Non è sempre possibile per i docenti con account su dominio Google Workspace procedere alla reimpostazione autonoma della password, senza passare dall’amministratore. Questa possibilità dipende dall’incrocio di diversi fattori.
Anzitutto, i termini di servizio di Google Workspace for Education non consentono la reimpostazione della password in autonomia per tutti gli utenti minori di 18 anni. Come ulteriore forma di protezione a garanzia di ciò, in tutti i domini Google Workspace di istruzione primaria e secondaria è impedito a tutti gli utenti – non solo ai minorenni o agli studenti – di inserire personalmente indirizzo email e/o numero di telefono di recupero. Questo è possibile sui domini di istruzione superiore – che nella realtà scolastica italiana coincidono non con la ‘scuola superiore’, ma con l’Università. Dove il problema evidentemente non sussiste, essendo tutti gli studenti già maggiorenni. In tutti i domini fanno eccezione a questo regola gli account dei superadmin, che possono naturalmente impostare i dati di recupero.
Nei domini Google Workspace di istruzione primaria e secondaria, l’unico modo che hanno i docenti per procedere alla reimpostazione autonoma della password è quello di avere almeno un dato di recupero, tra email e telefono. Non potendo inserirli personalmente, dovrebbe essere l’amministratore ad occuparsi di questo, con aggravio di lavoro e tempo dedicato. Inoltre, per conformità al GDPR, non si possono inserire d’ufficio questi dati con la semplice informativa che vale invece per inserire i dati di creazione degli account. Non essendo dati indispensabili, va specificata informativa apposita, e secondo alcuni DPO va anche acquisito consenso esplicito degli interessati.
Una proposta di soluzione
Per ovviare a questa serie di complicazioni, ho preparato una serie di moduli e script annessi ai fogli di lavoro con le risposte. Questi permettono ai docenti una gestione autonoma sia dell’inserimento dei dati di recupero che della reimpostazione della password dell’account Google Workspace.
Come già specificato nel post simile che cura la Reimpostazione password studenti semplificata, è bene porre particolare attenzione agli aspetti di sicurezza e di trattamento dei dati. Per quanto riguarda il secondo aspetto, valuteremo con dirigente e DPO la necessità di adeguare informative o ottenere consensi degli interessati.
Per quanto riguarda la sicurezza, gli script impostano una procedura controllata a più livelli. Gli account dei docenti contengono dati riservati, è quindi necessario che nessuno possa reimpostare la password se non loro stessi o l’admin. Per questo il meccanismo è leggermente più complesso di quello proposto nel post analogo riguardante gli studenti. Una serie di controlli permette solo ai docenti di accedere al modulo per impostare i dati di recupero. E solo dopo aver verificato la corrispondenza dell’indirizzo email di recupero con quello presente in archivio, la procedura di reimpostazione password può partire tramite il modulo in Google Workspace.
La procedura – flusso di lavoro
Sostanzialmente il meccanismo procede secondo questi passi:
- l’amministratore copia i file e procede ad una prima impostazione per ognuno di essi (in parte automatizzata, in parte inserendo i dati specifici del proprio dominio e relative unità organizzative).
- il docente utilizza un primo modulo – Indirizzo email di recupero per l’account Google Workspace – per impostare l’indirizzo email di recupero a cui lo script invierà la password reimpostata in caso sia necessario. Questo modulo deve essere compilato in anticipo, prima di aver smarrito le credenziali. Per escludere accessi di estranei, il modulo va compilato solo dall’account Google Workspace, e raccoglie automaticamente l’indirizzo email. In questo modo nessuno può impostare indirizzi di recupero per altri account tranne il proprio. Dallo stesso modulo è possibile verificare l’indirizzo email inserito in precedenza, o modificarlo se necessario.
- in caso di perdita della password, il docente utilizza il modulo Richiedi una nuova password per reimpostarla in autonomia. Questo modulo può essere compilato con qualunque account, ed esegue una verifica incrociata. Il docente inserisce sia l’account di cui ha perso le credenziali, sia l’indirizzo email di recupero inserito precedentemente nel primo modulo. Solo se questo coincide con l’indirizzo di recupero in archivio, lo script genera una nuova password, che viene inviata al docente tramite mail. Diversamente (se l’indirizzo di recupero non coincide, o non è presente in elenco) il docente dovrà rivolgersi all’admin.
Entrambe le procedure dei moduli prevedono una serie di avvisi per mail, sia in caso di riuscita che in caso di errore. In presenza di errori che non dipendono dall’utente, anche l’amministratore riceve un avviso via mail. Un terzo file – un foglio di lavoro questa volta – svolge sia la funzione di log delle operazioni, che di base per l’inserimento delle impostazioni personalizzate del dominio – unità organizzative autorizzate e indirizzo email di assistenza.
