Concepts de l'API Policy
Cette documentation fournit des concepts qui vous aideront à comprendre et à utiliser correctement l'API Cloud Identity Policy.
Réduction
Pour répertorier et obtenir des règles, consultez Configurer l'API Policy et Répertorier et obtenir des règles.
Terminologie
- Valeur de paramètre: valeurs de paramètre fournies dans la règle
- Valeur de paramètre réduite : valeurs de paramètre finale appliquées à une entité cible, comme un utilisateur.
- Réduction : processus consistant à réduire les valeurs de paramètre des règles à une seule valeur de paramètre pour une entité, comme un utilisateur.
- Réducteur: type de règles qui détermine comment les valeurs des règles sont simplifiées jusqu'à un seul paramètre pour un utilisateur.
- Règles d'administration: règles créées par les administrateurs dans la console d'administration.
- Règles du système: règles fournies par Google Workspace.
Processus de réduction
Pour réduire un paramètre donné pour un utilisateur donné:
- Filtrez toutes les règles qui ne s'appliquent pas à l'utilisateur.
- Filtrez les règles qui ne contiennent pas ce paramètre.
- Filtrez les règles qui s'appliquent à l'UO à laquelle l'utilisateur cible n'appartient PAS.
- Filtrez les règles qui s'appliquent au groupe dont l'utilisateur cible n'est PAS.
- Filtrez les règles qui s'appliquent à la licence que l'utilisateur cible n'a PAS. Pour en savoir plus sur les licences, consultez la section Licences.
- Appliquer le réducteur du paramètre donné
- Max: le réducteur maximal choisit la valeur de la règle ayant l'ordre de tri le plus élevé.
- Fusionner: pour chaque champ du paramètre réduit, le réducteur de fusion choisit la valeur de la règle ayant l'ordre de tri le plus élevé ayant une valeur pour ce champ. Si le champ est un tableau, le réducteur de fusion concatène à la place les valeurs de toutes les règles.
- Map: Map Reducer est utilisé pour les paramètres dans lesquels les entrées du tableau ont une clé primaire. Le réducteur Map ne concatène pas les entrées du tableau ayant la même clé primaire. Il met à jour l'entrée à l'aide du réducteur de fusion ou du réducteur de valeur maximale sur les autres champs des entrées du tableau qui partagent la même clé primaire.
- Liste: ces paramètres ne se limitent pas à un seul paramètre. La séquence complète de paramètres est conservée et appliquée sous forme de liste.
Réducteurs pour les paramètres
Nom du paramètre | Réducteur |
drive_and_docs.external_sharing | Max |
drive_and_docs.general_access_default | Max |
drive_and_docs.shared_drive_creation | Max |
drive_and_docs.file_security_update | Max |
drive_and_docs.drive_sdk | Fusionner |
drive_and_docs.drive_for_desktop | Max |
gmail.confidential_mode | Max |
gmail.enhanced_smime_encryption | Max |
gmail.enhanced_pre_delivery_message_scanning | Max |
gmail.email_spam_filter_ip_allowlist | Max |
gmail.spoofing_and_authentication | Max |
gmail.links_and_external_images | Max |
gmail.email_attachment_safety | Max |
chat.chat_history | Fusionner |
chat.chat_file_sharing | Max |
chat.space_history | Max |
chat.external_chat_restriction | Fusionner |
chat.chat_apps_access | Max |
sites.sites_creation_and_modification | Max |
groups_for_business.groups_sharing | Fusionner |
classroom.teacher_permissions | Max |
classroom.guardian_access | Max |
classroom.class_membership | Max |
classroom.api_data_access | Max |
classroom.originality_reports | Max |
classroom.roster_import | Max |
classroom.student_unenrollment | Max |
meet.safety_domain | Max |
meet.safety_access | Max |
meet.safety_host_management | Max |
meet.video_recording | Max |
meet.safety_external_participants | Max |
security.super_admin_account_recovery | Fusionner |
security.user_account_recovery | Fusionner |
security.password | Max |
security.session_controls | Max |
security.less_secure_apps | Fusionner |
security.login_challenges | Max |
security.advanced_protection_program | Max |
user_takeout | Max |
workspace_marketplace.apps_access_options | Fusionner |
workspace_marketplace.apps_allowlist | MergeMap (la clé primaire est: application_id) |
rule.dlp | Liste |
rule.system_defined_alerts | Liste |
detector.regular_expression | Liste |
detector.word_list | Liste |
Licences
Les règles s'appliquent à un utilisateur en fonction de ses licences Workspace.
Pour obtenir la liste complète des ID de SKU et de produits Workspace, consultez ID des produits et SKU Google.
Les exemples suivants montrent comment les règles s'appliquent à certains groupes d'utilisateurs en fonction de leurs licences.
Exemple 1: Clause normale uniquement
entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010020027])
Les règles s'appliquent à un utilisateur qui possède une licence pour au moins un des codes SKU figurant dans la liste.
Exemple 2: Clause normale et clause inversée
entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010020027]) && !entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010060005])
La règle s'applique à un utilisateur s'il dispose d'une licence pour au moins l'un des codes SKU de la première clause. Toutefois, si un utilisateur dispose d'une licence pour l'un des SKU de la deuxième clause, la règle ne s'applique pas du tout à cet utilisateur.
Exemple 3: Clause inversée uniquement
!entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010060005])
La règle s'applique à un utilisateur s'il ne dispose d'aucune licence pour les SKU de la liste.
Valeurs par défaut des champs
Lorsqu'un champ n'est pas présent dans le paramètre réduit, sa valeur par défaut est la suivante:
Nom du paramètre | Champ | Valeur du champ par défaut |
chat.chat_history | enable_chat_history | faux |
history_on_by_default | faux | |
allow_user_modification | vrai | |
chat.external_chat_restriction | allow_external_chat | faux |
external_chat_restriction | NO_RESTRICTION
|
|
chat.chat_apps_access | enable_apps | true dans les SKU EDU:
/product/Google-Apps/sku/Google-Apps-For-Education
/product/Google-Apps/sku/1010310002 ,
/product/Google-Apps/sku/1010310003 ,
/product/Google-Apps/sku/1010310005 ,
/product/Google-Apps/sku/1010310006 ,
/product/Google-Apps/sku/1010310007 ,
/product/Google-Apps/sku/1010310008 ,
/product/Google-Apps/sku/1010310009 ,
/product/Google-Apps/sku/1010310010 ,
/product/Google-Apps/sku/1010460001 ,
/product/Google-Apps/sku/1010460002
|
enable_webhooks | true dans les SKU EDU:
/product/Google-Apps/sku/Google-Apps-For-Education
/product/Google-Apps/sku/1010310002 ,
/product/Google-Apps/sku/1010310003 ,
/product/Google-Apps/sku/1010310005 ,
/product/Google-Apps/sku/1010310006 ,
/product/Google-Apps/sku/1010310007 ,
/product/Google-Apps/sku/1010310008 ,
/product/Google-Apps/sku/1010310009 ,
/product/Google-Apps/sku/1010310010 ,
/product/Google-Apps/sku/1010460001 ,
/product/Google-Apps/sku/1010460002
|
|
gmail.user_email_uploads | enable_mail_and_contacts_import | faux |
gmail.email_image_proxy_bypass | image_proxy_bypass_pattern | [] liste vide |
enable_image_proxy | vrai | |
gmail.workspace_sync_for_outlook | enable_google_workspace_sync_for_microsoft_outlook | vrai |
gmail.email_spam_filter_ip_allowlist | allowed_ip_addresses | [] liste vide |
drive_and_docs.external_sharing | external_sharing_mode | ALLOWED
|
allow_receiving_external_files | vrai | |
warn_for_sharing_outside_allowlisted_domains | vrai | |
allow_non_google_invites_in_allowlisted_domains | faux | |
allow_receiving_files_outside_allowlisted_domains | vrai | |
warn_for_external_sharing | vrai | |
allow_non_google_invites | vrai | |
allow_publishing_files | vrai | |
access_checker_suggestions | RECIPIENTS_OR_AUDIENCE_OR_PUBLIC
|
|
allowed_parties_for_distributing_content | ALL_ELIGIBLE_USERS
|
|
drive_and_docs.drive_sdk | enable_drive_sdk_api_access | vrai |
security.user_account_recovery | enable_account_recovery | faux |
security.super_admin_account_recovery | enable_account_recovery | faux |
workspace_marketplace.apps_access_options | access_level | Pour les clients de l'enseignement primaire et secondaire : ALLOW_NONE
Sinon : ALLOW_ALL
|
allow_all_internal_apps | faux | |
workspace_marketplace.apps_allowlist | d'e-commerce | [] liste vide |
groups_for_business.groups_sharing | collaboration_capability | DOMAIN_USERS_ONLY
|
create_groups_access_level | USERS_IN_DOMAIN
|
|
view_topics_default_access_level | DOMAIN_USERS
|
|
owners_can_allow_external_members | faux | |
owners_can_allow_incoming_mail_from_public | vrai | |
owners_can_hide_groups | faux | |
new_groups_are_hidden | faux |