Panoramica dell'API Groups

L'API Cloud Identity Groups consente di creare e gestire diversi tipi di gruppi, ognuno dei quali supporta funzionalità diverse e le relative iscrizioni.

Tipi di gruppi

Un gruppo è una raccolta di entità, in cui ogni entità può essere un altro gruppo o un utente. L'API Cloud Identity Groups supporta i seguenti tipi di gruppi:

Google Gruppi
I gruppi Google hanno un indirizzo email e vengono spesso utilizzati come mailing list. Google Gruppi può essere utilizzato anche in molti prodotti Google. Ad esempio, puoi condividere un documento Google con un gruppo, invitare un gruppo a un evento di Google Calendar o utilizzare un gruppo per la gestione degli accessi in IAM. Google Gruppi è il tipo di gruppo predefinito.
Gruppi dinamici

I gruppi dinamici sono gruppi Google le cui iscrizioni vengono gestite automaticamente utilizzando una query di appartenenza o una query sugli attributi dei dipendenti, come il ruolo lavorativo o la posizione dell'edificio. Ad esempio, una query di appartenenza potrebbe essere "tutti gli utenti il cui ruolo è "Autore tecnico" nella mia organizzazione".

Gruppi di sicurezza

Un gruppo di sicurezza è simile a un gruppo Google, ma viene utilizzato specificamente per controllare l'accesso alle risorse dell'organizzazione. Un gruppo di sicurezza viene creato aggiornando un gruppo Google in un gruppo di sicurezza.

Gruppi POSIX

Un gruppo POSIX è un gruppo Google utilizzato per gestire l'appartenenza ai gruppi negli ambienti LDAP. Un gruppo POSIX viene creato aggiornando un gruppo Google con dati POSIX. I dati del gruppo POSIX includono un nome di gruppo e un ID gruppo (GID).

I gruppi POSIX sono integrati con Google Cloud e vengono utilizzati dalle VM della tua organizzazione che hanno OS Login abilitato.

Gruppi con mappatura delle identità

Un gruppo con mappatura delle identità è un gruppo contenente utenti e gruppi sincronizzati da un'origine identità non Google, come Active Directory. I gruppi mappati alle identità consentono a Google Cloud Search di riconoscere utenti e gruppi e le relative autorizzazioni per i documenti cercati, archiviati in un'origine identità esterna. Ad esempio, potresti avere un utente example_user_org@your_domain.com che dispone di determinate autorizzazioni per i documenti. Questo utente può essere sincronizzato con example_user@your_domain.com in modo che Google Cloud Search riconosca le stesse autorizzazioni per gli stessi documenti.

Per sincronizzare i gruppi con mappatura delle identità in Google Cloud Search, devi creare un connettore di identità. Se usi Java, puoi creare un connettore di identità utilizzando l'SDK Java di Google Cloud Search. Se vuoi utilizzare un'API REST, puoi usare l'API Cloud Identity Groups. Per ulteriori informazioni sui connettori di identità, consulta la sezione Sincronizzare sistemi di identità diversi nella documentazione di Cloud Search.

Proprietà gruppo

Ogni gruppo, indipendentemente dal tipo, ha le proprietà seguenti:

Etichetta
L'etichetta identifica il tipo di gruppo:
  • Google Gruppi: cloudidentity.googleapis.com/groups.discussion_forum
  • Gruppi dinamici: cloudidentity.googleapis.com/groups.dynamic
  • Gruppi di sicurezza: cloudidentity.googleapis.com/groups.security (questa etichetta si aggiunge a cloudidentity.googleapis.com/groups.discussion_forum, perché i gruppi di sicurezza sono basati su Google Gruppi)
  • Gruppi POSIX: cloudidentity.googleapis.com/groups.posix (questa etichetta si aggiunge a cloudidentity.googleapis.com/groups.discussion_forum, perché i gruppi POSIX si basano su Google Gruppi)
  • Gruppi con mappatura delle identità: system/groups/external
Chiave di entità

Una chiave di entità è un identificatore univoco leggibile del gruppo:

  • Google Gruppi, gruppi dinamici e gruppi di sicurezza: l'indirizzo email del gruppo
  • Gruppi con mappatura delle identità: una stringa qualificata con uno spazio dei nomi. Lo spazio dei nomi viene stabilito quando crei un'origine identità in Google Cloud Search. Per ulteriori informazioni sulle origini identità, consulta la sezione Sincronizzare diversi sistemi di identità nella documentazione di Cloud Search.
Principale

Un padre è la risorsa a cui appartiene il gruppo. Per Google Gruppi, gruppi dinamici e gruppi di sicurezza, il cliente principale è il cliente proprietario del dominio. Per un gruppo con mappatura delle identità, il gruppo padre è l'origine identità da cui viene sincronizzato il gruppo.

Nome visualizzato

Il nome visualizzato è il nome del gruppo così come appare nei prodotti Google.

Abbonamenti e proprietà di iscrizione

Un'entità che appartiene a un gruppo è definita membro e la sua relazione con quel gruppo è definita appartenenza. Le entità possono essere utenti, gruppi o account di servizio. Un'appartenenza ha le seguenti proprietà:

Chiave membro preferita
Una chiave membro preferita è un identificatore univoco leggibile del membro. Per un gruppo Google o un singolo utente, la chiave membro preferita è l'indirizzo email del gruppo o dell'utente. Per un gruppo con mappatura delle identità, la chiave del membro preferito è una stringa qualificata con uno spazio dei nomi.
Ruoli di appartenenza

I ruoli di appartenenza rappresentano le autorizzazioni di cui il membro dispone nel gruppo. I ruoli supportati sono i seguenti:

  • MEMBER, che non ha autorizzazioni speciali. Ogni appartenenza deve avere almeno il ruolo MEMBER.

  • OWNER, che dispone di ampie autorizzazioni, ad esempio per gestire altri OWNER o eliminare il gruppo.

  • MANAGER, che ha meno autorizzazioni rispetto a un OWNER, ma più di un MEMBER, ad esempio la gestione di altri MANAGER.

Le autorizzazioni di cui uno specifico ruolo di appartenenza appartiene a un gruppo possono essere personalizzate nell'interfaccia web di Google Gruppi o nella Console di amministrazione Google. Per ulteriori informazioni, consulta Impostare le autorizzazioni di visualizzazione, pubblicazione e moderazione.

Puoi importare come origine identità esterna gli utenti e i gruppi che non sono già presenti in Cloud Identity. Devi prima creare un'origine identità per la tua organizzazione, quindi importare le informazioni sugli utenti e sui gruppi in Cloud Identity.

Passaggi successivi

Di seguito sono riportati alcuni passaggi che potresti eseguire: