REST Resource: roleAssignments

Zasób: RoleAssignment

Określa przypisanie roli.

Zapis JSON
{
  "roleAssignmentId": string,
  "roleId": string,
  "kind": string,
  "etag": string,
  "assignedTo": string,
  "assigneeType": enum (AssigneeType),
  "scopeType": string,
  "orgUnitId": string,
  "condition": string
}
Pola
roleAssignmentId

string (int64 format)

Identyfikator tej roli roleAssignment.

roleId

string (int64 format)

Identyfikator przypisanej roli.

kind

string

Typ zasobu interfejsu API. Jest to zawsze admin#directory#roleAssignment.

etag

string

ETag zasobu.

assignedTo

string

Unikalny identyfikator jednostki, do której jest przypisana ta rola – userId użytkownika, groupId grupy lub uniqueId konta usługi zgodnie z definicją w artykule Identity and Access Management (Uprawnienia).

assigneeType

enum (AssigneeType)

Tylko dane wyjściowe. Typ przypisanej osoby (USER lub GROUP).

scopeType

string

Zakres, w którym przypisana jest ta rola.

Dopuszczalne wartości:

  • CUSTOMER
  • ORG_UNIT
orgUnitId

string

Jeśli rola jest ograniczona do jednostki organizacyjnej, zawiera ona identyfikator jednostki organizacyjnej, do której ograniczone jest korzystanie z tej roli.

condition

string

Opcjonalnie. (Otwarta wersja beta – dostępna w wersji interfejsu API /admin/directory/v1.1beta1)

Uwaga: ta funkcja jest dostępna dla klientów Enterprise Standard, Enterprise Plus, Google Workspace for Education Plus i Cloud Identity Premium. Ta funkcja nie wymaga dodatkowej konfiguracji. Obecnie w wersji beta usługa RoleAssignment powiązana z kontem condition nie jest jeszcze uwzględniana w konsoli administracyjnej (http://admin.google.com).

Warunek powiązany z przypisaniem roli. Pole RoleAssignment z ustawionym polem condition będzie obowiązywać tylko wtedy, gdy zasób, do którego próbujesz uzyskać dostęp, spełnia warunek. Jeśli zasada condition jest pusta, rola (roleId) jest stosowana do użytkownika (assignedTo) w zakresie (scopeType) bezwarunkowo.

Obecnie obsługiwane są tylko 2 warunki:

  • Aby RoleAssignment miała zastosowanie tylko do grup zabezpieczeń: api.getAttribute('cloudidentity.googleapis.com/groups.labels', []).hasAny(['groups.security']) && resource.type == 'cloudidentity.googleapis.com/Group'

  • Aby RoleAssignment nie miał zastosowania do grup zabezpieczeń: !api.getAttribute('cloudidentity.googleapis.com/groups.labels', []).hasAny(['groups.security']) && resource.type == 'cloudidentity.googleapis.com/Group'

Obecnie oba ciągi warunków muszą być dokładne i działają tylko z tymi gotowymi rolami administratora:

  • Edytor grup
  • Odczyt grup

Warunek jest zgodny ze składnią warunku Cloud IAM.

AssigneeType

Typ tożsamości, do której przypisana jest rola.

Wartości w polu enum
USER Pojedynczy użytkownik w domenie.
GROUP Grupa w domenie.

Metody

delete

Usuwa przypisanie roli.

get

Pobiera przypisanie roli.

insert

Tworzy przypisanie roli.

list

Pobiera podzieloną na strony listę wszystkich roleAssignments.