Autenticação e autorização
A maioria das APIs do Google Cloud concede permissões a usuários, grupos ou contas de serviço com base nos papéis do IAM deles. No entanto, a API Cloud Identity Groups concede permissões com base nestes três modos de autorização:
- Autorização de administrador
- Autorização para não administradores
- Autorização de namespace
Neste guia, explicamos cada um desses modos de autorização.
Autorização de administrador
O modo de autorização do administrador concede a um usuário acesso total a todos os Grupos do Google em um domínio. Qualquer usuário que tenha o privilégio de administrador de grupos tem autorização de administrador. Somente o superadministrador do domínio pode conceder a um usuário o privilégio de administrador de grupos.
Para mais informações sobre como conceder privilégios de administrador de grupos, consulte Atribuir funções de administrador a um usuário.
Autorização para não administradores
A autorização para não administradores é um modo de autorização para grupos do Google que concede acesso para usuários não administradores aos grupos do Google com base nas configurações de domínio, nas configurações do grupo e, no caso das permissões em um grupo individual, nos papéis de membros nesses grupos.
Por padrão, todos os usuários podem criar grupos nesse domínio. No entanto, os administradores do domínio podem modificar as configurações do domínio do grupos do Google usando o Admin Console. Para informações sobre como modificar as configurações do domínio, consulte Definir opções de compartilhamento dos grupos para empresas.
Os proprietários podem definir as permissões de cada papel de assinaturas de um grupo. As configurações padrão são as seguintes:
Quem não é membro pode ver o grupo e os detalhes ao chamar APIs
GroupsService
somente leitura. Eles também podem ver as assinaturas e os respectivos detalhes ao chamar APIsMembershipsService
somente leitura.Os membros têm as mesmas permissões que os não membros.
Os administradores têm todas as permissões dos membros, além da permissão para gerenciar as assinaturas e os papéis de assinaturas para não membros.
Os proprietários têm todas as permissões dos administradores, além das permissões para modificar os metadados do grupo, excluir um grupo e gerenciar todas as assinaturas e papéis de assinaturas.
Para modificar as configurações do grupo, crie um grupo e escolha as configurações do grupo.
Autorização de namespace
A autorização de namespace é um modo de autorização para grupos de identidade que concede acesso a contas de serviço a grupos de identidade sincronizados da mesma origem de identidade. A autorização de namespace só pode ser concedida pelo Cloud Search (em inglês).