Groups API 總覽
Cloud Identity Groups API 可讓您建立及管理不同類型的群組,每個群組都支援不同的功能,並且可以加入不同的成員。
群組類型
群組是實體的集合,每個實體可以是另一個群組或使用者。Cloud Identity Groups API 支援下列群組類型:
- Google 網路論壇
- Google 網路論壇有電子郵件地址,且經常做為郵寄清單使用。Google 網路論壇也適用於許多 Google 產品。 舉例來說,您可以與群組共用 Google 文件、邀請群組參加 Google 日曆活動,或在 IAM 中使用群組進行存取權管理。Google 群組是預設群組類型。
- 動態群組
動態群組是 Google 群組,系統會使用成員資格查詢或員工屬性查詢 (例如職務或辦公建築物地點),自動管理這類群組的成員。舉例來說,成員資格查詢可能是「貴機構中所有職稱為技術作家的人員」。
- 安全性群組
安全性群組與 Google 群組類似,但專門用於控管機構資源的存取權。安全性群組是透過將 Google 群組更新為安全性群組而建立。
- 鎖定群組
已鎖定的群組是指管理員鎖定的 Google 群組,目的是確保群組與外部來源 (例如身分識別提供者) 的資料保持同步。管理員也可以鎖定 Google 群組,提高敏感群組的安全性。鎖定 Google 群組後,只有部分管理員可以編輯核心屬性和成員資格。
標準群組的版主、管理員和成員仍可更新訊息審核或貼文權限等設定,但只有授權管理員可以修改下列屬性。授權管理員通常是具備特定角色或條件的使用者,例如
Groups Admin
或Groups Editor
,且條件包含已鎖定的群組。- POSIX 群組 (已淘汰)
POSIX 群組是 Google 群組,用於管理 LDAP 環境中的群組成員資格。更新 Google 群組的 POSIX 資料時,系統會建立 POSIX 群組。POSIX 群組資料包括群組名稱和群組 ID (GID)。
POSIX 群組已與 Google Cloud 整合,且機構中已啟用 OS 登入功能的 VM 會使用這些群組。
- 識別資訊對應群組
識別資訊對應群組是指包含從非 Google 識別資訊來源 (例如 Active Directory) 同步處理的使用者和群組。透過身分對應群組,Google Cloud Search 可以辨識使用者和群組,以及他們對外部身分來源中儲存文件的權限。舉例來說,您可能有一個使用者
example_user_org@your_domain.com
擁有文件的特定權限。這個使用者可以同步至example_user@your_domain.com
,讓 Google Cloud Search 辨識他們對相同文件的相同權限。- 只有服務帳戶可以提出 Cloud Identity Groups API 群組建立要求。
如要在 Google Cloud Search 中同步處理識別資訊對應群組,您必須建立身分識別連接器。如果您使用 Java,可以透過 Google Cloud Search Java SDK 建立身分識別連接器。如要使用 REST API,可以透過 Cloud Identity Groups API 進行。如要進一步瞭解身分識別連接器,請參閱 Cloud Search 說明文件中的「同步處理不同的身分識別系統」。
群組屬性
無論類型為何,每個群組都具有下列屬性:
- 標籤
- 標籤會指出群組類型:
- Google 網路論壇:
cloudidentity.googleapis.com/groups.discussion_forum
- 動態群組:
cloudidentity.googleapis.com/groups.dynamic
- 安全性群組:
cloudidentity.googleapis.com/groups.security
(這個標籤是cloudidentity.googleapis.com/groups.discussion_forum
以外的標籤,因為安全性群組是以 Google 網路論壇為基礎) - 鎖定的群組:
cloudidentity.googleapis.com/groups.locked
(這個標籤是cloudidentity.googleapis.com/groups.discussion_forum
的附加標籤,因為鎖定的群組是以 Google 網路論壇為基礎) - POSIX 群組:
cloudidentity.googleapis.com/groups.posix
(這個標籤是cloudidentity.googleapis.com/groups.discussion_forum
的補充,因為 POSIX 群組是以 Google 群組為基礎) - 識別資訊對應群組:
system/groups/external
- Google 網路論壇:
- 實體鍵
實體鍵是群組的人類可讀專屬 ID:
- Google 網路論壇、動態群組和安全性群組:群組的電子郵件地址
- 身分識別對應群組:以命名空間限定的字串。在 Google Cloud Search 中建立身分識別來源時,系統會建立命名空間。如要進一步瞭解身分來源,請參閱 Cloud Search 說明文件中的「同步處理不同的身分系統」。
- 父項
父項是群組所屬的資源。如果是 Google 群組、動態群組和安全性群組,上層是擁有網域的客戶。如果是已對應身分的群組,父項是群組同步處理的身分來源。
- 顯示名稱
顯示名稱是群組在 Google 產品中顯示的名稱。
會員資格和會員屬性
屬於群組的實體稱為「成員」,與該群組的關係則稱為「成員資格」。實體可以是使用者、群組或服務帳戶。會員資格具有下列屬性:
- 偏好的成員金鑰
- 偏好的成員鍵是成員的人類可讀專屬 ID。 如果是 Google 群組或個別使用者,偏好的成員金鑰是群組或使用者的電子郵件地址。如果是身分對應群組,偏好的成員鍵是符合命名空間資格的字串。
- 成員角色
成員角色代表成員在群組中擁有的權限。 支援的角色如下:
MEMBER
,沒有特殊權限。每個會員至少要有MEMBER
會員角色。OWNER
,這類使用者擁有廣泛的權限,例如管理其他OWNER
或刪除群組。MANAGER
,權限比OWNER
少,但比MEMBER
多,例如管理其他MANAGER
。
您可以在Google 網路論壇網頁介面或 Google 管理控制台中,自訂特定成員角色在群組中的權限。詳情請參閱設定哪些人可以查看、張貼及審核留言。
您可以匯入 Cloud Identity 中尚未有的使用者和群組,做為外部身分來源。您必須先為機構建立身分來源,然後將使用者和群組資訊匯入 Cloud Identity。
後續步驟
您可以採取下列幾個後續步驟:
如要設定 API,請參閱「設定 Groups API」。
如要建立及管理 Google 群組,請參閱「建立及搜尋 Google 群組」。
如要進一步瞭解動態群組,請參閱「動態群組總覽」。
如要將 Google 群組更新為安全性群組,請參閱「將 Google 群組更新為安全性群組」。
如要建立及管理識別資訊對應群組,請參閱「建立及搜尋識別資訊對應群組」。