Groups API – Übersicht

Mit der Cloud Identity Groups API können Sie verschiedene Gruppentypen erstellen und verwalten, die jeweils verschiedene Features und deren Mitgliedschaften unterstützen.

Gruppentypen

Eine Gruppe ist eine Sammlung von Entitäten, wobei jede Entität entweder eine weitere Gruppe oder ein Nutzer sein kann. Die Cloud Identity Groups API unterstützt die folgenden Gruppentypen:

Google Groups-Gruppen
Google Groups-Gruppen haben eine E-Mail-Adresse und werden häufig als Mailinglisten verwendet. Google Groups-Gruppen können außerdem in vielen Google-Produkten verwendet werden. Beispielsweise können Sie ein Google-Dokument für eine Gruppe freigeben, eine Gruppe zu einem Termin in Google Kalender einladen oder eine Gruppe für die Zugriffsverwaltung in IAM verwenden. Eine Google Groups-Gruppe ist der Standardgruppentyp.
Dynamische Gruppen

Dynamische Gruppen sind Google Groups-Gruppen, deren Mitgliedschaften automatisch über eine Mitgliedschaftsabfrage oder eine Abfrage nach Mitarbeiterattributen wie der Position oder dem Gebäudestandort verwaltet werden. Eine Mitgliedschaftsabfrage kann beispielsweise "alle Nutzer mit der Jobrolle 'Technischer Autor' in meiner Organisation" sein.

Sicherheitsgruppen

Eine Sicherheitsgruppe ähnelt einer Google-Gruppe, wird jedoch nur zur Steuerung des Zugriffs auf Organisationsressourcen verwendet. Eine Sicherheitsgruppe wird durch Aktualisieren einer Google Groups-Gruppe auf eine Sicherheitsgruppe erstellt.

Gesperrte Gruppen

Eine gesperrte Gruppe ist eine Google-Gruppe, die von Administratoren gesperrt wurde, um zu verhindern, dass sie mit einer externen Quelle wie einem Identitätsanbieter nicht mehr synchronisiert wird. Administratoren können eine Google-Gruppe auch sperren, um die Sicherheit für vertrauliche Gruppen zu erhöhen. Wenn Sie eine Google-Gruppe sperren, können nur bestimmte Administratoren die Kernattribute und Mitgliedschaften bearbeiten.

Standardgruppeninhaber, ‑manager und ‑mitglieder können weiterhin Einstellungen wie die Nachrichtenmoderation oder die Berechtigungen zum Posten aktualisieren. Änderungen an den folgenden Attributen sind jedoch auf autorisierte Administratoren beschränkt. Autorisierte Administratoren sind in der Regel Nutzer mit bestimmten Rollen oder Bedingungen wie Groups Admin oder Groups Editor mit einer Bedingung, die gesperrte Gruppen umfasst.

POSIX-Gruppen (eingestellt)

Eine POSIX-Gruppe ist eine Google-Gruppe, mit der die Gruppenmitgliedschaft in LDAP-Umgebungen verwaltet wird. Eine POSIX-Gruppe wird durch Aktualisieren einer Google-Gruppe mit POSIX-Daten erstellt. Die POSIX-Gruppendaten enthalten einen Gruppennamen und eine Gruppen-ID (GID).

POSIX-Gruppen sind in Google Cloud eingebunden und werden von VMs in Ihrer Organisation verwendet, bei denen OS Login aktiviert ist.

Gruppen mit Identitätszuweisung

Eine Gruppe mit Identitätszuweisung ist eine Gruppe von Nutzern und Gruppen, die aus einer Google-fremden Identitätsquelle wie Active Directory synchronisiert werden. Gruppen mit Identitätszuweisung ermöglichen Google Cloud Search, Nutzer und Gruppen sowie ihre Berechtigungen für die in einer externen Identitätsquelle gespeicherten Dokumente zu erkennen. Sie haben beispielsweise einen Nutzer example_user_org@your_domain.com, der bestimmte Berechtigungen für Dokumente hat. Dieser Nutzer kann mit example_user@your_domain.com synchronisiert werden, sodass Google Cloud Search dieselben Berechtigungen für dieselben Dokumente erkennt.

Anfragen zum Erstellen von Gruppen über die Cloud Identity Groups API sind nur von Dienstkonten zulässig.

Sie müssen einen Identitätsconnector erstellen, um Gruppen mit Identitätszuweisung in Google Cloud Search zu synchronisieren. Wenn Sie Java verwenden, können Sie mit dem Google Cloud Search Java SDK einen Identitätsconnector erstellen. Wenn Sie eine REST API verwenden möchten, können Sie die Cloud Identity Groups API verwenden. Weitere Informationen zu Identitätsconnectors finden Sie in der Cloud Search-Dokumentation unter Verschiedene Identitätssysteme synchronisieren.

Gruppenattribute

Jede Gruppe hat unabhängig vom Typ folgende Attribute:

Label
Das Label gibt den Gruppentyp an.
  • Google Groups:cloudidentity.googleapis.com/groups.discussion_forum
  • Dynamische Gruppen: cloudidentity.googleapis.com/groups.dynamic
  • Sicherheitsgruppen:cloudidentity.googleapis.com/groups.security (Dieses Label ist zusätzlich zu cloudidentity.googleapis.com/groups.discussion_forum vorgesehen, da Sicherheitsgruppen auf Google Groups basieren.)
  • Gesperrte Gruppen:cloudidentity.googleapis.com/groups.locked (Dieses Label ist zusätzlich zu cloudidentity.googleapis.com/groups.discussion_forum vorgesehen, da gesperrte Gruppen auf Google Groups basieren.)
  • POSIX-Gruppen:cloudidentity.googleapis.com/groups.posix (Dieses Label ist zusätzlich zu cloudidentity.googleapis.com/groups.discussion_forum vorgesehen, da POSIX-Gruppen auf Google Groups basieren.)
  • Gruppen mit Identitätszuweisung: system/groups/external
Entitätsschlüssel

Ein Entitätsschlüssel ist eine für Menschen lesbare, eindeutige Kennung für die Gruppe:

  • Google Groups-Gruppen, dynamische Gruppen und Sicherheitsgruppen: die E-Mail-Adresse der Gruppe
  • Gruppen mit Identitätszuweisung: Ein String, der mit einem Namespace qualifiziert ist. Der Namespace wird beim Erstellen einer Identitätsquelle in Google Cloud Search festgelegt. Weitere Informationen zu Identitätsquellen finden Sie in der Cloud Search-Dokumentation unter Verschiedene Identitätssysteme synchronisieren.
Übergeordnetes Element

Ein übergeordnetes Element ist die Ressource, zu der die Gruppe gehört. Bei Google Groups-Gruppen, dynamischen Gruppen und Sicherheitsgruppen ist das übergeordnete Element der Kunde, dem die Domain gehört. Bei einer Gruppe mit Identitätszuweisung ist das übergeordnete Element die Identitätsquelle, von der die Gruppe synchronisiert wird.

Anzeigename

Der angezeigte Name ist der Name der Gruppe, wie er in Google-Produkten zu sehen ist.

Mitgliedschaften und Mitgliedschaftsattribute

Eine Entität, die zu einer Gruppe gehört, wird als Mitglied bezeichnet. Ihre Beziehung zu dieser Gruppe wird Mitgliedschaft genannt. Entitäten können Nutzer, Gruppen oder Dienstkonten sein. Eine Mitgliedschaft hat folgende Attribute:

Bevorzugter Mitgliedsschlüssel
Ein bevorzugter Mitgliedsschlüssel ist eine für Menschen lesbare, eindeutige Kennung für das Mitglied. Bei einer Google Groups-Gruppe oder einem einzelnen Nutzer ist der bevorzugte Mitgliedsschlüssel die E-Mail-Adresse der Gruppe oder des Nutzers. Bei einer Gruppe mit Identitätszuweisung ist der bevorzugte Mitgliedsschlüssel ein mit einem Namespace angegebener String.
Mitgliedschaftsrollen

Mitgliedschaftsrollen stellen die Berechtigungen dar, die das Mitglied in der Gruppe hat. Die folgenden Rollen werden unterstützt:

  • MEMBER ohne spezielle Berechtigungen. Jede Mitgliedschaft muss mindestens die Rolle MEMBER haben.

  • OWNER mit umfassenden Berechtigungen, beispielsweise das Verwalten anderer OWNER oder das Löschen der Gruppe.

  • MANAGER mit weniger Berechtigungen als OWNER, aber mehr als MEMBER, beispielsweise das Verwalten anderer MANAGER.

Die Berechtigungen, die eine bestimmte Mitgliedschaftsrolle in einer Gruppe hat, können in der Google Groups-Weboberfläche oder in der Google Admin-Konsole angepasst werden. Weitere Informationen finden Sie unter Festlegen, wer Beiträge ansehen, posten und moderieren darf.

Sie können Nutzer und Gruppen, die sich noch nicht in Cloud Identity befinden, als externe Identitätsquelle importieren. Sie müssen zuerst eine Identitätsquelle für Ihre Organisation erstellen und dann Nutzer- und Gruppeninformationen in Cloud Identity importieren.

Nächste Schritte

Als Nächstes könnten Sie Folgendes tun: