Groups API 概览
借助 Cloud Identity Groups API,您可以创建和管理不同类型的群组,每个群组均支持不同的功能及其成员资格。
群组类型
群组是实体的集合,其中每个实体可以是另一个群组,也可以是用户。Cloud Identity Groups API 支持以下群组类型:
- Google 群组
- Google 群组拥有电子邮件地址,通常用作邮寄名单。Google 群组也可以用于许多 Google 产品。例如:您可以与群组共享 Google 文档,邀请群组参加 Google 日历活动,或者使用群组在 IAM 中进行访问权限管理。Google 群组是默认的群组类型。
- 动态群组
动态群组是一种 Google 群组,其成员资格使用成员资格查询或员工特性(如职位角色或建筑物位置)查询自动管理。例如,成员资格查询可以是“我的组织中职位是技术文档工程师的所有用户”。
- 安全组
安全群组与 Google 群组类似,但专门用于控制组织资源的访问权限。您可以通过将 Google 群组更新为安全群组来创建安全群组。
- POSIX 群组(已废弃)
POSIX 群组是一个 Google 群组,用于管理 LDAP 环境中的群组成员资格。您可以通过使用 POSIX 数据更新 Google 群组来创建 POSIX 群组。POSIX 群组数据包括群组名称和群组 ID (GID)。
POSIX 群组与 Google Cloud 集成,供您的组织中启用了 OS Login 的虚拟机使用。
- 身份映射群组
身份映射群组包含从非 Google 身份源(例如 Active Directory)同步的用户和群组。通过身份映射群组,Google Cloud Search 可以识别存储在外部身份源中的用户和群组以及它们对搜索到的文档的权限。例如,您的用户
example_user_org@your_domain.com
具有文档的特定权限。此用户可同步到example_user@your_domain.com
,以便 Google Cloud Search 识别他们对相同文档的相同权限。- 只有服务账号可以发出 Cloud Identity Groups API 群组创建请求。
要在 Google Cloud Search 中同步身份映射群组,您必须创建一个身份连接器。如果使用的是 Java,则可以使用 Google Cloud Search Java SDK 创建身份连接器。如果要使用 REST API,则可以使用 Cloud Identity Groups API。如需详细了解身份连接器,请参阅 Cloud Search 文档中的同步不同的身份系统。
群组属性
无论属于何种类型,每个群组都有以下属性:
- 标签
- 标签用于标识群组类型:
- Google 群组:
cloudidentity.googleapis.com/groups.discussion_forum
- 动态群组:
cloudidentity.googleapis.com/groups.dynamic
- 安全群组:
cloudidentity.googleapis.com/groups.security
(此标签是对cloudidentity.googleapis.com/groups.discussion_forum
的补充,因为安全群组基于 Google 群组) - POSIX 群组:
cloudidentity.googleapis.com/groups.posix
(此标签是对cloudidentity.googleapis.com/groups.discussion_forum
的补充,因为 POSIX 群组基于 Google 群组) - 身份映射群组:
system/groups/external
- Google 群组:
- 实体键
实体键是群组的人类可读的唯一标识符:
- Google 群组、动态群组和安全群组:群组的电子邮件地址
- 身份映射群组:使用命名空间限定的字符串。当您在 Google Cloud Search 中创建身份源时,系统将建立命名空间。如需详细了解身份源,请参阅 Cloud Search 文档中的同步不同的身份系统。
- 父级
父级是群组所属的资源。对于 Google 群组、动态群组和安全群组,父级是拥有网域的客户。对于身份映射群组,父级是群组同步的身份源。
- 显示名
显示名是 Google 产品中显示的群组名称。
成员资格与成员资格属性
属于某个群组的实体称为成员,它与该群组的关系称为“成员资格”。实体可以是用户、群组或服务账号。成员资格具有以下属性:
- 首选成员键
- 首选成员键是成员的唯一人工可读标识符。对于 Google 群组或个人用户,首选成员键是群组或用户的电子邮件地址。对于身份映射群组,首选成员键是使用命名空间限定的字符串。
- 成员角色
成员角色表示成员在群组中的权限。受支持的角色如下:
MEMBER
,没有特殊权限。每个成员必须至少拥有MEMBER
成员角色。OWNER
,拥有广泛的权限,例如管理其他OWNER
或删除群组。MANAGER
,权限少于OWNER
,但多于MEMBER
,例如管理其他MANAGER
。
您可以在 Google 群组网页界面或 Google 管理控制台中自定义特定成员角色在群组中拥有的权限。如需了解详情,请参阅设置谁可以查看、发帖及审核。
您可以将不在 Cloud Identity 中的用户和群组作为外部身份源导入。您必须先为组织创建身份源,然后将用户和群组信息导入 Cloud Identity。
后续步骤
您可以执行以下几个后续步骤:
如需设置 API,请参阅设置 Groups API。
如需创建和管理 Google 群组,请参阅创建和搜索 Google 群组。
如需详细了解动态群组,请参阅动态群组概览。
如需将 Google 群组更新为安全群组,请参阅将 Google 群组更新为安全群组。
如需创建和管理身份映射群组,请参阅创建和搜索身份映射群组。