REST Resource: roleAssignments

Ressource: RoleAssignment

Definiert eine Zuweisung einer Rolle.

JSON-Darstellung 
{
  "roleAssignmentId": string,
  "roleId": string,
  "kind": string,
  "etag": string,
  "assignedTo": string,
  "assigneeType": enum (AssigneeType),
  "scopeType": string,
  "orgUnitId": string,
  "condition": string
}
Felder
roleAssignmentId

string (int64 format)

ID dieses Rollenzuweisungs.
roleId

string (int64 format)

Die ID der zugewiesenen Rolle.
kind

string

Der Typ der API-Ressource. Dies ist immer admin#directory#roleAssignment.
etag

string

ETag der Ressource.
assignedTo

string

Die eindeutige ID der Entität, der diese Rolle zugewiesen ist – entweder die userId eines Nutzers, die groupId einer Gruppe oder die uniqueId eines Dienstkontos, wie in Identity and Access Management (IAM) definiert.
assigneeType

enum (AssigneeType)

Nur Ausgabe Der Typ der zuständigen Person (USER oder GROUP).
scopeType

string

Der Bereich, in dem diese Rolle zugewiesen ist.

Akzeptable Werte sind:

  • CUSTOMER
  • ORG_UNIT
orgUnitId

string

Wenn die Rolle auf eine Organisationseinheit beschränkt ist, enthält sie die ID der Organisationseinheit, auf die die Ausübung dieser Rolle beschränkt ist.
condition

string

Optional. (Offene Betaversion – verfügbar in der /admin/directory/v1.1beta1-Version der API)

Hinweis: Die Funktion ist für Kunden von Enterprise Standard, Enterprise Plus, Google Workspace for Education Plus und der Cloud Identity Premiumversion verfügbar. Es ist keine zusätzliche Einrichtung erforderlich, um diese Funktion zu nutzen. Derzeit in der Betaversion wird die mit einem condition verknüpfte RoleAssignment in der Admin-Konsole (http://admin.google.com) noch nicht berücksichtigt.

Die mit dieser Rollenzuweisung verknüpfte Bedingung. Ein RoleAssignment mit einem festgelegten Feld condition wird nur wirksam, wenn die Ressource, auf die zugegriffen wird, die Bedingung erfüllt. Wenn condition leer ist, wird die Rolle (roleId) dem Akteur (assignedTo) bedingungslos (scopeType) zugewiesen.

Derzeit werden nur zwei Bedingungen unterstützt:

  • So legen Sie fest, dass RoleAssignment nur für Sicherheitsgruppen gilt: api.getAttribute('cloudidentity.googleapis.com/groups.labels', []).hasAny(['groups.security']) && resource.type == 'cloudidentity.googleapis.com/Group'

  • So legen Sie fest, dass RoleAssignment nicht für Sicherheitsgruppen gilt: !api.getAttribute('cloudidentity.googleapis.com/groups.labels', []).hasAny(['groups.security']) && resource.type == 'cloudidentity.googleapis.com/Group'

Derzeit müssen die beiden Bedingungsstrings wörtlich angegeben werden und funktionieren nur mit den folgenden vordefinierten Administratorrollen:

  • Gruppenbearbeiter
  • Google Groups-Leser

Die Bedingung folgt der Syntax von Cloud IAM-Bedingungen.

AssigneeType

Der Typ der Identität, der eine Rolle zugewiesen ist.

Enums
USER Ein einzelner Nutzer innerhalb der Domain.
GROUP Eine Gruppe innerhalb der Domain.

Methoden

delete

 Löscht eine Rollenzuweisung.

get

 Ruft eine Rollenzuweisung ab.

insert

 Erstellt eine Rollenzuweisung.

list

 Ruft eine paginierte Liste aller Rollenzuweisungen ab.