API के माध्यम से Google उपयोगकर्ताओं को PowerShell से बनाएं

नमस्ते!

यह आलेख वर्णन करेगा कि पावर सूट Google सुइट के साथ जी सूट उपयोगकर्ताओं को हेरफेर करने के लिए कैसे सहभागिता करता है।

संगठन में, हम कई आंतरिक और क्लाउड सेवाओं का उपयोग करते हैं। अधिकांश भाग के लिए, उनमें प्राधिकरण Google या सक्रिय निर्देशिका में आता है, जिसके बीच हम क्रमशः एक प्रतिकृति नहीं रख सकते हैं, जब एक नया कर्मचारी जारी किया जाता है, तो आपको इन दो प्रणालियों में एक खाता बनाने / सक्षम करने की आवश्यकता होती है। प्रक्रिया को स्वचालित करने के लिए, हमने एक स्क्रिप्ट लिखने का फैसला किया जो जानकारी एकत्र करता है और इसे दोनों सेवाओं में भेजता है।

प्राधिकरण

आवश्यकताओं की रचना करते हुए, हमने प्राधिकरण के लिए वास्तविक लोगों को प्रशासक के रूप में उपयोग करने का निर्णय लिया, यह आकस्मिक या जानबूझकर बड़े बदलाव के मामले में कार्रवाई के विश्लेषण को सरल करता है।

Google API प्रमाणीकरण और प्राधिकरण के लिए OAuth 2.0 प्रोटोकॉल का उपयोग करते हैं। मामलों का उपयोग करें और अधिक विस्तृत विवरण यहां पाया जा सकता है: Google API तक पहुंचने के लिए OAuth 2.0 का उपयोग करना ।

मैंने वह स्क्रिप्ट चुनी जो डेस्कटॉप अनुप्रयोगों में प्राधिकरण के लिए उपयोग की जाती है। एक सेवा खाते का उपयोग करने का विकल्प भी है जिसमें उपयोगकर्ता से अनावश्यक आंदोलनों की आवश्यकता नहीं होती है।

नीचे दी गई छवि Google पृष्ठ से चयनित परिदृश्य का एक योजनाबद्ध विवरण है।

1. सबसे पहले, हम उपयोगकर्ता को Google खाते में प्रमाणीकरण पृष्ठ पर भेजते हैं, जो GET मापदंडों को दर्शाता है:
   
   • आवेदन आईडी
   • उन क्षेत्रों में जहां आवेदन की आवश्यकता है
   • प्रक्रिया पूरी होने के बाद उपयोगकर्ता को पता दिया जाएगा
   • जिस तरह से हम टोकन को अपडेट करेंगे
   • सत्यापन कोड
   • सत्यापन कोड संचरण प्रारूप
   
   
2. प्राधिकरण पूरा होने के बाद, उपयोगकर्ता को पहले अनुरोध में निर्दिष्ट पृष्ठ पर पुनः निर्देशित किया जाएगा, जिसमें जीईटी मापदंडों के लिए त्रुटि या प्राधिकरण कोड प्रेषित होगा।
3. एप्लिकेशन (स्क्रिप्ट) को इन मापदंडों को प्राप्त करने की आवश्यकता होगी और, यदि कोड प्राप्त होता है, तो टोकन के लिए निम्नलिखित अनुरोध को निष्पादित करें
4. यदि अनुरोध सही है, तो Google API लौटाता है:
   
   
   • पहुंच टोकन जिसके साथ हम अनुरोध कर सकते हैं
   • इस टोकन की वैधता
   • प्रवेश टोकन को अपडेट करने के लिए ताज़ा टोकन आवश्यक है।

सबसे पहले आपको Google API कंसोल पर जाने की आवश्यकता है: क्रेडेंशियल - Google API कंसोल , आपके द्वारा आवश्यक एप्लिकेशन का चयन करें और क्रेडेंशियल अनुभाग में क्लाइंट OAuth पहचानकर्ता बनाएं। उसी स्थान पर (या बाद में, बनाए गए पहचानकर्ता के गुणों में), आपको उन पते को निर्दिष्ट करने की आवश्यकता है जिनके लिए पुनर्निर्देशन की अनुमति है। हमारे मामले में, यह विभिन्न बंदरगाहों (नीचे देखें) के साथ कई स्थानीयहोस्ट प्रविष्टियां होंगी।

स्क्रिप्ट एल्गोरिथ्म को पढ़ना आसान बनाने के लिए, आप पहले चरण में एक अलग फ़ंक्शन में आउटपुट कर सकते हैं जो एप्लिकेशन को एक्सेस और ताज़ा टोकन लौटाएगा:

$client_secret = 'Our Client Secret' $client_id = 'Our Client ID' function Get-GoogleAuthToken { if (-not [System.Net.HttpListener]::IsSupported) { "HttpListener is not supported." exit 1 } $codeverifier = -join ((65..90) + (97..122) + (48..57) + 45 + 46 + 95 + 126 |Get-Random -Count 60| % {[char]$_}) $hasher = new-object System.Security.Cryptography.SHA256Managed $hashByteArray = $hasher.ComputeHash([System.Text.Encoding]::UTF8.GetBytes($codeverifier)) $base64 = ((([System.Convert]::ToBase64String($hashByteArray)).replace('=','')).replace('+','-')).replace('/','_') $ports = @(10600,15084,39700,42847,65387,32079) $port = $ports[(get-random -Minimum 0 -maximum 5)] Write-Host "Start browser..." Start-Process "https://accounts.google.com/o/oauth2/v2/auth?code_challenge_method=S256&code_challenge=$base64&access_type=offline&client_id=$client_id&redirect_uri=http://localhost:$port&response_type=code&scope=https://www.googleapis.com/auth/admin.directory.user https://www.googleapis.com/auth/admin.directory.group" $listener = New-Object System.Net.HttpListener $listener.Prefixes.Add("http://localhost:"+$port+'/') try {$listener.Start()} catch { "Unable to start listener." exit 1 } while (($code -eq $null)) { $context = $listener.GetContext() Write-Host "Connection accepted" -f 'mag' $url = $context.Request.RawUrl $code = $url.split('?')[1].split('=')[1].split('&')[0] if ($url.split('?')[1].split('=')[0] -eq 'error') { Write-Host "Error!"$code -f 'red' $buffer = [System.Text.Encoding]::UTF8.GetBytes("Error!"+$code) $context.Response.ContentLength64 = $buffer.Length $context.Response.OutputStream.Write($buffer, 0, $buffer.Length) $context.Response.OutputStream.Close() $listener.Stop() exit 1 } $buffer = [System.Text.Encoding]::UTF8.GetBytes("Now you can close this browser tab.") $context.Response.ContentLength64 = $buffer.Length $context.Response.OutputStream.Write($buffer, 0, $buffer.Length) $context.Response.OutputStream.Close() $listener.Stop() } Return Invoke-RestMethod -Method Post -Uri "https://www.googleapis.com/oauth2/v4/token" -Body @{ code = $code client_id = $client_id client_secret = $client_secret redirect_uri = 'http://localhost:'+$port grant_type = 'authorization_code' code_verifier = $codeverifier } $code = $null 

हमने OAuth क्लाइंट पहचानकर्ता के गुणों में प्राप्त क्लाइंट आईडी और क्लाइंट सीक्रेट निर्धारित किया है, और कोड सत्यापनकर्ता लंबाई में 43 से 128 वर्णों का एक स्ट्रिंग है, जिसे गैर-आरक्षित वर्णों से यादृच्छिक रूप से उत्पन्न किया जाना चाहिए: [AZ] / [az / [0-9 ] / "-" / "।" / "_" / "~"।

आगे इस कोड को फिर से लागू किया जाएगा। यह उस भेद्यता को समाप्त करता है जिसमें एक हमलावर प्रतिक्रिया को रोक सकता है जो उपयोगकर्ता प्राधिकरण के बाद पुनर्निर्देशित के रूप में वापस आ गया।
आप वर्तमान अनुरोध में कोड सत्यापनकर्ता को स्पष्ट रूप में भेज सकते हैं (जो इसे व्यर्थ बनाता है - यह केवल सिस्टम के लिए उपयुक्त है जो SHA256 का समर्थन नहीं करता है), या SHA256 हैश बनाकर BASEUUrl में इनकोड किया जाना चाहिए (तालिका के दो वर्णों में Base64 से भिन्न) और चरित्र को हटा दें। पंक्ति का अंत: =।

अगला, हमें प्राधिकरण के बाद प्रतिक्रिया प्राप्त करने के लिए स्थानीय मशीन पर http सुनना शुरू करना होगा, जो एक अनुप्रेषित के रूप में वापस आ जाएगा।

प्रशासनिक कार्य एक विशेष सर्वर पर किए जाते हैं, हम इस संभावना को बाहर नहीं कर सकते हैं कि कई प्रशासक एक ही समय में स्क्रिप्ट चलाएंगे, इसलिए वह बेतरतीब ढंग से वर्तमान उपयोगकर्ता के लिए एक पोर्ट का चयन करेगा, लेकिन मैंने पूर्वनिर्धारित बंदरगाहों को निर्दिष्ट किया, क्योंकि उन्हें एपीआई कंसोल में भरोसेमंद रूप से जोड़ा जाना चाहिए।

access_type = ऑफ़लाइन का अर्थ है कि एप्लिकेशन ब्राउज़र के साथ उपयोगकर्ता की बातचीत के बिना स्वतंत्र रूप से समाप्त टोकन को अपडेट कर सकता है,
response_type = कोड इस बात के लिए प्रारूप सेट करता है कि कोड कैसे वापस आएगा (पुराने प्राधिकरण पद्धति का संदर्भ देते हुए जब उपयोगकर्ता ने ब्राउज़र से स्क्रिप्ट पर कोड कॉपी किया),
गुंजाइश गुंजाइश और पहुँच के प्रकार को इंगित करता है। उन्हें रिक्त स्थान या% 20 (URL एन्कोडिंग के अनुसार) द्वारा अलग किया जाना चाहिए। प्रकारों के साथ पहुंच क्षेत्रों की एक सूची यहां देखी जा सकती है: Google एपीआई के लिए OAuth 2.0 स्कोप ।

प्राधिकरण कोड प्राप्त करने के बाद, एप्लिकेशन ब्राउज़र को एक समापन संदेश लौटाएगा, पोर्ट को सुनना बंद कर देगा और टोकन प्राप्त करने के लिए POST अनुरोध भेजेगा। हम इसे सांकेतिक एपीआई से पहले से निर्धारित आईडी और रहस्य को इंगित करते हैं, जिस पते पर उपयोगकर्ता को रीडायरेक्ट किया जाएगा, और प्रोटोकॉल विनिर्देश के अनुसार allow_type।

जवाब में, हमें एक एक्सेस टोकन मिलेगा, सेकंड में इसकी अवधि और एक ताज़ा टोकन, जिसके साथ हम एक्सेस टोकन को अपडेट कर सकते हैं।

एप्लिकेशन को एक लंबी शेल्फ लाइफ के साथ एक सुरक्षित स्थान पर टोकन स्टोर करना चाहिए, इसलिए जब तक हम प्राप्त पहुंच को रद्द नहीं करते हैं, तब तक ताज़ा टोकन आवेदन पर वापस नहीं आएगा। अंत में, मैंने टोकन को रद्द करने के लिए एक अनुरोध जोड़ा, अगर आवेदन सफलतापूर्वक पूरा नहीं हुआ और ताज़ा टोकन वापस नहीं आया, तो वह फिर से प्रक्रिया शुरू कर देगा (हमने टर्मिनल पर स्थानीय रूप से टोकन स्टोर करने के लिए असुरक्षित माना, लेकिन हम इसे क्रिप्टोग्राफी को जटिल करना चाहते हैं या अक्सर ब्राउज़र खोलना नहीं चाहते हैं)।

