Mantenha tudo organizado com as coleções
Salve e categorize o conteúdo com base nas suas preferências.
Esta página detalha os objetos e os atributos que são usados para criar as expressões do Idioma de expressão comum (IEC) para níveis de acesso personalizados. Exemplos incluídos.
Contém atributos que descrevem o dispositivo de origem do pedido.
Atributos de origin
Esta secção apresenta os atributos suportados pelo objeto origin.
Atributos
ip
Tipo
de string
Descrição
O endereço IP de origem do pedido. Se não for possível determinar o endereço IP, origin.ip é avaliado como um erro. Recomendamos que use
inIpRange para verificar se o endereço IP de origem está num
intervalo de endereços IP específico em vez de fazer uma comparação de strings.
Exemplo:
inIpRange(origin.ip,["203.0.113.24"])
region_code
Tipo
de string
Descrição
O código ISO 3166-1 alfa-2 para o país ou a região de origem do pedido. Se não for possível determinar o código de região, origin.region_code é avaliado como um erro.
Esta secção apresenta os atributos suportados pelo objeto request.auth.
Atributos
principal
Tipo
string, list(string)
Descrição
O ID exclusivo do utilizador que enviou o pedido.
O valor de request.auth.principal tem de ser um ou mais IDs dos utilizadores exclusivos. Os UUIDs podem ser obtidos através da
API Directory do SDK de administrador.
O valor tem de estar no seguinte formato:
https://accounts.google.com/UUID
Esta secção apresenta os atributos suportados pelo objeto levels.
Atributos
level name
Tipo
booleano
Descrição
level name corresponde ao nome de um nível de acesso existente.
Quando usado, as condições do nível de acesso especificado também têm de ser cumpridas, além dos outros requisitos do seu nível de acesso personalizado.
Exemplo:
levels.allow_corp_ips
Em que allow_corp_ips é o nome de um nível de acesso.
Atributo device
Esta secção apresenta os atributos suportados pelo objeto device. Se não for encontrado nenhum dispositivo associado aos identificadores no pedido, todos os seguintes atributos são avaliados como um erro.
Atributos
encryption_status
Tipo
enum
Descrição
Descreve o estado de encriptação do dispositivo.
Valores de enumeração:
enumDeviceEncryptionStatus{// The encryption status of the device is not specified or not known.ENCRYPTION_UNSPECIFIED==0;// The device does not support encryption.ENCRYPTION_UNSUPPORTED==1;// The device supports encryption, but is currently unencrypted.UNENCRYPTED==2;// The device is encrypted.ENCRYPTED==3;}
Indica se o dispositivo foi aprovado pelo administrador do domínio.
Exemplo:
device.is_admin_approved_device==true
is_corp_owned_device
Tipo
booleano
Descrição
Indica se o dispositivo é propriedade da organização.
Exemplo:
device.is_corp_owned_device==true
is_secured_with_screenlock
Tipo
booleano
Descrição
Se o dispositivo tem a função de bloqueio de ecrã ativada.
Exemplo:
device.is_secured_with_screenlock==true
os_type
Tipo
enum
Descrição
Identifica o sistema operativo que o dispositivo está a usar.
Valores de enumeração:
enumOsType{// The operating system of the device is not specified or not known.OS_UNSPECIFIED==0;// A desktop Mac operating system.DESKTOP_MAC==1;// A desktop Windows operating system.DESKTOP_WINDOWS==2;// A desktop Linux operating system.DESKTOP_LINUX==3;// An Android operating system.ANDROID==4;// An iOS operating system.IOS==5;// A desktop ChromeOS operating system.DESKTOP_CHROME_OS==6;}
O objeto vendors é usado para aceder aos dados fornecidos
por fornecedores de segurança e gestão de pontos finais externos. Cada fornecedor pode preencher três atributos partilhados de nível superior:
is_compliant_device,
is_managed_device e
device_health_score.
Além disso, os fornecedores podem fornecer as suas próprias chaves e valores
que são referenciados através do atributo data.
