Descripción general de la API de Grupos

La API de Grupos de Cloud Identity te permite crear y administrar diferentes tipos de grupos, que admiten diferentes funciones, además de sus membresías.

Tipos de grupos

Un grupo es una colección de entidades, en la que cada una puede ser otro grupo o un usuario. La API de Grupos de Cloud Identity es compatible con los siguientes tipos de grupos:

Grupos de Google
Los Grupos de Google tienen una dirección de correo electrónico y se usan con frecuencia como listas de distribución. Los Grupos de Google también se pueden usar en muchos productos de Google. Por ejemplo. puedes compartir un documento de Google con un grupo, invitar a un grupo a un evento de Calendario de Google o usar un grupo para la administración de acceso en IAM. Un Grupo de Google es el tipo de grupo predeterminado.
Grupos dinámicos

Los grupos dinámicos son Grupos de Google cuyas membresías se administran automáticamente mediante una consulta de membresía o una consulta de atributos del empleado, como el puesto laboral o la ubicación de las instalaciones. Por ejemplo, una consulta de membresía podría ser “todos los usuarios cuyo puesto laboral es Escritor técnico en mi organización”.

Grupos de seguridad

Un grupo de seguridad es similar a un Grupo de Google, pero se usa específicamente para controlar el acceso a los recursos de la organización. Para crear un grupo de seguridad, se actualiza un Grupo de Google a un grupo de seguridad.

Grupos POSIX (obsoleto)

Un grupo POSIX es un Grupo de Google que se usa para administrar la membresía de un grupo en entornos de LDAP. Para crear un grupo POSIX, se actualiza un Grupo de Google con datos POSIX. Los datos del grupo POSIX incluyen un nombre y un ID de grupo (GID).

Los grupos POSIX están integrados en Google Cloud y los usan las VM de tu organización que tienen el acceso al SO habilitado.

Grupos con identidades asignadas

Un grupo con identidades asignadas es un grupo que contiene usuarios y grupos sincronizados desde una fuente de identidad ajena a Google, como Active Directory. Los grupos con identidades asignadas permiten que Google Cloud Search reconozca al usuario y a los grupos, y sus permisos para documentos buscados, almacenados en una fuente de identidad externa. Por ejemplo, puedes tener un usuario example_user_org@your_domain.com, que tiene ciertos permisos para los documentos. Este usuario se puede sincronizar con example_user@your_domain.com a fin de que Google Cloud Search reconozca sus mismos permisos para los mismos documentos.

Las solicitudes de creación de grupos de la API de Cloud Identity Groups solo se permiten desde cuentas de servicio.

Para sincronizar grupos con identidades asignadas en Google Cloud Search, debes crear un conector de identidad. Si usas Java, puedes crear un conector de identidad mediante el SDK de Java de Google Cloud Search. Si quieres usar una API de REST, puedes usar la API grupos de Cloud Identity. Para obtener más información sobre los conectores de identidad, consulta Sincroniza diferentes sistemas de identidad en la documentación de Cloud Search.

Agrupa propiedades

Cada grupo, sin importar el tipo, tiene las siguientes propiedades:

Etiqueta
La etiqueta identifica el tipo de grupo:
  • Grupos de Google:: cloudidentity.googleapis.com/groups.discussion_forum
  • Grupos dinámicos: cloudidentity.googleapis.com/groups.dynamic
  • Grupos de seguridad: cloudidentity.googleapis.com/groups.security (esta etiqueta se agrega a cloudidentity.googleapis.com/groups.discussion_forum, porque los grupos de seguridad se basan en Grupos de Google)
  • Grupos POSIX: cloudidentity.googleapis.com/groups.posix (esta etiqueta se agrega a cloudidentity.googleapis.com/groups.discussion_forum, porque los grupos POSIX se basan en Grupos de Google)
  • Grupos con identidades asignadas: system/groups/external
Clave de entidad

Una clave de entidad es un identificador legible único del grupo.

  • Grupos de Google, grupos dinámicos y grupos de seguridad: La dirección de correo electrónico del grupo
  • Grupos con identidades asignadas: Una string calificada con un espacio de nombres. El espacio de nombres se establece cuando creas una fuente de identidad en Google Cloud Search. Para obtener más información sobre las fuentes de identidad, consulta Sincronizar sistemas de identidades diferentes en la documentación de Cloud Search.
Superior

Un superior es el recurso superior al que pertenece el grupo. Para los Grupos de Google, los grupos dinámicos y los grupos de seguridad, el superior es el cliente que posee el dominio. Para un grupo con identidades asignadas, el superior es la fuente de identidad desde la que se sincroniza el grupo.

Nombre visible

El nombre visible es el nombre del grupo tal como aparece en los productos de Google.

Propiedades de membresías

Una entidad que pertenece a un grupo se conoce como miembro, y su relación con ese grupo se denomina membresía. Las entidades pueden ser usuarios, grupos o cuentas de servicio. Una membresía tiene las siguientes propiedades:

Clave de miembro preferida
Una clave preferida de miembro es el identificador único legible del miembro. Para un Grupo de Google o un usuario individual, la clave de miembro preferida es la dirección de correo electrónico del grupo o del usuario. Para un grupo con identidades asignadas, la clave de miembro preferida es una string calificada con un espacio de nombres.
Funciones de la membresía

Las funciones de la membresía representan los permisos que tiene el miembro en el grupo. Las funciones compatibles son las siguientes:

  • MEMBER, que no tiene permisos especiales. Cada membresía debe tener, al menos, la función de membresía de MEMBER.

  • OWNER, que tiene amplios permisos, como administrar otros OWNER o borrar el grupo.

  • MANAGER, que tiene menos permisos que OWNER, pero más que MEMBER, como la administración de otros MANAGER.

Los permisos que tienen una función de membresía específica en un grupo se pueden personalizar en la Interfaz web de Grupos de Google o en la Consola del administrador de Google. Para obtener más información, consulta Configura quién puede ver, publicar y moderar.

Puedes importar usuarios y grupos que aún no estén en Cloud Identity como una fuente de identidad externa. Primero debes crear una fuente de identidad para tu organización y, luego, importar la información del usuario y del grupo a Cloud Identity.

Próximos pasos

Aquí hay algunos pasos que puedes seguir: