Questa pagina è stata tradotta dall'API Cloud Translation.

Panoramica dell'API Groups

L'API Cloud Identity Groups consente di creare e gestire diversi tipi di gruppi, ognuno dei quali supporta funzionalità diverse, nonché le relative iscrizioni.

Tipi di gruppi

Un gruppo è una raccolta di entità, in cui ogni entità può essere un altro gruppo o un utente. L'API Cloud Identity Groups supporta i seguenti tipi di gruppi:

Google Gruppi

I gruppi Google hanno un indirizzo email e vengono spesso utilizzati come mailing list. Google Gruppi può essere utilizzato anche in molti prodotti Google. Ad esempio, puoi condividere un documento Google con un gruppo, invitare un gruppo a un evento di Google Calendar o utilizzare un gruppo per la gestione dell'accesso in IAM. Un gruppo Google è il tipo di gruppo predefinito.

Gruppi dinamici

I gruppi dinamici sono gruppi Google le cui iscrizioni vengono gestite automaticamente utilizzando una query di appartenenza o una query sugli attributi dei dipendenti, ad esempio il ruolo lavorativo o la località dell'edificio. Ad esempio, una query sull'appartenenza potrebbe essere "tutti gli utenti il cui ruolo lavorativo è Technical Writer nella mia organizzazione".

Gruppi di sicurezza

Un gruppo di sicurezza è simile a un gruppo Google, ma viene utilizzato specificamente per controllare l'accesso alle risorse dell'organizzazione. Un gruppo di sicurezza viene creato aggiornando un gruppo Google in un gruppo di sicurezza.

Gruppi POSIX (ritirato)

Un gruppo POSIX è un gruppo Google utilizzato per gestire l'appartenenza ai gruppi negli ambienti LDAP. Un gruppo POSIX viene creato aggiornando un gruppo Google con dati POSIX. I dati del gruppo POSIX includono un nome e un ID gruppo (GID).

I gruppi POSIX sono integrati con Google Cloud e vengono utilizzati dalle VM della tua organizzazione in cui è abilitato OS Login.

Gruppi con mappatura delle identità

Un gruppo con mapping di identità è un gruppo contenente utenti e gruppi sincronizzati da un'origine identità non Google, ad esempio Active Directory. I gruppi con mappatura delle identità consentono a Google Cloud Search di riconoscere gli utenti e i gruppi, nonché le relative autorizzazioni per i documenti sottoposti a ricerca, archiviati in un'origine identità esterna. Ad esempio, potresti avere un utente example_user_org@your_domain.com che dispone di determinate autorizzazioni per i documenti. Questo utente può essere sincronizzato con example_user@your_domain.com in modo che Google Cloud Search riconosca le stesse autorizzazioni per gli stessi documenti.

Le richieste di creazione di gruppi dell'API Cloud Identity Groups sono consentite solo dagli account di servizio.

Per sincronizzare i gruppi con mappatura delle identità in Google Cloud Search, devi creare un connettore di identità. Se utilizzi Java, puoi creare un connettore di identità utilizzando l'SDK Java di Google Cloud Search. Se vuoi utilizzare un'API REST, puoi utilizzare l'API Cloud Identity Groups. Per ulteriori informazioni sui connettori di identità, consulta Sincronizzare diversi sistemi di identità nella documentazione di Cloud Search.

Proprietà del gruppo

Ogni gruppo, indipendentemente dal tipo, ha le seguenti proprietà:

Etichetta

L'etichetta identifica il tipo di gruppo:

Google Gruppi: cloudidentity.googleapis.com/groups.discussion_forum
Gruppi dinamici: cloudidentity.googleapis.com/groups.dynamic
Gruppi di sicurezza: cloudidentity.googleapis.com/groups.security (questa etichetta è aggiuntiva rispetto a cloudidentity.googleapis.com/groups.discussion_forum, poiché i gruppi di sicurezza si basano su Google Gruppi)
Gruppi POSIX: cloudidentity.googleapis.com/groups.posix (questa etichetta è aggiuntiva rispetto a cloudidentity.googleapis.com/groups.discussion_forum, poiché i gruppi POSIX si basano su Google Gruppi)
Gruppi con mappatura delle identità: system/groups/external

Chiave dell'entità

Una chiave dell'entità è un identificatore univoco leggibile da una persona per il gruppo:

Gruppi Google, gruppi dinamici e gruppi di sicurezza: l'indirizzo email del gruppo
Gruppi con mappatura delle identità:una stringa qualificata con uno spazio dei nomi. Lo spazio dei nomi viene stabilito quando crei un'origine identità in Google Cloud Search. Per ulteriori informazioni sulle origini identità, consulta Sincronizzare sistemi di identità diversi nella documentazione di Cloud Search.

Principale

Un elemento principale è la risorsa a cui appartiene il gruppo. Per Google Gruppi, i gruppi dinamici e i gruppi di sicurezza, il gruppo principale è il cliente che possiede il dominio. Per un gruppo con mappatura delle identità, il gruppo principale è l'origine dell'identità da cui viene sincronizzato il gruppo.

Nome visualizzato

Il nome visualizzato è il nome del gruppo così come appare nei prodotti Google.

Abbonamenti e proprietà degli abbonamenti

Un'entità che appartiene a un gruppo è definita membro e la sua relazione con il gruppo è definita appartenenza. Le entità possono essere utenti, gruppi o account di servizio. Un abbonamento ha le seguenti proprietà:

Chiave membro preferita

Una chiave membro preferita è un identificatore univoco leggibile per l'utente. Per un gruppo Google o un singolo utente, la chiave membro preferita è l'indirizzo email del gruppo o dell'utente. Per un gruppo con mappatura delle identità, la chiave dell'elemento preferito è una stringa qualificata con uno spazio dei nomi.

Ruoli di appartenenza

I ruoli di appartenenza rappresentano le autorizzazioni di cui dispone il membro nel gruppo. I ruoli supportati sono i seguenti:

MEMBER, che non ha autorizzazioni speciali. Ogni abbonamento deve avere almeno il ruolo di abbonato MEMBER.
OWNER, che dispone di autorizzazioni ampie, come la gestione di altri OWNER o la cancellazione del gruppo.
MANAGER, che ha meno autorizzazioni di un OWNER, ma più di un MEMBER, ad esempio la gestione di altri MANAGER.

Le autorizzazioni di un ruolo di appartenenza specifico in un gruppo possono essere personalizzate nell'interfaccia web di Google Gruppi o nella Console di amministrazione Google. Per ulteriori informazioni, consulta Impostare le autorizzazioni di visualizzazione, pubblicazione e moderazione.

Puoi importare utenti e gruppi che non sono ancora presenti in Cloud Identity come origine identità esterna. Devi prima creare un'origine identità per la tua organizzazione, quindi importare le informazioni su utenti e gruppi in Cloud Identity.

Passaggi successivi

Ecco alcuni passaggi successivi che puoi intraprendere:

Per configurare l'API, consulta la sezione Configurazione dell'API Groups.
Per creare e gestire i gruppi Google, consulta la sezione Creare e cercare gruppi Google.
Per saperne di più sui gruppi dinamici, consulta la Panoramica dei gruppi dinamici.
Per aggiornare un gruppo Google in un gruppo di sicurezza, consulta Aggiornare un gruppo Google in un gruppo di sicurezza.
Per creare e gestire gruppi con mappatura delle identità, consulta Creazione e ricerca di gruppi con mappatura delle identità.