身份验证和授权
大多数 Google Cloud API 根据用户、群组或服务账号的 IAM 角色向其授予权限。但是,Cloud Identity Groups API 基于以下三种授权模式授予权限:
- 管理员授权
- 非管理员授权
- 命名空间授权
本指南介绍了这些授权模式。
管理员授权
管理员授权模式可为用户授予网域中所有 Google 群组的完整访问权限。拥有群组管理员权限的任何用户都拥有管理员授权。只有网域的超级用户才能向用户授予群组管理员权限。
如需详细了解如何授予群组管理员权限,请参阅向用户分配管理员角色。
非管理员授权
非管理员授权是 Google 群组的一种授权模式,允许非管理员用户根据网域设置、群组的设置以及用户在群组中的群组角色(如果是授予单个群组的权限),授予对 Google 群组的非管理员用户访问权限。
默认情况下,所有用户都可以在该网域中创建群组。但是,网域管理员可以使用管理控制台修改 Google 群组的网域设置。如需了解如何修改域名设置,请参阅设置群组企业版共享选项。
所有者可以设置群组每个成员角色的权限。默认设置如下:
非成员在调用只读
GroupsService
API 时可以看到群组及其详细信息。在调用只读MembershipsService
API 时,他们还可以查看成员资格及其详细信息。成员的权限与非成员相同。
除了成员的所有权限外,管理员还有管理非所有者成员的成员资格和成员角色的权限。
所有者拥有管理员的所有权限,再加上修改群组元数据、删除群组以及管理所有成员资格和成员角色的权限。
如需修改群组设置,请创建群组并选择群组设置。
命名空间授权
命名空间授权是身份群组的授权模式,可向服务账号授予对从同一身份源同步的身份群组的访问权限。命名空间授权只能通过 Cloud Search 授予。