Halaman ini diterjemahkan oleh Cloud Translation API.

Konsep Policy API

Dokumentasi ini menjelaskan konsep dan strategi Cloud Identity Policy API.

Pengurangan

Untuk mencantumkan dan mendapatkan kebijakan, lihat Menyiapkan Policy API dan Mencantumkan dan mendapatkan kebijakan.

Terminologi

Nilai setelan: nilai setelan yang diberikan dalam kebijakan
Nilai Setelan yang Dikurangi: nilai setelan akhir yang diterapkan ke target, seperti pengguna, unit organisasi, atau grup
Pengurangan: proses mengurangi nilai setelan pada kebijakan menjadi satu nilai setelan untuk target, seperti pengguna, unit organisasi, atau grup
Reducer: jenis aturan yang menentukan cara penyederhanaan nilai setelan pada kebijakan menjadi satu setelan untuk pengguna
Kebijakan admin: kebijakan yang dibuat oleh administrator di konsol Admin
Kebijakan sistem: kebijakan yang disediakan oleh Google Workspace

Proses Pengurangan

Untuk mengurangi setelan tertentu bagi pengguna tertentu:

Memfilter semua kebijakan yang tidak berlaku untuk pengguna.
1. Memfilter kebijakan yang tidak berisi setelan.
2. Memfilter kebijakan yang berlaku untuk OU tempat pengguna target tidak berada.
3. Memfilter kebijakan yang berlaku untuk Grup yang bukan merupakan grup target pengguna.
4. Memfilter kebijakan yang berlaku untuk Lisensi yang tidak dimiliki pengguna target. Untuk mempelajari informasi selengkapnya tentang lisensi, lihat bagian Lisensi.
Menerapkan Pengurangan Setelan yang diberikan
- Maks: Untuk setiap kolom pada setelan yang dikurangi, pereduksi Maks memilih nilai dari kebijakan dengan sortOrder terbesar.
- Gabungkan: Untuk setiap kolom pada setelan yang dikurangi, peredam Gabungkan memilih nilai dari kebijakan dengan sortOrder terbesar yang memiliki nilai untuk kolom tersebut. Jika kolom adalah array, peredam Gabungkan akan menggabungkan nilai dari semua kebijakan.
- MaxMap: Peredam MaxMap digunakan untuk setelan dengan entri array yang memiliki kolom yang berfungsi sebagai kunci utama. Pengurangan MaxMap tidak menggabungkan entri array dengan kunci utama yang sama. Sebagai gantinya, entri diperbarui menggunakan pereduksi Max pada kolom lain dalam entri array yang memiliki kunci utama yang sama.
- MergeMap: Peredam MergeMap digunakan untuk setelan tempat entri array memiliki kolom yang berfungsi sebagai kunci utama. Pengurangan MergeMap tidak menggabungkan entri array dengan kunci utama yang sama. Sebagai gantinya, entri diperbarui menggunakan peredam Gabungkan pada kolom lain dalam entri array yang memiliki kunci utama yang sama.
- Daftar: Setelan ini tidak dikurangi menjadi satu setelan. Sebagai gantinya, seluruh urutan setelan dipertahankan dan diterapkan sebagai daftar.

Reducer untuk setelan

Nama Setelan	Pengurang
`drive_and_docs.external_sharing`	Maks
`drive_and_docs.general_access_default`	Maks
`drive_and_docs.shared_drive_creation`	Maks
`drive_and_docs.file_security_update`	Maks
`drive_and_docs.drive_sdk`	Gabungkan
`drive_and_docs.drive_for_desktop`	Maks
`gmail.confidential_mode`	Maks
`gmail.enhanced_smime_encryption`	Maks
`gmail.enhanced_pre_delivery_message_scanning`	Maks
`gmail.email_spam_filter_ip_allowlist`	Maks
`gmail.spoofing_and_authentication`	Maks
`gmail.links_and_external_images`	Maks
`gmail.email_attachment_safety`	Maks
`gmail.email_address_lists`	MaxMap
`gmail.blocked_sender_lists`	MaxMap
`gmail.spam_override_lists`	MaxMap
`gmail.content_compliance`	MaxMap
`gmail.objectionable_content`	MaxMap
`gmail.attachment_compliance`	MaxMap
`gmail.comprehensive_mail_storage`	Maks
`gmail.rule_states`	MaxMap
`gmail.user_email_uploads`	Maks
`gmail.pop_access`	Maks
`gmail.imap_access`	Gabungkan
`gmail.workspace_sync_for_outlook`	Maks
`gmail.auto_forwarding`	Maks
`gmail.name_format`	Gabungkan
`gmail.per_user_outbound_gateway`	Maks
`gmail.email_image_proxy_bypass`	Gabungkan
`gmail.mail_delegation`	Gabungkan
`chat.chat_history`	Gabungkan
`chat.chat_file_sharing`	Maks
`chat.space_history`	Maks
`chat.external_chat_restriction`	Gabungkan
`chat.chat_apps_access`	Maks
`sites.sites_creation_and_modification`	Maks
`groups_for_business.groups_sharing`	Gabungkan
`cloud_sharing_options.cloud_data_sharing`	Maks
`classroom.teacher_permissions`	Maks
`classroom.guardian_access`	Maks
`classroom.class_membership`	Maks
`classroom.api_data_access`	Maks
`classroom.originality_reports`	Maks
`classroom.roster_import`	Maks
`classroom.student_unenrollment`	Maks
`calendar.appointment_schedules`	Maks
`calendar.external_invitations`	Maks
`calendar.interoperability`	Gabungkan
`calendar.primary_calendar_max_allowed_external_sharing`	Gabungkan
`calendar.secondary_calendar_max_allowed_external_sharing`	Gabungkan
`meet.safety_domain`	Maks
`meet.safety_access`	Maks
`meet.safety_host_management`	Maks
`meet.video_recording`	Maks
`meet.safety_external_participants`	Maks
`security.super_admin_account_recovery`	Gabungkan
`security.user_account_recovery`	Gabungkan
`security.password`	Maks
`security.session_controls`	Maks
`security.less_secure_apps`	Gabungkan
`security.login_challenges`	Maks
`security.advanced_protection_program`	Maks
`security.two_step_verification_enrollment`	Maks
`security.two_step_verification_enforcement`	Maks
`security.two_step_verification_grace_period`	Maks
`security.two_step_verification_device_trust`	Maks
`security.two_step_verification_enforcement_factor`	Maks
`security.two_step_verification_sign_in_code`	Maks
`user_takeout`	Maks
`workspace_marketplace.apps_access_options`	Gabungkan
`workspace_marketplace.apps_allowlist`	MergeMap (kunci utama adalah: application_id)
`SERVICE_STATUS_APP_NAME.service_status`	Maks
`rule.dlp`	Daftar
`rule.system_defined_alerts`	Daftar
`detector.regular_expression`	Daftar
`detector.word_list`	Daftar

Lisensi

Kebijakan berlaku untuk pengguna berdasarkan lisensi Workspace pengguna. Kondisi lisensi diberikan di PolicyQuery.

Untuk mengetahui daftar lengkap semua ID Produk dan SKU Workspace, lihat ID Produk dan SKU Google.

Contoh berikut menunjukkan cara kebijakan dapat diterapkan ke grup pengguna tertentu berdasarkan lisensi pengguna tersebut.

Contoh 1: Hanya klausa normal

entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010020027'])

Kebijakan ini berlaku untuk pengguna jika mereka memiliki lisensi untuk setidaknya satu SKU dalam daftar.

Contoh 2: Klausa normal dan klausa terbalik

entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010020027']) && !entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010060005'])

Kebijakan ini berlaku untuk pengguna jika mereka memiliki lisensi untuk setidaknya salah satu SKU dalam klausa pertama. Namun, jika pengguna memiliki lisensi untuk SKU apa pun dalam klausa kedua, kebijakan tidak berlaku untuk pengguna tersebut.

Contoh 3: Hanya klausa terbalik

!entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010060005'])

Kebijakan ini berlaku untuk pengguna jika mereka tidak memiliki lisensi untuk SKU apa pun dalam daftar.

Nilai Kolom Default

Jika kolom tidak ada di Setelan yang Dikurangi, nilai defaultnya adalah sebagai berikut:

