認証と認可

Google Cloud APIs の大半の API は、IAM ロールに基づいて、ユーザー、グループ、サービスアカウントに権限を付与します。ただし、Cloud Identity Groups API は、次の 3 つの認可モードに基づいて権限を付与します。

このガイドでは、それぞれの認可モードについて説明します。

管理者認可

管理者認可モードでは、ユーザーはドメイン内のすべての Google グループに対する完全アクセス権を付与されます。グループ管理者権限を持つすべてのユーザーは、管理者認可を持ちます。グループの管理者権限をユーザーに付与できるのは、ドメインの特権管理者だけです。

グループ管理者権限を付与する方法について詳しくは、ユーザーに管理者ロールを割り当てるをご覧ください。

非管理者認可は、管理者以外のユーザーに Google グループへのアクセス権を付与する、Google グループ向けの認可モードです。アクセス権は、ドメイン設定、グループの設定、1 つのグループ内の権限の場合はメンバーのロールに基づいて付与されます。

デフォルトでは、すべてのユーザーがドメイン内にグループを作成できます。ただし、ドメイン管理者は管理コンソールを使用して Google グループのドメイン設定を変更できます。ドメインの設定の変更については、ビジネス向け Google グループの共有オプションの設定をご覧ください。

オーナーは、各メンバーのロールが持つ権限をグループごとに設定できます。デフォルトの設定は次のとおりです。

メンバー以外のユーザーは、読み取り専用の GroupsService API を呼び出すときに、グループとその詳細を表示できます。また、読み取り専用の MembershipsService API を呼び出すことで、メンバーシップとその詳細も確認できます。
メンバーには、メンバー以外のユーザーと同じ権限が付与されています。
マネージャーには、メンバーが持つすべての権限と、オーナー以外のメンバーのメンバーシップとロールを管理する権限があります。
オーナーには、マネージャーが持つすべての権限に加え、グループのメタデータの変更、グループの削除、すべてのメンバーのメンバーシップとロールを管理する権限があります。

グループの設定を変更する場合は、グループを作成し、グループ設定を選択してください。

名前空間認可は、同じ ID ソースから同期された ID グループへのアクセス権をサービスアカウントに付与する、ID グループ向けの認可モードです。名前空間認可は Cloud Search でのみ付与できます。