作为我们员工离开公司的"off-boarding"过程的一部分,作为超级管理员,我们使用Google Apps Admin SDK Directory API来更改用户的密码,以便他们不能再访问他们的帐户。然后我们登录做一个谷歌外卖,重置密码为他们的其他帐户,等等。
然而,我们最近决定对所有用户强制实施两步验证。所以现在当我们登录他们的账户时,它会向他们的手机发送一个代码。
由于他们的SubOrg强制执行2-Step,我们甚至不能通过管理控制台关闭它。所以我现在所能做的就是让API将用户移动到另一个SubOrg,在那里2-Step强制设置被关闭,然后手动关闭2-Step。
是否有办法以编程方式关闭帐户的两步验证?
我看了看谷歌应用管理SDK目录API用户更新文档,但它似乎与2-Step没有任何关系。
Reports API可以查找用户的注册状态,但出于报告目的,它是只读的。
您正在做的是删除两步验证的正确方法。正如您所提到的,如果它在组织单元下强制执行,则删除它将违反该规则,这就是为什么您无法执行此操作,除非您将用户移动到另一个不强制执行此操作的OU。
我不能找到一些方法来做这个编程。但是,您可以暂停该用户。在此之后,用户将无法访问该帐户。该帐户仍然可以在你的管理控制台中看到,并且在不同的谷歌服务中的所有信息都将保留在该帐户上,直到你最终删除该帐户。
当用户挂起时,作为admin,您可以使用服务帐户冒充该用户。通过这样做,您可以充当该用户并编辑权限或将驱动器中包含的文件的所有权转移到另一个帐户,以便这些文件不会丢失。
最简单的方法是创建一个豁免2FA的Group(参见这里:https://support.google.com/a/answer/2370108)。然后将用户添加到该组,然后您可以在管理控制台的用户页面上单击"禁用2FA"。我假设你可以通过API做同样的事情。
唯一的缺点是,这意味着你将有一个组,通过它可以免除用户的2FA强制选项。所以这是你必须接受的风险,也是你必须仔细检查的政策。
我在文档中没有找到它,只有REST请求,几乎放弃了,但然后键入'AdminDirectory。T'在Google Script编辑器中,它提供了自动完成的东西:
const userId = 'primaryEmail@example.com'
AdminDirectory.TwoStepVerification.turnOff(userId)