Présentation de l'API Groups
L'API Cloud Identity Groups vous permet de créer et de gérer différents types de groupes, chacun acceptant différentes fonctionnalités, ainsi que leurs adhésions.
Types de groupes
Un groupe est un ensemble d'entités, chacune pouvant être un autre groupe ou un utilisateur. L'API Cloud Identity Groups accepte les types de groupes suivants :
- Google Groupes
- Dans Google Groupes, les groupes disposent d'une adresse e-mail et sont souvent utilisés en tant que liste de diffusion. Vous pouvez également utiliser Google Groupes dans de nombreux produits Google. Par exemple, vous pouvez partager un document Google Docs avec un groupe, inviter un groupe à un événement Google Agenda ou utiliser un groupe pour gérer les accès dans IAM. Google Groupes est le type de groupe par défaut.
- Groupes dynamiques
Les groupes dynamiques sont des Google Groupes dont les membres sont gérés automatiquement à l'aide d'une requête d'appartenance ou d'une requête sur les attributs d'employé, tels que le poste ou le lieu du site. Par exemple, une requête d'adhésion peut concerner "tous les utilisateurs dont le rôle au sein de l'organisation est Rédacteur Technique".
- Groupes de sécurité
Un groupe de sécurité est semblable à un Google Groupe, mais il est spécifiquement utilisé pour contrôler l'accès aux ressources organisationnelles. Pour créer un groupe de sécurité, vous devez mettre à jour un Google Groupe vers un groupe de sécurité.
- Groupes POSIX (obsolète)
Un groupe POSIX est un groupe Google utilisé pour gérer l'appartenance à un groupe dans les environnements LDAP. Pour créer un groupe POSIX, vous devez mettre à jour un groupe Google avec des données POSIX. Les données de groupe POSIX incluent un nom de groupe et un ID de groupe (GID).
Les groupes POSIX sont intégrés à Google Cloud et sont utilisés par les VM de votre organisation sur lesquelles OS Login est activé.
- Groupes de mappage d'identité
Un groupe de mappage d'identité est un groupe contenant des utilisateurs et des groupes synchronisés à partir d'une source d'identité autre que Google, telle qu'Active Directory. Les groupes de mappage d'identité permettent à Google Cloud Search de reconnaître les utilisateurs et les groupes, ainsi que leurs autorisations sur les documents recherchés, stockés dans une source d'identité externe. Par exemple, vous pouvez avoir l'utilisateur
example_user_org@your_domain.com
qui dispose de certaines autorisations sur des documents. Cet utilisateur peut être synchronisé avecexample_user@your_domain.com
, de sorte que Google Cloud Search reconnaisse les mêmes autorisations sur les mêmes documents.- Les requêtes de création de groupes via l'API Cloud Identity Groups ne sont autorisées que depuis des comptes de service.
Pour synchroniser des groupes de mappage d'identité dans Google Cloud Search, vous devez créer un connecteur d'identité. Si vous utilisez Java, vous pouvez créer un connecteur d'identité à l'aide du SDK Java de Google Cloud Search. Si vous souhaitez utiliser une API REST, vous pouvez utiliser l'API Cloud Identity Groups. Pour en savoir plus sur les connecteurs d'identité, consultez la page Synchroniser différents systèmes d'identité dans la documentation de Cloud Search.
Propriétés du groupe
Chaque groupe, quel que soit son type, possède les propriétés suivantes :
- Libellé
- Le libellé identifie le type de groupe :
- Google Groupes :
cloudidentity.googleapis.com/groups.discussion_forum
- Groupes dynamiques :
cloudidentity.googleapis.com/groups.dynamic
- Groupes de sécurité :
cloudidentity.googleapis.com/groups.security
(ce libellé s'ajoute àcloudidentity.googleapis.com/groups.discussion_forum
, car les groupes de sécurité sont basés sur Google Groupes) - Groupes POSIX :
cloudidentity.googleapis.com/groups.posix
(ce libellé s'ajoute àcloudidentity.googleapis.com/groups.discussion_forum
, car les groupes POSIX sont basés sur Google Groupes) - Groupes de mappage d'identité :
system/groups/external
- Google Groupes :
- Clé d'entité
Une clé d'entité est un identifiant unique pour le groupe, lisible par l'utilisateur :
- Google Groupes, groupes dynamiques et groupes de sécurité : l'adresse e-mail du groupe
- Groupes de mappage d'identité : chaîne qualifiée avec un espace de noms. L'espace de noms est établi lorsque vous créez une source d'identité dans Google Cloud Search. Pour en savoir plus sur les sources d'identité, consultez la page Synchroniser différents systèmes d'identité dans la documentation de Cloud Search.
- Parent
Un parent est la ressource à laquelle le groupe appartient. Pour Google Groupes, les groupes dynamiques et les groupes de sécurité, le parent est le client propriétaire du domaine. Pour un groupe de mappage d'identité, le parent est la source d'identité à partir de laquelle le groupe est synchronisé.
- Nom à afficher
Le nom à afficher est le nom du groupe tel qu'il apparaît dans les produits Google.
Adhésions et propriétés des adhésions
Une entité qui appartient à un groupe est appelée membre, et sa relation avec ce groupe est appelée adhésion. Les entités peuvent être des utilisateurs, des groupes ou des comptes de service. Une adhésion possède les propriétés suivantes :
- Clé de membre préférée
- Une clé de membre préférée est un identifiant unique pour le membre, lisible par l'utilisateur. Pour un groupe Google ou un utilisateur individuel, la clé de membre préférée est l'adresse e-mail du groupe ou de l'utilisateur. Pour un groupe de mappage d'identité, la clé de membre préférée est une chaîne qualifiée d'un espace de noms.
- Rôles d'adhésion
Les rôles d'adhésion représentent les autorisations dont dispose le membre dans le groupe. Les rôles acceptés sont les suivants :
MEMBER
, qui ne dispose d'aucune autorisation spéciale. Chaque adhésion doit disposer au minimum du rôle d'adhésionMEMBER
.OWNER
, qui dispose d'autorisations étendues, comme la gestion d'autresOWNER
ou la suppression du groupe.MANAGER
, qui a moins d'autorisations queOWNER
, mais plus queMEMBER
, comme la gestion d'autresMANAGER
.
Les autorisations dont dispose un rôle d'adhésion spécifique dans un groupe peut être personnalisé dans l'interface Web de Google Groupes ou dans la console d'administration Google. Pour en savoir plus, consultez la page Définir les personnes autorisées à consulter, publier et modérer les posts.
Vous pouvez importer des utilisateurs et des groupes qui ne sont pas déjà dans Cloud Identity en tant que source d'identité externe. Vous devez d'abord créer une source d'identité pour votre organisation, puis importer des informations sur les utilisateurs et les groupes dans Cloud Identity.
Étapes suivantes
Voici quelques étapes que vous pouvez également suivre :
Pour configurer l'API, consultez la page Configurer l'API Groups.
Pour créer et gérer des groupes Google, consultez la page Créer et rechercher des groupes Google.
Pour en savoir plus sur les groupes dynamiques, consultez la présentation des groupes dynamiques.
Pour découvrir comment mettre à jour un Google Groupe vers un groupe de sécurité, consultez la section Mettre à jour un Google Groupe vers un groupe de sécurité.
Pour créer et gérer des groupes de mappage d'identité, consultez la page Créer et rechercher des groupes de mappage d'identité.