Groups API 總覽

Cloud Identity Groups API 可讓您建立及管理不同類型的群組,每個群組都支援不同的功能,並且可以加入不同的成員。

群組類型

群組是一組實體,其中每個實體可以是另一個群組或使用者。Cloud Identity Groups API 支援下列群組類型:

Google 網路論壇
Google 網路論壇有電子郵件地址,經常用於郵寄清單。Google 網路論壇也可用於多項 Google 產品。舉例來說,您可以與群組共用 Google 文件、邀請群組參加 Google 日曆活動,或使用群組管理 IAM 中的存取權。Google 群組是預設群組類型。
動態群組

動態群組是 Google 群組,系統會使用成員資格查詢或員工屬性查詢 (例如職務或建築物地點) 自動管理成員。舉例來說,您可以使用以下成員查詢:「所有在貴機構中擔任技術作家職務的使用者」。

安全性群組

安全性群組類似於 Google 群組,但專門用於控管機構資源的存取權。將 Google 群組更新為安全性群組,即可建立安全性群組。

鎖定的群組

「已鎖定」群組是指管理員已鎖定的 Google 網路論壇,以免群組與外部來源 (例如識別資訊提供者) 的資料不同步。管理員也可以鎖定 Google 網上論壇,提高機密群組的安全性。鎖定 Google 群組後,只有部分管理員可以編輯核心屬性和會員資格。

雖然標準群組擁有者、管理員和成員仍可更新訊息審核或發布權限等設定,但只有授權管理員可以修改下列屬性。經授權的管理員通常具有特定角色或條件,例如 Groups AdminGroups Editor,且條件包含鎖定的群組。

POSIX 群組 (已淘汰)

POSIX 群組是 Google 群組,用於管理 LDAP 環境中的群組成員資格。您可以使用 POSIX 資料更新 Google 群組,藉此建立 POSIX 群組。POSIX 群組資料包含群組名稱和群組 ID (GID)。

POSIX 群組已與 Google Cloud 整合,並由貴機構中已啟用 OS 登入功能的 VM 使用。

識別資訊對應群組

識別資訊對應群組是指包含從非 Google 識別資訊來源 (例如 Active Directory) 同步的使用者和群組的群組。透過識別對應群組,Google Cloud Search 就能辨識使用者和群組,以及他們對搜尋文件的權限,並儲存在外部識別資訊來源中。舉例來說,您可能有一位使用者 example_user_org@your_domain.com,擁有文件的特定權限。這個使用者可以同步至 example_user@your_domain.com,讓 Google Cloud Search 辨識他們對相同文件的相同權限。

只有服務帳戶可以提出 Cloud Identity Groups API 群組建立要求。

如要在 Google Cloud Search 中同步識別資訊對應群組,您必須建立識別資訊連接器。如果您使用的是 Java,可以使用 Google Cloud Search Java SDK 建立身分識別連接器。如果您想使用 REST API,可以使用 Cloud Identity Groups API。如要進一步瞭解身分連接器,請參閱 Cloud Search 說明文件中的「同步處理不同的身分系統」。

群組屬性

每個群組 (不論類型為何) 都具有下列屬性:

標籤
標籤會標示群組類型:
  • Google 網路論壇: cloudidentity.googleapis.com/groups.discussion_forum
  • 動態群組: cloudidentity.googleapis.com/groups.dynamic
  • 安全性群組: cloudidentity.googleapis.com/groups.security (這個標籤是 cloudidentity.googleapis.com/groups.discussion_forum 的額外標籤,因為安全性群組是根據 Google 網路論壇建立)
  • POSIX 群組: cloudidentity.googleapis.com/groups.posix (這個標籤是除了 cloudidentity.googleapis.com/groups.discussion_forum 之外,因為 POSIX 群組是根據 Google 群組建立)
  • 識別資訊對應群組: system/groups/external
實體鍵

實體鍵是群組的易讀專屬 ID:

  • Google 網路論壇、動態群組和安全性群組:群組的電子郵件地址
  • 已對應身分識別資訊的群組:使用命名空間限定的字串。您在 Google Cloud Search 中建立識別資訊來源時,系統會建立這個命名空間。如要進一步瞭解身分來源,請參閱 Cloud Search 說明文件中的「同步處理不同的身分系統」。
父項

父項是群組所屬的資源。對於 Google 網路論壇、動態群組和安全性群組,上層群組是指擁有網域的客戶。對於已對應身分的群組,父項是群組同步的來源。

顯示名稱

顯示名稱是群組在 Google 產品中顯示的名稱。

會員資格和會員屬性

屬於群組的實體稱為「成員」,而與該群組的關係則稱為「成員資格」。實體可以是使用者、群組或服務帳戶。會員具有下列屬性:

偏好的成員鍵
偏好的成員鍵是成員的讀取器專屬 ID。對於 Google 群組或個別使用者,首選成員鍵是群組或使用者的電子郵件地址。對於已對應身分的群組,偏好的成員索引鍵是使用命名空間限定的字串。
成員角色

會員角色代表成員在群組中的權限。支援的角色如下:

  • MEMBER,沒有特殊權限。每個會員至少都必須具備 MEMBER 會員角色。

  • OWNER,具有廣泛的權限,例如管理其他 OWNER 或刪除群組。

  • MANAGER,其權限比 OWNER 少,但比 MEMBER 多,例如管理其他 MANAGER

您可以在 Google 網路論壇網頁介面Google 管理控制台中,自訂特定會員角色在群組中的權限。詳情請參閱「設定哪些人可以查看、張貼及審核留言」。

您可以匯入未在 Cloud Identity 中列出的使用者和群組,做為外部身分來源。您必須先為機構建立身分識別來源,然後再將使用者和群組資訊匯入 Cloud Identity。

後續步驟

以下是您可以採取的後續步驟: