REST Resource: roleAssignments

Recurso: RoleAssignment

Define uma atribuição de papel.

Representação JSON 
{
  "roleAssignmentId": string,
  "roleId": string,
  "kind": string,
  "etag": string,
  "assignedTo": string,
  "assigneeType": enum (AssigneeType),
  "scopeType": string,
  "orgUnitId": string,
  "condition": string
}
Campos
roleAssignmentId

string (int64 format)

ID dessa atribuição de função.
roleId

string (int64 format)

O ID da função atribuída.
kind

string

O tipo do recurso da API. Isso é sempre admin#directory#roleAssignment.
etag

string

ETag do recurso.
assignedTo

string

O ID exclusivo da entidade a que o papel é atribuído: o userId de um usuário, o groupId de um grupo ou o uniqueId de uma conta de serviço, conforme definido no Identity and Access Management (IAM).
assigneeType

enum (AssigneeType)

Apenas saída. O tipo do responsável (USER ou GROUP).
scopeType

string

O escopo em que esse papel é atribuído.

Os valores aceitáveis são:

  • CUSTOMER
  • ORG_UNIT
orgUnitId

string

Se a função for restrita a uma unidade organizacional, ela vai conter o ID da unidade organizacional a que o exercício dessa função está restrito.
condition

string

Opcional. (Beta aberto: disponível na versão /admin/directory/v1.1beta1 da API)

Observação: o recurso está disponível para clientes do Enterprise Standard, Enterprise Plus, Google Workspace for Education Plus e Cloud Identity Premium. Nenhuma configuração adicional é necessária para usar o recurso. Na versão Beta, o RoleAssignment associado a um condition ainda não é respeitado no Admin Console (http://admin.google.com).

A condição associada a essa atribuição de função. Uma RoleAssignment com o campo condition definido só vai entrar em vigor quando o recurso acessado atender à condição. Se condition estiver vazio, o papel (roleId) será aplicado ao ator (assignedTo) no escopo (scopeType) de forma incondicional.

No momento, apenas duas condições são aceitas:

  • Para que o RoleAssignment seja aplicável apenas a grupos de segurança: api.getAttribute('cloudidentity.googleapis.com/groups.labels', []).hasAny(['groups.security']) && resource.type == 'cloudidentity.googleapis.com/Group'

  • Para que o RoleAssignment não seja aplicável aos grupos de segurança: !api.getAttribute('cloudidentity.googleapis.com/groups.labels', []).hasAny(['groups.security']) && resource.type == 'cloudidentity.googleapis.com/Group'

No momento, as duas strings de condição precisam ser idênticas e só funcionam com as seguintes funções de administrador predefinidas:

  • Editor de grupos
  • Leitor de grupos

A condição segue a sintaxe de condições do Cloud IAM.

AssigneeType

O tipo de identidade a que um papel é atribuído.

Enums
USER Um usuário individual no domínio.
GROUP Um grupo no domínio.

Métodos

delete

 Exclui uma atribuição de função.

get

 Recupera uma atribuição de função.

insert

 Cria uma atribuição de função.

list

 Recupera uma lista paginada de todos os roleAssignments.