Organiza tus páginas con colecciones
Guarda y categoriza el contenido según tus preferencias.
Autenticación y autorización
La mayoría de las Google Cloud APIs otorgan permisos a usuarios, grupos o cuentas de servicio según sus
roles de IAM. Sin embargo, la API de Grupos de Cloud Identity otorga permisos en función de estos tres modos de autorización:
Autorización de administrador
Autorización para los que no son administradores
Autorización de espacio de nombres
En esta guía, se explica cada uno de estos modos de autorización.
Autorización de administrador
El modo de Autorización de administrador otorga a un usuario acceso completo a todos los Grupos de Google de un dominio. Cualquier usuario que tenga el privilegio de administrador de grupos tiene autorización de administrador. Solo el administrador avanzado del dominio puede otorgar al usuario el privilegio de administrador de grupos.
La autorización para los que no son administradores es un modo de autorización para Grupos de Google que otorga a los usuarios que no son administradores acceso a los Grupos de Google según la configuración de dominio, la configuración del grupo y, en el caso de los permisos de un grupo individual, sus funciones de membresía en ese grupo.
De forma predeterminada, todos los usuarios pueden crear grupos en ese dominio. Sin embargo, los administradores de dominio pueden modificar la configuración de dominio para Grupos de Google mediante la Consola del administrador. Para obtener información sobre cómo modificar la configuración de dominio, consulta Establece opciones de uso compartido de Grupos para empresas.
Los propietarios pueden establecer los permisos para cada función de membresía en un grupo.
La configuración predeterminada es la siguiente:
Los usuarios que no son miembros pueden ver el grupo y sus detalles cuando llaman a las API de GroupsService de solo lectura. También pueden ver las membresías y sus detalles cuando llaman a las API de MembershipsService de solo lectura.
Los miembros tienen los mismos permisos que las personas que no son miembros.
Los administradores tienen todos los permisos de los miembros, además de permiso para administrar las membresías y las funciones de membresía de los miembros que no son propietarios.
Los propietarios tienen todos los permisos de los administradores, más los permisos para modificar los metadatos del grupo, borrar un grupo y administrar todas las membresías y sus funciones.
La autorización de espacios de nombres es un modo de autorización para grupos de identidad que otorga a las cuentas de servicio acceso a los grupos de identidad sincronizados desde la misma fuente de identidad. Solo Cloud Search puede otorgar la autorización de espacio de nombres.
[[["Fácil de comprender","easyToUnderstand","thumb-up"],["Resolvió mi problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Información o código de muestra incorrectos","incorrectInformationOrSampleCode","thumb-down"],["Faltan la información o los ejemplos que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-09-04 (UTC)"],[[["\u003cp\u003eThe Cloud Identity Groups API uses three authorization modes: Admin authorization, Non-admin authorization, and Namespace authorization.\u003c/p\u003e\n"],["\u003cp\u003eAdmin authorization provides full access to all Google Groups in a domain, granted to users with the \u003cem\u003egroups administrator privilege\u003c/em\u003e.\u003c/p\u003e\n"],["\u003cp\u003eNon-admin authorization allows access based on domain settings, group settings, and a user's membership roles within a group.\u003c/p\u003e\n"],["\u003cp\u003eNamespace authorization, only granted by Cloud Search, gives service accounts access to identity groups from the same identity source.\u003c/p\u003e\n"],["\u003cp\u003eNon-admin authorization role permissions vary between non-members, members, managers and owners, with each one receiving progressively more permissions than the previous.\u003c/p\u003e\n"]]],[],null,["# Authentication and authorization\n================================\n\nMost Google Cloud APIs grant permissions to users, groups, or service\naccounts based on their\n[IAM roles](https://cloud.google.com/iam/docs/understanding-roles). However,\nthe Cloud Identity Groups API grants permissions based on these three\nauthorization modes:\n\n- Admin authorization\n- Non-admin authorization\n- Namespace authorization\n\nThis guide explains each of these authorization modes.\n\nAdmin authorization\n-------------------\n\nThe *Admin authorization* mode grants a user full access to all Google Groups in\na domain. Any user who has the\n[*groups administrator privilege*](https://support.google.com/a/answer/1219251)\nhas Admin authorization. Only the\n[super administrator](https://support.google.com/a/answer/2405986) for the\ndomain can grant a user the groups administrator privilege.\n\nFor more information on granting groups administrator privilege, refer to\n[Assign administrator roles to a user](https://support.google.com/a/answer/172176).\n\nNon-admin authorization\n-----------------------\n\n*Non-admin authorization* is an authorization mode for Google Groups that\ngrants non-administrator users access to Google Groups based on the domain\nsettings, group's settings and, in the case of permissions on an individual\ngroup, their [membership roles](/identity/docs/groups) in that groups.\n\nBy default, all users are able to create groups in that domain. However,\ndomain administrators can modify the domain settings for Google Groups using the\nAdmin Console. For information on modifying domain settings, refer to\n[Set Groups for Business sharing options](https://support.google.com/a/answer/167097).\n\nThe owners are able to set the permissions for each membership role for a group.\nDefault settings are as follows:\n\n- Non-members can see the group and its details when calling read-only\n `GroupsService` APIs. They can also see memberships and their details when\n calling read-only `MembershipsService` APIs.\n\n- Members have the same permissions as non-members.\n\n- Managers have all the permissions of members, plus the permission to\n manage memberships and membership roles for non-owner members.\n\n- Owners have all the permissions of managers, plus the permissions to\n modify the group's metadata, delete a group, and manage all memberships and\n membership roles.\n\nTo modify group settings,\n[Create a group and choose group settings](https://support.google.com/groups/answer/2464926).\n\nNamespace authorization\n-----------------------\n\n*Namespace authorization* is an authorization mode for identity groups that\ngrants service accounts access to identity groups synced from the same identity\nsource. Namespace authorization can only be granted by\n[Cloud Search](https://developers.google.com/cloud-search)."]]