Authentification et autorisation
La plupart des API Google Cloud accordent des autorisations aux utilisateurs, aux groupes ou aux comptes de service en fonction de leurs rôles IAM. Toutefois, l'API Cloud Identity Groups accorde des autorisations en fonction de ces trois modes d'autorisation :
- Autorisation administrateur
- Autorisation non administrateur
- Autorisation d'espace de noms
Ce guide décrit chacun de ces modes d'autorisation.
Autorisation administrateur
Le mode autorisation administrateur accorde à un utilisateur l'accès complet à tous les groupes Google d'un domaine. Tout utilisateur disposant du droit d'administrateur Groupes dispose d'une autorisation administrateur. Seul le super-administrateur du domaine peut accorder à un utilisateur le droit d'administrateur Groupes.
Pour en savoir plus sur l'attribution du droit d'administrateur Groupes, consultez la page Attribuer des rôles d'administrateur à un utilisateur.
Autorisation non administrateur
L'autorisation non administrateur est un mode d'autorisation pour Google Groupes qui permet aux utilisateurs non administrateurs d'accéder à Google Groupes en fonction des paramètres du domaine, des paramètres du groupe et, dans le cas des autorisations sur un groupe particulier, de leurs rôles d'adhésion au sein de ce groupe.
Par défaut, tous les utilisateurs peuvent créer des groupes dans ce domaine. Toutefois, les administrateurs de domaine peuvent modifier les paramètres du domaine Google Groupes à l'aide de la console d'administration. Pour en savoir plus sur la modification des paramètres du domaine, consultez la page Définir les options de partage de Groups for Business.
Les propriétaires peuvent définir les autorisations pour chaque rôle d'adhésion d'un groupe. Les paramètres par défaut sont les suivants :
Les non-membres peuvent afficher le groupe et ses détails en appelant les API
GroupsService
en lecture seule. Ils peuvent également consulter les adhésions et leurs informations en appelant les APIMembershipsService
en lecture seule.Les membres disposent des mêmes autorisations que les non-membres.
Les gestionnaires disposent de toutes les autorisations des membres, ainsi que de l'autorisation de gestion des adhésions et des rôles d'adhésion pour les non-propriétaires.
Les propriétaires détiennent toutes les autorisations des gestionnaires, ainsi que les autorisations permettant de modifier les métadonnées d'un groupe, de supprimer un groupe, et de gérer toutes les adhésions et tous les rôles d'adhésion.
Pour modifier les paramètres d'un groupe, créez un groupe et choisissez les paramètres du groupe.
Autorisation d'espace de noms
L'autorisation d'espace de noms est un mode d'autorisation pour les groupes d'identité qui permet aux comptes de service d'accéder aux groupes d'identité synchronisés à partir de la même source d'identité. L'autorisation d'espace de noms ne peut être accordée que par Cloud Search.