As chaves disponíveis para o atributo data variam
consoante o fornecedor. Certifique-se de que é consistente quando compara o valor da chave na expressão da política. Por exemplo, se esperar que a chave-valor seja uma string ou um valor booleano, certifique-se de que a compara com uma string ou um valor booleano na expressão da política, respetivamente. Tenha em atenção que, quando o valor é um número inteiro, deve compará-lo com um número duplo na expressão da política.
Para fazer referência ao estado do dispositivo, use o formato key-acme, em que acme é o ID de cliente da organização. Pode obter o ID de cliente a partir do GET https://www.googleapis.com/admin/directory/v1/customers/my_customerURL. O campo ID na resposta contém o ID de cliente que começa com a letra C. Use a string após a letra C, excluindo a letra C, para o ID de cliente.
Valores de enumeração:
// Health score of the device as provided by the vendor (possibly third party).enumDeviceHealthScore{// The health score for the device is not specified or unknown.DEVICE_HEALTH_SCORE_UNSPECIFIED=0;// The health of the device is very poor.VERY_POOR=1;// The health of the device is poor.POOR=2;// The health of the device is ok.NEUTRAL=3;// The health of the device is good.GOOD=4;// The health of the device is very good.VERY_GOOD=5;}
O navegador é gerido ao nível do navegador ou do perfil e pela empresa no domínio correto.
Um navegador é considerado gerido se as políticas forem geridas e enviadas centralmente, e se o domínio do navegador ou do perfil gerido corresponder ao domínio esperado no lado do servidor.
Seguem-se os estados de gestão do Chrome disponíveis:
Estado
MANAGED
O navegador ou o perfil é gerido pelo cliente.
UNMANAGED
O navegador ou o perfil não é gerido por nenhum cliente.
MANAGED_BY_OTHER_DOMAIN
O navegador ou o perfil é gerido por outro cliente.
Verifica se o sistema operativo do dispositivo tem, pelo menos, uma determinada versão. Recomendamos que use esta função com o atributo device.os_type.
Exemplo:
device.versionAtLeast("10.0")==true
certificateBindingState(origin, device)
Tipo
(Peer, DeviceType) -> integer
Descrição
Verifica se o certificado de cliente associado à origem
corresponde ao dispositivo e comunica o estado.
O estado devolvido pela função pode ser um dos seguintes:
Testa se o operando de string começa com o argumento de prefixo.
Exemplo:
"Sample string".startsWith("Sample")
endsWith()
Tipo
string.(string) -> bool
Descrição
Testa se o operando de string termina com o argumento de sufixo.
Exemplo:
"Sample string".endsWith("string")
origin.clientCertFingerprint()
Tipo
Origin.() -> string
Descrição
Devolve a impressão digital do certificado associado à origem. Pode usar isto em macros para testar certificados de dispositivos.
Exemplo:
// Checks if the enterprise certificate associated with the origin matches the device.device.certificates.exists(cert,cert.is_valid && cert.cert_fingerprint==origin.clientCertFingerprint())
Macros para expressões de IEC
Pode usar as seguintes macros nas expressões do IEC para níveis de acesso personalizados:
Macro
Descrição
has(e.f)
Testa se um campo está disponível. Consulte a secção Seleção de campos para ver mais detalhes. Exemplo:
Testa se um predicado é válido para todos os elementos de uma lista e ou chaves de um mapa e. Aqui, x é um identificador a ser usado em p, que está associado ao elemento ou à chave. A macro all() combina os resultados dos predicados por elemento com o operador and (&&), pelo que, se qualquer predicado for avaliado como falso, a macro é avaliada como falsa, ignorando quaisquer erros de outros predicados. Exemplo:
Isto devolve falso porque nem todos os elementos são superiores a 1: [1,2,3].all(x, x > 1)
e.exists(x, p)
Semelhante à macro all(), mas combina os resultados do predicado com o operador or (||). Exemplo:
Isto devolve o valor verdadeiro porque existe, pelo menos, um elemento na lista superior a 1: [1,2,3].exists(x, x > 1)
Verifica se o certificado empresarial associado ao dispositivo corresponde ao emissor: device.certificates.exists(cert, cert.is_valid && cert.issuer == "EMAILADDRESS=test_inter1@beyondcorp.in, CN=inter_1, OU=BCEDemo_1, O=BCEDemo, L=NCR, ST=UP, C=IN")
e.exists_one(x, p)
Semelhante à macro exists(), mas é avaliada como verdadeira apenas se o predicado de exatamente um elemento ou chave for avaliado como verdadeiro e o resto como falso. Qualquer outra combinação de resultados booleanos é avaliada como falsa, e qualquer erro de predicado faz com que a macro apresente um erro. Exemplo:
Isto devolve falso porque mais do que um elemento é superior a 1: [1,2,3].exists_one(x, x > 1)
Exemplos de expressões de IEC
Esta secção inclui exemplos de expressões CEL usadas para criar níveis de acesso personalizados.
