Groups API 總覽

Cloud Identity Groups API 可讓您建立及管理不同類型的群組,每個群組都支援不同的功能,並且可以加入不同的成員。

群組類型

群組實體的集合,每個實體可以是另一個群組或使用者。Cloud Identity Groups API 支援下列群組類型:

Google 網路論壇
Google 網路論壇有電子郵件地址,且經常做為郵寄清單使用。Google 網路論壇也適用於許多 Google 產品。 舉例來說,您可以與群組共用 Google 文件、邀請群組參加 Google 日曆活動,或在 IAM 中使用群組進行存取權管理。Google 群組是預設群組類型。
動態群組

動態群組是 Google 群組,系統會使用成員資格查詢或員工屬性查詢 (例如職務或辦公建築物地點),自動管理這類群組的成員。舉例來說,成員資格查詢可能是「貴機構中所有職稱為技術作家的人員」。

安全性群組

安全性群組與 Google 群組類似,但專門用於控管機構資源的存取權。安全性群組是透過將 Google 群組更新為安全性群組而建立。

鎖定群組

已鎖定的群組是指管理員鎖定的 Google 群組,目的是確保群組與外部來源 (例如身分識別提供者) 的資料保持同步。管理員也可以鎖定 Google 群組,提高敏感群組的安全性。鎖定 Google 群組後,只有部分管理員可以編輯核心屬性和成員資格。

標準群組的版主、管理員和成員仍可更新訊息審核或貼文權限等設定,但只有授權管理員可以修改下列屬性。授權管理員通常是具備特定角色或條件的使用者,例如 Groups AdminGroups Editor,且條件包含已鎖定的群組。

POSIX 群組 (已淘汰)

POSIX 群組是 Google 群組,用於管理 LDAP 環境中的群組成員資格。更新 Google 群組的 POSIX 資料時,系統會建立 POSIX 群組。POSIX 群組資料包括群組名稱和群組 ID (GID)。

POSIX 群組已與 Google Cloud 整合,且機構中已啟用 OS 登入功能的 VM 會使用這些群組。

識別資訊對應群組

識別資訊對應群組是指包含從非 Google 識別資訊來源 (例如 Active Directory) 同步處理的使用者和群組。透過身分對應群組,Google Cloud Search 可以辨識使用者和群組,以及他們對外部身分來源中儲存文件的權限。舉例來說,您可能有一個使用者 example_user_org@your_domain.com 擁有文件的特定權限。這個使用者可以同步至 example_user@your_domain.com,讓 Google Cloud Search 辨識他們對相同文件的相同權限。

只有服務帳戶可以提出 Cloud Identity Groups API 群組建立要求。

如要在 Google Cloud Search 中同步處理識別資訊對應群組,您必須建立身分識別連接器。如果您使用 Java,可以透過 Google Cloud Search Java SDK 建立身分識別連接器。如要使用 REST API,可以透過 Cloud Identity Groups API 進行。如要進一步瞭解身分識別連接器,請參閱 Cloud Search 說明文件中的「同步處理不同的身分識別系統」。

群組屬性

無論類型為何,每個群組都具有下列屬性:

標籤
標籤會指出群組類型:
  • Google 網路論壇: cloudidentity.googleapis.com/groups.discussion_forum
  • 動態群組: cloudidentity.googleapis.com/groups.dynamic
  • 安全性群組: cloudidentity.googleapis.com/groups.security (這個標籤是 cloudidentity.googleapis.com/groups.discussion_forum 以外的標籤,因為安全性群組是以 Google 網路論壇為基礎)
  • 鎖定的群組: cloudidentity.googleapis.com/groups.locked (這個標籤是cloudidentity.googleapis.com/groups.discussion_forum的附加標籤,因為鎖定的群組是以 Google 網路論壇為基礎)
  • POSIX 群組: cloudidentity.googleapis.com/groups.posix (這個標籤是cloudidentity.googleapis.com/groups.discussion_forum的補充,因為 POSIX 群組是以 Google 群組為基礎)
  • 識別資訊對應群組: system/groups/external
實體鍵

實體鍵是群組的人類可讀專屬 ID:

  • Google 網路論壇、動態群組和安全性群組:群組的電子郵件地址
  • 身分識別對應群組:以命名空間限定的字串。在 Google Cloud Search 中建立身分識別來源時,系統會建立命名空間。如要進一步瞭解身分來源,請參閱 Cloud Search 說明文件中的「同步處理不同的身分系統」。
父項

父項是群組所屬的資源。如果是 Google 群組、動態群組和安全性群組,上層是擁有網域的客戶。如果是已對應身分的群組,父項是群組同步處理的身分來源。

顯示名稱

顯示名稱是群組在 Google 產品中顯示的名稱。

會員資格和會員屬性

屬於群組的實體稱為「成員」,與該群組的關係則稱為「成員資格」。實體可以是使用者、群組或服務帳戶。會員資格具有下列屬性:

偏好的成員金鑰
偏好的成員鍵是成員的人類可讀專屬 ID。 如果是 Google 群組或個別使用者,偏好的成員金鑰是群組或使用者的電子郵件地址。如果是身分對應群組,偏好的成員鍵是符合命名空間資格的字串。
成員角色

成員角色代表成員在群組中擁有的權限。 支援的角色如下:

  • MEMBER,沒有特殊權限。每個會員至少要有 MEMBER 會員角色。

  • OWNER,這類使用者擁有廣泛的權限,例如管理其他OWNER或刪除群組。

  • MANAGER,權限比 OWNER 少,但比 MEMBER 多,例如管理其他 MANAGER

您可以在Google 網路論壇網頁介面Google 管理控制台中,自訂特定成員角色在群組中的權限。詳情請參閱設定哪些人可以查看、張貼及審核留言

您可以匯入 Cloud Identity 中尚未有的使用者和群組,做為外部身分來源。您必須先為機構建立身分來源,然後將使用者和群組資訊匯入 Cloud Identity。

後續步驟

您可以採取下列幾個後續步驟: