorizzazioni o trasferire la proprietà dei file contenuti in Drive a un altro account in modo che tali file non vadano persi.

Spero che questo aiuti.

Answer 2

Il modo più semplice per eseguire questa operazione è creare un gruppo per cui 2FA è esente (vedere qui: https://support.google.com/a/answer/2370108). Quindi aggiungi l'utente a quel gruppo, quindi puoi fare clic su "Disabilita 2FA" nella pagina utente nella console di amministrazione. Presumo che tu possa fare lo stesso tramite l'API.

L'unico svantaggio è che questo significa che avrete un gruppo attraverso il quale è possibile esentare gli utenti dall'opzione di applicazione 2FA. Quindi è un rischio che devi accettare e una politica che devi controllare attentamente.