Conceitos da API Policy
Nesta documentação, fornecemos conceitos para ajudar a entender e usar corretamente a API Cloud Identity Policy.
Redução
Para listar e receber políticas, consulte Como configurar a API Policy e Como listar e receber políticas.
Terminologia
- Valor da configuração: valores de configuração fornecidos na política
- Valor de configuração reduzido: valores finais da configuração aplicados a uma entidade de destino, como um usuário.
- Redução: é o processo de reduzir os valores de configuração nas políticas a um único valor de configuração para uma entidade, como um usuário.
- Redutor: o tipo de regra que determina como a definição de valores nas políticas é simplificada em uma única configuração para um usuário.
- Políticas de administrador: políticas criadas pelos administradores no Admin Console.
- Políticas do sistema: são políticas fornecidas pelo Google Workspace.
Processo de redução
Para reduzir uma determinada configuração para um usuário:
- Filtre todas as políticas que não se aplicam ao usuário.
- Filtrar políticas que não contêm a configuração.
- Filtrar as políticas que se aplicam à UO em que o usuário de destino NÃO está.
- Filtre as políticas que se aplicam ao grupo em que o usuário-alvo NÃO está.
- Filtre as políticas que se aplicam à licença que o usuário de destino NÃO tem. Para mais informações sobre licenças, consulte a seção Licenças.
- Aplicar o redutor da configuração especificada
- Máx.: o redutor máximo escolhe o valor da política com a maior "sort_order".
- Mesclar: para cada campo da configuração "Reduzir", o redutor de mesclagem escolhe o valor da política com o maior "sort_order" que tenha um valor para o campo. Se o campo for uma matriz, o Merge Reducer concatenará os valores de todas as políticas.
- Map: o Redutor de mapa é usado para configurações em que as entradas da matriz têm uma chave primária. O Map Reducer não concatena as entradas de matriz com a mesma chave primária. Em vez disso, ele vai atualizar a entrada usando o Merge Reducer ou o Max Reducer nos outros campos nas entradas de matriz que compartilham a mesma chave primária.
- Lista: essas configurações não são reduzidas a uma única configuração. Em vez disso, toda a sequência de configurações é preservada e aplicada como uma lista.
Redutores para configurações
Nome da configuração | Redutor |
drive_and_docs.external_sharing | Máx. |
drive_and_docs.general_access_default | Máx. |
drive_and_docs.shared_drive_creation | Máx. |
drive_and_docs.file_security_update | Máx. |
drive_and_docs.drive_sdk | Mesclar |
drive_and_docs.drive_for_desktop | Máx. |
gmail.confidential_mode | Máx. |
gmail.enhanced_smime_encryption | Máx. |
gmail.enhanced_pre_delivery_message_scanning | Máx. |
gmail.email_spam_filter_ip_allowlist | Máx. |
gmail.spoofing_and_authentication | Máx. |
gmail.links_and_external_images | Máx. |
gmail.email_attachment_safety | Máx. |
chat.chat_history | Mesclar |
chat.chat_file_sharing | Máx. |
chat.space_history | Máx. |
chat.external_chat_restriction | Mesclar |
chat.chat_apps_access | Máx. |
sites.sites_creation_and_modification | Máx. |
groups_for_business.groups_sharing | Mesclar |
classroom.teacher_permissions | Máx. |
classroom.guardian_access | Máx. |
classroom.class_membership | Máx. |
classroom.api_data_access | Máx. |
classroom.originality_reports | Máx. |
classroom.roster_import | Máx. |
classroom.student_unenrollment | Máx. |
meet.safety_domain | Máx. |
meet.safety_access | Máx. |
meet.safety_host_management | Máx. |
meet.video_recording | Máx. |
meet.safety_external_participants | Máx. |
security.super_admin_account_recovery | Mesclar |
security.user_account_recovery | Mesclar |
security.password | Máx. |
security.session_controls | Máx. |
security.less_secure_apps | Mesclar |
security.login_challenges | Máx. |
security.advanced_protection_program | Máx. |
user_takeout | Máx. |
workspace_marketplace.apps_access_options | Mesclar |
workspace_marketplace.apps_allowlist | MergeMap (a chave primária é: application_id) |
rule.dlp | Lista |
rule.system_defined_alerts | Lista |
detector.regular_expression | Lista |
detector.word_list | Lista |
Licença
As políticas são aplicadas a um usuário com base nas licenças do Workspace dele.
Para conferir uma lista completa de todos os IDs de SKU e de produtos do Google Workspace, consulte IDs de produtos e de SKU do Google.
Os exemplos a seguir mostram como as políticas são aplicadas a determinados grupos de usuários com base nas licenças deles.
Exemplo 1: somente cláusula normal
entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010020027])
A política se aplica a um usuário se ele tiver uma licença para pelo menos um dos SKUs na lista.
Exemplo 2: cláusula normal e cláusula invertida
entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010020027]) && !entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010060005])
A política se aplica a um usuário se ele tiver uma licença para pelo menos um dos SKUs na primeira cláusula. No entanto, se um usuário tiver uma licença para qualquer uma das SKUs na segunda cláusula, a política não se aplicará a esse usuário.
Exemplo 3: apenas cláusula invertida
!entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010060005])
A política se aplica a um usuário se ele não tiver uma licença para nenhum SKU na lista.
Valores de campo padrão
Quando um campo não está presente na configuração reduzida, o valor padrão é o seguinte:
Nome da configuração | Campo | Valor do campo padrão |
chat.chat_history | enable_chat_history | falso |
history_on_by_default | falso | |
allow_user_modification | verdadeiro | |
chat.external_chat_restriction | allow_external_chat | falso |
external_chat_restriction | NO_RESTRICTION
|
|
chat.chat_apps_access | enable_apps | true em SKUs EDU:
/product/Google-Apps/sku/Google-Apps-For-Education ,
/product/Google-Apps/sku/1010310002 ,
/product/Google-Apps/sku/1010310003 ,
/product/Google-Apps/sku/1010310005 ,
/product/Google-Apps/sku/1010310006 ,
/product/Google-Apps/sku/1010310007 ,
/product/Google-Apps/sku/1010310008 ,
/product/Google-Apps/sku/1010310009 ,
/product/Google-Apps/sku/1010310010 ,
/product/Google-Apps/sku/1010460001 ,
/product/Google-Apps/sku/1010460002
|
enable_webhooks | true em SKUs EDU:
/product/Google-Apps/sku/Google-Apps-For-Education ,
/product/Google-Apps/sku/1010310002 ,
/product/Google-Apps/sku/1010310003 ,
/product/Google-Apps/sku/1010310005 ,
/product/Google-Apps/sku/1010310006 ,
/product/Google-Apps/sku/1010310007 ,
/product/Google-Apps/sku/1010310008 ,
/product/Google-Apps/sku/1010310009 ,
/product/Google-Apps/sku/1010310010 ,
/product/Google-Apps/sku/1010460001 ,
/product/Google-Apps/sku/1010460002
|
|
gmail.user_email_uploads | enable_mail_and_contacts_import | falso |
gmail.email_image_proxy_bypass | image_proxy_bypass_pattern | [] lista vazia |
enable_image_proxy | verdadeiro | |
gmail.workspace_sync_for_outlook | enable_google_workspace_sync_for_microsoft_outlook | verdadeiro |
gmail.email_spam_filter_ip_allowlist | allowed_ip_addresses | [] lista vazia |
drive_and_docs.external_sharing | external_sharing_mode | ALLOWED
|
allow_receiving_external_files | verdadeiro | |
warn_for_sharing_outside_allowlisted_domains | verdadeiro | |
allow_non_google_invites_in_allowlisted_domains | falso | |
allow_receiving_files_outside_allowlisted_domains | verdadeiro | |
warn_for_external_sharing | verdadeiro | |
allow_non_google_invites | verdadeiro | |
allow_publishing_files | verdadeiro | |
access_checker_suggestions | RECIPIENTS_OR_AUDIENCE_OR_PUBLIC
|
|
allowed_parties_for_distributing_content | ALL_ELIGIBLE_USERS
|
|
drive_and_docs.drive_sdk | enable_drive_sdk_api_access | verdadeiro |
security.user_account_recovery | enable_account_recovery | falso |
security.super_admin_account_recovery | enable_account_recovery | falso |
workspace_marketplace.apps_access_options | access_level | Para clientes do ensino fundamental e médio: ALLOW_NONE
Caso contrário: ALLOW_ALL
|
allow_all_internal_apps | falso | |
workspace_marketplace.apps_allowlist | apps | [] lista vazia |
groups_for_business.groups_sharing | collaboration_capability | DOMAIN_USERS_ONLY
|
create_groups_access_level | USERS_IN_DOMAIN
|
|
view_topics_default_access_level | DOMAIN_USERS
|
|
owners_can_allow_external_members | falso | |
owners_can_allow_incoming_mail_from_public | verdadeiro | |
owners_can_hide_groups | falso | |
new_groups_are_hidden | falso |