Autenticación y autorización
La mayoría de las APIs Google Cloud conceden permisos a usuarios, grupos o cuentas de servicio en función de sus roles de gestión de identidades y accesos. Sin embargo, la API Groups de Cloud Identity concede permisos en función de estos tres modos de autorización:
- Autorización de administrador
- Autorización de no administrador
- Autorización de espacio de nombres
En esta guía se explica cada uno de estos modos de autorización.
Autorización de administrador
El modo Autorización de administrador otorga a un usuario acceso completo a todos los grupos de Google de un dominio. Cualquier usuario que tenga el privilegio de administrador Grupos tiene autorización de administrador. Solo el superadministrador del dominio puede conceder a un usuario el privilegio de administrador de grupos.
Para obtener más información sobre cómo conceder privilegios de administrador a grupos, consulta el artículo Asignar roles de administrador a usuarios.
Autorización de no administrador
La autorización de no administradores es un modo de autorización de Grupos de Google que concede acceso a Grupos de Google a los usuarios que no son administradores en función de la configuración del dominio, la configuración del grupo y, en el caso de los permisos de un grupo concreto, sus roles de miembro en ese grupo.
De forma predeterminada, todos los usuarios pueden crear grupos en ese dominio. Sin embargo, los administradores de dominio pueden modificar la configuración de dominio de Grupos de Google mediante la consola de administración. Para obtener información sobre cómo modificar la configuración del dominio, consulta el artículo Configurar las opciones de uso compartido de Grupos para empresas.
Los propietarios pueden definir los permisos de cada rol de miembro de un grupo. Los ajustes predeterminados son los siguientes:
Los usuarios que no sean miembros pueden ver el grupo y sus detalles al llamar a las APIs de solo lectura
GroupsService. También pueden ver las suscripciones y sus detalles cuando llaman a las APIs deMembershipsServicesolo lectura.Los miembros tienen los mismos permisos que los usuarios que no son miembros.
Los administradores tienen todos los permisos de los miembros, además del permiso para gestionar las membresías y los roles de los miembros que no son propietarios.
Los propietarios tienen todos los permisos de los administradores, además de los permisos para modificar los metadatos del grupo, eliminar un grupo y gestionar todas las membresías y los roles de los miembros.
Para modificar la configuración de un grupo, consulta el artículo Crear un grupo y elegir su configuración.
Autorización de espacio de nombres
La autorización de espacio de nombres es un modo de autorización para grupos de identidades que concede a las cuentas de servicio acceso a los grupos de identidades sincronizados desde la misma fuente de identidad. Solo Cloud Search puede conceder la autorización de espacio de nombres.