 do { $token_result = Get-GoogleAuthToken $token = $token_result.access_token if ($token_result.refresh_token -eq $null) { Write-Host ("Session is not destroyed. Revoking token...") Invoke-WebRequest -Uri ("https://accounts.google.com/o/oauth2/revoke?token="+$token) } } while ($token_result.refresh_token -eq $null) $refresh_token = $token_result.refresh_token $minute = ([int]("{0:mm}" -f ([timespan]::fromseconds($token_result.expires_in))))+((Get-date).Minute)-2 if ($minute -lt 0) {$minute += 60} elseif ($minute -gt 59) {$minute -=60} $token_expire = @{ hour = ([int]("{0:hh}" -f ([timespan]::fromseconds($token_result.expires_in))))+((Get-date).Hour) minute = $minute } 

जैसा कि आपने देखा होगा, जब एक टोकन लाते समय, Invoke-WebRequest का उपयोग किया जाता है। इनवोक-रेस्टमेथोड के विपरीत, यह प्राप्त डेटा को उपयोग के लिए एक सुविधाजनक प्रारूप में वापस नहीं करता है और अनुरोध की स्थिति दिखाता है।

इसके बाद, स्क्रिप्ट आपको उपयोगकर्ता नाम और ईमेल के पहले और अंतिम नाम को दर्ज करने के लिए कहेगी, जिससे उपयोगकर्ता नाम + ईमेल बन जाएगा।

अनुरोध

निम्नलिखित अनुरोध होंगे - सबसे पहले, आपको यह जांचने की आवश्यकता है कि क्या उपयोगकर्ता पहले से ही इस तरह के लॉगिन के साथ मौजूद है ताकि एक नया बनाने या वर्तमान को चालू करने पर निर्णय लिया जा सके।

मैंने स्विच के उपयोग से चयन के साथ एकल फ़ंक्शन के प्रारूप में सभी अनुरोधों को लागू करने का निर्णय लिया:

 function GoogleQuery { param ( $type, $query ) switch ($type) { "SearchAccount" { Return Invoke-RestMethod -Method Get -Uri "https://www.googleapis.com/admin/directory/v1/users" -Headers @{Authorization = "Bearer "+(Get-GoogleToken)} -Body @{ domain = 'rocketguys.com' query = "email:$query" } } "UpdateAccount" { $body = @{ name = @{ givenName = $query['givenName'] familyName = $query['familyName'] } suspended = 'false' password = $query['password'] changePasswordAtNextLogin = 'true' phones = @(@{ primary = 'true' value = $query['phone'] type = "mobile" }) orgUnitPath = $query['orgunit'] } Return Invoke-RestMethod -Method Put -Uri ("https://www.googleapis.com/admin/directory/v1/users/"+$query['email']) -Headers @{Authorization = "Bearer "+(Get-GoogleToken)} -Body (ConvertTo-Json $body) -ContentType 'application/json; charset=utf-8' } "CreateAccount" { $body = @{ primaryEmail = $query['email'] name = @{ givenName = $query['givenName'] familyName = $query['familyName'] } suspended = 'false' password = $query['password'] changePasswordAtNextLogin = 'true' phones = @(@{ primary = 'true' value = $query['phone'] type = "mobile" }) orgUnitPath = $query['orgunit'] } Return Invoke-RestMethod -Method Post -Uri "https://www.googleapis.com/admin/directory/v1/users" -Headers @{Authorization = "Bearer "+(Get-GoogleToken)} -Body (ConvertTo-Json $body) -ContentType 'application/json; charset=utf-8' } "AddMember" { $body = @{ userKey = $query['email'] } $ifrequest = Invoke-RestMethod -Method Get -Uri "https://www.googleapis.com/admin/directory/v1/groups" -Headers @{Authorization = "Bearer "+(Get-GoogleToken)} -Body $body $array = @() foreach ($group in $ifrequest.groups) {$array += $group.email} if ($array -notcontains $query['groupkey']) { $body = @{ email = $query['email'] role = "MEMBER" } Return Invoke-RestMethod -Method Post -Uri ("https://www.googleapis.com/admin/directory/v1/groups/"+$query['groupkey']+"/members") -Headers @{Authorization = "Bearer "+(Get-GoogleToken)} -Body (ConvertTo-Json $body) -ContentType 'application/json; charset=utf-8' } else { Return ($query['email']+" now is a member of "+$query['groupkey']) } } } } 

