Vista geral da API Groups

A API Cloud Identity Groups permite-lhe criar e gerir diferentes tipos de grupos, cada um dos quais suporta diferentes funcionalidades, bem como as respetivas associações.

Tipos de grupos

Um grupo é uma coleção de entidades, em que cada entidade pode ser outro grupo ou um utilizador. A API Cloud Identity Groups suporta os seguintes tipos de grupos:

Grupos do Google
Os Grupos Google têm um endereço de email e são usados frequentemente como listas de correio. Os Grupos Google também podem ser usados em muitos produtos Google. Por exemplo, pode partilhar um Documento do Google com um grupo, convidar um grupo para um evento do Calendário Google ou usar um grupo para a gestão de acesso no IAM. Um Grupo Google é o tipo de grupo predefinido.
Grupos dinâmicos

Os grupos dinâmicos são Grupos Google cujos membros são geridos automaticamente através de uma consulta de membros ou uma consulta sobre atributos dos funcionários, como a função ou a localização do edifício. Por exemplo, uma consulta de associação pode ser "todos os utilizadores cuja função seja redator técnico na minha organização".

Grupos de segurança

Um grupo de segurança é semelhante a um grupo Google, mas é usado especificamente para controlar o acesso a recursos organizacionais. Um grupo de segurança é criado através da atualização de um grupo Google para um grupo de segurança.

Grupos bloqueados

Um grupo bloqueado é um grupo Google que os administradores bloquearam para impedir que fique dessincronizado com uma fonte externa, como um fornecedor de identidade. Os administradores também podem bloquear um Grupo Google para aumentar a segurança de grupos confidenciais. Quando bloqueia um grupo Google, as edições aos atributos principais e às associações são restritas a um subconjunto de administradores.

Embora os proprietários, os gestores e os membros dos grupos padrão possam continuar a atualizar definições, como a moderação de mensagens ou as autorizações de publicação, as modificações aos seguintes atributos estão limitadas aos administradores autorizados. Normalmente, os administradores autorizados são aqueles com funções ou condições específicas, como Groups Admin ou Groups Editor, com uma condição que inclua grupos bloqueados.

Grupos POSIX (descontinuado)

Um grupo POSIX é um grupo Google usado para gerir a associação a grupos em ambientes LDAP. Um grupo POSIX é criado através da atualização de um grupo Google com dados POSIX. Os dados do grupo POSIX incluem um nome do grupo e um ID do grupo (GID).

Os grupos POSIX estão integrados com o Google Cloud e são usados por VMs na sua organização que têm o Início de sessão do SO ativado.

Grupos com mapeamento de identidade

Um grupo mapeado por identidade é um grupo que contém utilizadores e grupos sincronizados a partir de uma origem de identidade não pertencente à Google, como o Active Directory. Os grupos mapeados por identidade permitem que o Google Cloud Search reconheça os utilizadores e os grupos, bem como as respetivas autorizações para documentos pesquisados, armazenados numa origem de identidade externa. Por exemplo, pode ter um utilizador example_user_org@your_domain.com com determinadas autorizações para documentos. Este utilizador pode ser sincronizado com o example_user@your_domain.com para que o Google Cloud Search reconheça as mesmas autorizações para os mesmos documentos.

Os pedidos de criação de grupos da API Cloud Identity Groups só são permitidos a partir de contas de serviço.

Para sincronizar grupos mapeados por identidade no Google Cloud Search, tem de criar um conetor de identidade. Se estiver a usar Java, pode criar um conetor de identidade através do SDK Java do Google Cloud Search. Se quiser usar uma API REST, pode usar a API Cloud Identity Groups. Para mais informações sobre os conetores de identidade, consulte o artigo Sincronize diferentes sistemas de identidade na documentação do Cloud Search.

Propriedades do grupo

Cada grupo, independentemente do tipo, tem as seguintes propriedades:

Etiqueta
A etiqueta identifica o tipo de grupo:
  • Grupos do Google: cloudidentity.googleapis.com/groups.discussion_forum
  • Grupos dinâmicos: cloudidentity.googleapis.com/groups.dynamic
  • Grupos de segurança: cloudidentity.googleapis.com/groups.security (esta etiqueta é adicional à etiqueta cloudidentity.googleapis.com/groups.discussion_forum, porque os grupos de segurança são baseados nos Grupos Google)
  • Grupos bloqueados: cloudidentity.googleapis.com/groups.locked (esta etiqueta é adicional à etiqueta cloudidentity.googleapis.com/groups.discussion_forum, porque os grupos bloqueados baseiam-se nos Grupos Google)
  • Grupos POSIX: cloudidentity.googleapis.com/groups.posix (esta etiqueta é adicionada a cloudidentity.googleapis.com/groups.discussion_forum, porque os grupos POSIX baseiam-se nos Grupos Google)
  • Grupos com mapeamento de identidade: system/groups/external
Chave da entidade

Uma chave de entidade é um identificador exclusivo legível para humanos do grupo:

  • Grupos Google, grupos dinâmicos e grupos de segurança: o endereço de email do grupo
  • Grupos com mapeamento de identidade: uma string qualificada com um espaço de nomes. O espaço de nomes é estabelecido quando cria uma origem de identidade no Google Cloud Search. Para mais informações sobre origens de identidade, consulte o artigo Sincronize diferentes sistemas de identidade na documentação do Cloud Search.
Anunciante

Um elemento principal é o recurso ao qual o grupo pertence. Para os Grupos do Google, os grupos dinâmicos e os grupos de segurança, o proprietário é o cliente que detém o domínio. Para um grupo com mapeamento de identidade, o principal é a origem de identidade a partir da qual o grupo é sincronizado.

Nome a apresentar

O nome a apresentar é o nome do grupo tal como aparece nos produtos Google.

Subscrições e propriedades de subscrição

Uma entidade que pertence a um grupo é denominada membro e a respetiva relação com esse grupo é denominada subscrição. As entidades podem ser utilizadores, grupos ou contas de serviço. Uma subscrição tem as seguintes propriedades:

Chave de membro preferencial
Uma chave de membro preferencial é um identificador exclusivo legível para humanos do membro. Para um Grupo Google ou um utilizador individual, a chave de membro preferencial é o endereço de email do grupo ou do utilizador. Para um grupo com mapeamento de identidade, a chave de membro preferencial é uma string qualificada com um espaço de nomes.
Funções de membro

As funções de membro representam as autorizações que o membro tem no grupo. As funções suportadas são as seguintes:

  • MEMBER, que não tem autorizações especiais. Cada subscrição tem de ter, pelo menos, a função de membro MEMBER.

  • OWNER, que tem autorizações amplas, como gerir outros OWNERs ou eliminar o grupo.

  • MANAGER, que tem menos autorizações do que um OWNER, mas mais do que um MEMBER, como gerir outros MANAGERs.

As autorizações que uma função de subscrição específica tem num grupo podem ser personalizadas na interface Web do Grupos Google ou na consola do administrador Google. Para mais informações, consulte o artigo Defina quem pode ver, publicar e moderar.

Pode importar utilizadores e grupos que ainda não estejam no Cloud ID como uma origem de identidade externa. Primeiro, tem de criar uma origem de identidade para a sua organização e, em seguida, importar informações de utilizadores e grupos para o Cloud Identity.

Passos seguintes

Seguem-se alguns passos que pode seguir: