Yönetici işlemleri

Alan yöneticileri, alanlarındaki kullanıcıların erişebileceği özellikleri ve uygulamaları yönetmek için çeşitli denetimlere sahiptir. Bu sayfada bu özellikler, harici entegrasyonu nasıl etkileyebileceği veya bu entegrasyon için nasıl yararlı olabileceği ve ilgili API istekleri açıklanmaktadır.

18 yaşından küçük kullanıcıların üçüncü taraf uygulamalarına erişimini yönetme

Yöneticiler, 18 yaşından küçük kullanıcılar için Google Yönetici Konsolu'nda üçüncü taraf uygulamalarını yapılandırmalıdır. Yöneticiler bir uygulamayı yapılandırmamışsa 18 yaşından küçük kullanıcılar Google Workspace for Education hesaplarıyla bu uygulamaya erişemez.

18 yaşından küçük Google Workspace for Education kullanıcıları için uygulama geliştiren geliştiricilerin herhangi bir işlem yapması gerekmez. Üçüncü taraf uygulamaları yalnızca Yönetici Konsolu kullanıcı arayüzünde yöneticiler tarafından yapılandırılabilir ve programatik olarak yapılandırılamaz.

Classroom özellikleri için özel yönetici rolleri atama

Yöneticiler, Yönetici Konsolu'nda Education Plus lisansına sahip belirli kullanıcılara veya gruplara aşağıdakileri yapma izni vermek için özel yönetici rolleri oluşturabilir:

Bu kılavuzda, Google API'lerini kullanarak bu özelliklerin alanınızda nasıl ayarlanacağı açıklanmaktadır.

Özel rol atama sürecini otomatikleştirme

Bu kılavuzda, özel rol atama sürecini otomatikleştirmek için aşağıdaki adımları nasıl tamamlayacağınız açıklanmaktadır:

  1. Bu özelliklere erişebilen kullanıcıları düzenlemek için güvenlik grupları oluşturun.
  2. Gruplara üye ekleme.
  3. Doğru ayrıcalığı seçerek özel bir yönetici rolü oluşturun.
  4. Kuruluş birimi kimliklerini alabilir.
  5. Özel yönetici rolünü yeni oluşturulan gruplara uygulayın.

Ön koşullar

  1. JavaScript, Python ve Java gibi dillerde Google API'lerini kullanarak uygulama oluşturmayı ve çalıştırmayı öğrenmek için hızlı başlangıç kılavuzlarını okuyun.
  2. Bu kılavuzda açıklanan Cloud Identity API'lerinden herhangi birini kullanmadan önce Cloud Identity'yi ayarlamanız gerekir. Bu API'ler, yönetici ayrıcalıkları atamak için grup oluşturmak amacıyla kullanılır.
  3. Bir kullanıcı yerine bir kullanıcı grubuna özel rol erişimi sağlamak istiyorsanız Groups API'ye Genel Bakış bölümünü okuyun ve Groups API'yi ayarlayın.

Güvenlik grupları oluşturma

groups.create yöntemiyle bir güvenlik grubu oluşturun. Güvenlik etiketi, istekteki labels alanına dahil edildiğinde grup güvenlik grubu olarak ayarlanabilir. Güvenlik grubu oluşturma hakkında daha fazla bilgi ve sınırlamalar için güvenlik grubu oluşturma kılavuzunu inceleyin.

POST https://cloudidentity.googleapis.com/v1/groups

İsteğe bağlı olarak, grup sahibini başlatmak için InitialGroupConfig sorgu parametresini ekleyebilirsiniz:

POST https://cloudidentity.googleapis.com/v1/groups&initialGroupConfig={initialGroupConfig}

Bu isteği yapan hesabın aşağıdaki kapsamlardan birine sahip olması gerekir:

  • https://www.googleapis.com/auth/cloud-identity.groups
  • https://www.googleapis.com/auth/cloud-identity
  • https://www.googleapis.com/auth/cloud-platform

İstek içeriği

İstek metni, oluşturulacak grubun ayrıntılarını içerir. customerId, "C" ile başlamalıdır (örneğin, C046psxkn). Müşteri kimliğinizi bulun.

{
   parent: "customers/<customer-id>",
   description: "This is the leadership group of school A.",
   displayName: "Leadership School A",
   groupKey: {
      id: "leadership_school_a@example.com"
   },
   labels: {
      "cloudidentity.googleapis.com/groups.security": "",
      "cloudidentity.googleapis.com/groups.discussion_forum": ""
   }
}

Yanıt

Yanıt, Operation kaynağının yeni bir örneğini içerir.

{
   done: true,
   response: {
      @type: "type.googleapis.com/google.apps.cloudidentity.groups.v1.Group",
      name: "groups/<group-id>", // unique group ID
      groupKey: {
         id: "leadership_school_a@example.com" // group email address
      },
      parent: "customers/<customer-id>",
      displayName: "Leadership School A",
      description: "This is the leadership group of school A.",
      createTime: "<created time>",
      updateTime: "<updated time>",
      labels: {
         "cloudidentity.googleapis.com/groups.security": "",
         "cloudidentity.googleapis.com/groups.discussion_forum": ""
      }
   }
}

Grup üyeleri ekleme

Grubu oluşturduktan sonraki adım, üye eklemektir. Grup üyeleri kullanıcı veya başka bir güvenlik grubu olabilir. Bir grubu başka bir grubun üyesi olarak eklerseniz üyeliğin dağıtılması 10 dakika kadar sürebilir. Ayrıca API, grup üyeliklerindeki döngüler için hata döndürür. Örneğin, group1, group2 grubunun üyesiyse group2, group1 grubunun üyesi olamaz.

Bir gruba üye eklemek için Directory API members.insert yöntemine aşağıdaki POST isteğini gönderin:

POST https://admin.googleapis.com/admin/directory/v1/groups/{groupKey}/members

groupKey yol parametresi, yeni üyenin grup e-posta adresi veya grubun benzersiz kimliğidir.

POST isteğini gönderen hesabın aşağıdaki kapsamlardan birine sahip olması gerekir:

  • https://apps-apis.google.com/a/feeds/groups/
  • https://www.googleapis.com/auth/admin.directory.group
  • https://www.googleapis.com/auth/admin.directory.group.member

İstek içeriği

İstek metni, oluşturulacak member ile ilgili ayrıntıları içerir.

{
   email: "person_one@example.com",
   role: "MEMBER", // can be `MEMBER`, `OWNER`, `MANAGER`
}

Yanıt

Yanıt, üyenin yeni örneğini içerir.

{
   kind: "admin#directory#member",
   etag: "<etag-value>", // role's unique ETag
   id: "4567", // group member's unique ID
   email: "person_one@example.com",
   role: "MEMBER",
   type: "GROUP",
   status: "ACTIVE"
}

Bu isteğin, üye olarak eklemek istediğiniz her kullanıcı için yapılması gerekir. İstemcinizin kurması gereken HTTP bağlantılarının sayısını azaltmak için bu istekleri toplu olarak gönderebilirsiniz.

Ayrıcalıklı özel yönetici rolü oluşturma

Directory API, Google Workspace alanınızdaki özelliklere erişimi yönetmek için rol tabanlı erişim denetimini (RBAC) kullanmanıza olanak tanır. Yönetici erişimini Google Workspace'te sağlanan hazır rollerden daha ayrıntılı bir şekilde sınırlamak için ayrıcalıklara sahip özel roller oluşturabilirsiniz. Kullanıcılara veya güvenlik gruplarına rol atayabilirsiniz. Rol oluşturma sınırlamaları hakkında daha ayrıntılı bilgi için özel rol ve rol atama sınırlamaları başlıklı makaleyi inceleyin.

Yeni bir rol oluşturmak için Directory API roles.insert yöntemine aşağıdaki POST isteğini gönderin:

POST https://admin.googleapis.com/admin/directory/v1/customer/{customer}/roles

customerId, bu kılavuzun 1. adımında kullanılanla aynıdır.

POST isteği gönderen hesabın aşağıdaki kapsama sahip olması gerekir:

  • https://www.googleapis.com/auth/admin.directory.rolemanagement

İstek içeriği

İstek metni, oluşturulacak role ile ilgili ayrıntıları içerir. Bu rolle birlikte verilmesi gereken her ayrıcalık için bir privilegeName ve serviceId ekleyin.

Classroom analizleri

Analytics verilerine erişebilen özel bir rol oluşturmak için EDU_ANALYTICS_DATA_ACCESS ayrıcalığı ve serviceId'nin 019c6y1840fzfkt olarak ayarlanması gerekir.

{
  roleName: "Education Admin", // customize as needed
  roleDescription: "Access to view analytics data", // customize as needed
  rolePrivileges: [
     {
        privilegeName: "EDU_ANALYTICS_DATA_ACCESS",
        serviceId: "019c6y1840fzfkt"
     }
  ]
}

Geçici sınıf erişimi

Sınıflara geçici olarak erişebilen özel bir rol oluşturmak için ADMIN_OVERSIGHT_MANAGE_CLASSES ayrıcalığı ve serviceId'nin 019c6y1840fzfkt olarak ayarlanması gerekir.

{
  roleName: "Education Admin", // customize as needed
  roleDescription: "Access to manage classes privilege", // customize as needed
  rolePrivileges: [
     {
        privilegeName: "ADMIN_OVERSIGHT_MANAGE_CLASSES",
        serviceId: "019c6y1840fzfkt"
     }
  ]
}

privilegeIds ve serviceIds öğelerinin listesini almak için privileges.list yöntemini çağırın.

