Konsep Policy API
Dokumentasi ini menjelaskan konsep dan strategi Cloud Identity Policy API.
Pengurangan
Untuk mencantumkan dan mendapatkan kebijakan, lihat Menyiapkan Policy API dan Mencantumkan dan mendapatkan kebijakan.
Terminologi
- Nilai setelan: nilai setelan yang diberikan dalam kebijakan
- Nilai Setelan yang Dikurangi: nilai setelan akhir yang diterapkan ke entity target, seperti pengguna.
- Pengurangan: proses pengurangan nilai Setelan pada kebijakan menjadi satu nilai setelan untuk entitas, seperti pengguna.
- Reducer: jenis aturan yang menentukan cara menyederhanakan nilai setelan pada kebijakan menjadi satu setelan untuk pengguna.
- Kebijakan admin: kebijakan yang dibuat oleh administrator di Konsol Admin.
- Kebijakan sistem: kebijakan yang disediakan oleh Google Workspace.
Proses Pengurangan
Untuk mengurangi setelan tertentu bagi pengguna tertentu:
- Memfilter semua kebijakan yang tidak berlaku untuk pengguna.
- Memfilter kebijakan yang tidak berisi setelan.
- Memfilter kebijakan yang berlaku untuk OU yang TIDAK berisi pengguna target.
- Memfilter kebijakan yang berlaku untuk Grup yang TIDAK berisi pengguna target.
- Memfilter kebijakan yang berlaku untuk Lisensi yang TIDAK dimiliki pengguna target. Untuk mempelajari informasi selengkapnya tentang lisensi, lihat bagian Lisensi.
- Terapkan Pengurang Setelan yang diberikan
- Max: Pengurang Max memilih nilai dari kebijakan dengan sort_order terbesar.
- Gabungkan: Untuk setiap kolom di Setelan yang Dipersingkat, Penggabung Pengurang memilih nilai dari kebijakan dengan sort_order terbesar yang memiliki nilai untuk kolom tersebut. Jika kolom adalah array, Penggabung Pengurang akan menggabungkan nilai dari semua kebijakan.
- Peta: Map Reducer digunakan untuk setelan dengan entri array yang memiliki kunci utama. Map Reducer tidak akan menyambungkan entri array dengan kunci utama yang sama. Sebagai gantinya, tindakan ini akan memperbarui entri menggunakan Penggabung Pengurang atau Pengurang Maksimal pada kolom lain dalam entri array yang memiliki kunci utama yang sama.
- Daftar: Setelan ini tidak digabungkan menjadi satu setelan. Sebagai gantinya, seluruh urutan setelan dipertahankan dan diterapkan sebagai daftar.
Pengurang untuk setelan
| Nama Setelan | Reducer |
drive_and_docs.external_sharing
|
Maks |
drive_and_docs.general_access_default
|
Maks |
drive_and_docs.shared_drive_creation
|
Maks |
drive_and_docs.file_security_update
|
Maks |
drive_and_docs.drive_sdk
|
Gabungkan |
drive_and_docs.drive_for_desktop
|
Maks |
gmail.confidential_mode
|
Maks |
gmail.enhanced_smime_encryption
|
Maks |
gmail.enhanced_pre_delivery_message_scanning
|
Maks |
gmail.email_spam_filter_ip_allowlist
|
Maks |
gmail.spoofing_and_authentication
|
Maks |
gmail.links_and_external_images
|
Maks |
gmail.email_attachment_safety
|
Maks |
chat.chat_history
|
Gabungkan |
chat.chat_file_sharing
|
Maks |
chat.space_history
|
Maks |
chat.external_chat_restriction
|
Gabungkan |
chat.chat_apps_access
|
Maks |
sites.sites_creation_and_modification
|
Maks |
groups_for_business.groups_sharing
|
Gabungkan |
classroom.teacher_permissions
|
Maks |
classroom.guardian_access
|
Maks |
classroom.class_membership
|
Maks |
classroom.api_data_access
|
Maks |
classroom.originality_reports
|
Maks |
classroom.roster_import
|
Maks |
classroom.student_unenrollment
|
Maks |
meet.safety_domain
|
Maks |
meet.safety_access
|
Maks |
meet.safety_host_management
|
Maks |
meet.video_recording
|
Maks |
meet.safety_external_participants
|
Maks |
security.super_admin_account_recovery
|
Gabungkan |
security.user_account_recovery
|
Gabungkan |
security.password
|
Maks |
security.session_controls
|
Maks |
security.less_secure_apps
|
Gabungkan |
security.login_challenges
|
Maks |
security.advanced_protection_program
|
Maks |
user_takeout
|
Maks |
workspace_marketplace.apps_access_options
|
Gabungkan |
workspace_marketplace.apps_allowlist
|
MergeMap (kunci utama adalah: application_id) |
rule.dlp
|
Daftar |
rule.system_defined_alerts
|
Daftar |
detector.regular_expression
|
Daftar |
detector.word_list
|
Daftar |
Lisensi
Kebijakan berlaku untuk pengguna berdasarkan lisensi Workspace pengguna. Kondisi lisensi diberikan di PolicyQuery.
Untuk mengetahui daftar lengkap semua ID Produk dan SKU Workspace, lihat ID Produk dan SKU Google.
Contoh berikut menunjukkan cara kebijakan dapat diterapkan ke grup pengguna tertentu berdasarkan lisensi pengguna tersebut.
Contoh 1: Hanya klausa normal
entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010020027'])
Kebijakan ini berlaku untuk pengguna jika mereka memiliki lisensi untuk setidaknya salah satu SKU dalam daftar.
Contoh 2: Klausa normal dan klausa terbalik
entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010020027']) && !entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010060005'])
Kebijakan ini berlaku untuk pengguna jika mereka memiliki lisensi untuk setidaknya salah satu SKU dalam klausa pertama. Namun, jika pengguna memiliki lisensi untuk salah satu SKU dalam klausa kedua, kebijakan ini tidak berlaku sama sekali untuk pengguna tersebut.
Contoh 3: Hanya klausa terbalik
!entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010060005'])
Kebijakan ini berlaku untuk pengguna jika mereka tidak memiliki lisensi untuk SKU apa pun dalam daftar.
Nilai Kolom Default
Jika kolom tidak ada di Setelan yang Dipersingkat, nilai defaultnya adalah sebagai berikut:
| Nama Setelan | Kolom | Nilai Kolom Default |
chat.chat_history
|
enable_chat_history | false
|
| history_on_by_default | false
|
|
| allow_user_modification | true
|
|
chat.external_chat_restriction
|
allow_external_chat | false
|
| external_chat_restriction | NO_RESTRICTION
|
|
chat.chat_apps_access
|
enable_apps | true di SKU EDU, false di SKU non-EDU. SKU EDU:
|
| enable_webhooks | true di SKU EDU, false di SKU non-EDU. SKU EDU:
|
|
gmail.user_email_uploads
|
enable_mail_and_contacts_import | false
|
gmail.email_image_proxy_bypass
|
image_proxy_bypass_pattern | [] daftar kosong |
| enable_image_proxy | true
|
|
gmail.workspace_sync_for_outlook
|
enable_google_workspace_sync_for_microsoft_outlook | true
|
gmail.email_spam_filter_ip_allowlist
|
allowed_ip_addresses | [] daftar kosong |
drive_and_docs.external_sharing
|
external_sharing_mode | ALLOWED
|
| allow_receiving_external_files | true
|
|
| warn_for_sharing_outside_allowlisted_domains | true
|
|
| allow_non_google_invites_in_allowlisted_domains | false
|
|
| allow_receiving_files_outside_allowlisted_domains | true
|
|
| warn_for_external_sharing | true
|
|
| allow_non_google_invites | true
|
|
| allow_publishing_files | true
|
|
| access_checker_suggestions | RECIPIENTS_OR_AUDIENCE_OR_PUBLIC
|
|
| allowed_parties_for_distributing_content | ALL_ELIGIBLE_USERS
|
|
drive_and_docs.drive_sdk
|
enable_drive_sdk_api_access | true
|
drive_and_docs.general_access_default
|
default_file_access | LINK_SHARING_PRIVATE
|
security.user_account_recovery
|
enable_account_recovery | false
|
security.super_admin_account_recovery
|
enable_account_recovery | false
|
security.less_secure_apps
|
allow_less_secure_apps | false
|
workspace_marketplace.apps_access_options
|
access_level | Untuk pelanggan K12: ALLOW_NONE
Atau: ALLOW_ALL
|
| allow_all_internal_apps | false
|
|
workspace_marketplace.apps_allowlist
|
aplikasi | [] daftar kosong |
groups_for_business.groups_sharing
|
collaboration_capability | DOMAIN_USERS_ONLY
|
| create_groups_access_level | USERS_IN_DOMAIN
|
|
| view_topics_default_access_level | DOMAIN_USERS
|
|
| owners_can_allow_external_members | false
|
|
| owners_can_allow_incoming_mail_from_public | true
|
|
| owners_can_hide_groups | false
|
|
| new_groups_are_hidden | false
|