Mantieni tutto organizzato con le raccolte
Salva e classifica i contenuti in base alle tue preferenze.
Autenticazione e autorizzazione
La maggior parte delle Google Cloud API concede autorizzazioni a utenti, gruppi o account di servizio in base ai loro
ruoli IAM. Tuttavia,
l'API Cloud Identity Groups concede le autorizzazioni in base a queste tre
modalità di autorizzazione:
Autorizzazione amministratore
Autorizzazione non amministratore
Autorizzazione dello spazio dei nomi
Questa guida spiega ciascuna di queste modalità di autorizzazione.
Autorizzazione amministratore
La modalità Autorizzazione amministratore concede a un utente l'accesso completo a tutti i gruppi Google di un dominio. Qualsiasi utente che dispone del
privilegio di amministratore dei gruppi
ha l'autorizzazione di amministratore. Solo il
super amministratore del
dominio può concedere a un utente il privilegio di amministratore dei gruppi.
L'autorizzazione non amministratore è una modalità di autorizzazione per Google Gruppi che consente agli utenti non amministratori di accedere a Google Gruppi in base alle impostazioni del dominio, alle impostazioni del gruppo e, nel caso delle autorizzazioni per un singolo gruppo, ai relativi ruoli di appartenenza.
Per impostazione predefinita, tutti gli utenti possono creare gruppi in quel dominio. Tuttavia,
gli amministratori di dominio possono modificare le impostazioni del dominio per Google Gruppi utilizzando la Console di amministrazione. Per informazioni su come modificare le impostazioni del dominio, consulta
Impostare le opzioni di condivisione di Groups for Business.
I proprietari possono impostare le autorizzazioni per ogni ruolo di appartenenza a un gruppo.
Le impostazioni predefinite sono le seguenti:
Gli utenti non membri possono vedere il gruppo e i relativi dettagli quando chiamano le API GroupsService di sola lettura. Possono anche visualizzare gli abbonamenti e i relativi dettagli quando chiamano API MembershipsService di sola lettura.
I membri hanno le stesse autorizzazioni dei non membri.
I gestori dispongono di tutte le autorizzazioni dei membri, oltre all'autorizzazione per gestire gli abbonamenti e i relativi ruoli per i membri non proprietari.
I proprietari dispongono di tutte le autorizzazioni dei gestori, oltre a quelle per modificare i metadati del gruppo, eliminare un gruppo e gestire tutti gli abbonamenti e i relativi ruoli.
L'autorizzazione a livello di spazio dei nomi è una modalità di autorizzazione per i gruppi di identità che grants agli account di servizio l'accesso ai gruppi di identità sincronizzati dalla stessa origine di identità. L'autorizzazione per lo spazio dei nomi può essere concessa solo da
Cloud Search.
[[["Facile da capire","easyToUnderstand","thumb-up"],["Il problema è stato risolto","solvedMyProblem","thumb-up"],["Altra","otherUp","thumb-up"]],[["Difficile da capire","hardToUnderstand","thumb-down"],["Informazioni o codice di esempio errati","incorrectInformationOrSampleCode","thumb-down"],["Mancano le informazioni o gli esempi di cui ho bisogno","missingTheInformationSamplesINeed","thumb-down"],["Problema di traduzione","translationIssue","thumb-down"],["Altra","otherDown","thumb-down"]],["Ultimo aggiornamento 2025-09-04 UTC."],[[["\u003cp\u003eThe Cloud Identity Groups API uses three authorization modes: Admin authorization, Non-admin authorization, and Namespace authorization.\u003c/p\u003e\n"],["\u003cp\u003eAdmin authorization provides full access to all Google Groups in a domain, granted to users with the \u003cem\u003egroups administrator privilege\u003c/em\u003e.\u003c/p\u003e\n"],["\u003cp\u003eNon-admin authorization allows access based on domain settings, group settings, and a user's membership roles within a group.\u003c/p\u003e\n"],["\u003cp\u003eNamespace authorization, only granted by Cloud Search, gives service accounts access to identity groups from the same identity source.\u003c/p\u003e\n"],["\u003cp\u003eNon-admin authorization role permissions vary between non-members, members, managers and owners, with each one receiving progressively more permissions than the previous.\u003c/p\u003e\n"]]],[],null,["# Authentication and authorization\n================================\n\nMost Google Cloud APIs grant permissions to users, groups, or service\naccounts based on their\n[IAM roles](https://cloud.google.com/iam/docs/understanding-roles). However,\nthe Cloud Identity Groups API grants permissions based on these three\nauthorization modes:\n\n- Admin authorization\n- Non-admin authorization\n- Namespace authorization\n\nThis guide explains each of these authorization modes.\n\nAdmin authorization\n-------------------\n\nThe *Admin authorization* mode grants a user full access to all Google Groups in\na domain. Any user who has the\n[*groups administrator privilege*](https://support.google.com/a/answer/1219251)\nhas Admin authorization. Only the\n[super administrator](https://support.google.com/a/answer/2405986) for the\ndomain can grant a user the groups administrator privilege.\n\nFor more information on granting groups administrator privilege, refer to\n[Assign administrator roles to a user](https://support.google.com/a/answer/172176).\n\nNon-admin authorization\n-----------------------\n\n*Non-admin authorization* is an authorization mode for Google Groups that\ngrants non-administrator users access to Google Groups based on the domain\nsettings, group's settings and, in the case of permissions on an individual\ngroup, their [membership roles](/identity/docs/groups) in that groups.\n\nBy default, all users are able to create groups in that domain. However,\ndomain administrators can modify the domain settings for Google Groups using the\nAdmin Console. For information on modifying domain settings, refer to\n[Set Groups for Business sharing options](https://support.google.com/a/answer/167097).\n\nThe owners are able to set the permissions for each membership role for a group.\nDefault settings are as follows:\n\n- Non-members can see the group and its details when calling read-only\n `GroupsService` APIs. They can also see memberships and their details when\n calling read-only `MembershipsService` APIs.\n\n- Members have the same permissions as non-members.\n\n- Managers have all the permissions of members, plus the permission to\n manage memberships and membership roles for non-owner members.\n\n- Owners have all the permissions of managers, plus the permissions to\n modify the group's metadata, delete a group, and manage all memberships and\n membership roles.\n\nTo modify group settings,\n[Create a group and choose group settings](https://support.google.com/groups/answer/2464926).\n\nNamespace authorization\n-----------------------\n\n*Namespace authorization* is an authorization mode for identity groups that\ngrants service accounts access to identity groups synced from the same identity\nsource. Namespace authorization can only be granted by\n[Cloud Search](https://developers.google.com/cloud-search)."]]