Nama Setelan	Kolom	Nilai Kolom Default
`chat.chat_history`	enable_chat_history	`false`
	history_on_by_default	`false`
	allow_user_modification	`true`
`chat.external_chat_restriction`	allow_external_chat	`false`
`chat.external_chat_restriction`	external_chat_restriction	`NO_RESTRICTION`
`chat.chat_apps_access`	enable_apps	`true` di SKU EDU, `false` di SKU non-EDU. SKU EDU: `/product/Google-Apps/sku/Google-Apps-For-Education` `/product/Google-Apps/sku/1010310002` `/product/Google-Apps/sku/1010310003` `/product/Google-Apps/sku/1010310005` `/product/Google-Apps/sku/1010310006` `/product/Google-Apps/sku/1010310007` `/product/Google-Apps/sku/1010310008` `/product/Google-Apps/sku/1010310009` `/product/Google-Apps/sku/1010310010` `/product/Google-Apps/sku/1010460001` `/product/Google-Apps/sku/1010460002`
`chat.chat_apps_access`	enable_webhooks	`true` di SKU EDU, `false` di SKU non-EDU. SKU EDU: `/product/Google-Apps/sku/Google-Apps-For-Education` `/product/Google-Apps/sku/1010310002` `/product/Google-Apps/sku/1010310003` `/product/Google-Apps/sku/1010310005` `/product/Google-Apps/sku/1010310006` `/product/Google-Apps/sku/1010310007` `/product/Google-Apps/sku/1010310008` `/product/Google-Apps/sku/1010310009` `/product/Google-Apps/sku/1010310010` `/product/Google-Apps/sku/1010460001` `/product/Google-Apps/sku/1010460002`
`gmail.user_email_uploads`	enable_mail_and_contacts_import	`false`
`gmail.email_image_proxy_bypass`	image_proxy_bypass_pattern	[] daftar kosong
`gmail.email_image_proxy_bypass`	enable_image_proxy	`true`
`gmail.workspace_sync_for_outlook`	enable_google_workspace_sync_for_microsoft_outlook	`true`
`gmail.email_spam_filter_ip_allowlist`	allowed_ip_addresses	[] daftar kosong
`gmail.links_and_external_images`	apply_future_settings_automatically	`true`
`gmail.links_and_external_images`	enable_aggressive_warnings_on_untrusted_links	`false`
`gmail.spoofing_and_authentication`	apply_future_settings_automatically	`true`
`gmail.auto_forwarding`	enable_auto_forwarding	`true`
`drive_and_docs.external_sharing`	external_sharing_mode	`ALLOWED`
	allow_receiving_external_files	`true`
	warn_for_sharing_outside_allowlisted_domains	`true`
	allow_non_google_invites_in_allowlisted_domains	`false`
	allow_receiving_files_outside_allowlisted_domains	`true`
	warn_for_external_sharing	`true`
	allow_non_google_invites	`true`
	allow_publishing_files	`true`
	access_checker_suggestions	`RECIPIENTS_OR_AUDIENCE_OR_PUBLIC`
	allowed_parties_for_distributing_content	`ALL_ELIGIBLE_USERS`
`drive_and_docs.drive_sdk`	enable_drive_sdk_api_access	`true`
`drive_and_docs.general_access_default`	default_file_access	`LINK_SHARING_PRIVATE`
`security.user_account_recovery`	enable_account_recovery	`false`
`security.super_admin_account_recovery`	enable_account_recovery	`false`
`security.less_secure_apps`	allow_less_secure_apps	`false`
`security.two_sv_enrollment`	allow_enrollment	`true`
`security.two_sv_device_trust`	allow_trusting_device	`true`
`security.two_sv_enforcement_factor`	allowed_sign_in_factor_set	`ALL`
`workspace_marketplace.apps_access_options`	access_level	Untuk pelanggan K12: `ALLOW_NONE` Jika tidak: `ALLOW_ALL`
	access_level	Untuk pelanggan K12: `ALLOW_NONE` Jika tidak: `ALLOW_ALL`
	allow_all_internal_apps	`false`
`workspace_marketplace.apps_allowlist`	aplikasi	[] daftar kosong
`workspace_marketplace.apps_allowlist`	aplikasi	[] daftar kosong
`groups_for_business.groups_sharing`	collaboration_capability	`DOMAIN_USERS_ONLY`
	create_groups_access_level	`USERS_IN_DOMAIN`
	view_topics_default_access_level	`DOMAIN_USERS`
	owners_can_allow_external_members	`false`
	owners_can_allow_incoming_mail_from_public	`true`
	owners_can_hide_groups	`false`
	new_groups_are_hidden	`false`
`calendar.external_invitations`	warn_on_invite	`true`
`calendar.primary_calendar_max_allowed_external_sharing`	max_allowed_external_sharing	`EXTERNAL_FREE_BUSY_ONLY`
`calendar.secondary_calendar_max_allowed_external_sharing`	max_allowed_external_sharing	`EXTERNAL_ALL_INFO_READ_ONLY`

Grup Sistem

Grup sistem Google yang tidak ditampilkan di Directory API yang dapat ditautkan dari kebijakan sistem.

GroupId	Deskripsi
`WORKSPACE_ALL_ADMIN_GROUP`	Kebijakan sistem Google untuk grup yang menerapkan verifikasi 2 langkah untuk semua admin.