Concepts de l'API Policy

Cette documentation fournit des concepts qui vous aideront à comprendre et à utiliser correctement l'API Cloud Identity Policy.

Réduction

Pour répertorier et obtenir des règles, consultez Configurer l'API Policy et Répertorier et obtenir des règles.

Terminologie

  • Valeur de paramètre: valeurs de paramètre fournies dans la règle
  • Valeur de paramètre réduite : valeurs de paramètre finale appliquées à une entité cible, comme un utilisateur.
  • Réduction : processus consistant à réduire les valeurs de paramètre des règles à une seule valeur de paramètre pour une entité, comme un utilisateur.
  • Réducteur: type de règles qui détermine comment les valeurs des règles sont simplifiées jusqu'à un seul paramètre pour un utilisateur.
  • Règles d'administration: règles créées par les administrateurs dans la console d'administration.
  • Règles du système: règles fournies par Google Workspace.

Processus de réduction

Pour réduire un paramètre donné pour un utilisateur donné:

  1. Filtrez toutes les règles qui ne s'appliquent pas à l'utilisateur.
    1. Filtrez les règles qui ne contiennent pas ce paramètre.
    2. Filtrez les règles qui s'appliquent à l'UO à laquelle l'utilisateur cible n'appartient PAS.
    3. Filtrez les règles qui s'appliquent au groupe dont l'utilisateur cible n'est PAS.
    4. Filtrez les règles qui s'appliquent à la licence que l'utilisateur cible n'a PAS. Pour en savoir plus sur les licences, consultez la section Licences.
  2. Appliquer le réducteur du paramètre donné
    1. Max: le réducteur maximal choisit la valeur de la règle ayant l'ordre de tri le plus élevé.
    2. Fusionner: pour chaque champ du paramètre réduit, le réducteur de fusion choisit la valeur de la règle ayant l'ordre de tri le plus élevé ayant une valeur pour ce champ. Si le champ est un tableau, le réducteur de fusion concatène à la place les valeurs de toutes les règles.
    3. Map: Map Reducer est utilisé pour les paramètres dans lesquels les entrées du tableau ont une clé primaire. Le réducteur Map ne concatène pas les entrées du tableau ayant la même clé primaire. Il met à jour l'entrée à l'aide du réducteur de fusion ou du réducteur de valeur maximale sur les autres champs des entrées du tableau qui partagent la même clé primaire.
    4. Liste: ces paramètres ne se limitent pas à un seul paramètre. La séquence complète de paramètres est conservée et appliquée sous forme de liste.

Réducteurs pour les paramètres

Nom du paramètre Réducteur
drive_and_docs.external_sharing Max
drive_and_docs.general_access_default Max
drive_and_docs.shared_drive_creation Max
drive_and_docs.file_security_update Max
drive_and_docs.drive_sdk Fusionner
drive_and_docs.drive_for_desktop Max
gmail.confidential_mode Max
gmail.enhanced_smime_encryption Max
gmail.enhanced_pre_delivery_message_scanning Max
gmail.email_spam_filter_ip_allowlist Max
gmail.spoofing_and_authentication Max
gmail.links_and_external_images Max
gmail.email_attachment_safety Max
chat.chat_history Fusionner
chat.chat_file_sharing Max
chat.space_history Max
chat.external_chat_restriction Fusionner
chat.chat_apps_access Max
sites.sites_creation_and_modification Max
groups_for_business.groups_sharing Fusionner
classroom.teacher_permissions Max
classroom.guardian_access Max
classroom.class_membership Max
classroom.api_data_access Max
classroom.originality_reports Max
classroom.roster_import Max
classroom.student_unenrollment Max
meet.safety_domain Max
meet.safety_access Max
meet.safety_host_management Max
meet.video_recording Max
meet.safety_external_participants Max
security.super_admin_account_recovery Fusionner
security.user_account_recovery Fusionner
security.password Max
security.session_controls Max
security.less_secure_apps Fusionner
security.login_challenges Max
security.advanced_protection_program Max
user_takeout Max
workspace_marketplace.apps_access_options Fusionner
workspace_marketplace.apps_allowlist MergeMap (la clé primaire est: application_id)
rule.dlp Liste
rule.system_defined_alerts Liste
detector.regular_expression Liste
detector.word_list Liste

Licences

Les règles s'appliquent à un utilisateur en fonction de ses licences Workspace.

Pour obtenir la liste complète des ID de SKU et de produits Workspace, consultez ID des produits et SKU Google.

Les exemples suivants montrent comment les règles s'appliquent à certains groupes d'utilisateurs en fonction de leurs licences.

Exemple 1: Clause normale uniquement

entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010020027])

Les règles s'appliquent à un utilisateur qui possède une licence pour au moins un des codes SKU figurant dans la liste.

Exemple 2: Clause normale et clause inversée

entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010020027]) && !entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010060005])

La règle s'applique à un utilisateur s'il dispose d'une licence pour au moins l'un des codes SKU de la première clause. Toutefois, si un utilisateur dispose d'une licence pour l'un des SKU de la deuxième clause, la règle ne s'applique pas du tout à cet utilisateur.

Exemple 3: Clause inversée uniquement

!entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010060005])

La règle s'applique à un utilisateur s'il ne dispose d'aucune licence pour les SKU de la liste.

Valeurs par défaut des champs

Lorsqu'un champ n'est pas présent dans le paramètre réduit, sa valeur par défaut est la suivante:

Nom du paramètre Champ Valeur du champ par défaut
chat.chat_history enable_chat_history faux
history_on_by_default faux
allow_user_modification vrai
chat.external_chat_restriction allow_external_chat faux
external_chat_restriction NO_RESTRICTION
chat.chat_apps_access enable_apps true dans les SKU EDU: /product/Google-Apps/sku/Google-Apps-For-Education /product/Google-Apps/sku/1010310002, /product/Google-Apps/sku/1010310003, /product/Google-Apps/sku/1010310005, /product/Google-Apps/sku/1010310006, /product/Google-Apps/sku/1010310007, /product/Google-Apps/sku/1010310008, /product/Google-Apps/sku/1010310009, /product/Google-Apps/sku/1010310010, /product/Google-Apps/sku/1010460001, /product/Google-Apps/sku/1010460002
enable_webhooks true dans les SKU EDU: /product/Google-Apps/sku/Google-Apps-For-Education /product/Google-Apps/sku/1010310002, /product/Google-Apps/sku/1010310003, /product/Google-Apps/sku/1010310005, /product/Google-Apps/sku/1010310006, /product/Google-Apps/sku/1010310007, /product/Google-Apps/sku/1010310008, /product/Google-Apps/sku/1010310009, /product/Google-Apps/sku/1010310010, /product/Google-Apps/sku/1010460001, /product/Google-Apps/sku/1010460002
gmail.user_email_uploads enable_mail_and_contacts_import faux
gmail.email_image_proxy_bypass image_proxy_bypass_pattern [] liste vide
enable_image_proxy vrai
gmail.workspace_sync_for_outlook enable_google_workspace_sync_for_microsoft_outlook vrai
gmail.email_spam_filter_ip_allowlist allowed_ip_addresses [] liste vide
drive_and_docs.external_sharing external_sharing_mode ALLOWED
allow_receiving_external_files vrai
warn_for_sharing_outside_allowlisted_domains vrai
allow_non_google_invites_in_allowlisted_domains faux
allow_receiving_files_outside_allowlisted_domains vrai
warn_for_external_sharing vrai
allow_non_google_invites vrai
allow_publishing_files vrai
access_checker_suggestions RECIPIENTS_OR_AUDIENCE_OR_PUBLIC
allowed_parties_for_distributing_content ALL_ELIGIBLE_USERS
drive_and_docs.drive_sdk enable_drive_sdk_api_access vrai
security.user_account_recovery enable_account_recovery faux
security.super_admin_account_recovery enable_account_recovery faux
workspace_marketplace.apps_access_options access_level Pour les clients de l'enseignement primaire et secondaire : ALLOW_NONE Sinon : ALLOW_ALL
allow_all_internal_apps faux
workspace_marketplace.apps_allowlist d'e-commerce [] liste vide
groups_for_business.groups_sharing collaboration_capability DOMAIN_USERS_ONLY
create_groups_access_level USERS_IN_DOMAIN
view_topics_default_access_level DOMAIN_USERS
owners_can_allow_external_members faux
owners_can_allow_incoming_mail_from_public vrai
owners_can_hide_groups faux
new_groups_are_hidden faux