Google グループのメンバーシップの管理

グループを作成したら、そのグループのメンバーを作成できます。このページでは、Cloud Identity Groups API を使用してメンバーシップに関する基本的なオペレーションを行う方法について説明します。Google グループの作成方法については、Google グループの作成と検索をご覧ください。

始める前に

Cloud Identity API を有効にします。
API を有効にする
認証を設定し、クライアントライブラリをインストールします。方法については、Cloud Identity Groups API の設定をご覧ください。

Google グループにメンバーを追加する

REST

memberships.create メソッドを使用して、グループにメンバーを追加します。

リクエストのデータを使用する前に、次のように置き換えます。

GROUP_ID: メンバーを追加するグループの数値 ID。1 つのグループの ID を確認するには、groups.lookup メソッドを使用します。お客様または名前空間の配下にあるすべてのグループ ID を表示するには、groups.list コマンドを使用します。
MEMBER_ID: メンバーの ID。Google が管理するエンティティの場合は、メンバーのメールアドレスを使用します。外部 ID マッピングエンティティの場合は、ID ソースの要件を満たす文字列を使用します。
ROLE_NAME: メンバーに付与するロールの名前。OWNER、MANAGER または MEMBER を使用します。
PROJECT_ID: リクエストに使用する Google Cloud プロジェクトの英数字の ID。

HTTP メソッドと URL:

POST https://cloudidentity.googleapis.com/v1/groups/GROUP_ID/memberships

リクエストの本文（JSON）:

{
  "preferredMemberKey": {
    "id": "MEMBER_ID"
  },
  "roles": [
    {
      "name": "MEMBER"
    }
  ]
}

リクエストを送信するには、次のいずれかのオプションを展開します。

curl（Linux、macOS、Cloud Shell）

注: 次のコマンドは、gcloud init または gcloud auth login を実行して、ユーザーアカウントで gcloud CLI にログインしているか、Cloud Shell を使用して自動的に gcloud CLI にログインしていることを前提としています。gcloud auth list を実行すると、現在アクティブなアカウントを確認できます。

リクエスト本文を request.json という名前のファイルに保存して、次のコマンドを実行します。

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: PROJECT_ID" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudidentity.googleapis.com/v1/groups/GROUP_ID/memberships"

PowerShell（Windows）

注: 次のコマンドは、gcloud init または gcloud auth login を実行してユーザーアカウントで gcloud CLI にログインしていることを前提としています。gcloud auth list を実行すると、現在アクティブなアカウントを確認できます。

リクエスト本文を request.json という名前のファイルに保存して、次のコマンドを実行します。

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "PROJECT_ID" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudidentity.googleapis.com/v1/groups/GROUP_ID/memberships" | Select-Object -Expand Content

API Explorer（ブラウザ）

リクエスト本文をコピーして、メソッドのリファレンスページを開きます。ページの右側に [API Explorer] パネルが開きます。このツールを操作してリクエストを送信できます。このツールにリクエスト本文を貼り付け、その他の必須フィールドに入力して、[Execute] をクリックします。

レスポンスには、リクエストのステータスを示す Operation が含まれます。

終了したオペレーションには、追加されたメンバーシップが含まれています。次に例を示します。

{
  "done": true,
  "response": {
    "@type": "type.googleapis.com/google.apps.cloudidentity.groups.v1.Membership",
    "name": "groups/GROUP_ID/memberships/123456789012345678901",
    "preferredMemberKey": {
      "id": "MEMBER_ID"
    },
    "roles": [
      {
        "name": "MEMBER"
      }
    ]
  }
}

memberships.create メソッドを使用して、グループのマネージャーまたはオーナーとしてメンバーを追加することもできます。

誰かをグループのマネージャーにするには、次の手順でメンバーをグループに追加しまが、次のリクエスト本文を使用します。
```
{
  "preferredMemberKey": {
    "id": "MEMBER_ID"
  },
  "roles": [
    {
      "name": "MEMBER"
    }
    {
      "name": "MANAGER"
    }
  ]
}
```
誰かをグループのオーナーにするには、次の手順でメンバーをグループに追加しまが、次のリクエスト本文を使用します。
```
{
  "preferredMemberKey": {
    "id": "MEMBER_ID"
  },
  "roles": [
    {
      "name": "MEMBER"
    }
    {
      "name": "OWNER"
    }
  ]
}
```

Python

次のコードは、グループにメンバーシップを追加する方法を示しています。expiryDetail は、メンバーシップの有効期限を設定するために追加できるオプションのフィールドです。preferredMemberKey の値は、メンバーのメールアドレスです。

def create_google_group_membership(service, identity_source_id, group_id, member_key):
  param = "&groupKey.id=" + group_id + "&groupKey.namespace=identitysources/" + identity_source_id
  try:
    lookupGroupNameRequest = service.groups().lookup()
    lookupGroupNameRequest.uri += param
    # Given a group ID and namespace, retrieve the ID for parent group
    lookupGroupNameResponse = lookupGroupNameRequest.execute()
    groupName = lookupGroupNameResponse.get("name")
    # Create a membership object with a memberKey and a single role of type MEMBER
    membership = {
      "preferredMemberKey": {"id": member_key},
      "roles" : {
        "name" : "MEMBER",
        "expiryDetail": {
          "expireTime": "2021-10-02T15:01:23Z"
        }
      }
    }
    # Create a membership using the ID for the parent group and a membership object
    response = service.groups().memberships().create(parent=groupName, body=membership).execute()
    print(response)
  except Exception as e:
    print(e)

Google グループのメンバーを一覧表示する

REST

グループのメンバーを一覧表示するには、memberships.list メソッドを使用します。

リクエストのデータを使用する前に、次のように置き換えます。

GROUP_ID: メンバーを一覧表示するグループの数値 ID。1 つのグループの ID を確認するには、groups.lookup メソッドを使用します。お客様または名前空間の配下にあるすべてのグループ ID を表示するには、groups.list コマンドを使用します。
PROJECT_ID: リクエストに使用する Google Cloud プロジェクトの英数字の ID。

HTTP メソッドと URL:

GET https://cloudidentity.googleapis.com/v1/groups/GROUP_ID/memberships

リクエストを送信するには、次のいずれかのオプションを展開します。

curl（Linux、macOS、Cloud Shell）

次のコマンドを実行します。

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: PROJECT_ID" \
     "https://cloudidentity.googleapis.com/v1/groups/GROUP_ID/memberships"

PowerShell（Windows）

次のコマンドを実行します。

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "PROJECT_ID" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://cloudidentity.googleapis.com/v1/groups/GROUP_ID/memberships" | Select-Object -Expand Content

API Explorer（ブラウザ）

メソッドのリファレンスページを開きます。ページの右側に [API Explorer] パネルが開きます。このツールを操作してリクエストを送信できます。必須フィールドを入力して、[Execute] をクリックします。

レスポンスには、グループ内のすべてのメンバーとそのロールの配列が含まれます。

Python

次のコードにより、グループのメンバーが一覧で表示されます。

def list_google_group_memberships(service, group_id):
  param = "&groupKey.id=" + group_id
  try:
    lookup_group_name_request = service.groups().lookup()
    lookup_group_name_request.uri += param
    lookup_group_name_response = lookup_group_name_request.execute()
    group_name = lookup_group_name_response.get("name")
    # List memberships
    response = service.groups().memberships().list(parent=group_name).execute()
    print(response)
  except Exception as e:
    print(e)