Visão geral da API Groups

Com a API Cloud Identity Groups, você cria e gerencia diferentes tipos de grupos, cada um deles compatível com recursos e com associações diferentes.

Tipos de grupo

Um grupo é uma coleção de entidades, em que cada entidade pode ser outro grupo ou usuário. A API Cloud Identity Groups é compatível com os seguintes tipos de grupo:

Grupos do Google
O Grupos do Google tem um endereço de e-mail e são frequentemente usados como listas de e-mails. O Grupos do Google também pode ser usado em vários produtos do Google. Por exemplo: você pode compartilhar um Documento Google com um grupo, convidar um grupo para um evento do Google Agenda ou usar um grupo para gerenciar o acesso no IAM. Um grupo do Google é o tipo de grupo padrão.
Grupos dinâmicos

Grupos dinâmicos são Grupos do Google em que as assinaturas são gerenciadas automaticamente usando uma consulta de assinatura ou uma consulta sobre atributos de funcionários, como cargo ou local de construção. Por exemplo, uma consulta de assinatura pode ser "todos os usuários com cargo Escritor técnico na minha organização".

Grupos de segurança

Um grupo de segurança é semelhante a um Grupo do Google, mas é usado especificamente para controlar o acesso a recursos organizacionais. Para criar um grupo de segurança, atualize um Grupo do Google.

Grupos POSIX

Um grupo POSIX é um Grupo do Google usado para gerenciar a associação a grupos em ambientes LDAP. Para criar um grupo POSIX, atualize um grupo do Google com dados POSIX. Os dados do grupo POSIX incluem um nome e um ID de grupo (GID).

Os grupos POSIX são integrados ao Google Cloud e são usados por VMs em sua organização que têm o login do SO ativado.

Grupos com identidades mapeadas

Um grupo com identidades mapeadas é um grupo que contém usuários e grupos sincronizados de uma origem de identidade que não é do Google, como o Active Directory. Os grupos com identidades mapeadas permitem que o Google Cloud Search (em inglês) reconheça usuários e grupos e as permissões deles para documentos pesquisados, armazenados em uma origem de identidade externa. Por exemplo, é possível ter o usuário example_user_org@your_domain.com que tem determinadas permissões em documentos. Este usuário pode ser sincronizado com example_user@your_domain.com para que o Google Cloud Search reconheça as mesmas permissões para os mesmos documentos.

Para sincronizar grupos com identidades mapeadas no Google Cloud Search, é preciso criar um conector de identidade. Se você estiver usando Java, poderá criar um conector de identidade usando o SDK do Java do Google Cloud Search. Se você quiser usar uma API REST, use a API Cloud Identity Groups. Para mais informações sobre conectores de identidade, consulte Sincronizar diferentes sistemas de identidade (em inglês) na documentação do Cloud Search.

Propriedades do grupo

Cada grupo, independentemente do tipo, tem as seguintes propriedades:

Rótulo
O rótulo identifica o tipo de grupo:
  • Grupos do Google: cloudidentity.googleapis.com/groups.discussion_forum
  • Grupos dinâmicos: cloudidentity.googleapis.com/groups.dynamic
  • Grupos de segurança: cloudidentity.googleapis.com/groups.security. Este rótulo é adicionado ao cloudidentity.googleapis.com/groups.discussion_forum porque os grupos de segurança são baseados nos Grupos do Google.
  • Grupos POSIX: cloudidentity.googleapis.com/groups.posix (esse rótulo é adicionado a cloudidentity.googleapis.com/groups.discussion_forum, porque os grupos POSIX são baseados nos Grupos do Google)
  • Grupos com identidades mapeadas: system/groups/external
Chave de entidade

Uma chave de entidade é um identificador exclusivo legível para o grupo:

  • Grupos do Google, grupos dinâmicos e grupos de segurança: o endereço de e-mail do grupo
  • Grupos com identidades mapeadas: uma string qualificada com um namespace. O namespace é estabelecido quando você cria uma origem de identidade no Google Cloud Search. Para mais informações sobre origens de identidade, consulte Sincronizar diferentes sistemas de identidade (em inglês) na documentação do Cloud Search.
Pai

Um pai é o recurso a que o grupo pertence. Para Grupos do Google, grupos dinâmicos e grupos de segurança, o pai é o cliente do domínio. Para um grupo com identidades mapeadas, o pai é a origem da identidade da qual o grupo é sincronizado.

Nome de exibição

O nome de exibição é o nome do grupo como aparece nos produtos do Google.

Assinaturas e propriedades de assinatura

Uma entidade que pertence a um grupo é chamada de membro e a relação dela com esse grupo é chamada de assinatura. As entidades podem ser usuários, grupos ou contas de serviço. Uma assinatura tem as seguintes propriedades:

Chave de membro preferencial
Uma chave de membro preferencial é um identificador exclusivo legível para o membro. Para um grupo do Google ou um usuário individual, a chave de membro preferencial é o endereço de e-mail do grupo ou do usuário. Para um grupo com identidades mapeadas, a chave de membro preferencial é uma string qualificada com um namespace.
Papéis da assinatura

As funções de assinatura representam as permissões do membro no grupo. Os papéis compatíveis são os seguintes:

  • MEMBER, que não tem permissões especiais. Cada assinatura precisa ter pelo menos o papel de assinatura MEMBER.

  • OWNER, que tem permissões amplas, como gerenciar outros OWNERs ou excluir o grupo.

  • MANAGER, que tem menos permissões do que um OWNER, mas mais que um MEMBER, como gerenciar outros MANAGERs.

As permissões que um papel de assinatura específico tem em um grupo podem ser personalizadas na interface da Web do Grupos do Google ou no Google Admin Console. Para mais informações, consulte Definir quem pode ver, postar e moderar (em inglês).

É possível importar usuários e grupos que ainda não estão no Cloud Identity como sendo uma origem de identidade externa. Primeiro, crie uma origem de identidade para a organização e, em seguida, importe as informações do usuário e do grupo para o Cloud Identity.

Próximas etapas

Veja a seguir algumas das próximas etapas: