REST Resource: roleAssignments

משאב: RoleAssignment

הגדרת הקצאה של תפקיד.

ייצוג ב-JSON
{
  "roleAssignmentId": string,
  "roleId": string,
  "kind": string,
  "etag": string,
  "assignedTo": string,
  "assigneeType": enum (AssigneeType),
  "scopeType": string,
  "orgUnitId": string,
  "condition": string
}
שדות
roleAssignmentId

string (int64 format)

המזהה של roleAssignment.

roleId

string (int64 format)

המזהה של התפקיד שהוקצה.

kind

string

הסוג של משאב ה-API. הערך הזה הוא תמיד admin#directory#roleAssignment.

etag

string

ה-ETag של המשאב.

assignedTo

string

המזהה הייחודי של הישות שהתפקיד הזה הוקצה לה – userId של משתמש, groupId של קבוצה או uniqueId של חשבון שירות, כפי שמוגדר בניהול זהויות והרשאות גישה (IAM).

assigneeType

enum (AssigneeType)

פלט בלבד. הסוג של מקבל ההקצאה (USER או GROUP).

scopeType

string

ההיקף שבו התפקיד הזה מוקצה.

הערכים הקבילים הם:

  • CUSTOMER
  • ORG_UNIT
orgUnitId

string

אם התפקיד מוגבל ליחידה ארגונית, השדה הזה מכיל את המזהה של היחידה הארגונית שבה השימוש בתפקיד הזה מוגבל.

condition

string

זה שינוי אופציונלי. התנאי שמשויך להקצאת התפקיד הזו.

הערה: התכונה זמינה ללקוחות Enterprise Standard, ‏ Enterprise Plus, ‏ Google Workspace for Education Plus ו-Cloud Identity Premium.

RoleAssignment עם שדה condition מוגדר ייכנס לתוקף רק אם המשאב שאליו מתבצעת הגישה עומד בתנאי. אם השדה condition ריק, התפקיד (roleId) מוחל על הגורם (assignedTo) ברמת ההיקף (scopeType) ללא תנאי.

בשלב הזה יש תמיכה בתנאי הבאים:

  • כדי שהאפשרות RoleAssignment תחול רק על קבוצות אבטחה: api.getAttribute('cloudidentity.googleapis.com/groups.labels', []).hasAny(['groups.security']) && resource.type == 'cloudidentity.googleapis.com/Group'

  • כדי שהאפשרות RoleAssignment לא תחול על קבוצות אבטחה: !api.getAttribute('cloudidentity.googleapis.com/groups.labels', []).hasAny(['groups.security']) && resource.type == 'cloudidentity.googleapis.com/Group'

בשלב הזה, מחרוזות התנאי צריכות להיות זהות לחלוטין, והן פועלות רק עם תפקידי האדמין המוגדרים מראש הבאים:

  • עורך קבוצות Google
  • הרשאת קריאה בקבוצות

התנאי צריך לפעול לפי תחביר התנאים של Cloud IAM.

תנאים נוספים שקשורים לקבוצות נעולות זמינים בגרסת הבטא הפתוחה.

  • כדי שהאפשרות RoleAssignment לא תחול על קבוצות נעולות: !api.getAttribute('cloudidentity.googleapis.com/groups.labels', []).hasAny(['groups.locked']) && resource.type == 'cloudidentity.googleapis.com/Group'

אפשר להשתמש בתנאי הזה גם בשילוב עם תנאי שקשור לאבטחה.

AssigneeType

סוג הזהות שאליה מוקצה תפקיד.

טיפוסים בני מנייה (enum)
USER משתמש פרטי בדומיין.
GROUP קבוצה בדומיין.

Methods

delete

מחיקה של הקצאת תפקיד.

get

אחזור הקצאת תפקיד.

insert

יצירת הקצאת תפקיד.

list

אחזור רשימה מחולקת לדפים של כל ה-roleAssignments.