Présentation de l'API Groups

L'API Cloud Identity Groups vous permet de créer et de gérer différents types de groupes, chacun acceptant différentes fonctionnalités, ainsi que leurs adhésions.

Types de groupes

Un groupe est un ensemble d'entités, chacune pouvant être un autre groupe ou un utilisateur. L'API Cloud Identity Groups accepte les types de groupes suivants :

Google Groupes
Dans Google Groupes, les groupes disposent d'une adresse e-mail et sont souvent utilisés en tant que liste de diffusion. Vous pouvez également utiliser Google Groupes dans de nombreux produits Google. Par exemple, vous pouvez partager un document Google Docs avec un groupe, inviter un groupe à un événement Google Agenda ou utiliser un groupe pour gérer les accès dans IAM. Google Groupes est le type de groupe par défaut.
Groupes dynamiques

Les groupes dynamiques sont des Google Groupes dont les membres sont gérés automatiquement à l'aide d'une requête d'appartenance ou d'une requête sur les attributs d'employé, tels que le poste ou le lieu du site. Par exemple, une requête d'adhésion peut concerner "tous les utilisateurs dont le rôle au sein de l'organisation est Rédacteur Technique".

Groupes de sécurité

Un groupe de sécurité est semblable à un Google Groupe, mais il est spécifiquement utilisé pour contrôler l'accès aux ressources organisationnelles. Pour créer un groupe de sécurité, vous devez mettre à jour un Google Groupe vers un groupe de sécurité.

Groupes POSIX

Un groupe POSIX est un groupe Google utilisé pour gérer l'appartenance à un groupe dans les environnements LDAP. Pour créer un groupe POSIX, vous devez mettre à jour un groupe Google avec des données POSIX. Les données de groupe POSIX incluent un nom de groupe et un ID de groupe (GID).

Les groupes POSIX sont intégrés à Google Cloud et sont utilisés par les VM de votre organisation sur lesquelles OS Login est activé.

Groupes de mappage d'identité

Un groupe de mappage d'identité est un groupe contenant des utilisateurs et des groupes synchronisés à partir d'une source d'identité autre que Google, telle qu'Active Directory. Les groupes de mappage d'identité permettent à Google Cloud Search de reconnaître les utilisateurs et les groupes, ainsi que leurs autorisations sur les documents recherchés, stockés dans une source d'identité externe. Par exemple, vous pouvez avoir l'utilisateur example_user_org@your_domain.com qui dispose de certaines autorisations sur des documents. Cet utilisateur peut être synchronisé avec example_user@your_domain.com, de sorte que Google Cloud Search reconnaisse les mêmes autorisations sur les mêmes documents.

Pour synchroniser des groupes de mappage d'identité dans Google Cloud Search, vous devez créer un connecteur d'identité. Si vous utilisez Java, vous pouvez créer un connecteur d'identité à l'aide du SDK Java de Google Cloud Search. Si vous souhaitez utiliser une API REST, vous pouvez utiliser l'API Cloud Identity Groups. Pour en savoir plus sur les connecteurs d'identité, consultez la page Synchroniser différents systèmes d'identité dans la documentation de Cloud Search.

Propriétés du groupe

Chaque groupe, quel que soit son type, possède les propriétés suivantes :

Libellé
Le libellé identifie le type de groupe :
  • Google Groupes : cloudidentity.googleapis.com/groups.discussion_forum
  • Groupes dynamiques : cloudidentity.googleapis.com/groups.dynamic
  • Groupes de sécurité : cloudidentity.googleapis.com/groups.security (ce libellé s'ajoute à cloudidentity.googleapis.com/groups.discussion_forum, car les groupes de sécurité sont basés sur Google Groupes)
  • Groupes POSIX : cloudidentity.googleapis.com/groups.posix (ce libellé s'ajoute à cloudidentity.googleapis.com/groups.discussion_forum, car les groupes POSIX sont basés sur Google Groupes)
  • Groupes de mappage d'identité : system/groups/external
Clé d'entité

Une clé d'entité est un identifiant unique pour le groupe, lisible par l'utilisateur :

  • Google Groupes, groupes dynamiques et groupes de sécurité : l'adresse e-mail du groupe
  • Groupes de mappage d'identité : chaîne qualifiée avec un espace de noms. L'espace de noms est établi lorsque vous créez une source d'identité dans Google Cloud Search. Pour en savoir plus sur les sources d'identité, consultez la page Synchroniser différents systèmes d'identité dans la documentation de Cloud Search.
Parent

Un parent est la ressource à laquelle le groupe appartient. Pour Google Groupes, les groupes dynamiques et les groupes de sécurité, le parent est le client propriétaire du domaine. Pour un groupe de mappage d'identité, le parent est la source d'identité à partir de laquelle le groupe est synchronisé.

Nom à afficher

Le nom à afficher est le nom du groupe tel qu'il apparaît dans les produits Google.

Adhésions et propriétés des adhésions

Une entité qui appartient à un groupe est appelée membre, et sa relation avec ce groupe est appelée adhésion. Les entités peuvent être des utilisateurs, des groupes ou des comptes de service. Une adhésion possède les propriétés suivantes :

Clé de membre préférée
Une clé de membre préférée est un identifiant unique pour le membre, lisible par l'utilisateur. Pour un groupe Google ou un utilisateur individuel, la clé de membre préférée est l'adresse e-mail du groupe ou de l'utilisateur. Pour un groupe de mappage d'identité, la clé de membre préférée est une chaîne qualifiée d'un espace de noms.
Rôles d'adhésion

Les rôles d'adhésion représentent les autorisations dont dispose le membre dans le groupe. Les rôles acceptés sont les suivants :

  • MEMBER, qui ne dispose d'aucune autorisation spéciale. Chaque adhésion doit disposer au minimum du rôle d'adhésion MEMBER.

  • OWNER, qui dispose d'autorisations étendues, comme la gestion d'autres OWNER ou la suppression du groupe.

  • MANAGER, qui a moins d'autorisations que OWNER, mais plus que MEMBER, comme la gestion d'autres MANAGER.

Les autorisations dont dispose un rôle d'adhésion spécifique dans un groupe peut être personnalisé dans l'interface Web de Google Groupes ou dans la console d'administration Google. Pour en savoir plus, consultez la page Définir les personnes autorisées à consulter, publier et modérer les posts.

Vous pouvez importer des utilisateurs et des groupes qui ne sont pas déjà dans Cloud Identity en tant que source d'identité externe. Vous devez d'abord créer une source d'identité pour votre organisation, puis importer des informations sur les utilisateurs et les groupes dans Cloud Identity.

Étapes suivantes

Voici quelques étapes que vous pouvez également suivre :