Este exemplo representa um nível de acesso que requer o cumprimento das seguintes condições para permitir um pedido:
Uma das seguintes afirmações é verdadeira:
O dispositivo a partir do qual o pedido foi originado usa um sistema operativo Windows de computador
e é propriedade da sua organização.
O dispositivo a partir do qual o pedido foi originado usa um sistema operativo Mac para computador, é aprovado pelo administrador do domínio e usa, pelo menos, o MacOS 10.11.
Este exemplo representa um nível de acesso que requer o cumprimento da seguinte condição para permitir um pedido:
A função de extensão certificateBindingState determina que o certificado apresentado no momento do pedido corresponde a um dos certificados do dispositivo que foi registado quando o dispositivo foi inscrito na validação de pontos finais.
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-08-21 UTC."],[[["\u003cp\u003eThis document outlines four primary objects—\u003ccode\u003eorigin\u003c/code\u003e, \u003ccode\u003erequest.auth\u003c/code\u003e, \u003ccode\u003elevels\u003c/code\u003e, and \u003ccode\u003edevice\u003c/code\u003e—used to construct Common Expression Language (CEL) expressions for Access Context Manager, each containing specific attributes to evaluate access levels.\u003c/p\u003e\n"],["\u003cp\u003eThe \u003ccode\u003eorigin\u003c/code\u003e object offers attributes like \u003ccode\u003eip\u003c/code\u003e and \u003ccode\u003eregion_code\u003c/code\u003e to define the request's source, allowing checks like whether a user is within a specific IP range or region, and supports the use of \u003ccode\u003einIpRange\u003c/code\u003e to compare ip addresses.\u003c/p\u003e\n"],["\u003cp\u003eThe \u003ccode\u003erequest.auth\u003c/code\u003e object verifies user authentication, identifying the user's ID (\u003ccode\u003eprincipal\u003c/code\u003e) and the method used for authentication, such as password, push notification, or security key, via \u003ccode\u003eclaims.crd_str\u003c/code\u003e attributes.\u003c/p\u003e\n"],["\u003cp\u003eThe \u003ccode\u003edevice\u003c/code\u003e object provides detailed information about the requesting device, including its encryption status, admin approval, ownership, OS type, and device-specific attributes for third-party vendor data, and the use of security protocols.\u003c/p\u003e\n"],["\u003cp\u003eThe document also includes function and macro details for defining CEL expressions, such as \u003ccode\u003einIpRange\u003c/code\u003e, \u003ccode\u003edevice.versionAtLeast\u003c/code\u003e, \u003ccode\u003ecertificateBindingState\u003c/code\u003e, \u003ccode\u003ehas\u003c/code\u003e, and \u003ccode\u003ee.all\u003c/code\u003e , \u003ccode\u003ee.exists\u003c/code\u003e and \u003ccode\u003ee.exists_one\u003c/code\u003e for constructing complex access control rules.\u003c/p\u003e\n"]]],[],null,[]]
