身份验证和授权

大多数 Google Cloud API 根据用户、群组或服务帐号的 IAM 角色向其授予权限。但是,Cloud Identity Groups API 基于以下三种授权模式授予权限:

  • 管理员授权
  • 非管理员授权
  • 命名空间授权

本指南介绍了这些授权模式。

管理员授权

管理员授权模式可为用户授予网域中所有 Google 群组的完整访问权限。拥有群组管理员权限的任何用户都拥有管理员授权。只有网域的超级用户才能向用户授予群组管理员权限。

如需详细了解如何授予群组管理员权限,请参阅向用户分配管理员角色

非管理员授权

非管理员授权是 Google 群组的一种授权模式,允许非管理员用户根据网域设置、群组的设置以及用户在群组中的群组角色(如果是授予单个群组的权限),授予对 Google 网上论坛的非管理员用户访问权限。

默认情况下,所有用户都可以在该网域中创建群组。但是,网域管理员可以使用管理控制台修改 Google 网上论坛的网域设置。如需了解如何修改域名设置,请参阅设置网上论坛企业版共享选项

所有者可以设置群组每个成员角色的权限。默认设置如下:

  • 非成员在调用只读 GroupsService API 时可以看到群组及其详细信息。在调用只读 MembershipsService API 时,他们还可以查看成员资格及其详细信息。

  • 成员的权限与非成员相同。

  • 除了成员的所有权限外,管理员还有管理非所有者成员的成员资格和成员角色的权限。

  • 所有者拥有管理员的所有权限,再加上修改群组元数据、删除群组以及管理所有成员资格和成员角色的权限。

如需修改群组设置,请创建群组并选择群组设置

命名空间授权

命名空间授权是身份群组的授权模式,可向服务帐号授予对从同一身份源同步的身份群组的访问权限。命名空间授权只能通过 Cloud Search 授予。