此页面由 Cloud Translation API 翻译。

身份验证和授权

大多数 Google Cloud API 根据用户、群组或服务账号的 IAM 角色向其授予权限。但是，Cloud Identity Groups API 基于以下三种授权模式授予权限：

本指南介绍了这些授权模式。

管理员授权

管理员授权模式可为用户授予网域中所有 Google 群组的完整访问权限。拥有群组管理员权限的任何用户都拥有管理员授权。只有网域的超级用户才能向用户授予群组管理员权限。

如需详细了解如何授予群组管理员权限，请参阅向用户分配管理员角色。

非管理员授权是 Google 群组的一种授权模式，允许非管理员用户根据网域设置、群组的设置以及用户在群组中的群组角色（如果是授予单个群组的权限），授予对 Google 群组的非管理员用户访问权限。

默认情况下，所有用户都可以在该网域中创建群组。但是，网域管理员可以使用管理控制台修改 Google 群组的网域设置。如需了解如何修改域名设置，请参阅设置群组企业版共享选项。

所有者可以设置群组每个成员角色的权限。默认设置如下：

非成员在调用只读 GroupsService API 时可以看到群组及其详细信息。在调用只读 MembershipsService API 时，他们还可以查看成员资格及其详细信息。
成员的权限与非成员相同。
除了成员的所有权限外，管理员还有管理非所有者成员的成员资格和成员角色的权限。
所有者拥有管理员的所有权限，再加上修改群组元数据、删除群组以及管理所有成员资格和成员角色的权限。

命名空间授权是身份群组的授权模式，可向服务账号授予对从同一身份源同步的身份群组的访问权限。命名空间授权只能通过 Cloud Search 授予。