针对租户的访问权限控制
Identity Platform 提供 Admin API 来管理您的租户、用户和身份验证令牌。您可以利用 Identity and Access Management 来阻止使用这些 API 进行的不必要访问。
授予、更改和撤消访问权限
请按照以下步骤向用户授予租户资源的角色:
在 Google Cloud 控制台中打开“Identity Platform 租户”页面。
转到“租户”页面从列表中选择一个租户。
在右侧的信息面板中切换到权限标签页。
点击添加主账号以向用户授予新角色,或使用列表修改或撤消现有用户的访问权限。
如需详细了解如何使用 IAM 进行访问权限控制,请参阅 IAM 文档。如需为资源设置访问权限控制政策,请使用 setIamPolicy 方法。
API 权限
此表列出了调用 Identity Platform API 中的每个方法所需的角色。应针对租户资源分配角色。
| 服务 | 方法 | 角色 |
|---|---|---|
google.cloud.identitytoolkit.v1.AccountManagementService |
GetOobCode | Editor |
| SetAccountInfo | Editor | |
| UploadAccount | Editor | |
| DeleteAccount | Editor | |
| DownloadAccount | Viewer | |
| GetAccountInfo | 查看者 | |
| QueryUserInfo | Viewer | |
google.cloud.identitytoolkit.v1.AuthenticationService |
SignUp | 编辑器 |
google.cloud.identitytoolkit.admin.v2.ProjectConfigService |
CreateDefaultSupportedIdpConfig | 编辑器 |
| CreateInboundSamlConfig | Editor | |
| CreateOAuthIdpConfig | 编辑器 | |
| CreateOutboundSamlConfig | Editor | |
| DeleteDefaultSupportedIdpConfig | Editor | |
| DeleteInboundSamlConfig | 编辑器 | |
| DeleteOAuthIdpConfig | Editor | |
| DeleteOutboundSamlConfig | Editor | |
| GetDefaultSupportedIdpConfig | 查看者 | |
| GetInboundSamlConfig | 查看者 | |
| GetOAuthIdpConfig | Viewer | |
| GetOutboundSamlConfig | 查看者 | |
| ListDefaultSupportedIdpConfigs | Viewer | |
| ListInboundSamlConfigs | 查看者 | |
| ListOAuthIdpConfigs | 查看者 | |
| ListOutboundSamlConfigs | 查看者 | |
| UpdateDefaultSupportedIdpConfig | 编辑器 | |
| UpdateInboundSamlConfig | Editor | |
| UpdateOAuthIdpConfig | Editor | |
| UpdateOutboundSamlConfig | Editor | |
google.cloud.identitytoolkit.admin.v2.TenantManagementService |
CreateTenant | Editor(针对父项目) |
| DeleteTenant | 编辑器 | |
| UpdateTenant | 编辑器 | |
| GetTenant | 查看者 | |
| ListTenants | Viewer(针对父项目) |