🥇 קריייטינג Google יוזערז פֿון PowerShell דורך API

הי!

דער אַרטיקל וועט באַשרייַבן די ימפּלאַמענטיישאַן פון PowerShell ינטעראַקשאַן מיט די Google API צו מאַניפּולירן G Suite יוזערז.

מיר נוצן עטלעכע ינערלעך און וואָלקן באַדינונגס אַריבער די אָרגאַניזאַציע. צום מערסטן, דער דערלויבעניש אין זיי קומט אַראָפּ צו Google אָדער אַקטיווע Directory, צווישן וואָס מיר קענען נישט האַלטן אַ רעפּליקע; אַקאָרדינגלי, ווען אַ נייַע אָנגעשטעלטער פאַרלאָזן, איר דאַרפֿן צו שאַפֿן / געבן אַ חשבון אין די צוויי סיסטעמען. צו אָטאַמייט דעם פּראָצעס, מיר באַשלאָסן צו שרייַבן אַ שריפט וואָס קאַלעקץ אינפֿאָרמאַציע און סענדז עס צו ביידע באַדינונגס.

דערלויבעניש

ווען די רעקווירעמענץ, מיר באַשלאָסן צו נוצן פאַקטיש מענטש אַדמיניסטראַטאָרס פֿאַר דערלויבעניש; דאָס סימפּלאַפייז די אַנאַליסיס פון אַקשאַנז אין פאַל פון אַקסאַדענטאַל אָדער ינטענשאַנאַל מאַסיוו ענדערונגען.

Google אַפּיס נוצן די OAuth 2.0 פּראָטאָקאָל פֿאַר אָטענטאַקיישאַן און דערלויבעניש. ניצן קאַסעס און מער דיטיילד דיסקריפּשאַנז קענען זיין געפֿונען דאָ: ניצן OAuth 2.0 צו אַקסעס Google APIs.

איך אויסדערוויילט די שריפט וואָס איז געניצט פֿאַר דערלויבעניש אין דעסקטאַפּ אַפּלאַקיישאַנז. עס איז אויך אַן אָפּציע צו נוצן אַ דינסט חשבון, וואָס טוט נישט דאַרפן ומנייטיק מווומאַנץ פון די באַניצער.

די בילד אונטן איז אַ סכעמאַטיש באַשרייַבונג פון די אויסגעקליבן סצענאַר פון די Google בלאַט.

ערשטער, מיר שיקן דעם באַניצער צו די Google אַקאַונט אָטענטאַקיישאַן בלאַט, ספּעציפיצירן GET פּאַראַמעטערס:
- אַפּלאַקיישאַן שייַן
- געביטן צו וואָס די אַפּלאַקיישאַן דאַרף אַקסעס
- די אַדרעס צו וואָס דער באַניצער וועט זיין רידערעקטיד נאָך קאַמפּליטינג די פּראָצעדור
- די וועג מיר וועלן דערהייַנטיקן די סימען
- זיכערהייַט קאָד
- וועראַפאַקיישאַן קאָד טראַנסמיסיע פֿאָרמאַט
נאָך דערלויבעניש איז געענדיקט, דער באַניצער וועט זיין רידערעקטיד צו די בלאַט ספּעסיפיעד אין דער ערשטער בעטן, מיט אַ טעות אָדער דערלויבעניש קאָד דורכגעגאנגען דורך GET פּאַראַמעטערס
די אַפּלאַקיישאַן (שריפט) וועט דאַרפֿן צו באַקומען די פּאַראַמעטערס און, אויב באקומען די קאָד, מאַכן די פאלגענדע בעטן צו באַקומען טאָקענס
אויב די בקשה איז ריכטיק, די Google API קערט:
- אַקסעס סימען מיט וואָס מיר קענען מאַכן ריקוועס
- די גילטיקייַט צייַט פון דעם סימען
- דערפרישן טאָקען פארלאנגט צו דערפרישן די אַקסעס סימען.

