REST Resource: roleAssignments

Recurso: RoleAssignment

Define la asignación de un rol.

Representación JSON 
{
  "roleAssignmentId": string,
  "roleId": string,
  "kind": string,
  "etag": string,
  "assignedTo": string,
  "assigneeType": enum (AssigneeType),
  "scopeType": string,
  "orgUnitId": string,
  "condition": string
}
Campos
roleAssignmentId

string (int64 format)

Es el ID de esta roleAssignment.
roleId

string (int64 format)

El ID de la función que se asigna.
kind

string

Tipo de recurso de la API. Siempre es admin#directory#roleAssignment.
etag

string

ETag del recurso.
assignedTo

string

El ID único de la entidad a la que se asigna este rol, ya sea el userId de un usuario, el groupId de un grupo o el uniqueId de una cuenta de servicio, como se define en Identity and Access Management (IAM).
assigneeType

enum (AssigneeType)

Solo salida. Es el tipo de usuario asignado (USER o GROUP).
scopeType

string

El permiso en el que se asigna este rol.

Los valores aceptables son:

  • CUSTOMER
  • ORG_UNIT
orgUnitId

string

Si el rol está restringido a una unidad organizativa, este contiene el ID de la unidad organizativa a la que se restringe el ejercicio de este rol.
condition

string

Opcional. (Versión beta abierta: disponible en la versión /admin/directory/v1.1beta1 de la API)

Nota: La función está disponible para los clientes de Enterprise Standard, Enterprise Plus, Google Workspace for Education Plus y Cloud Identity Premium. No se requiere ninguna configuración adicional para utilizar la función. Actualmente, en la versión beta, todavía no se respeta el RoleAssignment asociado con un condition en la Consola del administrador (http://admin.google.com).

La condición asociada con esta asignación de rol. Un RoleAssignment con el campo condition configurado solo tendrá efecto cuando el recurso al que se acceda cumpla con la condición. Si condition está vacío, el rol (roleId) se aplica al actor (assignedTo) en el alcance (scopeType) de forma incondicional.

Actualmente, solo se admiten dos condiciones:

  • Para que la RoleAssignment solo se aplique a los grupos de seguridad, sigue estos pasos: api.getAttribute('cloudidentity.googleapis.com/groups.labels', []).hasAny(['groups.security']) && resource.type == 'cloudidentity.googleapis.com/Group'

  • Para que la RoleAssignment no sea aplicable a los grupos de seguridad, sigue estos pasos: !api.getAttribute('cloudidentity.googleapis.com/groups.labels', []).hasAny(['groups.security']) && resource.type == 'cloudidentity.googleapis.com/Group'

Actualmente, las dos cadenas de condición deben ser textuales y solo funcionan con los siguientes roles de administrador compilados previamente:

  • Editor de grupos
  • Lector de grupos

La condición sigue la sintaxis de condición de Cloud IAM.

AssigneeType

El tipo de identidad a la que se le asigna un rol.

Enumeraciones
USER Un usuario individual dentro del dominio.
GROUP Es un grupo dentro del dominio.

Métodos

delete

 Borra una asignación de rol.

get

 Recupera una asignación de función.

insert

 Crea una asignación de rol.

list

 Recupera una lista paginada de todas las roleAssignments.