Policy API 概念

本文档介绍了一些概念,以帮助理解和正确使用 Cloud Identity Policy API。

弱读

如需列出和获取政策,请参阅设置 Policy API 以及列出和获取政策

术语

  • 设置值:政策中提供的设置值
  • 缩减的设置值:应用于目标实体(如用户)的最终设置值。
  • 归约:将政策的设置值归约为实体(例如用户)的单个设置值的过程。
  • 缩减器:用于确定如何将政策设置的值简化为用户简化为一项设置的规则类型。
  • 管理员政策:管理员在管理控制台中创建的政策。
  • 系统政策:Google Workspace 提供的政策。

缩减流程

如需降低给定用户的给定设置,请执行以下操作:

  1. 过滤掉不适用于用户的所有政策。
    1. 过滤掉不包含该设置的政策。
    2. 过滤掉应用于目标用户不属于的 OU 的政策。
    3. 过滤掉应用于目标用户不属于的群组的政策。
    4. 并滤除适用于目标用户所没有的许可的政策。如需详细了解许可,请参阅许可部分。
  2. 应用指定设置的缩减器
    1. Max:Max Reducer 会从排序顺序最高的政策中选择值。
    2. Merge:对于“精简设置”中的每个字段,Merge Reducer 都会从政策中选择具有该字段值且 sort_order 值最大的值。如果该字段是一个数组,Merge Reducer 会改为连接所有政策中的值。
    3. Map:Map Reducer 适用于数组条目具有主键的设置。Map Reducer 不会将具有相同主键的数组条目串联起来。相反,它将使用 Merge Reducer 或 Max Reducer 对共享相同主键的数组条目中的其他字段更新相应条目。
    4. 列表:这些设置不会合并为一项设置。而是会保留整个设置序列,并将其作为列表应用。

用于设置的缩减器

设置名称 缩减器
drive_and_docs.external_sharing Max
drive_and_docs.general_access_default Max
drive_and_docs.shared_drive_creation Max
drive_and_docs.file_security_update 最高
drive_and_docs.drive_sdk 合并
drive_and_docs.drive_for_desktop Max
gmail.confidential_mode Max
gmail.enhanced_smime_encryption Max
gmail.enhanced_pre_delivery_message_scanning Max
gmail.email_spam_filter_ip_allowlist Max
gmail.spoofing_and_authentication Max
gmail.links_and_external_images 最高
gmail.email_attachment_safety 最高
chat.chat_history 合并
chat.chat_file_sharing Max
chat.space_history 最高
chat.external_chat_restriction 合并
chat.chat_apps_access Max
sites.sites_creation_and_modification Max
groups_for_business.groups_sharing 合并
classroom.teacher_permissions 最高
classroom.guardian_access Max
classroom.class_membership 最高
classroom.api_data_access 最高
classroom.originality_reports Max
classroom.roster_import Max
classroom.student_unenrollment 最高
meet.safety_domain 最高
meet.safety_access Max
meet.safety_host_management Max
meet.video_recording Max
meet.safety_external_participants 最高
security.super_admin_account_recovery 合并
security.user_account_recovery 合并
security.password Max
security.session_controls 最高
security.less_secure_apps 合并
security.login_challenges 最高
security.advanced_protection_program Max
user_takeout Max
workspace_marketplace.apps_access_options 合并
workspace_marketplace.apps_allowlist MergeMap(主键为:application_id)
rule.dlp 列表
rule.system_defined_alerts 列表
detector.regular_expression 列表
detector.word_list 列表

许可

系统会根据用户的 Workspace 许可为用户应用政策。

如需查看所有 Workspace 产品和 SKU ID 的完整列表,请参阅 Google 产品 ID 和 SKU ID

以下示例展示了政策如何根据用户的许可对特定用户群组应用。

示例 1:仅普通子句

entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010020027])

如果用户拥有列表中至少一个 SKU 的许可,此政策便会应用于用户。

示例 2:普通子句和反向子句

entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010020027]) && !entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010060005])

如果用户拥有第一个子句中至少一个 SKU 的许可,则此政策适用于该用户。不过,如果用户拥有第二个子句中的任何 SKU 的许可,则该政策根本不适用于该用户。

示例 3:仅使用倒置子句

!entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010060005])

如果用户没有列表中的任何 SKU 的许可,则此政策会应用于该用户。

默认字段值

如果缩减设置中没有显示某个字段,其默认值如下所示:

设置名称 字段 默认字段值
chat.chat_history enable_chat_history false
history_on_by_default 错误
allow_user_modification 正确
chat.external_chat_restriction allow_external_chat false
external_chat_restriction NO_RESTRICTION
chat.chat_apps_access enable_apps EDU SKU 中为 true:/product/Google-Apps/sku/Google-Apps-For-Education/product/Google-Apps/sku/1010310002/product/Google-Apps/sku/1010310003/product/Google-Apps/sku/1010310005/product/Google-Apps/sku/1010310006/product/Google-Apps/sku/1010310007/product/Google-Apps/sku/1010310008/product/Google-Apps/sku/1010310009/product/Google-Apps/sku/1010310010/product/Google-Apps/sku/1010460001/product/Google-Apps/sku/1010460002
enable_webhooks true: /product/Google-Apps/sku/Google-Apps-For-Education, /product/Google-Apps/sku/1010310002, /product/Google-Apps/sku/1010310003, /product/Google-Apps/sku/1010310005, /product/Google-Apps/sku/1010310006, /product/Google-Apps/sku/1010310007, /product/Google-Apps/sku/1010310008, /product/Google-Apps/sku/1010310009, /product/Google-Apps/sku/1010310010, /product/Google-Apps/sku/1010460001, /product/Google-Apps/sku/1010460002
gmail.user_email_uploads enable_mail_and_contacts_import 错误
gmail.email_image_proxy_bypass image_proxy_bypass_pattern [] 空列表
enable_image_proxy true
gmail.workspace_sync_for_outlook enable_google_workspace_sync_for_microsoft_outlook 正确
gmail.email_spam_filter_ip_allowlist allowed_ip_addresses [] 空列表
drive_and_docs.external_sharing external_sharing_mode ALLOWED
allow_receiving_external_files true
warn_for_sharing_outside_allowlisted_domains true
allow_non_google_invites_in_allowlisted_domains 错误
allow_receiving_files_outside_allowlisted_domains true
warn_for_external_sharing true
allow_non_google_invites 正确
allow_publishing_files true
access_checker_suggestions RECIPIENTS_OR_AUDIENCE_OR_PUBLIC
allowed_parties_for_distributing_content ALL_ELIGIBLE_USERS
drive_and_docs.drive_sdk enable_drive_sdk_api_access 正确
security.user_account_recovery enable_account_recovery 错误
security.super_admin_account_recovery enable_account_recovery 错误
workspace_marketplace.apps_access_options access_level 对于 K12 客户:ALLOW_NONE 否则:ALLOW_ALL
allow_all_internal_apps 错误
workspace_marketplace.apps_allowlist 应用 [] 空列表
groups_for_business.groups_sharing collaboration_capability DOMAIN_USERS_ONLY
create_groups_access_level USERS_IN_DOMAIN
view_topics_default_access_level DOMAIN_USERS
owners_can_allow_external_members 错误
owners_can_allow_incoming_mail_from_public true
owners_can_hide_groups false
new_groups_are_hidden 错误