ערשטער איר דאַרפֿן צו גיין צו די Google API קאַנסאָול: קראַדענטשאַלז - Google API קאַנסאָול, אויסקלייַבן די געבעטן אַפּלאַקיישאַן און אין די קראַדענטשאַלז אָפּטיילונג שאַפֿן אַ קליענט OAuth ידענטיפיער. דאָרט (אָדער שפּעטער, אין די פּראָפּערטיעס פון די באשאפן אידענטיפיצירן) איר דאַרפֿן צו ספּעציפיצירן די אַדרעסעס צו וואָס רידערעקשאַן איז ערלויבט. אין אונדזער פאַל, דאָס וועט זיין עטלעכע לאָקאַלהאָסט איינסן מיט פאַרשידענע פּאָרץ (זען ווייטער).

צו מאַכן עס מער באַקוועם צו לייענען די שריפט אַלגערידאַם, איר קענען ווייַזן די ערשטער סטעפּס אין אַ באַזונדער פונקציע וואָס וועט צוריקקומען אַקסעס און דערפרישן טאָקענס פֿאַר די אַפּלאַקיישאַן:

$client_secret = 'Our Client Secret'
$client_id = 'Our Client ID'
function Get-GoogleAuthToken {
  if (-not [System.Net.HttpListener]::IsSupported) {
    "HttpListener is not supported."
    exit 1
  }
  $codeverifier = -join ((65..90) + (97..122) + (48..57) + 45 + 46 + 95 + 126 |Get-Random -Count 60| % {[char]$_})
  $hasher = new-object System.Security.Cryptography.SHA256Managed
  $hashByteArray = $hasher.ComputeHash([System.Text.Encoding]::UTF8.GetBytes($codeverifier))
  $base64 = ((([System.Convert]::ToBase64String($hashByteArray)).replace('=','')).replace('+','-')).replace('/','_')
  $ports = @(10600,15084,39700,42847,65387,32079)
  $port = $ports[(get-random -Minimum 0 -maximum 5)]
  Write-Host "Start browser..."
  Start-Process "https://accounts.google.com/o/oauth2/v2/auth?code_challenge_method=S256&code_challenge=$base64&access_type=offline&client_id=$client_id&redirect_uri=http://localhost:$port&response_type=code&scope=https://www.googleapis.com/auth/admin.directory.user https://www.googleapis.com/auth/admin.directory.group"
  $listener = New-Object System.Net.HttpListener
  $listener.Prefixes.Add("http://localhost:"+$port+'/')
  try {$listener.Start()} catch {
    "Unable to start listener."
    exit 1
  }
  while (($code -eq $null)) {
    $context = $listener.GetContext()
    Write-Host "Connection accepted" -f 'mag'
    $url = $context.Request.RawUrl
    $code = $url.split('?')[1].split('=')[1].split('&')[0]
    if ($url.split('?')[1].split('=')[0] -eq 'error') {
      Write-Host "Error!"$code -f 'red'
      $buffer = [System.Text.Encoding]::UTF8.GetBytes("Error!"+$code)
      $context.Response.ContentLength64 = $buffer.Length
      $context.Response.OutputStream.Write($buffer, 0, $buffer.Length)
      $context.Response.OutputStream.Close()
      $listener.Stop()
      exit 1
    }
    $buffer = [System.Text.Encoding]::UTF8.GetBytes("Now you can close this browser tab.")
    $context.Response.ContentLength64 = $buffer.Length
    $context.Response.OutputStream.Write($buffer, 0, $buffer.Length)
    $context.Response.OutputStream.Close()
    $listener.Stop()
  }
  Return Invoke-RestMethod -Method Post -Uri "https://www.googleapis.com/oauth2/v4/token" -Body @{
    code = $code
    client_id = $client_id
    client_secret = $client_secret
    redirect_uri = 'http://localhost:'+$port
    grant_type = 'authorization_code'
    code_verifier   = $codeverifier
  }
  $code = $null

מיר שטעלן די קליענט שייַן און קליענט סוד באקומען אין די OAuth קליענט יידענאַפייד פּראָפּערטיעס, און די קאָד וועראַפייער איז אַ שטריקל פון 43 צו 128 אותיות וואָס מוזן זיין ראַנדאַמלי דזשענערייטאַד פֿון אַנריזערווד אותיות: [AZ] / [אַז] / [0-9] / "-" / "." / "_" / "~".

דער קאָד וועט דעמאָלט זיין טראַנסמיטטעד ווידער. עס ילימאַנייץ די וואַלנעראַביליטי אין וואָס אַ אַטאַקער קען ינטערסעפּט אַ ענטפער אומגעקערט ווי אַ רידערעקט נאָך באַניצער דערלויבעניש.
איר קענען שיקן אַ קאָד וועריפייער אין דעם קראַנט בעטן אין קלאָר טעקסט (וואָס מאכט עס מינינגלאַס - דאָס איז בלויז פּאַסיק פֿאַר סיסטעמען וואָס טאָן ניט שטיצן SHA256), אָדער דורך קריייטינג אַ האַש מיט די SHA256 אַלגערידאַם, וואָס מוזן זיין ענקאָודיד אין BASE64Url (דיפערענטלי). פֿון Base64 דורך צוויי טיש אותיות) און רימוווינג די כאַראַקטער שורה ענדינגז: =.

דערנאָך, מיר דאַרפֿן צו אָנהייבן צוגעהערט צו http אויף די היגע מאַשין צו באַקומען אַ ענטפער נאָך דערלויבעניש, וואָס וועט זיין אומגעקערט ווי אַ רידערעקט.

אַדמיניסטראַטיווע טאַסקס זענען דורכגעקאָכט אויף אַ ספּעציעל סערווער, מיר קענען נישט ויסשליסן די מעגלעכקייט אַז עטלעכע אַדמיניסטראַטאָרס וועלן לויפן די שריפט אין דער זעלביקער צייט, אַזוי עס וועט ראַנדאַמלי אויסקלייַבן אַ פּאָרט פֿאַר דעם קראַנט באַניצער, אָבער איך ספּעסיפיעד פּרעדעפינעד פּאָרץ ווייַל זיי מוזן אויך זיין מוסיף ווי טראַסטיד אין די אַפּי קאַנסאָול.

access_type=אָפפלינע מיטל אַז די אַפּלאַקיישאַן קענען דערהייַנטיקן אַן אויסגעגאנגען סימען אויף זיך אָן באַניצער ינטעראַקשאַן מיט דעם בלעטערער,
רעספּאָנסע_טיפּ = קאָד שטעלט דעם פֿאָרמאַט פון ווי דער קאָד וועט זיין אומגעקערט (אַ רעפֿערענץ צו די אַלט דערלויבעניש אופֿן, ווען דער באַניצער קאַפּיד די קאָד פון דעם בלעטערער אין די שריפט),
פאַרנעם ינדיקייץ די פאַרנעם און טיפּ פון אַקסעס. זיי מוזן זיין אפגעשיידט דורך ספּייסאַז אָדער% 20 (לויט URL קאָדירונג). א רשימה פון אַקסעס געביטן מיט טייפּס קענען זיין געזען דאָ: OAuth 2.0 סקאָפּעס פֿאַר Google אַפּיס.

נאָך באקומען די דערלויבעניש קאָד, די אַפּלאַקיישאַן וועט צוריקקומען אַ נאָענט אָנזאָג צו דעם בלעטערער, האַלטן צוגעהערט אין די פּאָרט און שיקן אַ POST בעטן צו באַקומען דעם סימען. מיר אָנווייַזן אין עס די פריער ספּעסיפיעד שייַן און סוד פון די קאַנסאָול אַפּי, די אַדרעס צו וואָס דער באַניצער וועט זיין רידערעקטיד און גראַנט_טיפּע אין לויט מיט די פּראָטאָקאָל באַשרייַבונג.

אין ענטפער, מיר וועלן באַקומען אַן אַקסעס סימען, זיין גילטיקייַט צייַט אין סעקונדעס, און אַ רעפרעש סימען, מיט וואָס מיר קענען דערהייַנטיקן די אַקסעס סימען.

די אַפּלאַקיישאַן מוזן קראָם טאָקענס אין אַ זיכער פּלאַץ מיט אַ לאַנג פּאָליצע לעבן, אַזוי ביז מיר אָפּרופן די אַקסעס באקומען, די אַפּלאַקיישאַן וועט נישט צוריקקומען די דערפרישן טאָקען. אין די סוף, איך צוגעגעבן אַ בקשה צו אָפּרופן די סימען; אויב די אַפּלאַקיישאַן איז נישט הצלחה געענדיקט און די דערפרישן סימען איז נישט אומגעקערט, עס וועט אָנהייבן די פּראָצעדור ווידער (מיר האָבן געהאלטן עס אַנסייף צו קראָם טאָקענס לאָוקאַלי אויף די וואָקזאַל, און מיר טאָן נישט וועלן צו קאָמפּליצירן טינגז מיט קריפּטאָגראַפי אָדער אָפט עפענען דעם בלעטערער).

do {
  $token_result = Get-GoogleAuthToken
  $token = $token_result.access_token
  if ($token_result.refresh_token -eq $null) {
    Write-Host ("Session is not destroyed. Revoking token...")
    Invoke-WebRequest -Uri ("https://accounts.google.com/o/oauth2/revoke?token="+$token)
  }
} while ($token_result.refresh_token -eq $null)
$refresh_token = $token_result.refresh_token
$minute = ([int]("{0:mm}" -f ([timespan]::fromseconds($token_result.expires_in))))+((Get-date).Minute)-2
if ($minute -lt 0) {$minute += 60}
elseif ($minute -gt 59) {$minute -=60}
$token_expire = @{
  hour = ([int]("{0:hh}" -f ([timespan]::fromseconds($token_result.expires_in))))+((Get-date).Hour)
  minute = $minute
}

ווי איר שוין באמערקט, ווען ריוואָוקינג אַ סימען, Invoke-WebRequest איז געניצט. ניט ענלעך Invoke-RestMethod, עס קען נישט צוריקקומען די באקומען דאַטן אין אַ ניצלעך פֿאָרמאַט און ווייַזן די סטאַטוס פון די בעטן.

דערנאָך, דער שריפט פרעגט איר צו אַרייַן די ערשטער און לעצטע נאָמען פון די באַניצער, דזשענערייטינג אַ לאָגין + בליצפּאָסט.

ריקוועס

דער ווייַטער ריקוועס וועט זיין - ערשטער פון אַלע, איר דאַרפֿן צו קאָנטראָלירן צי אַ באַניצער מיט דער זעלביקער לאָגין שוין יגזיסץ צו באַקומען אַ באַשלוס צו שאַפֿן אַ נייַע אָדער געבן דעם קראַנט.

איך באַשלאָסן צו ינסטרומענט אַלע ריקוועס אין די פֿאָרמאַט פון איין פונקציע מיט אַ סעלעקציע, ניצן באַשטימען:

function GoogleQuery {
  param (
    $type,
    $query
  )
  switch ($type) {
    "SearchAccount" {
      Return Invoke-RestMethod -Method Get -Uri "https://www.googleapis.com/admin/directory/v1/users" -Headers @{Authorization = "Bearer "+(Get-GoogleToken)} -Body @{
        domain = 'rocketguys.com'
        query  = "email:$query"
      }
    }
    "UpdateAccount" {
      $body = @{
        name  = @{
          givenName = $query['givenName']
          familyName = $query['familyName']
        }
        suspended = 'false'
        password = $query['password']
        changePasswordAtNextLogin = 'true'
        phones = @(@{
          primary = 'true'
          value = $query['phone']
          type = "mobile"
        })
        orgUnitPath = $query['orgunit']
      }
      Return Invoke-RestMethod -Method Put -Uri ("https://www.googleapis.com/admin/directory/v1/users/"+$query['email']) -Headers @{Authorization = "Bearer "+(Get-GoogleToken)} -Body (ConvertTo-Json $body) -ContentType 'application/json; charset=utf-8'
    }
    
    "CreateAccount" {
      $body = @{
        primaryEmail = $query['email']
        name  = @{
          givenName = $query['givenName']
          familyName = $query['familyName']
        }
        suspended = 'false'
        password = $query['password']
        changePasswordAtNextLogin = 'true'
        phones = @(@{
          primary = 'true'
          value = $query['phone']
          type = "mobile"
        })
        orgUnitPath = $query['orgunit']
      }
      Return Invoke-RestMethod -Method Post -Uri "https://www.googleapis.com/admin/directory/v1/users" -Headers @{Authorization = "Bearer "+(Get-GoogleToken)} -Body (ConvertTo-Json $body) -ContentType 'application/json; charset=utf-8'
    }
    "AddMember" {
      $body = @{
        userKey = $query['email']
      }
      $ifrequest = Invoke-RestMethod -Method Get -Uri "https://www.googleapis.com/admin/directory/v1/groups" -Headers @{Authorization = "Bearer "+(Get-GoogleToken)} -Body $body
      $array = @()
      foreach ($group in $ifrequest.groups) {$array += $group.email}
      if ($array -notcontains $query['groupkey']) {
        $body = @{
          email = $query['email']
          role = "MEMBER"
        }
        Return Invoke-RestMethod -Method Post -Uri ("https://www.googleapis.com/admin/directory/v1/groups/"+$query['groupkey']+"/members") -Headers @{Authorization = "Bearer "+(Get-GoogleToken)} -Body (ConvertTo-Json $body) -ContentType 'application/json; charset=utf-8'
      } else {
        Return ($query['email']+" now is a member of "+$query['groupkey'])
      }
    }
  }
}

אין יעדער בקשה, איר דאַרפֿן צו שיקן אַן אויטאָריזאַטיאָן כעדער מיט די סימען טיפּ און די אַקסעס סימען זיך. דערווייַל, די סימען טיפּ איז שטענדיק טרעגער. ווייַל מיר דאַרפֿן צו קאָנטראָלירן אַז די סימען איז נישט אויסגעגאנגען און דערהייַנטיקן עס נאָך אַ שעה פון דעם מאָמענט עס איז ארויס, איך ספּעציפיצירט אַ בקשה פֿאַר אן אנדער פֿונקציע וואָס קערט אַן אַקסעס סימען. דער זעלביקער שטיק פון קאָד איז אין די אָנהייב פון די שריפט ווען איר באַקומען די ערשטער אַקסעס סימען:

function Get-GoogleToken {
  if (((Get-date).Hour -gt $token_expire.hour) -or (((Get-date).Hour -ge $token_expire.hour) -and ((Get-date).Minute -gt $token_expire.minute))) {
  Write-Host "Token Expired. Refreshing..."
    $request = (Invoke-RestMethod -Method Post -Uri "https://www.googleapis.com/oauth2/v4/token" -ContentType 'application/x-www-form-urlencoded' -Body @{
      client_id = $client_id
      client_secret = $client_secret
      refresh_token = $refresh_token
      grant_type = 'refresh_token'
    })
    $token = $request.access_token
    $minute = ([int]("{0:mm}" -f ([timespan]::fromseconds($request.expires_in))))+((Get-date).Minute)-2
    if ($minute -lt 0) {$minute += 60}
    elseif ($minute -gt 59) {$minute -=60}
    $script:token_expire = @{
      hour = ([int]("{0:hh}" -f ([timespan]::fromseconds($request.expires_in))))+((Get-date).Hour)
      minute = $minute
    }
  }
  return $token
}

קאָנטראָלירן די לאָגין פֿאַר עקזיסטענץ:

function Check_Google {
  $query = (GoogleQuery 'SearchAccount' $username)
  if ($query.users -ne $null) {
    $user = $query.users[0]
    Write-Host $user.name.fullName' - '$user.PrimaryEmail' - suspended: '$user.Suspended
    $GAresult = $user
  }
  if ($GAresult) {
      $return = $GAresult
  } else {$return = 'gg'}
  return $return
}

די E- בריוו: $ אָנפֿרעג בעטן וועט בעטן די אַפּי צו זוכן אַ באַניצער מיט פּונקט דעם E- בריוו, אַרייַנגערעכנט ייליאַסיז. איר קענט אויך נוצן ווילדקאַרד: =, :, :{פּרעפיקס}*.

צו קריגן דאַטן, נוצן די GET בעטן אופֿן, צו אַרייַנלייגן דאַטן (שאַפן אַ חשבון אָדער אַדינג אַ מיטגליד צו אַ גרופּע) - POST, צו דערהייַנטיקן יגזיסטינג דאַטן - PUT, צו ויסמעקן אַ רעקאָרד (למשל, אַ מיטגליד פון אַ גרופּע) - ויסמעקן.

דער שריפט וועט אויך בעטן אַ טעלעפאָן נומער (אַן אַנוואַלאַדייטיד שטריקל) און ינקלוזשאַן אין אַ רעגיאָנאַל פאַרשפּרייטונג גרופּע. עס דיסיידז וואָס אָרגאַנאַזיישאַנאַל אַפּאַראַט דער באַניצער זאָל האָבן באזירט אויף די אויסגעקליבן Active Directory OU און קומט מיט אַ פּאַראָל:

do {
  $phone = Read-Host "Телефон в формате +7хххххххх"
} while (-not $phone)
do {
    $moscow = Read-Host "В Московский офис? (y/n) "
} while (-not (($moscow -eq 'y') -or ($moscow -eq 'n')))
$orgunit = '/'
if ($OU -like "*OU=Delivery,OU=Users,OU=ROOT,DC=rocket,DC=local") {
    Write-host "Будет создана в /Team delivery"
    $orgunit = "/Team delivery"
}
$Password =  -join ( 48..57 + 65..90 + 97..122 | Get-Random -Count 12 | % {[char]$_})+"*Ba"

און דעמאָלט ער הייבט צו מאַניפּולירן דעם חשבון:

$query = @{
  email = $email
  givenName = $firstname
  familyName = $lastname
  password = $password
  phone = $phone
  orgunit = $orgunit
}
if ($GMailExist) {
  Write-Host "Запускаем изменение аккаунта" -f mag
  (GoogleQuery 'UpdateAccount' $query) | fl
  write-host "Не забудь проверить группы у включенного $Username в Google."
} else {
  Write-Host "Запускаем создание аккаунта" -f mag
  (GoogleQuery 'CreateAccount' $query) | fl
}
if ($moscow -eq "y"){
  write-host "Добавляем в группу moscowoffice"
  $query = @{
    groupkey = '[email protected]'
    email = $email
  }
  (GoogleQuery 'AddMember' $query) | fl
}

די פאַנגקשאַנז פֿאַר אַפּדייטינג און קריייטינג אַ חשבון האָבן אַ ענלעך סינטאַקס; ניט אַלע נאָך פעלדער זענען פארלאנגט; אין דער אָפּטיילונג מיט טעלעפאָן נומערן, איר דאַרפֿן צו ספּעציפיצירן אַ מענגע וואָס קענען אַנטהאַלטן אַרויף צו איין רעקאָרד מיט די נומער און זיין טיפּ.

כדי נישט צו באקומען א טעות ווען מען לייגט א באנוצער צו א גרופע, קענען מיר קודם טשעק צי ער איז שוין א מיטגליד פון דער גרופע דורך באקומען א ליסטע פון גרופע מיטגלידער אדער קאמפאזיציע פונעם באנוצער אליין.

אָנפרעג די גרופּע מיטגלידערשאַפט פון אַ ספּעציפיש באַניצער וועט נישט זיין רעקורסיוו און וועט בלויז ווייַזן דירעקט מיטגלידערשאַפט. אַרייַנגערעכנט אַ באַניצער אין אַ פאָטער גרופּע וואָס האט שוין אַ קינד גרופּע וואָס דער באַניצער איז אַ מיטגליד פון וועט זיין געראָטן.

סאָף

אַלע וואָס בלייבט איז צו שיקן דעם באַניצער די פּאַראָל פֿאַר די נייַע חשבון. מיר טאָן דאָס דורך SMS, און שיקן אַלגעמיינע אינפֿאָרמאַציע מיט אינסטרוקציעס און לאָגין צו אַ פּערזענלעך בליצפּאָסט, וואָס, צוזאַמען מיט אַ טעלעפאָן נומער, איז צוגעשטעלט דורך די ראַקרוטמאַנט אָפּטיילונג. ווי אַן אָלטערנאַטיוו, איר קענען שפּאָרן געלט און שיקן דיין פּאַראָל צו אַ געהיים טעלעגראַם שמועסן, וואָס קענען אויך זיין געהאלטן די רגע פאַקטאָר (מאַקבאָאָקס וועט זיין אַ ויסנעם).

דאנק איר פֿאַר לייענען ביז די סוף. איך וועל זיין צופרידן צו זען פֿירלייגן צו פֿאַרבעסערן דעם נוסח פון שרייבן אַרטיקלען און ווינטשן איר צו כאַפּן ווייניקערע ערראָרס ווען שרייבן סקריפּס =)

רשימה פון לינקס וואָס קען זיין טימאַטיקלי נוציק אָדער פשוט ענטפֿערן פֿראגן:

מקור: www.habr.com

קריייטינג Google יוזערז פֿון PowerShell דורך אַפּי

דערלויבעניש

ריקוועס

סאָף

לייגן אַ באַמערקונג באָטל מאַכן ענטפער