Reimpostazione password autonoma docenti G Suite

Non è sempre possibile per i docenti con account su dominio G Suite procedere alla reimpostazione autonoma della password, senza passare dall’amministratore. Questa possibilità dipende dall’incrocio di diversi fattori.

Anzitutto, i termini di servizio di G Suite for Education non consentono la reimpostazione della password in autonomia per tutti gli utenti minori di 18 anni. Come ulteriore forma di protezione a garanzia di ciò, in tutti i domini G Suite di istruzione primaria e secondaria è impedito a tutti gli utenti – non solo ai minorenni o agli studenti – di inserire personalmente indirizzo email e/o numero di telefono di recupero. Questo è possibile sui domini di istruzione superiore – che nella realtà scolastica italiana coincidono non con la ‘scuola superiore’, ma con l’Università. Dove il problema evidentemente non sussiste, essendo tutti gli studenti già maggiorenni. In tutti i domini fanno eccezione a questo regola gli account dei superadmin, che possono naturalmente impostare i dati di recupero.

Nei domini G Suite di istruzione primaria e secondaria, l’unico modo che hanno i docenti per procedere alla reimpostazione autonoma della password è quello di avere almeno un dato di recupero, tra email e telefono. Non potendo inserirli personalmente, dovrebbe essere l’amministratore ad occuparsi di questo, con aggravio di lavoro e tempo dedicato. Inoltre, per conformità al GDPR, non si possono inserire d’ufficio questi dati con la semplice informativa che vale invece per inserire i dati di creazione degli account. Non essendo dati indispensabili, va specificata informativa apposita, e secondo alcuni DPO va anche acquisito consenso esplicito degli interessati.

Una proposta di soluzione

Per ovviare a questa serie di complicazioni, ho preparato una serie di moduli e script annessi ai fogli di lavoro con le risposte. Questi permettono ai docenti una gestione autonoma sia dell’inserimento dei dati di recupero che della reimpostazione della password dell’account G Suite.

Come già specificato nel post simile che cura la Reimpostazione password studenti semplificata, è bene porre particolare attenzione agli aspetti di sicurezza e di trattamento dei dati. Per quanto riguarda il secondo aspetto, valuteremo con dirigente e DPO la necessità di adeguare informative o ottenere consensi degli interessati.

Per quanto riguarda la sicurezza, gli script impostano una procedura controllata a più livelli. Gli account dei docenti contengono dati riservati, è quindi necessario che nessuno possa reimpostare la password se non loro stessi o l’admin. Per questo il meccanismo è leggermente più complesso di quello proposto nel post analogo riguardante gli studenti. Una serie di controlli permette solo ai docenti di accedere al modulo per impostare i dati di recupero. E solo dopo aver verificato la corrispondenza dell’indirizzo email di recupero con quello presente in archivio, la procedura di reimpostazione password può partire.

La procedura – flusso di lavoro

Sostanzialmente il meccanismo procede secondo questi passi:

  1. l’amministratore copia i file e procede ad una prima impostazione per ognuno di essi (in parte automatizzata, in parte inserendo i dati specifici del proprio dominio e relative unità organizzative).
  2. il docente utilizza un primo modulo – Indirizzo email di recupero per l’account G Suite – per impostare l’indirizzo email di recupero a cui lo script invierà la password reimpostata in caso sia necessario. Questo modulo deve essere compilato in anticipo, prima di aver smarrito le credenziali. Per escludere accessi di estranei, il modulo va compilato solo dall’account G Suite, e raccoglie automaticamente l’indirizzo email. In questo modo nessuno può impostare indirizzi di recupero per altri account tranne il proprio. Dallo stesso modulo è possibile verificare l’indirizzo email inserito in precedenza, o modificarlo se necessario.
  3. in caso di perdita della password, il docente utilizza il modulo Richiedi una nuova password per reimpostarla in autonomia. Questo modulo può essere compilato con qualunque account, ed esegue una verifica incrociata. Il docente inserisce sia l’account di cui ha perso le credenziali, sia l’indirizzo email di recupero inserito precedentemente nel primo modulo. Solo se questo coincide con l’indirizzo di recupero in archivio, lo script genera una nuova password, che viene inviata al docente tramite mail. Diversamente (se l’indirizzo di recupero non coincide, o non è presente in elenco) il docente dovrà rivolgersi all’admin.

Entrambe le procedure dei moduli prevedono una serie di avvisi per mail, sia in caso di riuscita che in caso di errore. In presenza di errori che non dipendono dall’utente, anche l’amministratore riceve un avviso via mail. Un terzo file – un foglio di lavoro questa volta – svolge sia la funzione di log delle operazioni, che di base per l’inserimento delle impostazioni personalizzate del dominio – unità organizzative autorizzate e indirizzo email di assistenza.

Istruzioni

Copiare i file necessari

Tutti i file che servono sono contenuti in questa cartella:
Reimpostazione password docenti autonoma in G Suite

I file sono condivisi in sola lettura. Non aprirli, esegui i passaggi descritti qui sotto direttamente dalla cartella di Drive. Non trovi in questa cartella i due file dei moduli veri e propri, perché verranno creati automaticamente seguendo le indicazioni:

  • apri Chrome e fai l’accesso con un account G Suite da amministratore
  • apri questa pagina del blog e clicca sul link della cartella qui sopra
  • seleziona i quattro file, e con il tasto destro scegli Crea una copia
  • spostati nella cartella radice Il mio Drive: troverai 6 file creati – i quattro di partenza più i due moduli che vengono generati automaticamente – i cui nomi iniziano con Copia di…
  • crea una nuova cartella di Drive apposita, e sposta lì dentro i file senza rinominarli

Configurazione iniziale

Prima dell’utilizzo bisogna eseguire alcune operazioni preliminari di configurazione. La maggior parte di queste vengono eseguite automaticamente dalle funzioni integrate degli script: dovrai solo cliccare alcune voci di menu. Dovrai invece inserire manualmente pochi dati, che indicano agli script la configurazione specifica del tuo dominio di G Suite.

1. Apri il file Copia di elenco e impostazioni e configuralo per il primo utilizzo:
  • attendi –  può impiegare anche un minuto – che dopo l’apertura compaia una finestra con le indicazioni
  • clicca sul menu Impostazioni > 1. Concedi le autorizzazioni per lo script, e accetta le richieste
  • clicca su Impostazioni > 2. Esegui la configurazione iniziale
    Questa procedura rinomina i file copiati, crea nella stessa cartella il file di log e inizializza quanto serve per il funzionamento automatico della procedura. Attenzione: da questo momento in poi puoi spostare i file a piacere, ma non devi rinominare nessuno di questi file: verrebbe compromesso il funzionamento dello script.
  • se vuoi modificare la mail per l’assistenza, clicca su Impostazioni > 3. Opzionale – Modifica email per l’assistenza
  • clicca su Impostazioni > 4. Imposta le unità organizzative autorizzate e segui le indicazioni. In questo passaggio inserisci le unità organizzative che autorizzi al recupero autonomo della password – tipicamente sarà qualcosa come /Docenti. Attenzione ad un paio di fattori:
    • come indicato nelle istruzioni, verrà autorizzata sia l’unità organizzativa (o le unità organizzative) che elenchi, sia tutte le relative sotto-unità organizzative. Se quindi indichi /Docenti, e nel tuo dominio sono presenti anche le sotto-unità organizzative /Docenti/Primaria e /Docenti/Secondaria, anche gli utenti di queste sotto-unità organizzative saranno autorizzati. Se per i docenti questo non fa normalmente problema, valuta attentamente questo fattore se inserisci anche altre unità organizzative nella lista delle autorizzate
    • non indicare unità organizzative che contengono minorenni, per i termini di servizio che lo vietano di cui abbiamo parlato sopra
2. Apri il foglio di lavoro Indirizzo email di recupero per l’account G Suite (Risposte) e configuralo per il primo utilizzo

Fai attenzione ad aprire il foglio di lavoro, e non il modulo che è quasi omonimo. Esegui la configurazione iniziale:

  • attendi –  può impiegare anche un minuto – che dopo l’apertura compaia una finestra con le indicazioni
  • clicca su Impostazioni > 1. Concedi le autorizzazioni, e accetta le richieste
  • clicca su Impostazioni > 2. Esegui la configurazione iniziale

Per questo foglio non devi fare altro, terminata la configurazione iniziale puoi chiuderlo e passare al prossimo punto.

3. Apri il foglio di lavoro Richiedi una nuova password (Risposte), e configuralo per il primo utilizzo

Fai attenzione ad aprire il foglio di lavoro, e non il modulo che è quasi omonimo. Esegui la configurazione iniziale:

  • attendi –  può impiegare anche un minuto – che dopo l’apertura compaia una finestra con le indicazioni
  • clicca su Impostazioni > 1. Concedi le autorizzazioni, e accetta le richieste
  • clicca su Impostazioni > 2. Esegui la configurazione iniziale

Per questo foglio non devi fare altro, terminata la configurazione iniziale puoi chiuderlo. Ora tutto è pronto per testare la procedura.

Utilizzo

Particolarità e sicurezza

  • il primo modulo deve essere compilato dall’account G Suite di cui si vuole impostare (o verificare o modificare) l’indirizzo email di recupero; questo come forma di sicurezza
  • il secondo modulo può invece essere compilato da chiunque (avendo perso password, non può essere compilato dall’account G Suite dell’interessato): opererà un confronto tra i dati di recupero inseriti nel modulo e quelli precedentemente inseriti nell’elenco degli indirizzi di recupero; solo se coincidono, reimposta la password e invia all’indirizzo di recupero le nuove credenziali temporanee
  • i fogli di lavoro Indirizzo email di recupero per l’account G Suite e Richiedi una nuova password  memorizzano, oltre alle risposte dei moduli, l’esito della richiesta
  • il foglio di lavoro elenco e impostazioni, nel foglio elenco, tiene traccia aggiornata degli utenti che hanno utilizzato la procedura, della mail di recupero inserita, e il conteggio delle modifiche e reimpostazioni della password effettuate

Testare la procedura

Prima di implementare la procedura per gli utenti del tuo dominio, è bene effettuare alcuni test approfonditi per verificare che tutto funzioni come desiderato. Utilizza un account di prova del tuo dominio – puoi anche crearlo appositamente per questo test. In questo modo se qualcosa dovesse funzionare in modo imprevisto, non coinvolgerai utenti attivi.

La procedura per gli utenti finali sarà questa:

  • l’utente compila il modulo Indirizzo email di recupero per l’account G Suite, e inserisce un indirizzo email personale di recupero
  • in caso di smarrimento password, l’utente compila il modulo Richiedi una nuova password, e se tutti i controlli sono soddisfatti, lo script reimposta la sua password, che viene inviata per mail all’indirizzo di recupero

Qualche consiglio per effettuare i test:

  • usa il modulo Indirizzo email di recupero per l’account G Suite per impostare, verificare e modificare l’email di recupero per un account G Suite
  • usa il modulo Richiedi una nuova password per reimpostare la password dimenticata di un account
  • verifica che nel foglio di lavoro elenco e impostazioni l’elenco degli utenti e il tracciamento delle relative richieste funzioni correttamente
  • controlla negli altri due fogli di lavoro che la cella esito venga completata con l’esito corrispondente della richiesta
  • verifica che gli indirizzi email interessati dalle procedure ricevano notifiche email coerenti con l’operazione richiesta e con l’esito atteso, sia in caso di successo che in caso di problemi o errori
  • per esplorare tutta la casistica, fai test non solo su procedure corrette, ma soprattutto sulla casistica non corretta; qualche esempio:
    • avviare le procedure con elenco delle unità organizzative autorizzate vuoto
    • richiedere reset password da utente non appartenente ad unità organizzativa autorizzata
    • richiedere di modificare indirizzo email di recupero senza prima averlo inserito per quell’utente

Errori e notifiche

Questi casi di errori generali che gli utenti possono facilmente commettere sono previsti e gestiti dalla procedura. Ogni errore genera apposite notifiche via email, inviate all’utente utilizzatore e talvolta – se necessario – anche all’email di assistenza (amministratore o quella impostata all’inizio).

Se trovi situazioni non coerenti, o soprattutto se trovi casi di errore ipotizzabile non previsti e gestiti dalla procedura, segnalali nei commenti in fondo a questo post. Ogni consiglio per migliorare la procedura è ben accetto.

Se vuoi essere avvisato dei prossimi articoli, iscriviti alla Newsletter: riceverai una notifica quando viene pubblicato un nuovo post su questo sito.

Condividi questo contenuto

Taggato come

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

Iscriviti alla Newsletter

I tuoi dati rimarranno privati; verranno condivisi solo con chi rende possibile questo servizio. Leggi la privacy policy.