Concetti dell'API Policy
Questa documentazione fornisce concetti per aiutarti a comprendere e utilizzare correttamente l'API Cloud Identity Policy.
Riduzione
Per elencare e ottenere i criteri, vedi Configurare l'API Policy e Creazione e recupero dei criteri.
Terminologia
- Valore impostazione: i valori di impostazione forniti nel criterio
- Valore dell'impostazione ridotto: valori dell'impostazione finale applicati a un'entità target, ad esempio a un utente.
- Riduzione: il processo di riduzione dei valori delle impostazioni dei criteri a un unico valore di impostazione per un'entità, ad esempio un utente.
- Riduci: il tipo di regole che determinano in che modo l'impostazione dei valori dei criteri viene semplificata a un'unica impostazione per un utente.
- Criteri amministrativi: criteri creati dagli amministratori nella Console di amministrazione.
- Criteri di sistema: criteri forniti da Google Workspace.
Procedura di riduzione
Per ridurre una determinata impostazione per un determinato utente:
- Filtra tutti i criteri che non si applicano all'utente.
- Escludi i criteri che non contengono l'impostazione.
- Filtra i criteri che si applicano alla UO in cui NON si trova l'utente di destinazione.
- Filtra i criteri che si applicano al gruppo in cui NON si trova l'utente target.
- Filtra i criteri che si applicano alla Licenza che l'utente di destinazione NON ha. Per scoprire di più sulle licenze, consulta la sezione Licenze.
- Applica il riduttore dell'impostazione specificata
- Max: il riduttore Max sceglie il valore del criterio con il sort_order più alto.
- Unione: per ogni campo dell'impostazione ridotta, il riduttore di unione sceglie il valore del criterio con l'ordinamento più alto che ha un valore per quel campo. Se il campo è un array, il riduttore di unione concatena invece i valori di tutti i criteri.
- Map: Map Reducer viene utilizzato per le impostazioni in cui le voci dell'array hanno una chiave primaria. Map Reducer non concatena le voci dell'array con la stessa chiave primaria. La voce verrà invece aggiornata utilizzando il riduttore di unione o il riduttore massimo negli altri campi delle voci dell'array che condividono la stessa chiave primaria.
- Elenco: queste impostazioni non vengono ridotte a una singola impostazione. L'intera sequenza di impostazioni viene invece conservata e applicata come elenco.
Riduttori per le impostazioni
Nome impostazione | Riduttore |
drive_and_docs.external_sharing | Max |
drive_and_docs.general_access_default | Max |
drive_and_docs.shared_drive_creation | Max |
drive_and_docs.file_security_update | Max |
drive_and_docs.drive_sdk | Unisci |
drive_and_docs.drive_for_desktop | Max |
gmail.confidential_mode | Max |
gmail.enhanced_smime_encryption | Max |
gmail.enhanced_pre_delivery_message_scanning | Max |
gmail.email_spam_filter_ip_allowlist | Max |
gmail.spoofing_and_authentication | Max |
gmail.links_and_external_images | Max |
gmail.email_attachment_safety | Max |
chat.chat_history | Unisci |
chat.chat_file_sharing | Max |
chat.space_history | Max |
chat.external_chat_restriction | Unisci |
chat.chat_apps_access | Max |
sites.sites_creation_and_modification | Max |
groups_for_business.groups_sharing | Unisci |
classroom.teacher_permissions | Max |
classroom.guardian_access | Max |
classroom.class_membership | Max |
classroom.api_data_access | Max |
classroom.originality_reports | Max |
classroom.roster_import | Max |
classroom.student_unenrollment | Max |
meet.safety_domain | Max |
meet.safety_access | Max |
meet.safety_host_management | Max |
meet.video_recording | Max |
meet.safety_external_participants | Max |
security.super_admin_account_recovery | Unisci |
security.user_account_recovery | Unisci |
security.password | Max |
security.session_controls | Max |
security.less_secure_apps | Unisci |
security.login_challenges | Max |
security.advanced_protection_program | Max |
user_takeout | Max |
workspace_marketplace.apps_access_options | Unisci |
workspace_marketplace.apps_allowlist | MergeMap (la chiave principale è: application_id) |
rule.dlp | Elenco |
rule.system_defined_alerts | Elenco |
detector.regular_expression | Elenco |
detector.word_list | Elenco |
Licenze
I criteri si applicano a un utente in base alle sue licenze Workspace.
Per un elenco completo di tutti gli ID prodotto e SKU di Workspace, consulta ID prodotto e SKU di Google.
I seguenti esempi mostrano come i criteri si applicano a un determinato gruppo di utenti in base alle rispettive licenze.
Esempio 1: solo clausola normale
entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010020027])
Il criterio si applica a un utente se dispone di una licenza per almeno uno degli SKU nell'elenco.
Esempio 2: clausola normale e clausola invertita
entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010020027]) && !entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010060005])
Le norme si applicano agli utenti che dispongono di una licenza per almeno uno degli SKU nella prima clausola. Tuttavia, se un utente dispone di una licenza per uno degli SKU indicati nella seconda clausola, il criterio non si applica a questo utente.
Esempio 3: solo clausola invertita
!entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010060005])
Il criterio viene applicato agli utenti che non hanno una licenza per nessuno degli SKU inclusi nell'elenco.
Valori campo predefiniti
Se un campo non è presente nell'impostazione ridotta, il valore predefinito è il seguente:
Nome impostazione | Campo | Valore campo predefinito |
chat.chat_history | enable_chat_history | falso |
history_on_by_default | falso | |
allow_user_modification | true | |
chat.external_chat_restriction | allow_external_chat | falso |
external_chat_restriction | NO_RESTRICTION
|
|
chat.chat_apps_access | enable_apps | true negli SKU per l'istruzione:
/product/Google-Apps/sku/Google-Apps-For-Education ,
/product/Google-Apps/sku/1010310002 ,
/product/Google-Apps/sku/1010310003 ,
/product/Google-Apps/sku/1010310005 ,
/product/Google-Apps/sku/1010310006 ,
/product/Google-Apps/sku/1010310007 ,
/product/Google-Apps/sku/1010310008 ,
/product/Google-Apps/sku/1010310009 ,
/product/Google-Apps/sku/1010310010 ,
/product/Google-Apps/sku/1010460001 ,
/product/Google-Apps/sku/1010460002
|
enable_webhooks | true negli SKU per l'istruzione:
/product/Google-Apps/sku/Google-Apps-For-Education ,
/product/Google-Apps/sku/1010310002 ,
/product/Google-Apps/sku/1010310003 ,
/product/Google-Apps/sku/1010310005 ,
/product/Google-Apps/sku/1010310006 ,
/product/Google-Apps/sku/1010310007 ,
/product/Google-Apps/sku/1010310008 ,
/product/Google-Apps/sku/1010310009 ,
/product/Google-Apps/sku/1010310010 ,
/product/Google-Apps/sku/1010460001 ,
/product/Google-Apps/sku/1010460002
|
|
gmail.user_email_uploads | enable_mail_and_contacts_import | falso |
gmail.email_image_proxy_bypass | image_proxy_bypass_pattern | [] elenco vuoto |
enable_image_proxy | true | |
gmail.workspace_sync_for_outlook | enable_google_workspace_sync_for_microsoft_outlook | true |
gmail.email_spam_filter_ip_allowlist | allowed_ip_addresses | [] elenco vuoto |
drive_and_docs.external_sharing | external_sharing_mode | ALLOWED
|
allow_receiving_external_files | true | |
warn_for_sharing_outside_allowlisted_domains | true | |
allow_non_google_invites_in_allowlisted_domains | falso | |
allow_receiving_files_outside_allowlisted_domains | true | |
warn_for_external_sharing | true | |
allow_non_google_invites | true | |
allow_publishing_files | true | |
access_checker_suggestions | RECIPIENTS_OR_AUDIENCE_OR_PUBLIC
|
|
allowed_parties_for_distributing_content | ALL_ELIGIBLE_USERS
|
|
drive_and_docs.drive_sdk | enable_drive_sdk_api_access | true |
security.user_account_recovery | enable_account_recovery | falso |
security.super_admin_account_recovery | enable_account_recovery | falso |
workspace_marketplace.apps_access_options | access_level | Per i clienti delle scuole primarie e secondarie: ALLOW_NONE
Altrimenti: ALLOW_ALL
|
allow_all_internal_apps | falso | |
workspace_marketplace.apps_allowlist | app | [] elenco vuoto |
groups_for_business.groups_sharing | collaboration_capability | DOMAIN_USERS_ONLY
|
create_groups_access_level | USERS_IN_DOMAIN
|
|
view_topics_default_access_level | DOMAIN_USERS
|
|
owners_can_allow_external_members | falso | |
owners_can_allow_incoming_mail_from_public | true | |
owners_can_hide_groups | falso | |
new_groups_are_hidden | falso |