Questa pagina è stata tradotta dall'API Cloud Translation.

Panoramica dell'API Groups

L'API Cloud Identity Groups consente di creare e gestire diversi tipi di gruppi, ognuno dei quali supporta funzionalità diverse, nonché i relativi adesioni.

Tipi di gruppi

Un gruppo è una raccolta di entità, in cui ogni entità può essere un'altra gruppo o un utente. L'API Cloud Identity Groups supporta i seguenti tipi di gruppi:

Google Gruppi

I gruppi Google hanno un indirizzo email e vengono utilizzati spesso come mailing list. Google Gruppi può essere utilizzato anche in molti prodotti Google. ad esempio. puoi condividere un documento Google con un gruppo, invitare un gruppo in un calendario o utilizza un gruppo per la gestione dell'accesso in IAM. Un gruppo Google è il tipo di gruppo predefinito.

Gruppi dinamici

I gruppi dinamici sono gruppi Google le cui iscrizioni vengono gestite automaticamente utilizzando una query di appartenenza o una query sugli attributi dei dipendenti, ad esempio il ruolo lavorativo o la posizione dell'edificio. Ad esempio, una query sull'appartenenza potrebbe essere "tutti gli utenti il cui ruolo lavorativo è Technical Writer nella mia organizzazione".

Gruppi di sicurezza

Un gruppo di sicurezza è simile a un gruppo Google, ma viene utilizzato specificamente per controllare l'accesso alle risorse dell'organizzazione. Un gruppo di sicurezza viene creato aggiornando un gruppo Google in un gruppo di sicurezza.

Gruppi POSIX (deprecati)

Un gruppo POSIX è un gruppo Google utilizzato per gestire l'appartenenza ai gruppi negli ambienti LDAP. Un gruppo POSIX viene creato aggiornare un gruppo Google con i dati POSIX. I dati del gruppo POSIX includono un nome del gruppo e un ID gruppo (GID).

I gruppi POSIX sono integrati con Google Cloud e vengono utilizzati dalle VM della tua organizzazione in cui è abilitato OS Login.

Gruppi con mappatura delle identità

Un gruppo con mappatura delle identità è un gruppo che contiene utenti e gruppi sincronizzati da un'origine identità non Google, come Active Directory. I gruppi con mappatura delle identità consentono a Google Cloud Search di riconoscere gli utenti e i gruppi, nonché le relative autorizzazioni per i documenti sottoposti a ricerca, archiviati in un'origine identità esterna. Ad esempio, potresti avere un utente example_user_org@your_domain.com che dispone di determinate autorizzazioni per i documenti. Questo utente può essere sincronizzato con example_user@your_domain.com in modo che che Google Cloud Search riconosca le proprie autorizzazioni documenti.

Le richieste di creazione di gruppi dell'API Cloud Identity Groups sono consentite solo dagli account di servizio.

Per sincronizzare i gruppi con mappature delle identità in Google Cloud Search, devi creare un'identità di rete. Se utilizzi Java, puoi creare un connettore di identità utilizzando l'SDK Java di Google Cloud Search. Se vuoi utilizzare un'API REST, puoi utilizzare l'API Cloud Identity Groups. Per ulteriori informazioni sui connettori di identità, consulta Sincronizzare diversi sistemi di identità nella documentazione di Cloud Search.

Proprietà del gruppo

Ogni gruppo, indipendentemente dal tipo, ha le seguenti proprietà:

Etichetta

L'etichetta identifica il tipo di gruppo:

Google Gruppi: cloudidentity.googleapis.com/groups.discussion_forum
Gruppi dinamici: cloudidentity.googleapis.com/groups.dynamic
Gruppi di sicurezza: cloudidentity.googleapis.com/groups.security (questa etichetta è aggiuntiva rispetto a cloudidentity.googleapis.com/groups.discussion_forum, poiché i gruppi di sicurezza si basano su Google Gruppi)
Gruppi POSIX: cloudidentity.googleapis.com/groups.posix (questa etichetta è in aggiunta a cloudidentity.googleapis.com/groups.discussion_forum, perché i gruppi POSIX si basano su Google Gruppi)
Gruppi con mappatura delle identità: system/groups/external

Chiave dell'entità

Una chiave dell'entità è un identificatore univoco leggibile da una persona per il gruppo:

Google Gruppi, gruppi dinamici e gruppi di sicurezza: l'indirizzo email del gruppo
Gruppi con mappatura delle identità:una stringa qualificata con uno spazio dei nomi. Lo spazio dei nomi viene stabilito quando crei un'origine identità in Google Cloud Search. Per saperne di più sulle origini identità, consulta Sincronizzare diversi sistemi di identità nella documentazione di Cloud Search.

Principale

Un elemento principale è la risorsa a cui appartiene il gruppo. Per Google Gruppi, gruppi dinamici e gruppi di sicurezza; l'elemento principale è il cliente proprietario del dominio. Per un gruppo con mappatura delle identità, il gruppo principale è l'origine dell'identità da cui viene sincronizzato il gruppo.

Nome visualizzato

Il nome visualizzato è il nome del gruppo così come appare nella prodotti Google.

Abbonamenti e proprietà di abbonamento

Un'entità che appartiene a un gruppo è definita membro e la sua relazione con il gruppo è definita appartenenza. Le entità possono essere utenti, gruppi o account di servizio. Un abbonamento ha le seguenti proprietà:

Chiave membro preferita

Una chiave membro preferita è un identificatore univoco leggibile per il membro. Per un gruppo Google o un singolo utente, la chiave membro preferita è l'indirizzo email del gruppo o dell'utente. Per un gruppo con mappatura delle identità, la chiave dell'elemento preferito è una stringa qualificata con uno spazio dei nomi.

Ruoli di appartenenza

I ruoli di appartenenza rappresentano le autorizzazioni di cui il membro dispone nel gruppo. I ruoli supportati sono i seguenti:

MEMBER, che non ha autorizzazioni speciali. Ogni abbonamento deve avere almeno il ruolo di abbonato MEMBER.
OWNER, che dispone di autorizzazioni ampie, come la gestione di altri OWNER o l'eliminazione del gruppo.
MANAGER, che ha meno autorizzazioni di OWNER, ma più di MEMBER, ad esempio la gestione di altri MANAGER.

Le autorizzazioni di un ruolo di appartenenza specifico in un gruppo possono essere personalizzate nell'interfaccia web di Google Gruppi o nella Console di amministrazione Google. Per ulteriori informazioni, consulta Impostare le autorizzazioni di visualizzazione, pubblicazione e moderazione.

Puoi importare utenti e gruppi che non sono ancora presenti in Cloud Identity come origine identità esterna. Devi prima creare un'origine identità per la tua organizzazione, quindi importare le informazioni su utenti e gruppi in Cloud Identity.

Passaggi successivi

Di seguito sono riportati alcuni passaggi che puoi eseguire:

Per configurare l'API, consulta la sezione Configurazione dell'API Groups.
Per creare e gestire i gruppi Google, consulta la sezione Creare e cercare gruppi Google.
Per saperne di più sui gruppi dinamici, consulta la Panoramica dei gruppi dinamici.
Per convertire un gruppo Google in un gruppo di sicurezza, vedi Trasforma un gruppo Google in un gruppo di sicurezza.
Per creare e gestire gruppi con mappatura delle identità, consulta Creazione e ricerca di gruppi con mappatura delle identità.