Istruzioni
Copiare i file necessari
Tutti i file che servono sono contenuti in questa cartella:
Reimpostazione password docenti autonoma in Google Workspace
I file sono condivisi in sola lettura. Non aprirli, esegui i passaggi descritti qui sotto direttamente dalla cartella di Drive. Non trovi in questa cartella i due file dei moduli veri e propri, perché verranno creati automaticamente seguendo le indicazioni:
- apri Chrome e fai l’accesso con un account Google Workspace da amministratore
- apri questa pagina del blog e clicca sul link della cartella qui sopra
- seleziona i quattro file, e con il tasto destro scegli Crea una copia
- spostati nella cartella radice Il mio Drive: troverai 6 file creati – i quattro di partenza più i due moduli che vengono generati automaticamente – i cui nomi iniziano con Copia di…
- crea una nuova cartella di Drive apposita, e sposta lì dentro i file senza rinominarli
Configurazione iniziale
Prima dell’utilizzo bisogna eseguire alcune operazioni preliminari di configurazione. La maggior parte di queste vengono eseguite automaticamente dalle funzioni integrate degli script: dovrai solo cliccare alcune voci di menu. Dovrai invece inserire manualmente pochi dati, che indicano agli script la configurazione specifica del tuo dominio di Google Workspace.
1. Apri il file Copia di elenco e impostazioni e configuralo per il primo utilizzo:
- attendi – può impiegare anche un minuto – che dopo l’apertura compaia una finestra con le indicazioni
- clicca sul menu Impostazioni > 1. Concedi le autorizzazioni per lo script, e accetta le richieste
- clicca su Impostazioni > 2. Esegui la configurazione iniziale
Questa procedura rinomina i file copiati, crea nella stessa cartella il file di log e inizializza quanto serve per il funzionamento automatico della procedura. Attenzione: da questo momento in poi puoi spostare i file a piacere, ma non devi rinominare nessuno di questi file: verrebbe compromesso il funzionamento dello script. - se vuoi modificare la mail per l’assistenza, clicca su Impostazioni > 3. Opzionale – Modifica email per l’assistenza
- clicca su Impostazioni > 4. Imposta le unità organizzative autorizzate e segui le indicazioni. In questo passaggio inserisci le unità organizzative che autorizzi al recupero autonomo della password – tipicamente sarà qualcosa come /Docenti. Attenzione ad un paio di fattori:
- come indicato nelle istruzioni, verrà autorizzata sia l’unità organizzativa (o le unità organizzative) che elenchi, sia tutte le relative sotto-unità organizzative. Se quindi indichi /Docenti, e nel tuo dominio sono presenti anche le sotto-unità organizzative /Docenti/Primaria e /Docenti/Secondaria, anche gli utenti di queste sotto-unità organizzative saranno autorizzati. Se per i docenti questo non fa normalmente problema, valuta attentamente questo fattore se inserisci anche altre unità organizzative nella lista delle autorizzate
- non indicare unità organizzative che contengono minorenni, per i termini di servizio che lo vietano di cui abbiamo parlato sopra
2. Apri il foglio di lavoro Indirizzo email di recupero per l’account Google Workspace (Risposte) e configuralo per il primo utilizzo
Fai attenzione ad aprire il foglio di lavoro, e non il modulo che è quasi omonimo. Esegui la configurazione iniziale:
- attendi – può impiegare anche un minuto – che dopo l’apertura compaia una finestra con le indicazioni
- clicca su Impostazioni > 1. Concedi le autorizzazioni, e accetta le richieste
- clicca su Impostazioni > 2. Esegui la configurazione iniziale
Per questo foglio non devi fare altro, terminata la configurazione iniziale puoi chiuderlo e passare al prossimo punto.
3. Apri il foglio di lavoro Richiedi una nuova password (Risposte), e configuralo per il primo utilizzo
Fai attenzione ad aprire il foglio di lavoro, e non il modulo che è quasi omonimo. Esegui la configurazione iniziale:
- attendi – può impiegare anche un minuto – che dopo l’apertura compaia una finestra con le indicazioni
- clicca su Impostazioni > 1. Concedi le autorizzazioni, e accetta le richieste
- clicca su Impostazioni > 2. Esegui la configurazione iniziale
Per questo foglio non devi fare altro, terminata la configurazione iniziale puoi chiuderlo. Ora tutto è pronto per testare la procedura.
Utilizzo
Particolarità e sicurezza
- il primo modulo deve essere compilato dall’account Google Workspace di cui si vuole impostare (o verificare o modificare) l’indirizzo email di recupero; questo come forma di sicurezza
- il secondo modulo può invece essere compilato da chiunque (avendo perso password, non può essere compilato dall’account Google Workspace dell’interessato): opererà un confronto tra i dati di recupero inseriti nel modulo e quelli precedentemente inseriti nell’elenco degli indirizzi di recupero; solo se coincidono, reimposta la password e invia all’indirizzo di recupero le nuove credenziali temporanee
- i fogli di lavoro Indirizzo email di recupero per l’account Google Workspace e Richiedi una nuova password memorizzano, oltre alle risposte dei moduli, l’esito della richiesta
- il foglio di lavoro elenco e impostazioni, nel foglio elenco, tiene traccia aggiornata degli utenti che hanno utilizzato la procedura, della mail di recupero inserita, e il conteggio delle modifiche e reimpostazioni della password effettuate
Testare la procedura
Prima di implementare la procedura per gli utenti del tuo dominio, è bene effettuare alcuni test approfonditi per verificare che tutto funzioni come desiderato. Utilizza un account di prova del tuo dominio – puoi anche crearlo appositamente per questo test. In questo modo se qualcosa dovesse funzionare in modo imprevisto, non coinvolgerai utenti attivi.
La procedura per gli utenti finali sarà questa:
- l’utente compila il modulo Indirizzo email di recupero per l’account Google Workspace, e inserisce un indirizzo email personale di recupero
- in caso di smarrimento password, l’utente compila il modulo Richiedi una nuova password, e se tutti i controlli sono soddisfatti, lo script reimposta la sua password, che viene inviata per mail all’indirizzo di recupero
Qualche consiglio per effettuare i test:
- usa il modulo Indirizzo email di recupero per l’account Google Workspace per impostare, verificare e modificare l’email di recupero per un account Google Workspace
- usa il modulo Richiedi una nuova password per reimpostare la password dimenticata di un account
- verifica che nel foglio di lavoro elenco e impostazioni l’elenco degli utenti e il tracciamento delle relative richieste funzioni correttamente
- controlla negli altri due fogli di lavoro che la cella esito venga completata con l’esito corrispondente della richiesta
- verifica che gli indirizzi email interessati dalle procedure ricevano notifiche email coerenti con l’operazione richiesta e con l’esito atteso, sia in caso di successo che in caso di problemi o errori
- per esplorare tutta la casistica, fai test non solo su procedure corrette, ma soprattutto sulla casistica non corretta; qualche esempio:
- avviare le procedure con elenco delle unità organizzative autorizzate vuoto
- richiedere reset password da utente non appartenente ad unità organizzativa autorizzata
- richiedere di modificare indirizzo email di recupero senza prima averlo inserito per quell’utente
- …
Errori e notifiche
Questi casi di errori generali che gli utenti possono facilmente commettere sono previsti e gestiti dalla procedura. Ogni errore genera apposite notifiche via email, inviate all’utente utilizzatore e talvolta – se necessario – anche all’email di assistenza (amministratore o quella impostata all’inizio).
Se trovi situazioni non coerenti, o soprattutto se trovi casi di errore ipotizzabile non previsti e gestiti dalla procedura, segnalali nei commenti in fondo a questo post. Ogni consiglio per migliorare la procedura è ben accetto.
Ciao Daniele, intanto grazie per i tuoi utili suggerimenti e consigli. Ho seguito passo dopo passo la procedura per la reimpostazione autonoma della password dei docenti, ho inviato a tutti i docenti, tramite e-mail istituzionale, il link del modulo “Indirizzo e-mail di recupero per l’account gsuite”.
Alcuni docenti hanno svolto in pochi secondi l’operazione, altri non riescono ad accedere al modulo perchè gli viene chiesto l’autorizzazione dell’amministratore, altri ancora accedono ma visualizzano il modulo modificato da altri docenti. Ho controllato il file nel mio Drive e con sorpresa vedo che anch’esso è modificato! Ti chiedo cosa sia successo e se mi puoi aiutare. Posso eliminare tutto e ricominciare da capo?
Ti ringrazio anticipatamente.
ciao Matteo, come hai inviato il link ai docenti? da quello che dici sembrerebbe che siano stati aggiunti (tutti o almeno qualcuno) come collaboratori del modulo, anziché aver inviato loro il link per la sola compilazione. per verificare apri il modulo, clicchi in alto a destra sui 3 puntini verticali e scegli Aggiungi collaboratori: se in lista vedi altri utenti oltre a te, il problema è individuato. poi sì, in ogni caso se hanno modificato il modulo ti consiglio di cancellare tutto e rifare, non si sa mai siano state modificate parti importanti che bloccano il corretto funzionamento. ma meglio prima di eliminare accertarsi di cosa è successo, in modo da non ripeterlo
Ciao Daniele, intanto grazie per i tuoi utili suggerimenti e consigli. Ho seguito passo dopo passo la procedura per la reimpostazione autonoma della password dei docenti. Ho iniziato con i test di recupero email con un mio account gsuite. Purtroppo mi arriva email “utente non autorizzato”. Cosa sbaglio? Grazie
ciao Santino, bisognerebbe capire di preciso a che punto ricevi il messaggio. cosa stai facendo? impostando l’indirizzo di recupero? richiedendo il reset password? così su due piedi controllerei prima bene di aver inserito correttamente l’unità organizzativa autorizzata nel primo foglio, e che l’account di prova si trovi dentro a quella. se non basta, prova a fornire dettagli più precisi – compreso messaggio di errore completo – e vediamo di capire meglio
Il primo test che ho fatto è quello del “imposta indirizzo e-mail di recupero” dall’account personale di scuola (nome.cognome@scuola.edu.it). Premesso che ho eseguito tutti i passaggi dei tre fogli. in particolare in quello “elenco e impostazioni” ho impostato le unità organizzative e precisamente al primo rigo (A2) ho inserito /primario/secondario/terzo. Lancio il modulo, compilo, ottengo il messaggio che mi arriverà e.mail. A questo punto l’email mi dice: “Hai chiesto di impostare, verificare o modificare l’email di recupero per il tuo account santino.cerami@scuola.edu.it, ma non sei autorizzato a farlo. Solo docenti, collaboratori e personale di segreteria possono impostare un’email per il recupero autonomo della password in caso di smarrimento”. Controllo anche il foglio delle risposte e come esito mi dice “utente non autorizzato”
l’errore è quello di utente non inserito nell’unità organizzativa impostata. immagino tu abbia verificato che l’utente si trovi effettivamente nell’unità organizzativa che ha inserito nel foglio. se così, probabilmente un semplice errore di digitazione nell’inserire unità organizzativa. controlla che non ci siano spazi iniziali o finali, che maiuscole/minuscole siano rispettate, che non ci sia un ultimo slash / alla fine della riga
Niente da fare. Naturalmente l’utente è presente nell’unità organizzativa. Ho addirittura messo solo la principale ma mi dice sempre utente non autorizzato. Probabilmente è un problema di console di amministrazione?
non credo ci possano essere problemi da console di amministrazione. fai questa verifica: da editor di apps script (vecchio editor) va in Risorse > Servizi avanzati di Google, e nella lista controlla che Admin SDK API (la prima voce, con directory_v1) sia attivo (slider sul verde). se non è così attiva, salva, attendi un po’ che si aggiorni, poi ricarica e prova di nuovo. non vedo al momento la possibilità di attivare questa api nel nuovo editor di apps script, fai prima a tornare al vecchio momentaneamente, abilitare e se vuoi ritornare al nuovo
Grazie proverò
Anche questa verifica fatta. Admin SKD API attiva (slider sul verde) ma persiste messaggio di non autorizzazione
Salve Daniele ho visto il webinar, complimenti.
Se il docente è pigro e non ha inserito l’email di recupero e perde la password deve rivolgersi all’amministratore, si può aggiungere l’obbligo che al primo accesso inserisca l’email di recupero?
Puoi aggiungere anche il doppio inserimento della email di recupero?
Per controllare la corretta digitazione.
per quanto riguarda il doppio inserimento email nel form, si può fare, ma non ottieni quel controllo che vedi su molti siti web, che ti avvisano se le due digitazioni sono diverse e non ti fanno proseguire finché non lo sono. per fare questo bisognerebbe poter intervenire sull’interfaccia utente di Moduli (per far eseguire un javascript nel browser utente), ma questo non è possibile, nemmeno con Apps Script. si potrebbe solo fare una verifica successiva: dopo la compilazione del modulo che accetta le due digitazioni giuste o sbagliate che siano, lo script può controllare che i campi coincidano, e nel caso non lo siano inviare una mail all’utente avvisandolo dell’errore… ma lo trovo poco pratico e scarsamente efficace. una forma di controllo incrociata di questo tipo c’è già nello script: in caso di successo vengono inviate due email di conferma (all’indirizzo Workspace e a quello personale scelto come recupero). nella mail inviata all’indirizzo Workspace viene indicato quale indirizzo è stato digitato per il recupero, da lì l’utente può vedere se ha commesso errori. più di questo – mancando quell’accesso all’interfaccia utente descritto sopra – non è possibile fare al momento
grazie Mario, non è possibile farlo in maniera forzata, perché il processo di nuova autenticazione è gestito interamente dal server dedicato di Google. io nella mia scuola ho impostato un ulteriore script che mensilmente manda una mail di sollecito a tutti gli utenti interessati (docenti e ATA, nel mio caso) che ancora non hanno inserito email di recupero, invitandoli a farlo. non è cogente, ma la maggior parte poi lo fa, se non altro per sfinimento dopo tutte quelle mail 🙂 quanto riesco provo a pubblicare qualcosa che possa andare bene al di fuori della mia scuola