Conceitos da API Policy

Nesta documentação, fornecemos conceitos para ajudar a entender e usar corretamente a API Cloud Identity Policy.

Redução

Para listar e receber políticas, consulte Como configurar a API Policy e Como listar e receber políticas.

Terminologia

  • Valor da configuração: valores de configuração fornecidos na política
  • Valor de configuração reduzido: valores finais da configuração aplicados a uma entidade de destino, como um usuário.
  • Redução: é o processo de reduzir os valores de configuração nas políticas a um único valor de configuração para uma entidade, como um usuário.
  • Redutor: o tipo de regra que determina como a definição de valores nas políticas é simplificada em uma única configuração para um usuário.
  • Políticas de administrador: políticas criadas pelos administradores no Admin Console.
  • Políticas do sistema: são políticas fornecidas pelo Google Workspace.

Processo de redução

Para reduzir uma determinada configuração para um usuário:

  1. Filtre todas as políticas que não se aplicam ao usuário.
    1. Filtrar políticas que não contêm a configuração.
    2. Filtrar as políticas que se aplicam à UO em que o usuário de destino NÃO está.
    3. Filtre as políticas que se aplicam ao grupo em que o usuário-alvo NÃO está.
    4. Filtre as políticas que se aplicam à licença que o usuário de destino NÃO tem. Para mais informações sobre licenças, consulte a seção Licenças.
  2. Aplicar o redutor da configuração especificada
    1. Máx.: o redutor máximo escolhe o valor da política com a maior "sort_order".
    2. Mesclar: para cada campo da configuração "Reduzir", o redutor de mesclagem escolhe o valor da política com o maior "sort_order" que tenha um valor para o campo. Se o campo for uma matriz, o Merge Reducer concatenará os valores de todas as políticas.
    3. Map: o Redutor de mapa é usado para configurações em que as entradas da matriz têm uma chave primária. O Map Reducer não concatena as entradas de matriz com a mesma chave primária. Em vez disso, ele vai atualizar a entrada usando o Merge Reducer ou o Max Reducer nos outros campos nas entradas de matriz que compartilham a mesma chave primária.
    4. Lista: essas configurações não são reduzidas a uma única configuração. Em vez disso, toda a sequência de configurações é preservada e aplicada como uma lista.

Redutores para configurações

Nome da configuração Redutor
drive_and_docs.external_sharing Máx.
drive_and_docs.general_access_default Máx.
drive_and_docs.shared_drive_creation Máx.
drive_and_docs.file_security_update Máx.
drive_and_docs.drive_sdk Mesclar
drive_and_docs.drive_for_desktop Máx.
gmail.confidential_mode Máx.
gmail.enhanced_smime_encryption Máx.
gmail.enhanced_pre_delivery_message_scanning Máx.
gmail.email_spam_filter_ip_allowlist Máx.
gmail.spoofing_and_authentication Máx.
gmail.links_and_external_images Máx.
gmail.email_attachment_safety Máx.
chat.chat_history Mesclar
chat.chat_file_sharing Máx.
chat.space_history Máx.
chat.external_chat_restriction Mesclar
chat.chat_apps_access Máx.
sites.sites_creation_and_modification Máx.
groups_for_business.groups_sharing Mesclar
classroom.teacher_permissions Máx.
classroom.guardian_access Máx.
classroom.class_membership Máx.
classroom.api_data_access Máx.
classroom.originality_reports Máx.
classroom.roster_import Máx.
classroom.student_unenrollment Máx.
meet.safety_domain Máx.
meet.safety_access Máx.
meet.safety_host_management Máx.
meet.video_recording Máx.
meet.safety_external_participants Máx.
security.super_admin_account_recovery Mesclar
security.user_account_recovery Mesclar
security.password Máx.
security.session_controls Máx.
security.less_secure_apps Mesclar
security.login_challenges Máx.
security.advanced_protection_program Máx.
user_takeout Máx.
workspace_marketplace.apps_access_options Mesclar
workspace_marketplace.apps_allowlist MergeMap (a chave primária é: application_id)
rule.dlp Lista
rule.system_defined_alerts Lista
detector.regular_expression Lista
detector.word_list Lista

Licença

As políticas são aplicadas a um usuário com base nas licenças do Workspace dele.

Para conferir uma lista completa de todos os IDs de SKU e de produtos do Google Workspace, consulte IDs de produtos e de SKU do Google.

Os exemplos a seguir mostram como as políticas são aplicadas a determinados grupos de usuários com base nas licenças deles.

Exemplo 1: somente cláusula normal

entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010020027])

A política se aplica a um usuário se ele tiver uma licença para pelo menos um dos SKUs na lista.

Exemplo 2: cláusula normal e cláusula invertida

entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010020027]) && !entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010060005])

A política se aplica a um usuário se ele tiver uma licença para pelo menos um dos SKUs na primeira cláusula. No entanto, se um usuário tiver uma licença para qualquer uma das SKUs na segunda cláusula, a política não se aplicará a esse usuário.

Exemplo 3: apenas cláusula invertida

!entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010060005])

A política se aplica a um usuário se ele não tiver uma licença para nenhum SKU na lista.

Valores de campo padrão

Quando um campo não está presente na configuração reduzida, o valor padrão é o seguinte:

Nome da configuração Campo Valor do campo padrão
chat.chat_history enable_chat_history falso
history_on_by_default falso
allow_user_modification verdadeiro
chat.external_chat_restriction allow_external_chat falso
external_chat_restriction NO_RESTRICTION
chat.chat_apps_access enable_apps true em SKUs EDU: /product/Google-Apps/sku/Google-Apps-For-Education, /product/Google-Apps/sku/1010310002, /product/Google-Apps/sku/1010310003, /product/Google-Apps/sku/1010310005, /product/Google-Apps/sku/1010310006, /product/Google-Apps/sku/1010310007, /product/Google-Apps/sku/1010310008, /product/Google-Apps/sku/1010310009, /product/Google-Apps/sku/1010310010, /product/Google-Apps/sku/1010460001, /product/Google-Apps/sku/1010460002
enable_webhooks true em SKUs EDU: /product/Google-Apps/sku/Google-Apps-For-Education, /product/Google-Apps/sku/1010310002, /product/Google-Apps/sku/1010310003, /product/Google-Apps/sku/1010310005, /product/Google-Apps/sku/1010310006, /product/Google-Apps/sku/1010310007, /product/Google-Apps/sku/1010310008, /product/Google-Apps/sku/1010310009, /product/Google-Apps/sku/1010310010, /product/Google-Apps/sku/1010460001, /product/Google-Apps/sku/1010460002
gmail.user_email_uploads enable_mail_and_contacts_import falso
gmail.email_image_proxy_bypass image_proxy_bypass_pattern [] lista vazia
enable_image_proxy verdadeiro
gmail.workspace_sync_for_outlook enable_google_workspace_sync_for_microsoft_outlook verdadeiro
gmail.email_spam_filter_ip_allowlist allowed_ip_addresses [] lista vazia
drive_and_docs.external_sharing external_sharing_mode ALLOWED
allow_receiving_external_files verdadeiro
warn_for_sharing_outside_allowlisted_domains verdadeiro
allow_non_google_invites_in_allowlisted_domains falso
allow_receiving_files_outside_allowlisted_domains verdadeiro
warn_for_external_sharing verdadeiro
allow_non_google_invites verdadeiro
allow_publishing_files verdadeiro
access_checker_suggestions RECIPIENTS_OR_AUDIENCE_OR_PUBLIC
allowed_parties_for_distributing_content ALL_ELIGIBLE_USERS
drive_and_docs.drive_sdk enable_drive_sdk_api_access verdadeiro
security.user_account_recovery enable_account_recovery falso
security.super_admin_account_recovery enable_account_recovery falso
workspace_marketplace.apps_access_options access_level Para clientes do ensino fundamental e médio: ALLOW_NONE Caso contrário: ALLOW_ALL
allow_all_internal_apps falso
workspace_marketplace.apps_allowlist apps [] lista vazia
groups_for_business.groups_sharing collaboration_capability DOMAIN_USERS_ONLY
create_groups_access_level USERS_IN_DOMAIN
view_topics_default_access_level DOMAIN_USERS
owners_can_allow_external_members falso
owners_can_allow_incoming_mail_from_public verdadeiro
owners_can_hide_groups falso
new_groups_are_hidden falso