Yanıt

Yanıt, rolün yeni örneğini içerir.

Classroom analizleri

{
  kind: "admin#directory#role",
  etag: "<etag-value>",  // role's unique ETag
  roleId: "<role-id>",   // role's unique ID
  roleName: "Education Admin",
  roleDescription: "Access to view analytics data",
  rolePrivileges: [
     {
        privilegeName: "EDU_ANALYTICS_DATA_ACCESS",
        serviceId: "019c6y1840fzfkt"
     }
  ],
  isSystemRole: false,
  isSuperAdminRole: false
}

Geçici sınıf erişimi

{
  kind: "admin#directory#role",
  etag: "<etag-value>",  // role's unique ETag
  roleId: "<role-id>",   // role's unique ID
  roleName: "Education Admin",
  roleDescription: "Access to manage classes privilege",
  rolePrivileges: [
     {
        privilegeName: "ADMIN_OVERSIGHT_MANAGE_CLASSES",
        serviceId: "019c6y1840fzfkt"
     }
  ],
  isSystemRole: false,
  isSuperAdminRole: false
}

Kuruluş birimi kimliklerini alma

Kuruluş birimi kimliğini kullanarak özel yönetici rolünün bir veya daha fazla kuruluş birimine erişimini sınırlayabilirsiniz. orgUnitId öğesini almak için OrgUnit API'yi kullanın.

Classroom analizleri

Özel yönetici rolünü belirli bir kullanıcıya veya gruba atarken öğrenci kuruluş birimi ve öğretmen kuruluş birimi seçmeniz önerilir. Bu sayede, özel yönetici ayrıcalığına sahip kullanıcılar kuruluş birimleri için öğrenci ve sınıf düzeyindeki verilere erişebilir. Öğrenci kuruluş birimi atlanmazsa belirtilen kullanıcılar öğrenci verilerine erişemez. Öğretmen kuruluş birimi atlanmazsa belirtilen kullanıcılar sınıf düzeyindeki verilere erişemez.

Geçici sınıf erişimi

Özel yönetici rolüne sahip kullanıcıların belirli kuruluş birimlerindeki sınıflara erişmesine izin vererek geçici sınıf erişimi ayrıcalıklarını sınırlayabilirsiniz. Bir kuruluş birimine erişimi kısıtlıyorsanız özel yönetici rolü atanan grup yalnızca birincil öğretmeni söz konusu kuruluş biriminde olan sınıflara erişebilir.

Özel yönetici rolünü atama

Özel yönetici rolünü bir gruba atamak için aşağıdaki POST isteğini kullanın. Rol atama sınırları için özel rol ve rol atama sınırlamaları yönergelerine bakın.

Directory API roleAssignments.insert:

POST https://admin.googleapis.com/admin/directory/v1/customer/{customer}/roleassignments

Bir gruba veya tek bir kullanıcıya atama

Ayrıcalığı bir gruba atıyorsanız istek metnindeki assignedTo alanına groupId öğesini ekleyin. groupId, Güvenlik grubu oluşturma adımında elde edilmiştir. Ayrıcalığı tek bir kullanıcıya atıyorsanız istek gövdesinde assignedTo alanına kullanıcının kimliğini ekleyin. Kullanıcının kimliği, users.get çağrısı yapılarak ve kullanıcının e-posta adresi userKey parametresi olarak belirtilerek veya users.list çağrısı yapılarak alınabilir.

POST isteği gönderen hesabın aşağıdaki kapsama sahip olması gerekir:

  • https://www.googleapis.com/auth/admin.directory.rolemanagement

İstek içeriği

İstek metni, oluşturulacak RoleAssignment ile ilgili ayrıntıları içerir. Bu grupla ilişkilendirmek istediğiniz her kuruluş birimi için bir istek göndermeniz gerekir.

{
   roleId: "<role-id>",        // role's unique ID obtained from Step 3
   assignedTo: "<id>",         // group ID or user ID
   scopeType: "ORG_UNIT",      // can be `ORG_UNIT` or `CUSTOMER`
   orgUnitId: "<org-unit-id>"  // organizational unit ID referenced in Step 4
}

Yanıt

Yanıt, RoleAssignment öğesinin yeni örneğini içerir.

{
   kind: "admin#directory#roleAssignment",
   etag: "<etag-value>",
   roleAssignmentId: "<role-assignment-id>",
   roleId: "<role-id>",
   assignedTo: "<group-id or user-id>",
   assigneeType: "GROUP",
   scopeType: "ORG_UNIT",
   orgUnitId: "<org-unit-id>"
}

Kaynaklar

Daha fazla bilgiyi şu adreste bulabilirsiniz: