Questa pagina è stata tradotta dall'API Cloud Translation.

Panoramica dell'API Groups

L'API Cloud Identity Groups consente di creare e gestire diversi tipi di gruppi, ognuno dei quali supporta funzionalità diverse, nonché le relative iscrizioni.

Tipi di gruppi

Un gruppo è una raccolta di entità, dove ogni entità può essere un altro gruppo o un utente. L'API Cloud Identity Groups supporta i seguenti tipi di gruppi:

Google Gruppi

Google Gruppi ha un indirizzo email e viene spesso utilizzato come mailing list. Google Gruppi può essere utilizzato anche in molti prodotti Google. Ad esempio, puoi condividere un documento Google con un gruppo, invitare un gruppo a un evento di Google Calendar o utilizzare un gruppo per la gestione dell'accesso in IAM. Un gruppo Google è il tipo di gruppo predefinito.

Gruppi dinamici

I gruppi dinamici sono gruppi Google le cui iscrizioni vengono gestite automaticamente utilizzando una query di appartenenza o una query sugli attributi dei dipendenti, ad esempio il ruolo lavorativo o la posizione dell'edificio. Ad esempio, una query di appartenenza potrebbe essere "tutti gli utenti della mia organizzazione il cui ruolo è Technical Writer".

Gruppi di sicurezza

Un gruppo di sicurezza è simile a un gruppo Google, ma viene utilizzato specificamente per controllare l'accesso alle risorse dell'organizzazione. Un gruppo di sicurezza viene creato aggiornando un gruppo Google a un gruppo di sicurezza.

Gruppi bloccati

Un gruppo bloccato è un gruppo Google che gli amministratori hanno bloccato per impedire che venga meno la sincronizzazione con un'origine esterna, ad esempio un provider di identità. Gli amministratori possono anche bloccare un gruppo Google per aumentare la sicurezza dei gruppi sensibili. Quando blocchi un gruppo Google, le modifiche agli attributi principali e alle iscrizioni sono limitate a un sottoinsieme di amministratori.

Sebbene i proprietari, i gestori e i membri dei gruppi standard possano comunque aggiornare le impostazioni come la moderazione dei messaggi o le autorizzazioni di pubblicazione, le modifiche ai seguenti attributi sono limitate agli amministratori autorizzati. Gli amministratori autorizzati sono in genere quelli con ruoli o condizioni specifici, ad esempio Groups Admin o Groups Editor con una condizione che include gruppi bloccati.

Gruppi POSIX (ritirati)

Un gruppo POSIX è un gruppo Google utilizzato per gestire l'appartenenza al gruppo negli ambienti LDAP. Un gruppo POSIX viene creato aggiornando un gruppo Google con dati POSIX. I dati del gruppo POSIX includono un nome e un ID gruppo (GID).

I gruppi POSIX sono integrati con Google Cloud e vengono utilizzati dalle VM della tua organizzazione in cui è attivato OS Login.

Gruppi con mappatura delle identità

Un gruppo con mappatura delle identità è un gruppo contenente utenti e gruppi sincronizzati da un'origine identità non Google, ad esempio Active Directory. I gruppi con mappatura delle identità consentono a Google Cloud Search di riconoscere utenti e gruppi e le relative autorizzazioni per i documenti cercati, archiviati in un'origine identità esterna. Ad esempio, potresti avere un utente example_user_org@your_domain.com che dispone di determinate autorizzazioni per i documenti. Questo utente può essere sincronizzato con example_user@your_domain.com in modo che Google Cloud Search riconosca le stesse autorizzazioni per gli stessi documenti.

Le richieste di creazione di gruppi dell'API Cloud Identity Groups sono consentite solo dagli account di servizio.

Per sincronizzare i gruppi con mappatura delle identità in Google Cloud Search, devi creare un connettore di identità. Se utilizzi Java, puoi creare un connettore di identità utilizzando l'SDK Java di Google Cloud Search. Se vuoi utilizzare un'API REST, puoi utilizzare l'API Cloud Identity Groups. Per ulteriori informazioni sui connettori di identità, consulta la sezione Sincronizzare diversi sistemi di identità nella documentazione di Cloud Search.

