Concetti dell'API Policy

Questa documentazione fornisce concetti per aiutarti a comprendere e utilizzare correttamente l'API Cloud Identity Policy.

Riduzione

Per elencare e ottenere i criteri, vedi Configurare l'API Policy e Creazione e recupero dei criteri.

Terminologia

  • Valore impostazione: i valori di impostazione forniti nel criterio
  • Valore dell'impostazione ridotto: valori dell'impostazione finale applicati a un'entità target, ad esempio a un utente.
  • Riduzione: il processo di riduzione dei valori delle impostazioni dei criteri a un unico valore di impostazione per un'entità, ad esempio un utente.
  • Riduci: il tipo di regole che determinano in che modo l'impostazione dei valori dei criteri viene semplificata a un'unica impostazione per un utente.
  • Criteri amministrativi: criteri creati dagli amministratori nella Console di amministrazione.
  • Criteri di sistema: criteri forniti da Google Workspace.

Procedura di riduzione

Per ridurre una determinata impostazione per un determinato utente:

  1. Filtra tutti i criteri che non si applicano all'utente.
    1. Escludi i criteri che non contengono l'impostazione.
    2. Filtra i criteri che si applicano alla UO in cui NON si trova l'utente di destinazione.
    3. Filtra i criteri che si applicano al gruppo in cui NON si trova l'utente target.
    4. Filtra i criteri che si applicano alla Licenza che l'utente di destinazione NON ha. Per scoprire di più sulle licenze, consulta la sezione Licenze.
  2. Applica il riduttore dell'impostazione specificata
    1. Max: il riduttore Max sceglie il valore del criterio con il sort_order più alto.
    2. Unione: per ogni campo dell'impostazione ridotta, il riduttore di unione sceglie il valore del criterio con l'ordinamento più alto che ha un valore per quel campo. Se il campo è un array, il riduttore di unione concatena invece i valori di tutti i criteri.
    3. Map: Map Reducer viene utilizzato per le impostazioni in cui le voci dell'array hanno una chiave primaria. Map Reducer non concatena le voci dell'array con la stessa chiave primaria. La voce verrà invece aggiornata utilizzando il riduttore di unione o il riduttore massimo negli altri campi delle voci dell'array che condividono la stessa chiave primaria.
    4. Elenco: queste impostazioni non vengono ridotte a una singola impostazione. L'intera sequenza di impostazioni viene invece conservata e applicata come elenco.

Riduttori per le impostazioni

Nome impostazione Riduttore
drive_and_docs.external_sharing Max
drive_and_docs.general_access_default Max
drive_and_docs.shared_drive_creation Max
drive_and_docs.file_security_update Max
drive_and_docs.drive_sdk Unisci
drive_and_docs.drive_for_desktop Max
gmail.confidential_mode Max
gmail.enhanced_smime_encryption Max
gmail.enhanced_pre_delivery_message_scanning Max
gmail.email_spam_filter_ip_allowlist Max
gmail.spoofing_and_authentication Max
gmail.links_and_external_images Max
gmail.email_attachment_safety Max
chat.chat_history Unisci
chat.chat_file_sharing Max
chat.space_history Max
chat.external_chat_restriction Unisci
chat.chat_apps_access Max
sites.sites_creation_and_modification Max
groups_for_business.groups_sharing Unisci
classroom.teacher_permissions Max
classroom.guardian_access Max
classroom.class_membership Max
classroom.api_data_access Max
classroom.originality_reports Max
classroom.roster_import Max
classroom.student_unenrollment Max
meet.safety_domain Max
meet.safety_access Max
meet.safety_host_management Max
meet.video_recording Max
meet.safety_external_participants Max
security.super_admin_account_recovery Unisci
security.user_account_recovery Unisci
security.password Max
security.session_controls Max
security.less_secure_apps Unisci
security.login_challenges Max
security.advanced_protection_program Max
user_takeout Max
workspace_marketplace.apps_access_options Unisci
workspace_marketplace.apps_allowlist MergeMap (la chiave principale è: application_id)
rule.dlp Elenco
rule.system_defined_alerts Elenco
detector.regular_expression Elenco
detector.word_list Elenco

Licenze

I criteri si applicano a un utente in base alle sue licenze Workspace.

Per un elenco completo di tutti gli ID prodotto e SKU di Workspace, consulta ID prodotto e SKU di Google.

I seguenti esempi mostrano come i criteri si applicano a un determinato gruppo di utenti in base alle rispettive licenze.

Esempio 1: solo clausola normale

entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010020027])

Il criterio si applica a un utente se dispone di una licenza per almeno uno degli SKU nell'elenco.

Esempio 2: clausola normale e clausola invertita

entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010020027]) && !entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010060005])

Le norme si applicano agli utenti che dispongono di una licenza per almeno uno degli SKU nella prima clausola. Tuttavia, se un utente dispone di una licenza per uno degli SKU indicati nella seconda clausola, il criterio non si applica a questo utente.

Esempio 3: solo clausola invertita

!entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010060005])

Il criterio viene applicato agli utenti che non hanno una licenza per nessuno degli SKU inclusi nell'elenco.

Valori campo predefiniti

Se un campo non è presente nell'impostazione ridotta, il valore predefinito è il seguente:

Nome impostazione Campo Valore campo predefinito
chat.chat_history enable_chat_history falso
history_on_by_default falso
allow_user_modification true
chat.external_chat_restriction allow_external_chat falso
external_chat_restriction NO_RESTRICTION
chat.chat_apps_access enable_apps true negli SKU per l'istruzione: /product/Google-Apps/sku/Google-Apps-For-Education, /product/Google-Apps/sku/1010310002, /product/Google-Apps/sku/1010310003, /product/Google-Apps/sku/1010310005, /product/Google-Apps/sku/1010310006, /product/Google-Apps/sku/1010310007, /product/Google-Apps/sku/1010310008, /product/Google-Apps/sku/1010310009, /product/Google-Apps/sku/1010310010, /product/Google-Apps/sku/1010460001, /product/Google-Apps/sku/1010460002
enable_webhooks true negli SKU per l'istruzione: /product/Google-Apps/sku/Google-Apps-For-Education, /product/Google-Apps/sku/1010310002, /product/Google-Apps/sku/1010310003, /product/Google-Apps/sku/1010310005, /product/Google-Apps/sku/1010310006, /product/Google-Apps/sku/1010310007, /product/Google-Apps/sku/1010310008, /product/Google-Apps/sku/1010310009, /product/Google-Apps/sku/1010310010, /product/Google-Apps/sku/1010460001, /product/Google-Apps/sku/1010460002
gmail.user_email_uploads enable_mail_and_contacts_import falso
gmail.email_image_proxy_bypass image_proxy_bypass_pattern [] elenco vuoto
enable_image_proxy true
gmail.workspace_sync_for_outlook enable_google_workspace_sync_for_microsoft_outlook true
gmail.email_spam_filter_ip_allowlist allowed_ip_addresses [] elenco vuoto
drive_and_docs.external_sharing external_sharing_mode ALLOWED
allow_receiving_external_files true
warn_for_sharing_outside_allowlisted_domains true
allow_non_google_invites_in_allowlisted_domains falso
allow_receiving_files_outside_allowlisted_domains true
warn_for_external_sharing true
allow_non_google_invites true
allow_publishing_files true
access_checker_suggestions RECIPIENTS_OR_AUDIENCE_OR_PUBLIC
allowed_parties_for_distributing_content ALL_ELIGIBLE_USERS
drive_and_docs.drive_sdk enable_drive_sdk_api_access true
security.user_account_recovery enable_account_recovery falso
security.super_admin_account_recovery enable_account_recovery falso
workspace_marketplace.apps_access_options access_level Per i clienti delle scuole primarie e secondarie: ALLOW_NONE Altrimenti: ALLOW_ALL
allow_all_internal_apps falso
workspace_marketplace.apps_allowlist app [] elenco vuoto
groups_for_business.groups_sharing collaboration_capability DOMAIN_USERS_ONLY
create_groups_access_level USERS_IN_DOMAIN
view_topics_default_access_level DOMAIN_USERS
owners_can_allow_external_members falso
owners_can_allow_incoming_mail_from_public true
owners_can_hide_groups falso
new_groups_are_hidden falso