प्रत्येक अनुरोध में, आपको टोकन के प्रकार और एक्सेस टोकन वाले एक प्राधिकरण हेडर भेजने की आवश्यकता है। वर्तमान में, टोकन प्रकार हमेशा बियरर है। क्योंकि हमें यह जाँचने की आवश्यकता है कि टोकन की समय-सीमा समाप्त नहीं हुई है और इसे जारी किए जाने के एक घंटे के बाद अपडेट करें, मैंने एक अन्य फ़ंक्शन के लिए एक अनुरोध का संकेत दिया जो एक्सेस टोकन लौटाता है। पहली पहुंच टोकन प्राप्त करते समय कोड का एक ही टुकड़ा स्क्रिप्ट की शुरुआत में होता है:

 function Get-GoogleToken { if (((Get-date).Hour -gt $token_expire.hour) -or (((Get-date).Hour -ge $token_expire.hour) -and ((Get-date).Minute -gt $token_expire.minute))) { Write-Host "Token Expired. Refreshing..." $request = (Invoke-RestMethod -Method Post -Uri "https://www.googleapis.com/oauth2/v4/token" -ContentType 'application/x-www-form-urlencoded' -Body @{ client_id = $client_id client_secret = $client_secret refresh_token = $refresh_token grant_type = 'refresh_token' }) $token = $request.access_token $minute = ([int]("{0:mm}" -f ([timespan]::fromseconds($request.expires_in))))+((Get-date).Minute)-2 if ($minute -lt 0) {$minute += 60} elseif ($minute -gt 59) {$minute -=60} $script:token_expire = @{ hour = ([int]("{0:hh}" -f ([timespan]::fromseconds($request.expires_in))))+((Get-date).Hour) minute = $minute } } return $token } 

अस्तित्व के लिए लॉगिन की जाँच:

 function Check_Google { $query = (GoogleQuery 'SearchAccount' $username) if ($query.users -ne $null) { $user = $query.users[0] Write-Host $user.name.fullName' - '$user.PrimaryEmail' - suspended: '$user.Suspended $GAresult = $user } if ($GAresult) { $return = $GAresult } else {$return = 'gg'} return $return } 

ईमेल अनुरोध: $ क्वेरी एपीआई को उस उपयोगकर्ता के लिए खोज करने के लिए कहेगी, जिसमें ईमेल सहित उपनाम पाए जाएंगे। आप वाइल्डकार्ड का उपयोग भी कर सकते हैं: =,:,: {PREFIX} * ।

डेटा प्राप्त करने के लिए, GET अनुरोध विधि का उपयोग किया जाता है, डेटा डालने के लिए (एक खाता बनाएं या किसी समूह में एक सदस्य जोड़ें) - POST, मौजूदा डेटा को अपडेट करने के लिए - PUT, एक प्रविष्टि को हटाने के लिए (उदाहरण के लिए, एक समूह से एक प्रतिभागी) - DELEE।

स्क्रिप्ट एक फोन नंबर (एक अमान्य स्ट्रिंग) और एक क्षेत्रीय वितरण समूह में शामिल करने के लिए भी कहेगी। यह तय करता है कि उपयोगकर्ता को किस संगठन की इकाई को चयनित सक्रिय निर्देशिका OU के आधार पर होना चाहिए और एक पासवर्ड के साथ आएगा:

 do { $phone = Read-Host "   +7" } while (-not $phone) do { $moscow = Read-Host "  ? (y/n) " } while (-not (($moscow -eq 'y') -or ($moscow -eq 'n'))) $orgunit = '/' if ($OU -like "*OU=Delivery,OU=Users,OU=ROOT,DC=rocket,DC=local") { Write-host "   /Team delivery" $orgunit = "/Team delivery" } $Password = -join ( 48..57 + 65..90 + 97..122 | Get-Random -Count 12 | % {[char]$_})+"*Ba" 

और फिर खाते में हेरफेर करना शुरू कर देता है:

 $query = @{ email = $email givenName = $firstname familyName = $lastname password = $password phone = $phone orgunit = $orgunit } if ($GMailExist) { Write-Host "  " -f mag (GoogleQuery 'UpdateAccount' $query) | fl write-host "      $Username  Google." } else { Write-Host "  " -f mag (GoogleQuery 'CreateAccount' $query) | fl } if ($moscow -eq "y"){ write-host "   moscowoffice" $query = @{ groupkey = 'moscowoffice@rocketguys.com' email = $email } (GoogleQuery 'AddMember' $query) | fl } 

किसी खाते को अपडेट करने और बनाने का कार्य एक ही वाक्यविन्यास है, सभी अतिरिक्त क्षेत्रों की आवश्यकता नहीं है, फोन नंबर वाले अनुभाग में आपको एक सरणी निर्दिष्ट करने की आवश्यकता होती है जिसमें एक संख्या और उसके प्रकार के साथ एक रिकॉर्ड हो सकता है।

उपयोगकर्ता को समूह में जोड़ते समय त्रुटि प्राप्त न करने के लिए, हम पहले यह जाँच सकते हैं कि क्या वह इस समूह में पहले से ही उपयोगकर्ता से समूह के सदस्यों या रचना की सूची प्राप्त कर रहा है या नहीं।

एक विशिष्ट उपयोगकर्ता के समूहों की रचना के लिए एक अनुरोध पुनरावर्ती नहीं होगा और केवल प्रत्यक्ष सदस्यता दिखाएगा। मूल समूह में उपयोगकर्ता का समावेश, जिसमें उपयोगकर्ता जिस सहायक समूह का सदस्य है, वह पहले से ही सफल है।

निष्कर्ष

यह उपयोगकर्ता को नए खाते के लिए पासवर्ड भेजने के लिए बना हुआ है। हम एसएमएस के माध्यम से ऐसा करते हैं, और निर्देशों के साथ सामान्य जानकारी भेजते हैं और व्यक्तिगत मेल पर लॉगिन करते हैं, जो फोन नंबर के साथ, कर्मियों के चयन विभाग द्वारा प्रदान किया गया था। एक विकल्प के रूप में, आप पैसे बचा सकते हैं और एक गुप्त टेलीग्राम चैट पर पासवर्ड भेज सकते हैं, जिसे दूसरा कारक भी माना जा सकता है (मैकबुक एक अपवाद होगा)।

अंत तक पढ़ने के लिए धन्यवाद। लेखों की लेखन शैली में सुधार के लिए सुझाव देखकर मुझे खुशी होगी और मैं चाहता हूं कि स्क्रिप्ट लिखते समय आप कम गलतियाँ पकड़ें।)

उन लिंक्स की सूची जो आपके लिए उपयोगी हो सकती हैं या आपके प्रश्नों का उत्तर दे सकती हैं:

• OAuth 2.0 मोबाइल और डेस्कटॉप ऐप्स के लिए
• वेब सर्वर अनुप्रयोगों के लिए OAuth 2.0 का उपयोग करना
• OAuth सार्वजनिक ग्राहकों द्वारा कोड एक्सचेंज के लिए सबूत कुंजी
• PowerShell के साथ रैंडम पत्र उत्पन्न करें
• ASCII तालिका और विवरण
• PowerShell: स्ट्रिंग के लिए हैश मान प्राप्त करना
• Encode / Decode Base64Url
• Base64 एन्कोडिंग बनाम Base64url एन्कोडिंग
• PowerShell 5.1 में चालान-रेस्टमैथोड
• फिर भी ताज़ा टोकन नहीं मिल रहा है, जबकि access_type चरण 1 में ऑफ़लाइन है
• तुलना संचालकों के बारे में
• निर्देशिका एपीआई: उपयोगकर्ता खाते
• उपयोगकर्ताओं के लिए खोजें
• निर्देशिका एपीआई: समूह
• इनवोक-रेस्टमैथोड के लिए त्रुटि हैंडलिंग - पॉवर्सशेल