Conceptos de la API de Policy

En esta documentación, se describen los conceptos y las estrategias de la API de Cloud Identity Policy.

Reducción

Para obtener una lista de políticas y obtenerlas, consulta Configura la API de Policy y Cómo obtener una lista de políticas y obtenerlas.

Terminología

  • Establecimiento de valores: Establece los valores proporcionados en la política.

  • Valor de configuración reducido: Son los valores de configuración finales que se aplican a un objetivo, como un usuario, una unidad organizativa o un grupo.

  • Reducción: Es el proceso de reducir los valores de configuración de las políticas a un solo valor de configuración para un objetivo, como un usuario, una unidad organizativa o un grupo.

  • Reductor: Es el tipo de reglas que determinan cómo se simplifica la configuración de valores en las políticas a un solo parámetro de configuración para un usuario.

  • Políticas del administrador: Son las políticas que crean los administradores en la Consola del administrador.

  • Políticas del sistema: Son las políticas que proporciona Google Workspace.

Proceso de reducción

Para reducir un parámetro de configuración determinado para un usuario determinado, haz lo siguiente:

  1. Filtra todas las políticas que no se apliquen al usuario.

    1. Filtra las políticas que no contengan el parámetro de configuración.

    2. Filtra las políticas que se aplican a la UO en la que no se encuentra el usuario de destino.

    3. Filtra las políticas que se aplican al grupo en el que no se encuentra el usuario objetivo.

    4. Filtra las políticas que se aplican a la licencia que no tiene el usuario de destino. Para obtener más información sobre las licencias, consulta la sección Licencias.

  2. Aplica el reductor del parámetro de configuración determinado

    • Max: Para cada campo del parámetro de configuración reducido, el reductor Max elige el valor de la política con el sortOrder más alto.

    • Combinar: Para cada campo del parámetro de configuración reducido, el reductor de combinación elige el valor de la política con el sortOrder más alto que tenga un valor para ese campo. Si el campo es un array, el reductor de combinación concatena los valores de todas las políticas.

    • MaxMap: El reductor MaxMap se usa para la configuración en la que las entradas del array tienen un campo que funciona como clave principal. El reductor MaxMap no concatena las entradas del array con la misma clave primaria. En su lugar, actualiza la entrada con el reductor Max en los otros campos de las entradas del array que comparten la misma clave primaria.

    • MergeMap: El reductor MergeMap se usa para la configuración en la que las entradas del array tienen un campo que funciona como clave principal. El reductor de MergeMap no concatena las entradas del array con la misma clave primaria. En su lugar, actualiza la entrada con el reductor Merge en los otros campos de las entradas del array que comparten la misma clave primaria.

    • Lista: Estos parámetros de configuración no se reducen a uno solo. En su lugar, se conserva toda la secuencia de parámetros de configuración y se aplica como una lista.

Reductores para la configuración

Nombre del parámetro de configuración Reductor
drive_and_docs.external_sharing Máx.
drive_and_docs.general_access_default Máx.
drive_and_docs.shared_drive_creation Máx.
drive_and_docs.file_security_update Máx.
drive_and_docs.drive_sdk Combinar
drive_and_docs.drive_for_desktop Máx.
gmail.confidential_mode Máx.
gmail.enhanced_smime_encryption Máx.
gmail.enhanced_pre_delivery_message_scanning Máx.
gmail.email_spam_filter_ip_allowlist Máx.
gmail.spoofing_and_authentication Máx.
gmail.links_and_external_images Máx.
gmail.email_attachment_safety Máx.
gmail.email_address_lists MaxMap
gmail.blocked_sender_lists MaxMap
gmail.spam_override_lists MaxMap
gmail.content_compliance MaxMap
gmail.objectionable_content MaxMap
gmail.attachment_compliance MaxMap
gmail.comprehensive_mail_storage Máx.
gmail.rule_states MaxMap
gmail.user_email_uploads Máx.
gmail.pop_access Máx.
gmail.imap_access Combinar
gmail.workspace_sync_for_outlook Máx.
gmail.auto_forwarding Máx.
gmail.name_format Combinar
gmail.per_user_outbound_gateway Máx.
gmail.email_image_proxy_bypass Combinar
gmail.mail_delegation Combinar
chat.chat_history Combinar
chat.chat_file_sharing Máx.
chat.space_history Máx.
chat.external_chat_restriction Combinar
chat.chat_apps_access Máx.
sites.sites_creation_and_modification Máx.
groups_for_business.groups_sharing Combinar
cloud_sharing_options.cloud_data_sharing Máx.
classroom.teacher_permissions Máx.
classroom.guardian_access Máx.
classroom.class_membership Máx.
classroom.api_data_access Máx.
classroom.originality_reports Máx.
classroom.roster_import Máx.
classroom.student_unenrollment Máx.
calendar.appointment_schedules Máx.
calendar.external_invitations Máx.
calendar.interoperability Combinar
calendar.primary_calendar_max_allowed_external_sharing Combinar
calendar.secondary_calendar_max_allowed_external_sharing Combinar
meet.safety_domain Máx.
meet.safety_access Máx.
meet.safety_host_management Máx.
meet.video_recording Máx.
meet.safety_external_participants Máx.
security.super_admin_account_recovery Combinar
security.user_account_recovery Combinar
security.password Máx.
security.session_controls Máx.
security.less_secure_apps Combinar
security.login_challenges Máx.
security.advanced_protection_program Máx.
security.two_step_verification_enrollment Máx.
security.two_step_verification_enforcement Máx.
security.two_step_verification_grace_period Máx.
security.two_step_verification_device_trust Máx.
security.two_step_verification_enforcement_factor Máx.
security.two_step_verification_sign_in_code Máx.
user_takeout Máx.
workspace_marketplace.apps_access_options Combinar
workspace_marketplace.apps_allowlist MergeMap (la clave principal es application_id)
SERVICE_STATUS_APP_NAME.service_status Máx.
rule.dlp Lista
rule.system_defined_alerts Enumerar
detector.regular_expression Enumerar
detector.word_list Lista

