Conceptos de la API de Policy
En esta documentación, se proporcionan conceptos para comprender y usar correctamente la API de Cloud Identity Policy.
Reducción
Para enumerar y obtener políticas, consulta Configura la API de Policy y Crea fichas y obtén políticas.
Terminología
- Configuración del valor: Establece los valores proporcionados en la política.
- Valor de configuración reducido: Son los valores de configuración finales que se aplican a una entidad objetivo, como un usuario.
- Reducción: Es el proceso de reducir los valores de configuración de las políticas a un solo valor de configuración para una entidad, como un usuario.
- Reductor: Es el tipo de reglas que determinan cómo se simplifica la configuración de valores en las políticas a un solo parámetro de configuración para un usuario.
- Políticas del administrador: Son las políticas que crean los administradores en la Consola del administrador.
- Políticas del sistema: Son las políticas que proporciona Google Workspace.
Proceso de reducción
Para reducir un parámetro de configuración específico para un usuario específico, haz lo siguiente:
- Filtra todas las políticas que no se apliquen al usuario.
- Filtra las políticas que no contienen el parámetro de configuración.
- Filtra las políticas que se aplican a la UO en la que NO se encuentra el usuario de destino.
- Filtra las políticas que se aplican al grupo en el que NO se encuentra el usuario de destino.
- Filtra las políticas que se aplican a la licencia que el usuario de destino NO tiene. Para obtener más información sobre las licencias, consulta la sección Licencias.
- Aplicar el reductor de un parámetro de configuración determinado
- Max: El reductor máximo elige el valor de la política con el orden de clasificación más alto.
- Merge (Combinar): Para cada campo del parámetro de configuración Reducido, el reductor de combinaciones elige el valor de la política con el orden de clasificación más alto que tenga un valor para ese campo. Si el campo es un array, el reductor de combinación concatenará los valores de todas las políticas.
- Map: El reductor de mapas se usa para la configuración en la que las entradas del array tienen una clave principal. El reductor de mapas no concatenará las entradas de array con la misma clave primaria. En su lugar, actualizará la entrada con el reductor de combinación o el reductor máximo en los demás campos de las entradas de la matriz que comparten la misma clave primaria.
- Lista: Estos parámetros de configuración no se reducen a un solo parámetro. En su lugar, toda la secuencia de configuraciones se conserva y se aplica como una lista.
Reductores para la configuración
Nombre del parámetro de configuración | Reductor |
drive_and_docs.external_sharing | Máx. |
drive_and_docs.general_access_default | Máx. |
drive_and_docs.shared_drive_creation | Máx. |
drive_and_docs.file_security_update | Máx. |
drive_and_docs.drive_sdk | Combinar |
drive_and_docs.drive_for_desktop | Máx. |
gmail.confidential_mode | Máx. |
gmail.enhanced_smime_encryption | Máx. |
gmail.enhanced_pre_delivery_message_scanning | Máx. |
gmail.email_spam_filter_ip_allowlist | Máx. |
gmail.spoofing_and_authentication | Máx. |
gmail.links_and_external_images | Máx. |
gmail.email_attachment_safety | Máx. |
chat.chat_history | Combinar |
chat.chat_file_sharing | Máx. |
chat.space_history | Máx. |
chat.external_chat_restriction | Combinar |
chat.chat_apps_access | Máx. |
sites.sites_creation_and_modification | Máx. |
groups_for_business.groups_sharing | Combinar |
classroom.teacher_permissions | Máx. |
classroom.guardian_access | Máx. |
classroom.class_membership | Máx. |
classroom.api_data_access | Máx. |
classroom.originality_reports | Máx. |
classroom.roster_import | Máx. |
classroom.student_unenrollment | Máx. |
meet.safety_domain | Máx. |
meet.safety_access | Máx. |
meet.safety_host_management | Máx. |
meet.video_recording | Máx. |
meet.safety_external_participants | Máx. |
security.super_admin_account_recovery | Combinar |
security.user_account_recovery | Combinar |
security.password | Máx. |
security.session_controls | Máx. |
security.less_secure_apps | Combinar |
security.login_challenges | Máx. |
security.advanced_protection_program | Máx. |
user_takeout | Máx. |
workspace_marketplace.apps_access_options | Combinar |
workspace_marketplace.apps_allowlist | MergeMap (la clave primaria es: application_id) |
rule.dlp | Lista |
rule.system_defined_alerts | Lista |
detector.regular_expression | Lista |
detector.word_list | Lista |
Licenses (Licencias)
Las políticas se aplican a un usuario según sus licencias de Workspace.
Para obtener una lista completa de todos los IDs de productos y SKU de Workspace, consulta IDs de productos y SKU de Google.
En los siguientes ejemplos, se muestra cómo se aplican las políticas a un determinado grupo de usuarios según sus licencias.
Ejemplo 1: Solo cláusula normal
entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010020027])
La política se aplica a un usuario si tiene una licencia para al menos uno de los SKU de la lista.
Ejemplo 2: Cláusula normal y cláusula invertida
entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010020027]) && !entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010060005])
La política se aplica a un usuario si tiene una licencia para al menos uno de los SKUs de la primera cláusula. Sin embargo, si un usuario tiene una licencia para cualquiera de los SKU de la segunda cláusula, la política no se aplica a ese usuario en absoluto.
Ejemplo 3: Solo cláusula invertida
!entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010060005])
La política se aplica a un usuario que no tenga una licencia para ninguno de los SKU de la lista.
Valores de campo predeterminados
Cuando un campo no está presente en el parámetro de configuración Reducido, su valor predeterminado es el siguiente:
Nombre del parámetro de configuración | Campo | Valor de campo predeterminado |
chat.chat_history | enable_chat_history | falso |
history_on_by_default | falso | |
allow_user_modification | true | |
chat.external_chat_restriction | allow_external_chat | falso |
external_chat_restriction | NO_RESTRICTION
|
|
chat.chat_apps_access | enable_apps | true en los SKU de EDU:
/product/Google-Apps/sku/Google-Apps-For-Education :
/product/Google-Apps/sku/1010310002 ,
/product/Google-Apps/sku/1010310003 ,
/product/Google-Apps/sku/1010310005 ,
/product/Google-Apps/sku/1010310006 ,
/product/Google-Apps/sku/1010310007 ,
/product/Google-Apps/sku/1010310008 ,
/product/Google-Apps/sku/1010310009 ,
/product/Google-Apps/sku/1010310010 ,
/product/Google-Apps/sku/1010460001 ,
/product/Google-Apps/sku/1010460002
|
enable_webhooks | true en los SKU de EDU:
/product/Google-Apps/sku/Google-Apps-For-Education :
/product/Google-Apps/sku/1010310002 ,
/product/Google-Apps/sku/1010310003 ,
/product/Google-Apps/sku/1010310005 ,
/product/Google-Apps/sku/1010310006 ,
/product/Google-Apps/sku/1010310007 ,
/product/Google-Apps/sku/1010310008 ,
/product/Google-Apps/sku/1010310009 ,
/product/Google-Apps/sku/1010310010 ,
/product/Google-Apps/sku/1010460001 ,
/product/Google-Apps/sku/1010460002
|
|
gmail.user_email_uploads | enable_mail_and_contacts_import | falso |
gmail.email_image_proxy_bypass | image_proxy_bypass_pattern | [] lista vacía |
enable_image_proxy | true | |
gmail.workspace_sync_for_outlook | enable_google_workspace_sync_for_microsoft_outlook | true |
gmail.email_spam_filter_ip_allowlist | allowed_ip_addresses | [] lista vacía |
drive_and_docs.external_sharing | external_sharing_mode | ALLOWED
|
allow_receiving_external_files | true | |
warn_for_sharing_outside_allowlisted_domains | true | |
allow_non_google_invites_in_allowlisted_domains | falso | |
allow_receiving_files_outside_allowlisted_domains | true | |
warn_for_external_sharing | true | |
allow_non_google_invites | true | |
allow_publishing_files | true | |
access_checker_suggestions | RECIPIENTS_OR_AUDIENCE_OR_PUBLIC
|
|
allowed_parties_for_distributing_content | ALL_ELIGIBLE_USERS
|
|
drive_and_docs.drive_sdk | enable_drive_sdk_api_access | true |
security.user_account_recovery | enable_account_recovery | falso |
security.super_admin_account_recovery | enable_account_recovery | falso |
workspace_marketplace.apps_access_options | access_level | Para clientes de preescolar a bachillerato: ALLOW_NONE
En caso contrario: ALLOW_ALL
|
allow_all_internal_apps | falso | |
workspace_marketplace.apps_allowlist | de Google Chat | [] lista vacía |
groups_for_business.groups_sharing | collaboration_capability | DOMAIN_USERS_ONLY
|
create_groups_access_level | USERS_IN_DOMAIN
|
|
view_topics_default_access_level | DOMAIN_USERS
|
|
owners_can_allow_external_members | falso | |
owners_can_allow_incoming_mail_from_public | true | |
owners_can_hide_groups | falso | |
new_groups_are_hidden | falso |