Información general sobre la API Groups

La API Groups de Cloud Identity te permite crear y gestionar diferentes tipos de grupos (cada uno es compatible con funciones distintas) y sus suscripciones.

Tipos de grupos

Un grupo es un conjunto de entidades, donde cada entidad puede ser otro grupo o un usuario. La API Groups de Cloud Identity admite los siguientes tipos de grupos:

Grupos de Google
Los Grupos de Google tienen una dirección de correo y se suelen usar como listas de distribución. Grupos de Google también se puede usar en muchos productos de Google. Por ejemplo, puedes compartir un documento de Google con un grupo, invitar a un grupo a un evento de Google Calendar o usar un grupo para gestionar el acceso en IAM. Un grupo de Google es el tipo de grupo predeterminado.
Grupos dinámicos

Los grupos dinámicos son Grupos de Google cuya pertenencia se gestiona automáticamente mediante una consulta de pertenencia o una consulta sobre los atributos de los empleados, como el puesto de trabajo o la ubicación del edificio. Por ejemplo, una consulta de pertenencia podría ser "todos los usuarios de mi organización cuyo puesto sea Redactor técnico".

Grupos de seguridad

Un grupo de seguridad es similar a un grupo de Google, pero se usa específicamente para controlar el acceso a los recursos de la organización. Los grupos de seguridad se crean convirtiendo grupos de Google en grupos de seguridad.

Grupos bloqueados

Un grupo bloqueado es un grupo de Google que los administradores han bloqueado para evitar que se desincronice con una fuente externa, como un proveedor de identidades. Los administradores también pueden bloquear un Grupo de Google para aumentar la seguridad de los grupos sensibles. Cuando bloqueas un grupo de Google, solo un subconjunto de administradores puede editar los atributos principales y las membresías.

Aunque los propietarios, administradores y miembros de grupos estándar pueden seguir actualizando ajustes, como la moderación de mensajes o los permisos de publicación, las modificaciones de los siguientes atributos solo pueden hacerlas los administradores autorizados. Los administradores autorizados suelen ser aquellos que tienen roles o condiciones específicos, como Groups Admin o Groups Editor, con una condición que incluye grupos bloqueados.

Grupos POSIX (no disponible)

Un grupo POSIX es un grupo de Google que se usa para gestionar la pertenencia a grupos en entornos LDAP. Un grupo POSIX se crea actualizando un grupo de Google con datos POSIX. Los datos de grupo POSIX incluyen un nombre de grupo y un ID de grupo (GID).

Los grupos POSIX están integrados con Google Cloud y los usan las VMs de tu organización que tienen habilitado OS Login.

Grupos con mapeado de identidad

Un grupo con mapeado de identidad es un grupo que contiene usuarios y grupos sincronizados desde una fuente de identidad que no es de Google, como Active Directory. Los grupos con mapeo de identidades permiten que Google Cloud Search reconozca a los usuarios y grupos, así como sus permisos para acceder a los documentos buscados, que están almacenados en una fuente de identidad externa. Por ejemplo, puede que tengas un usuario example_user_org@your_domain.com que tenga ciertos permisos para acceder a documentos. Este usuario se puede sincronizar con example_user@your_domain.com para que Google Cloud Search reconozca sus mismos permisos para los mismos documentos.

Las solicitudes de creación de grupos de la API Groups de Cloud Identity solo se permiten desde cuentas de servicio.

Para sincronizar grupos con asignaciones de identidad en Google Cloud Search, debes crear un conector de identidad. Si usas Java, puedes crear un conector de identidades con el SDK de Java de Google Cloud Search. Si quieres usar una API REST, puedes usar la API Groups de Cloud Identity. Para obtener más información sobre los conectores de identidades, consulta el artículo Sincronizar sistemas de identidades diferentes de la documentación de Cloud Search.

Propiedades del grupo

Cada grupo, independientemente del tipo, tiene las siguientes propiedades:

Etiqueta
La etiqueta identifica el tipo de grupo:
  • Grupos de Google: cloudidentity.googleapis.com/groups.discussion_forum
  • Grupos dinámicos: cloudidentity.googleapis.com/groups.dynamic
  • Grupos de seguridad: cloudidentity.googleapis.com/groups.security (esta etiqueta se añade a cloudidentity.googleapis.com/groups.discussion_forum, ya que los grupos de seguridad se basan en Grupos de Google)
  • Grupos bloqueados: cloudidentity.googleapis.com/groups.locked (esta etiqueta se añade a cloudidentity.googleapis.com/groups.discussion_forum, ya que los grupos bloqueados se basan en Grupos de Google)
  • Grupos POSIX: cloudidentity.googleapis.com/groups.posix (esta etiqueta se añade a cloudidentity.googleapis.com/groups.discussion_forum, ya que los grupos POSIX se basan en Grupos de Google)
  • Grupos con mapeado de identidad: system/groups/external
Clave de entidad

Una clave de entidad es un identificador único legible por humanos del grupo:

  • Grupos de Google, grupos dinámicos y grupos de seguridad: la dirección de correo del grupo
  • Grupos con mapeado de identidad: una cadena cualificada con un espacio de nombres. El espacio de nombres se establece cuando creas una fuente de identidad en Google Cloud Search. Para obtener más información sobre las fuentes de identidad, consulta el artículo Sincronizar sistemas de identidades diferentes de la documentación de Cloud Search.
Principal

Un elemento superior es el recurso al que pertenece el grupo. En Grupos de Google, los grupos dinámicos y los grupos de seguridad, el padre es el cliente propietario del dominio. En el caso de los grupos con mapeado de identidad, el elemento superior es la fuente de identidad desde la que se sincroniza el grupo.

Nombre visible

El nombre visible es el nombre del grupo tal como aparece en los productos de Google.

Membresías y propiedades de membresía

Una entidad que pertenece a un grupo se denomina miembro y su relación con ese grupo se denomina pertenencia. Las entidades pueden ser usuarios, grupos o cuentas de servicio. Una suscripción tiene las siguientes propiedades:

Clave de miembro preferida
Una clave de miembro preferida es un identificador único legible por humanos del miembro. En el caso de un grupo de Google o de un usuario concreto, la clave de miembro preferida es la dirección de correo del grupo o del usuario. En el caso de los grupos con asignaciones de identidad, la clave de miembro preferida es una cadena cualificada con un espacio de nombres.
Roles de pertenencia

Los roles de miembro representan los permisos que tiene el miembro en el grupo. Los roles admitidos son los siguientes:

  • MEMBER, que no tiene permisos especiales. Todas las suscripciones deben tener al menos el rol de miembro MEMBER.

  • OWNER, que tiene permisos amplios, como gestionar otros OWNERs o eliminar el grupo.

  • MANAGER, que tiene menos permisos que un OWNER, pero más que un MEMBER, como gestionar otros MANAGER.

Los permisos que tiene un rol de miembro específico en un grupo se pueden personalizar en la interfaz web de Grupos de Google o en la consola de administración de Google. Para obtener más información, consulta Configurar quién puede ver, publicar y moderar contenido.

Puedes importar usuarios y grupos que aún no estén en Cloud Identity como fuente de identidad externa. Primero debes crear una fuente de identidad para tu organización y, a continuación, importar la información de usuarios y grupos a Cloud Identity.

Pasos siguientes

Estos son algunos pasos que puedes seguir a continuación: