Policy API 概念
本文档介绍了一些概念,以帮助理解和正确使用 Cloud Identity Policy API。
弱读
如需列出和获取政策,请参阅设置 Policy API 以及列出和获取政策。
术语
- 设置值:政策中提供的设置值
- 缩减的设置值:应用于目标实体(如用户)的最终设置值。
- 归约:将政策的设置值归约为实体(例如用户)的单个设置值的过程。
- 缩减器:用于确定如何将政策设置的值简化为用户简化为一项设置的规则类型。
- 管理员政策:管理员在管理控制台中创建的政策。
- 系统政策:Google Workspace 提供的政策。
缩减流程
如需降低给定用户的给定设置,请执行以下操作:
- 过滤掉不适用于用户的所有政策。
- 过滤掉不包含该设置的政策。
- 过滤掉应用于目标用户不属于的 OU 的政策。
- 过滤掉应用于目标用户不属于的群组的政策。
- 并滤除适用于目标用户所没有的许可的政策。如需详细了解许可,请参阅许可部分。
- 应用指定设置的缩减器
- Max:Max Reducer 会从排序顺序最高的政策中选择值。
- Merge:对于“精简设置”中的每个字段,Merge Reducer 都会从政策中选择具有该字段值且 sort_order 值最大的值。如果该字段是一个数组,Merge Reducer 会改为连接所有政策中的值。
- Map:Map Reducer 适用于数组条目具有主键的设置。Map Reducer 不会将具有相同主键的数组条目串联起来。相反,它将使用 Merge Reducer 或 Max Reducer 对共享相同主键的数组条目中的其他字段更新相应条目。
- 列表:这些设置不会合并为一项设置。而是会保留整个设置序列,并将其作为列表应用。
用于设置的缩减器
设置名称 | 缩减器 |
drive_and_docs.external_sharing | Max |
drive_and_docs.general_access_default | Max |
drive_and_docs.shared_drive_creation | Max |
drive_and_docs.file_security_update | 最高 |
drive_and_docs.drive_sdk | 合并 |
drive_and_docs.drive_for_desktop | Max |
gmail.confidential_mode | Max |
gmail.enhanced_smime_encryption | Max |
gmail.enhanced_pre_delivery_message_scanning | Max |
gmail.email_spam_filter_ip_allowlist | Max |
gmail.spoofing_and_authentication | Max |
gmail.links_and_external_images | 最高 |
gmail.email_attachment_safety | 最高 |
chat.chat_history | 合并 |
chat.chat_file_sharing | Max |
chat.space_history | 最高 |
chat.external_chat_restriction | 合并 |
chat.chat_apps_access | Max |
sites.sites_creation_and_modification | Max |
groups_for_business.groups_sharing | 合并 |
classroom.teacher_permissions | 最高 |
classroom.guardian_access | Max |
classroom.class_membership | 最高 |
classroom.api_data_access | 最高 |
classroom.originality_reports | Max |
classroom.roster_import | Max |
classroom.student_unenrollment | 最高 |
meet.safety_domain | 最高 |
meet.safety_access | Max |
meet.safety_host_management | Max |
meet.video_recording | Max |
meet.safety_external_participants | 最高 |
security.super_admin_account_recovery | 合并 |
security.user_account_recovery | 合并 |
security.password | Max |
security.session_controls | 最高 |
security.less_secure_apps | 合并 |
security.login_challenges | 最高 |
security.advanced_protection_program | Max |
user_takeout | Max |
workspace_marketplace.apps_access_options | 合并 |
workspace_marketplace.apps_allowlist | MergeMap(主键为:application_id) |
rule.dlp | 列表 |
rule.system_defined_alerts | 列表 |
detector.regular_expression | 列表 |
detector.word_list | 列表 |
许可
系统会根据用户的 Workspace 许可为用户应用政策。
如需查看所有 Workspace 产品和 SKU ID 的完整列表,请参阅 Google 产品 ID 和 SKU ID。
以下示例展示了政策如何根据用户的许可对特定用户群组应用。
示例 1:仅普通子句
entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010020027])
如果用户拥有列表中至少一个 SKU 的许可,此政策便会应用于用户。
示例 2:普通子句和反向子句
entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010020027]) && !entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010060005])
如果用户拥有第一个子句中至少一个 SKU 的许可,则此政策适用于该用户。不过,如果用户拥有第二个子句中的任何 SKU 的许可,则该政策根本不适用于该用户。
示例 3:仅使用倒置子句
!entity.licenses.exists(license, license in ['/product/Google-Apps/sku/1010060005])
如果用户没有列表中的任何 SKU 的许可,则此政策会应用于该用户。
默认字段值
如果缩减设置中没有显示某个字段,其默认值如下所示:
设置名称 | 字段 | 默认字段值 |
chat.chat_history | enable_chat_history | false |
history_on_by_default | 错误 | |
allow_user_modification | 正确 | |
chat.external_chat_restriction | allow_external_chat | false |
external_chat_restriction | NO_RESTRICTION
|
|
chat.chat_apps_access | enable_apps | EDU SKU 中为 true:/product/Google-Apps/sku/Google-Apps-For-Education 、/product/Google-Apps/sku/1010310002 、/product/Google-Apps/sku/1010310003 、/product/Google-Apps/sku/1010310005 、/product/Google-Apps/sku/1010310006 、/product/Google-Apps/sku/1010310007 、/product/Google-Apps/sku/1010310008 、/product/Google-Apps/sku/1010310009 、/product/Google-Apps/sku/1010310010 、/product/Google-Apps/sku/1010460001 、/product/Google-Apps/sku/1010460002
|
enable_webhooks | true:
/product/Google-Apps/sku/Google-Apps-For-Education ,
/product/Google-Apps/sku/1010310002 ,
/product/Google-Apps/sku/1010310003 ,
/product/Google-Apps/sku/1010310005 ,
/product/Google-Apps/sku/1010310006 ,
/product/Google-Apps/sku/1010310007 ,
/product/Google-Apps/sku/1010310008 ,
/product/Google-Apps/sku/1010310009 ,
/product/Google-Apps/sku/1010310010 ,
/product/Google-Apps/sku/1010460001 ,
/product/Google-Apps/sku/1010460002
|
|
gmail.user_email_uploads | enable_mail_and_contacts_import | 错误 |
gmail.email_image_proxy_bypass | image_proxy_bypass_pattern | [] 空列表 |
enable_image_proxy | true | |
gmail.workspace_sync_for_outlook | enable_google_workspace_sync_for_microsoft_outlook | 正确 |
gmail.email_spam_filter_ip_allowlist | allowed_ip_addresses | [] 空列表 |
drive_and_docs.external_sharing | external_sharing_mode | ALLOWED
|
allow_receiving_external_files | true | |
warn_for_sharing_outside_allowlisted_domains | true | |
allow_non_google_invites_in_allowlisted_domains | 错误 | |
allow_receiving_files_outside_allowlisted_domains | true | |
warn_for_external_sharing | true | |
allow_non_google_invites | 正确 | |
allow_publishing_files | true | |
access_checker_suggestions | RECIPIENTS_OR_AUDIENCE_OR_PUBLIC
|
|
allowed_parties_for_distributing_content | ALL_ELIGIBLE_USERS
|
|
drive_and_docs.drive_sdk | enable_drive_sdk_api_access | 正确 |
security.user_account_recovery | enable_account_recovery | 错误 |
security.super_admin_account_recovery | enable_account_recovery | 错误 |
workspace_marketplace.apps_access_options | access_level | 对于 K12 客户:ALLOW_NONE
否则:ALLOW_ALL
|
allow_all_internal_apps | 错误 | |
workspace_marketplace.apps_allowlist | 应用 | [] 空列表 |
groups_for_business.groups_sharing | collaboration_capability | DOMAIN_USERS_ONLY
|
create_groups_access_level | USERS_IN_DOMAIN
|
|
view_topics_default_access_level | DOMAIN_USERS
|
|
owners_can_allow_external_members | 错误 | |
owners_can_allow_incoming_mail_from_public | true | |
owners_can_hide_groups | false | |
new_groups_are_hidden | 错误 |