REST Resource: roleAssignments

Recurso: RoleAssignment

Define a atribuição de um papel.

Representação JSON
{
  "roleAssignmentId": string,
  "roleId": string,
  "kind": string,
  "etag": string,
  "assignedTo": string,
  "assigneeType": enum (AssigneeType),
  "scopeType": string,
  "orgUnitId": string,
  "condition": string
}
Campos
roleAssignmentId

string (int64 format)

É o ID desse roleAssignment.

roleId

string (int64 format)

O ID do papel atribuído.

kind

string

O tipo do recurso da API. É sempre admin#directory#roleAssignment.

etag

string

ETag do recurso.

assignedTo

string

O ID exclusivo da entidade a que esse papel é atribuído. Pode ser o userId do usuário, o groupId de um grupo ou o uniqueId de uma conta de serviço, conforme definido no Identity and Access Management (IAM).

assigneeType

enum (AssigneeType)

Apenas saída. Tipo de usuário atribuído (USER ou GROUP).

scopeType

string

O escopo em que esse papel é atribuído.

Os valores aceitos são:

  • CUSTOMER
  • ORG_UNIT
orgUnitId

string

Se a função for restrita a uma unidade organizacional, contém o ID da unidade organizacional à qual o exercício está restrito.

condition

string

Opcional. (Beta aberto: disponível na versão /admin/directory/v1.1beta1 da API)

Observação: o recurso está disponível para clientes do Enterprise Standard, Enterprise Plus, Google Workspace for Education Plus e Cloud Identity Premium. Nenhuma configuração adicional é necessária para usar o recurso. No momento, na versão Beta, o RoleAssignment associado a um condition ainda não é respeitado no Admin Console (http://admin.google.com).

A condição associada a esta atribuição de função. Uma RoleAssignment com o campo condition definido só terá efeito quando o recurso acessado atender à condição. Se condition estiver vazio, o papel (roleId) será aplicado incondicionalmente ao ator (assignedTo) no escopo (scopeType).

Atualmente, apenas duas condições são aceitas:

  • Para tornar a RoleAssignment aplicável apenas a grupos de segurança: api.getAttribute('cloudidentity.googleapis.com/groups.labels', []).hasAny(['groups.security']) && resource.type == 'cloudidentity.googleapis.com/Group'

  • Para tornar o RoleAssignment não aplicável aos grupos de segurança: !api.getAttribute('cloudidentity.googleapis.com/groups.labels', []).hasAny(['groups.security']) && resource.type == 'cloudidentity.googleapis.com/Group'

Atualmente, as duas strings de condição precisam ser literais e funcionam apenas com estas funções de administrador predefinidas:

  • Editor de grupos
  • Leitor de grupos

A condição segue a sintaxe de condição do Cloud IAM.

AssigneeType

O tipo de identidade ao qual um papel é atribuído.

Enums
USER Um usuário individual no domínio.
GROUP Um grupo dentro do domínio

Métodos

delete

Exclui uma atribuição de função.

get

Recupera uma atribuição de função.

insert

Cria uma atribuição de função.

list

Recupera uma lista paginada de todos os roleAssignments.