グループ API の概要
Cloud Identity Groups API を使用すると、さまざまな種類のグループを作成し、管理できます。グループによって、サポートされる機能やメンバーシップが異なります。
グループの種類
グループとは、エンティティのコレクションのことです。各エンティティは、別のグループまたはユーザーのいずれかにできます。Cloud Identity Groups API は、次のグループの種類をサポートしています。
- Google グループ
- Google グループには 1 つのメールアドレスがあり、メーリング リストとして頻繁に使用されます。Google グループはさまざまな Google プロダクトでも使用できます。たとえば、Google ドキュメントを任意のグループと共有したり、Google カレンダーの予定にグループを招待したり、IAM によるアクセス管理にグループを使用したりできます。Google グループは、デフォルトのグループの種類です。
- 動的グループ
動的グループとは、メンバークエリや、役職や勤務地などの従業員属性のクエリを使用して自動的に管理される Google グループです。たとえば、メンバークエリは「組織内でテクニカル ライターの役割を持つすべてのユーザー」などになります。
- セキュリティ グループ
セキュリティ グループは Google グループに似ていますが、組織リソースへのアクセスを制御するために使用されます。セキュリティ グループは、Google グループをセキュリティ グループに更新することで作成されます。
- POSIX グループ(非推奨)
POSIX グループは、LDAP 環境でグループ メンバーを管理するために使用される Google グループです。POSIX グループは、Google グループを POSIX データで更新することによって作成されます。POSIX グループデータには、グループ名とグループ ID(GID)が含まれています。
POSIX グループは Google Cloud と統合され、OS Login が有効になっている組織内の VM で使用されます。
- ID マッピング グループ
ID マッピング グループは、Active Directory などの Google 以外の ID ソースから同期されたユーザーとグループを含むグループです。ID マッピング グループを使用すると、Google Cloud Search でユーザーとグループ、および外部 ID ソースに保存された検索ドキュメントに対する権限を認識できます。たとえば、ドキュメントに対する特定の権限を持つ
example_user_org@your_domain.com
ユーザーがいるとします。このユーザーはexample_user@your_domain.com
に同期できるため、これらのユーザーが同じドキュメントに対して同じ権限を持っていることを Google Cloud Search で認識できます。- Cloud Identity Groups API のグループ作成リクエストは、サービス アカウントからのみ許可されます。
Google Cloud Search で ID マッピング グループを同期するには、ID コネクタを作成する必要があります。Java を使用している場合、Google Cloud Search Java SDK を使用して ID コネクタを作成できます。REST API を使用する場合、Cloud Identity Groups API を使用できます。ID コネクタについて詳しくは、Cloud Search ドキュメントの異なる ID システムを同期するをご覧ください。
グループのプロパティ
各グループには、種類に関係なく以下のプロパティがあります。
- ラベル
- ラベルはグループの種類を識別するものです。
- Google グループ:
cloudidentity.googleapis.com/groups.discussion_forum
- 動的グループ:
cloudidentity.googleapis.com/groups.dynamic
- セキュリティ グループ:
cloudidentity.googleapis.com/groups.security
(このラベルはcloudidentity.googleapis.com/groups.discussion_forum
に加えて使用されます。セキュリティ グループは Google グループに基づいているためです) - POSIX グループ:
cloudidentity.googleapis.com/groups.posix
(POSIX グループは Google グループに基づいているため、このラベルはcloudidentity.googleapis.com/groups.discussion_forum
に追加されます)。 - ID マッピング グループ:
system/groups/external
- Google グループ:
- エンティティ キー
エンティティ キーは、グループに付与される、人が読める形式の一意の識別子です。
- Google グループ、動的グループ、セキュリティ グループ: グループのメールアドレス
- ID マッピング グループ: 名前空間で修飾された文字列。名前空間は、Google Cloud Search で ID ソースを作成するときに設定されます。ID ソースについて詳しくは、Cloud Search ドキュメントの異なる ID システムを同期するをご覧ください。
- 親
親はグループが属するリソースです。Google グループ、動的グループ、セキュリティ グループの場合、親はドメインを所有する顧客です。ID マッピング グループの場合、親はグループの同期元となる ID ソースです。
- 表示名
表示名は、Google プロダクトに表示されるグループの名前です。
メンバーシップとメンバーシップのプロパティ
グループに属するエンティティはメンバーと呼ばれ、そのグループとの関係はメンバーシップと呼ばれます。エンティティは、ユーザー、グループ、またはサービス アカウントのいずれかです。メンバーシップには次のプロパティがあります。
- 優先メンバーキー
- 優先メンバーキーは、メンバーに付与される、人が読める形式の一意の識別子です。Google グループまたは個々のユーザーの場合、優先メンバーキーはそのグループまたはユーザーのメールアドレスです。ID マッピング グループの場合、優先メンバーキーは名前空間で修飾された文字列です。
- メンバーのロール
メンバーのロールは、メンバーがグループ内で持つ権限を表します。サポートされているロールは次のとおりです。
MEMBER
。特別な権限は付与されていません。すべてのメンバーシップには、少なくともMEMBER
のロールが必要です。OWNER
。他のOWNER
の管理やグループの削除など、幅広い権限が付与されます。MANAGER
。権限はOWNER
よりは少ないものの、他のMANAGER
を管理するなど、MEMBER
より多くの権限が付与されます。
グループ内の特定メンバーのロールに含まれる権限は、Google グループのウェブ インターフェースまたは Google 管理コンソールでカスタマイズできます。詳しくは、閲覧、投稿、モデレートできるユーザーを設定するをご覧ください。
Cloud Identity に存在しないユーザーとグループを外部 ID ソースとしてインポートできます。まず、組織の ID ソースを作成し、次にユーザーとグループの情報を Cloud Identity にインポートする必要があります。
次のステップ
必要に応じて次の手順を行います。
API の設定については、Groups API の設定をご覧ください。
Google グループを作成して管理するには、Google グループの作成と検索をご覧ください。
動的グループの詳細については、動的グループの概要をご覧ください。
Google グループをセキュリティ グループに更新するには、Google グループをセキュリティ グループに更新するをご覧ください。
ID マッピング グループを作成して管理するには、ID マッピング グループの作成と検索をご覧ください。