Proprietà del gruppo

Ogni gruppo, indipendentemente dal tipo, ha le seguenti proprietà:

Etichetta

L'etichetta identifica il tipo di gruppo:

Google Gruppi: cloudidentity.googleapis.com/groups.discussion_forum
Gruppi dinamici: cloudidentity.googleapis.com/groups.dynamic
Gruppi di sicurezza: cloudidentity.googleapis.com/groups.security (questa etichetta si aggiunge a cloudidentity.googleapis.com/groups.discussion_forum, perché i gruppi di sicurezza si basano su Google Gruppi)
Gruppi bloccati: cloudidentity.googleapis.com/groups.locked (questa etichetta si aggiunge a cloudidentity.googleapis.com/groups.discussion_forum, perché i gruppi bloccati si basano su Google Gruppi)
Gruppi POSIX: cloudidentity.googleapis.com/groups.posix (questa etichetta si aggiunge a cloudidentity.googleapis.com/groups.discussion_forum, perché i gruppi POSIX si basano su Google Gruppi)
Gruppi con mappatura delle identità: system/groups/external

Chiave entità

Una chiave dell'entità è un identificatore univoco leggibile per il gruppo:

Gruppi Google, gruppi dinamici e gruppi di sicurezza:l'indirizzo email del gruppo
Gruppi con mappatura delle identità: una stringa qualificata con uno spazio dei nomi. Lo spazio dei nomi viene stabilito quando crei un'origine identità in Google Cloud Search. Per ulteriori informazioni sulle origini identità, consulta la sezione Sincronizzare diversi sistemi di identità nella documentazione di Cloud Search.

Principale

Un elemento principale è la risorsa a cui appartiene il gruppo. Per Google Gruppi, i gruppi dinamici e i gruppi di sicurezza, il genitore è il cliente che possiede il dominio. Per un gruppo con mappatura delle identità, il gruppo principale è l'origine identità da cui viene sincronizzato il gruppo.

Nome visualizzato

Il nome visualizzato è il nome del gruppo così come appare nei prodotti Google.

Abbonamenti e proprietà degli abbonamenti

Un'entità che appartiene a un gruppo viene definita membro e la sua relazione con quel gruppo viene definita appartenenza. Le entità possono essere utenti, gruppi o service account. Un abbonamento ha le seguenti proprietà:

Chiave membro preferita

Una chiave membro preferita è un identificatore univoco leggibile per l'utente. Per un gruppo Google o un singolo utente, la chiave membro preferita è l'indirizzo email del gruppo o dell'utente. Per un gruppo con mappatura delle identità, la chiave membro preferita è una stringa qualificata con uno spazio dei nomi.

Ruoli di appartenenza

I ruoli di appartenenza rappresentano le autorizzazioni di cui dispone il membro nel gruppo. I ruoli supportati sono i seguenti:

MEMBER, che non dispone di autorizzazioni speciali. Ogni abbonamento deve avere almeno il ruolo di abbonamento MEMBER.
OWNER, che dispone di autorizzazioni ampie, ad esempio la gestione di altri OWNER o l'eliminazione del gruppo.
MANAGER, che ha meno autorizzazioni di un OWNER, ma più di un MEMBER, ad esempio la gestione di altri MANAGER.

Le autorizzazioni di un ruolo di appartenenza specifico in un gruppo possono essere personalizzate nell'interfaccia web di Google Gruppi o nella Console di amministrazione Google. Per ulteriori informazioni, vedi Impostare le autorizzazioni di visualizzazione, pubblicazione e moderazione.

Puoi importare utenti e gruppi che non sono ancora presenti in Cloud Identity come origine identità esterna. Devi prima creare un'origine identità per la tua organizzazione, poi importare le informazioni di utenti e gruppi in Cloud Identity.

Passaggi successivi

Ecco alcuni passaggi successivi che puoi intraprendere:

Per configurare l'API, consulta la sezione Configurazione dell'API Groups.
Per creare e gestire gruppi Google, consulta la sezione Creazione e ricerca di gruppi Google.
Per saperne di più sui gruppi dinamici, consulta la Panoramica dei gruppi dinamici.
Per aggiornare un gruppo Google a un gruppo di sicurezza, vedi Aggiornare un gruppo Google a un gruppo di sicurezza.
Per creare e gestire i gruppi con mappatura delle identità, consulta Creazione e ricerca di gruppi con mappatura delle identità.