Licencias

Las políticas se aplican a los usuarios según sus licencias de Workspace. La condición de la licencia se proporciona en PolicyQuery.

Para obtener una lista completa de todos los IDs de productos y SKU de Workspace, consulta IDs de productos y SKU de Google.

En los siguientes ejemplos, se muestra cómo se pueden aplicar las políticas a ciertos grupos de usuarios en función de sus licencias.

Ejemplo 1: Solo cláusula normal

entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010020027'])

La política se aplica a un usuario si tiene una licencia para al menos uno de los SKU de la lista.

Ejemplo 2: Cláusula normal y cláusula invertida

entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010020027']) && !entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010060005'])

La política se aplica a un usuario si tiene una licencia para al menos uno de los SKU de la primera cláusula. Sin embargo, si un usuario tiene una licencia para cualquiera de los SKU de la segunda cláusula, la política no se aplica a ese usuario.

Ejemplo 3: Solo cláusula invertida

!entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010060005'])

La política se aplica a un usuario si no tiene una licencia para ningún SKU de la lista.

Valores de campo predeterminados

Cuando un campo no está presente en la configuración reducida, su valor predeterminado es el siguiente:

Nombre del parámetro de configuración Campo Valor de campo predeterminado
chat.chat_history enable_chat_history false
history_on_by_default false
allow_user_modification true
chat.external_chat_restriction allow_external_chat false
external_chat_restriction NO_RESTRICTION
chat.chat_apps_access enable_apps true en los SKU de EDU y false en los SKU que no son de EDU. SKU de EDU:
  • /product/Google-Apps/sku/Google-Apps-For-Education
  • /product/Google-Apps/sku/1010310002
  • /product/Google-Apps/sku/1010310003
  • /product/Google-Apps/sku/1010310005
  • /product/Google-Apps/sku/1010310006
  • /product/Google-Apps/sku/1010310007
  • /product/Google-Apps/sku/1010310008
  • /product/Google-Apps/sku/1010310009
  • /product/Google-Apps/sku/1010310010
  • /product/Google-Apps/sku/1010460001
  • /product/Google-Apps/sku/1010460002
enable_webhooks true en los SKU de EDU y false en los SKU que no son de EDU. SKU de EDU:
  • /product/Google-Apps/sku/Google-Apps-For-Education
  • /product/Google-Apps/sku/1010310002
  • /product/Google-Apps/sku/1010310003
  • /product/Google-Apps/sku/1010310005
  • /product/Google-Apps/sku/1010310006
  • /product/Google-Apps/sku/1010310007
  • /product/Google-Apps/sku/1010310008
  • /product/Google-Apps/sku/1010310009
  • /product/Google-Apps/sku/1010310010
  • /product/Google-Apps/sku/1010460001
  • /product/Google-Apps/sku/1010460002
gmail.user_email_uploads enable_mail_and_contacts_import false
gmail.email_image_proxy_bypass image_proxy_bypass_pattern [] lista vacía
enable_image_proxy true
gmail.workspace_sync_for_outlook enable_google_workspace_sync_for_microsoft_outlook true
gmail.email_spam_filter_ip_allowlist allowed_ip_addresses [] lista vacía
drive_and_docs.external_sharing external_sharing_mode ALLOWED
allow_receiving_external_files true
warn_for_sharing_outside_allowlisted_domains true
allow_non_google_invites_in_allowlisted_domains false
allow_receiving_files_outside_allowlisted_domains true
warn_for_external_sharing true
allow_non_google_invites true
allow_publishing_files true
access_checker_suggestions RECIPIENTS_OR_AUDIENCE_OR_PUBLIC
allowed_parties_for_distributing_content ALL_ELIGIBLE_USERS
drive_and_docs.drive_sdk enable_drive_sdk_api_access true
drive_and_docs.general_access_default default_file_access LINK_SHARING_PRIVATE
security.user_account_recovery enable_account_recovery false
security.super_admin_account_recovery enable_account_recovery false
security.less_secure_apps allow_less_secure_apps false
workspace_marketplace.apps_access_options access_level Para clientes de K12: ALLOW_NONE De lo contrario: ALLOW_ALL
allow_all_internal_apps false
workspace_marketplace.apps_allowlist de Google Chat [] lista vacía
groups_for_business.groups_sharing collaboration_capability DOMAIN_USERS_ONLY
create_groups_access_level USERS_IN_DOMAIN
view_topics_default_access_level DOMAIN_USERS
owners_can_allow_external_members false
owners_can_allow_incoming_mail_from_public true
owners_can_hide_groups false
new_groups_are_hidden false