Panoramica dell'API Groups

L'API Cloud Identity Groups consente di creare e gestire diversi tipi di gruppi, ognuno dei quali supporta funzionalità diverse e caratteristiche.

Tipi di gruppi

Un gruppo è una raccolta di entità, in cui ogni entità può essere un altro gruppo o un utente. L'API Cloud Identity Groups supporta i seguenti tipi di gruppi:

Google Gruppi
I gruppi di Google Gruppi hanno un indirizzo email e sono spesso utilizzati come mailing list. Google Gruppi può essere utilizzato anche su molti prodotti Google. Ad esempio, puoi condividere un documento Google con un gruppo, invitare un gruppo a un evento di Google Calendar o utilizzare un gruppo per la gestione degli accessi in IAM. Google Gruppi è il tipo di gruppo predefinito.
Gruppi dinamici

I gruppi dinamici sono gruppi Google i cui abbonamenti vengono gestiti automaticamente mediante una query di appartenenza o una query sugli attributi dei dipendenti, come il ruolo lavorativo o la località di un edificio. Ad esempio, una query di appartenenza potrebbe essere "tutti gli utenti il cui ruolo è Scrittore tecnico nella mia organizzazione".

Gruppi di sicurezza

Un gruppo di sicurezza è simile a un gruppo Google, ma viene utilizzato specificamente per controllare l'accesso alle risorse dell'organizzazione. Un gruppo di sicurezza viene creato aggiornando un gruppo Google a un gruppo di sicurezza.

Gruppi POSIX

Un gruppo POSIX è un gruppo Google utilizzato per gestire l'appartenenza ai gruppi negli ambienti LDAP. Per creare un gruppo POSIX, devi aggiornare un gruppo Google con dati POSIX. I dati del gruppo POSIX includono un nome gruppo e un ID gruppo (GID).

I gruppi POSIX sono integrati con Google Cloud e vengono utilizzati dalle VM nella tua organizzazione per cui è abilitato OS Login.

Gruppi con mappatura delle identità

Un gruppo con mappatura delle identità è un gruppo contenente utenti e gruppi sincronizzati da un'origine identità non Google, come Active Directory. I gruppi con mappatura delle identità consentono a Google Cloud Search di riconoscere utenti e gruppi e le relative autorizzazioni per i documenti cercati, archiviati in un'origine identità esterna. Ad esempio, potresti avere un utente example_user_org@your_domain.com che dispone di determinate autorizzazioni per i documenti. Questo utente può essere sincronizzato con example_user@your_domain.com in modo che Google Cloud Search riconosca le stesse autorizzazioni per gli stessi documenti.

Per sincronizzare i gruppi con mappatura delle identità in Google Cloud Search, devi creare un connettore di identità. Se usi Java, puoi creare un connettore di identità con l'SDK Java di Google Cloud Search. Se vuoi utilizzare un'API REST, puoi utilizzare l'API Cloud Identity Groups. Per ulteriori informazioni sui connettori di identità, consulta la sezione Sincronizzare diversi sistemi di identità nella documentazione di Cloud Search.

Proprietà del gruppo

Ogni gruppo, indipendentemente dal tipo, ha le seguenti proprietà:

Etichetta
L'etichetta identifica il tipo di gruppo:
  • Google Gruppi: cloudidentity.googleapis.com/groups.discussion_forum
  • Gruppi dinamici: cloudidentity.googleapis.com/groups.dynamic
  • Gruppi di sicurezza: cloudidentity.googleapis.com/groups.security (questa etichetta si aggiunge a cloudidentity.googleapis.com/groups.discussion_forum, perché i gruppi di sicurezza si basano su Google Gruppi)
  • Gruppi POSIX: cloudidentity.googleapis.com/groups.posix (questa etichetta è aggiuntiva a cloudidentity.googleapis.com/groups.discussion_forum, perché i gruppi POSIX sono basati su Google Gruppi)
  • Gruppi con mappatura delle identità: system/groups/external
Chiave entità

Una chiave di entità è un identificatore univoco leggibile dal gruppo:

  • Google Gruppi, gruppi dinamici e gruppi di sicurezza: l'indirizzo email del gruppo
  • Gruppi con mappatura delle identità: una stringa idonea con uno spazio dei nomi. Lo spazio dei nomi viene stabilito quando crei un'origine identità in Google Cloud Search. Per ulteriori informazioni sulle origini identità, consulta la sezione Sincronizzare diversi sistemi di identità nella documentazione di Cloud Search.
Principale

La risorsa principale è la risorsa a cui appartiene il gruppo. Per Google Gruppi, gruppi dinamici e gruppi di sicurezza, l'elemento principale è il cliente proprietario del dominio. Per un gruppo con mappatura delle identità, l'entità principale è l'origine da cui viene sincronizzato il gruppo.

Nome visualizzato

Il nome visualizzato è il nome del gruppo così come appare nei prodotti Google.

Abbonamenti e proprietà degli abbonamenti

Un'entità che fa parte di un gruppo viene definita membro e la sua relazione con tale gruppo è definita appartenenza. Le entità possono essere utenti, gruppi o account di servizio. Un'appartenenza ha le seguenti proprietà:

Chiave membro preferita
Una chiave membro preferita è un identificatore univoco leggibile dall'utente. Per un gruppo Google o un singolo utente, la chiave preferita del membro è l'indirizzo email del gruppo o dell'utente. Per un gruppo con mappatura delle identità, la chiave membro preferita è una stringa idonea con uno spazio dei nomi.
Ruoli di appartenenza

I ruoli di appartenenza rappresentano le autorizzazioni che il membro ha nel gruppo. I ruoli supportati sono i seguenti:

  • MEMBER, che non dispone di autorizzazioni speciali. Ogni appartenenza deve avere almeno il ruolo di appartenenza MEMBER.

  • OWNER, che dispone di autorizzazioni estese, come gestire altri OWNER o eliminare il gruppo.

  • MANAGER, che ha meno autorizzazioni di una OWNER, ma più di una MEMBER, ad esempio la gestione di altri MANAGER.

Le autorizzazioni di uno specifico ruolo di appartenenza in un gruppo possono essere personalizzate nell'interfaccia web di Google Gruppi o nella Console di amministrazione Google. Per scoprire di più, consulta Impostare chi può visualizzare, pubblicare e moderare i contenuti.

Puoi importare utenti e gruppi che non sono già in Cloud Identity come origine identità esterna. Devi prima creare un'origine identità per la tua organizzazione, quindi importare le informazioni su utenti e gruppi in Cloud Identity.

Passaggi successivi

Ecco alcune operazioni che potresti eseguire: