REST Resource: roleAssignments

Ressource: RoleAssignment

Définit l'attribution d'un rôle.

Représentation JSON 
{
  "roleAssignmentId": string,
  "roleId": string,
  "kind": string,
  "etag": string,
  "assignedTo": string,
  "assigneeType": enum (AssigneeType),
  "scopeType": string,
  "orgUnitId": string,
  "condition": string
}
Champs
roleAssignmentId

string (int64 format)

ID de ce roleAssignment.
roleId

string (int64 format)

ID du rôle attribué.
kind

string

Type de ressource d'API. Il s'agit toujours de admin#directory#roleAssignment.
etag

string

ETag de la ressource.
assignedTo

string

ID unique de l'entité à laquelle ce rôle est attribué : soit l'userId d'un utilisateur, l'groupId d'un groupe, soit l'uniqueId d'un compte de service tel que défini dans Identity and Access Management (IAM).
assigneeType

enum (AssigneeType)

Uniquement en sortie. Type de la personne responsable (USER ou GROUP).
scopeType

string

Champ d'application du rôle.

Les valeurs acceptées sont les suivantes :

  • CUSTOMER
  • ORG_UNIT
orgUnitId

string

Si le rôle est limité à une unité organisationnelle, ce champ contient l'ID de l'unité organisationnelle à laquelle l'exercice de ce rôle est limité.
condition

string

Facultatif. (Bêta ouverte : disponible dans la version /admin/directory/v1.1beta1 de l'API)

Remarque: Cette fonctionnalité est disponible pour les clients Enterprise Standard, Enterprise Plus, Google Workspace for Education Plus et Cloud Identity Premium. Aucune configuration supplémentaire n'est requise pour utiliser cette fonctionnalité. Actuellement, dans la version bêta, le RoleAssignment associé à un condition n'est pas encore respecté dans la console d'administration (http://admin.google.com).

Condition associée à cette attribution de rôle. Un RoleAssignment pour lequel le champ condition est défini ne prend effet que lorsque la ressource en cours d'accès remplit la condition. Si condition est vide, le rôle (roleId) est appliqué à l'acteur (assignedTo) au niveau du champ d'application (scopeType) de manière inconditionnelle.

Actuellement, seules deux conditions sont acceptées:

  • Pour que RoleAssignment ne s'applique qu'aux groupes de sécurité: api.getAttribute('cloudidentity.googleapis.com/groups.labels', []).hasAny(['groups.security']) && resource.type == 'cloudidentity.googleapis.com/Group'

  • Pour rendre RoleAssignment non applicable aux groupes de sécurité: !api.getAttribute('cloudidentity.googleapis.com/groups.labels', []).hasAny(['groups.security']) && resource.type == 'cloudidentity.googleapis.com/Group'

Actuellement, les deux chaînes de condition doivent être textuelles et ne fonctionnent qu'avec les rôles d'administrateur prédéfinis suivants:

  • Éditeur de groupes
  • Lecteur de groupes

La condition suit la syntaxe des conditions Cloud IAM.

AssigneeType

Type d'identité auquel un rôle est attribué.

Enums
USER Un utilisateur individuel au sein du domaine.
GROUP Un groupe au sein du domaine

Méthodes

delete

 Supprime une attribution de rôle.

get

 Récupère une attribution de rôle.

insert

 Crée une attribution de rôle.

list

 Récupère une liste paginée de toutes les attributions de rôles.