管理角色

Directory API 可让您使用 基于角色的访问权限控制 (RBAC) 管理对您 Google Workspace 网域中功能的使用权限。您可以创建 具有权限的自定义角色，可以更具体地限制管理员访问权限， Google Workspace 提供的预先创建的角色。您可以分配角色 用户或安全群组的权限。本指南将介绍如何执行 与角色相关的基本任务。

下面列出了 Directory API 与 关于 Google Workspace 中的 RBAC：

权限

在 Google Cloud 控制台中执行任务或操作所需的权限 Google Workspace 网域。由 Privilege 资源。那里 不是与此资源关联的持久性数据。

角色

一组权限，可将具有该角色的实体 执行某些任务或操作的能力。由 Role 资源。

角色分配

分配给用户或群组的特定角色的记录。代表方 RoleAssignment 资源。

安全群组

一种 Cloud Identity 群组 用于控制对组织的访问权限 资源。安全群组可以同时包含个人用户和群组。

角色和角色分配限制

您只能创建有限数量的自定义角色或角色分配，因此，如果 您即将达到上限，请合并或移除这些受众群体，以免其超出上限 上限。角色和角色分配具有以下限制：

• 您最多可以为整个组织创建 750 个自定义角色。
• 您最多可以创建 1,000 项角色分配， 组织部门 (OU)，根级组织被视为一个单元。 例如，您可以在根级组织中分配 600 个角色，并分配 700 个角色 在您定义的其他组织部门（例如公司的部门）中工作。 所有预先创建的 Google Workspace 管理员角色都默认使用 组织级范围。详细了解 针对权限和权限的限制 可在组织部门一级分配

对于群组，角色和角色分配具有以下限制：

• 您可以分配除超级用户以外的任何角色。
• 在整个组织部门中，您总共最多可以向多个群组分配 250 个角色 设置不同的政策
• 该群组必须是贵组织中的安全群组。
• 我们建议您将群组成员资格限制为组织内的用户。您 可以添加组织外的用户，但他们 可能无法获得角色权限有关详情，请参阅 限制群组成员资格。 ### 向群组分配角色

如果您需要在组织部门中分配超过 1000 个角色，则可以添加多个 将成员添加到安全群组，并为该群组分配角色。群组角色 分配有一些额外的限制，请参阅 管理员帮助中心，了解具体信息。

Google 管理控制台中的角色到权限的映射

要为通过 那么您可能需要授予某些额外权限 已授予。例如，要授权某个用户通过 不仅仅是 USERS_CREATE 权限， USERS_UPDATE 和 ORGANIZATION_UNITS_RETRIEVE 是必需的 权限。下表显示了管理控制台的对应关系 授予管理用户和管理员所需的权限 组织部门。

管理控制台功能	需要特权
组织部门 - 读取	ORGANIZATION_UNITS_RETRIEVE
组织部门 - 创建	ORGANIZATION_UNITS_RETRIEVE + ORGANIZATION_UNITS_CREATE
组织部门 - 更新	ORGANIZATION_UNITS_RETRIEVE + ORGANIZATION_UNITS_UPDATE
组织部门 - 删除	ORGANIZATION_UNITS_RETRIEVE + ORGANIZATION_UNITS_DELETE
单位部门	ORGANIZATION_UNITS_ALL
用户 - 读取	USERS_RETRIEVE + ORGANIZATION_UNITS_RETRIEVE
用户 - 创建	USERS_CREATE + USERS_UPDATE + ORGANIZATION_UNITS_RETRIEVE
用户 - 更新	USERS_UPDATE + ORGANIZATION_UNITS_RETRIEVE
用户 - 移动用户	USERS_MOVE + USERS_RETRIEVE + ORGANIZATION_UNITS_RETRIEVE
用户 - 重命名用户	USERS_ALIAS + USERS_RETRIEVE + ORGANIZATION_UNITS_RETRIEVE
用户 - 重置密码	USERS_RESET_PASSWORD + USERS_RETRIEVE + ORGANIZATION_UNITS_RETRIEVE
用户 - 强制更改密码	USERS_FORCE_PASSWORD_CHANGE + USERS_RETRIEVE + ORGANIZATION_UNITS_RETRIEVE
用户 - 添加/移除别名	USERS_ADD_NICKNAME + USERS_RETRIEVE + ORGANIZATION_UNITS_RETRIEVE
用户 - 暂停用户	USERS_SUSPEND + USERS_RETRIEVE + ORGANIZATION_UNITS_RETRIEVE
小组	GROUPS_ALL
安全 - 用户安全管理	USER_SECURITY_ALL + USERS_RETRIEVE + ORGANIZATION_UNITS_RETRIEVE

使用场景示例

准备工作

完成 身份验证和授权 适用于 Google Workspace 的步骤。

获取网域权限列表

要获取您网域中受支持权限的分页列表，请使用 privileges.list() 方法。

• 如果您是在自己的网域中获得了权限的管理员，请使用 my_customer 作为客户 ID。

• 如果您是转销商，并且想要获得某个客户的相关权限， 使用检索 user 操作。

请求

GET https://admin.googleapis.com/admin/directory/v1/customer/customer_id/roles/ALL/privileges

响应

成功响应会返回 HTTP 200 状态 代码。除了 状态代码，则响应将返回域内支持的权限：

{
  "kind": "admin\#directory\#privileges",
  "etag": ...,
  "items": [
    {
      "kind": "admin\#directory\#privilege",
      "etag": ...,
      "serviceId": "02afmg282jiquyg",
      "privilegeName": "APP_ADMIN",
      "isOuScopable": false
    },
    {
      "kind": "admin\#directory\#privilege",
      "etag": ...,
      "serviceId": "04f1mdlm0ki64aw",
      "privilegeName": "MANAGE_USER_SETTINGS",
      "isOuScopable": true,
      "childPrivileges": [
        {
          "kind": "admin\#directory\#privilege",
          "etag": ...,
          "serviceId": "04f1mdlm0ki64aw",
          "privilegeName": "MANAGE_APPLICATION_SETTINGS",
          "isOuScopable": true
        }
      ]
    },
    ...
  ]
}

获取现有角色

如需获取现有角色列表，请使用以下 GET 请求并在请求中包含 授权 请求。

• 如果您是在自己的网域中获得角色的管理员，请使用 my_customer 作为客户 ID。

• 如果您是转销商为客户获取角色，请使用您在 使用检索 user 操作。

请求

GET https://admin.googleapis.com/admin/directory/v1/customer/customer_id/roles

响应

成功的响应会返回 HTTP 200 状态 代码。除了 状态代码，则响应将返回网域中存在的角色：

{
  "kind": "admin\#directory\#roles",
  "etag": "\"sxH3n22L0-77khHtQ7tiK6I21Yo/DywA6_jaJCYw-f0lFs2-g17UWe8\"",
  "items": [
    {
      "kind": "admin\#directory\#role",
      "etag": ... ,
      "roleId": "3894208461012993",
      "roleName": "_SEED_ADMIN_ROLE",
      "roleDescription": "Google Workspace Administrator Seed Role",
      "rolePrivileges": [
        {
          "privilegeName": "SUPER_ADMIN",
          "serviceId": "01ci93xb3tmzyin"
        },
        {
          "privilegeName": "ROOT_APP_ADMIN",
          "serviceId": "00haapch16h1ysv"
        },
        {
          "privilegeName": "ADMIN_APIS_ALL",
          "serviceId": "00haapch16h1ysv"
        },
        ...
      ],
      "isSystemRole": true,
      "isSuperAdminRole": true
    },
    {
      "kind": "admin\#directory\#role",
      "etag": "\"sxH3n22L0-77khHtQ7tiK6I21Yo/bTXiZXfuK1NGr_f4paosCWXuHmw\"",
      "roleId": "3894208461012994",
      "roleName": "_GROUPS_ADMIN_ROLE",
      "roleDescription": "Groups Administrator",
      "rolePrivileges": [
        {
          "privilegeName": "CHANGE_USER_GROUP_MEMBERSHIP",
          "serviceId": "01ci93xb3tmzyin"
        },
        {
          "privilegeName": "USERS_RETRIEVE",
          "serviceId": "00haapch16h1ysv"
        },
        {
          "privilegeName": "GROUPS_ALL",
          "serviceId": "00haapch16h1ysv"
        },
        {
          "privilegeName": "ADMIN_DASHBOARD",
          "serviceId": "01ci93xb3tmzyin"
        },
        {
          "privilegeName": "ORGANIZATION_UNITS_RETRIEVE",
          "serviceId": "00haapch16h1ysv"
        }
      ],
      "isSystemRole": true
    },
    ...
  ]
}

列出所有角色分配

要获取所有直接角色分配的分页列表，请使用 roleAssignments.list() 方法。当 userKey 触发时，API 可能会返回带有页面令牌的空结果 参数。您应继续分页，直到没有页面令牌 返回。

• 如果您是在自己的网域中获取角色分配的管理员，请使用 my_customer 作为客户 ID。

• 如果您是转销商，且为某个客户分配了角色， 使用检索 user 操作。

请求

GET https://admin.googleapis.com/admin/directory/v1/customer/customer_id/roleassignments

响应

成功的响应会返回 HTTP 200 状态 代码。除了 状态代码，则响应会返回网域中分配的所有角色：

{
  "kind": "admin\#directory\#roleAssignment",
  "etag": "\"sxH3n22L0-77khHtQ7tiK6I21Yo/VdrrUEz7GyXqlr9I9JL0wGZn8yE\"",
  "roleAssignmentId:"3894208461013211",
  "assignedTo:"100662996240850794412",
  "assigneeType:"user",
  "scopeType:"CUSTOMER",
}

列出所有间接角色分配

获取所有角色分配的分页列表，包括间接分配的角色 因为用户所属的群组而将其分配给用户，则使用 roleAssignments.list() 方法。

API 可能会返回带有页面令牌的空结果。您应该继续 直至系统未返回任何页面令牌为止。

• 如果您是在自己的网域中获取角色分配的管理员，请使用 my_customer 作为客户 ID。

• 如果您是转销商，且为某个客户分配了角色， 使用检索 user 操作。

• 将 USER_KEY 替换为用于标识 用户。如需了解详情，请参阅 users.get。

请求

GET https://admin.googleapis.com/admin/directory/v1/customer/customer_id/roleassignments?userKey=USER_KEY&includeIndirectRoleAssignments=true

响应

成功的响应会返回 HTTP 200 状态 代码。除了 状态代码，则响应会返回网域中分配的所有角色以及是否 assigneeType 为 user 或 group：

{
  "kind": "admin\#directory\#roleAssignment",
  "etag": "\"sxH3n22L0-77khHtQ7tiK6I21Yo/VdrrUEz7GyXqlr9I9JL0wGZn8yE\"",
  "roleAssignmentId:"3894208461013211",
  "assignedTo:"100662996240850794412",
  "assigneeType:"group",
  "scopeType:"CUSTOMER",
}

创建角色

如需创建新角色，请使用以下 POST 请求并在请求中包含 授权 请求。 为应该添加的每项权限添加 privilegeName 和 serviceId。 授予此角色的权限。如需了解请求和响应属性，请参阅 API 参考文档。

请求

POST https://admin.googleapis.com/admin/directory/v1/customer/customer_id/roles

{
  "roleName": "My New Role",
  "rolePrivileges": [
    {
      "privilegeName": "USERS_ALL",
      "serviceId": "00haapch16h1ysv"
    },
    {
      "privilegeName": "GROUPS_ALL",
      "serviceId": "00haapch16h1ysv"
    }
  ]
}

响应

成功的响应会返回 HTTP 200 状态 代码。除了 状态代码，则响应会返回新角色的属性：

{
  "kind": "admin\#directory\#role",
  "etag": "\"sxH3n22L0-77khHtQ7tiK6I21Yo/uX9tXw0qyijC9nUKgCs08wo8aEM\"",
  "roleId": "3894208461013031",
  "roleName": "My New Role",
  "rolePrivileges": [
    {
      "privilegeName": "GROUPS_ALL",
      "serviceId": "00haapch16h1ysv"
    },
    {
      "privilegeName": "USERS_ALL",
      "serviceId": "00haapch16h1ysv"
    }
  ]
}

创建角色分配

如需分配角色，请使用以下 POST 方法并添加授权 具体说明 向请求授权。

• 如需将角色分配给用户，请添加包含用户 user_id 的 JSON 正文， 您可以 从 users.get() 获取， roleId（如 获取现有角色)，以及 scope_type。

• 要将角色分配给服务账号，请添加包含 服务账号的 unique_id（如 Identity and Access Management (IAM)、 roleId（如 获取现有角色）以及 scope_type。

• 如需将角色分配给群组，请添加包含 group_id 的 JSON 正文 您可以从 groups.get(), roleId（如 获取现有角色）， 和 scope_type。

请求

POST https://admin.googleapis.com/admin/directory/v1/customer/customer_id/roleassignments

{
  "roleId": "3894208461012995",
  "assignedTo": "100662996240850794412",
  "scopeType": "CUSTOMER"
}

响应

成功的响应会返回 HTTP 200 状态 代码。除了 状态代码，则响应将返回新角色分配的属性：

{
  "kind": "admin\#directory\#roleAssignment",
  "etag": "\"sxH3n22L0-77khHtQ7tiK6I21Yo/VdrrUEz7GyXqlr9I9JL0wGZn8yE\"",
  "roleAssignmentId": "3894208461013211",
  "roleId": "3894208461012995",
  "assignedTo": "100662996240850794412",
  "scopeType": "CUSTOMER"
}

创建包含条件的角色分配

您可以授予角色以执行符合特定条件的操作。目前， 仅支持以下两个条件：

• 此问题仅会影响安全群组
• 不适用于安全群组

如果设置了 condition，则仅当 满足相应条件如果 condition 为空，则角色 (roleId) 为 无条件应用于作用域 (scopeType) 中的操作者 (assignedTo)。

要为用户分配角色，请使用以下 POST 方法并添加 中描述的授权 授权 请求。

添加包含用户的 user_id 的 JSON 正文，您可以从 users.get() 中，roleId 就是 获取现有角色中所述）以及 condition。通过 如下图所示，必须一字不差地使用两个条件字符串， 仅适用于群组编辑器和群组读取者 预先创建的管理员角色。 这些条件符合 Cloud IAM 条件语法。

请求

此问题仅会影响安全群组

POST https://admin.googleapis.com/admin/directory/v1.1beta1/customer/customer_id/roleassignments

{
  "roleId": "3894208461012995",
  "assignedTo": "100662996240850794412",
  "scopeType": "CUSTOMER",
  "condition": "api.getAttribute('cloudidentity.googleapis.com/groups.labels',
    []).hasAny(['groups.security']) && resource.type ==
    'cloudidentity.googleapis.com/Group'"
}

不适用于安全群组

POST https://admin.googleapis.com/admin/directory/v1.1beta1/customer/customer_id/roleassignments

{
  "roleId": "3894208461012995",
  "assignedTo": "100662996240850794412",
  "scopeType": "CUSTOMER",
  "condition": "!api.getAttribute('cloudidentity.googleapis.com/groups.labels',
    []).hasAny(['groups.security']) && resource.type ==
    'cloudidentity.googleapis.com/Group'"
}

响应

成功的响应会返回 HTTP 200 状态 代码。除了 状态代码，则响应将返回新角色分配的属性：

{
  "kind": "admin\#directory\#roleAssignment",
  "etag": "\"sxH3n22L0-77khHtQ7tiK6I21Yo/VdrrUEz7GyXqlr9I9JL0wGZn8yE\"",
  "roleAssignmentId": "3894208461013211",
  "roleId": "3894208461012995",
  "assignedTo": "100662996240850794412",
  "scopeType": "CUSTOMER",
  "condition": "!api.getAttribute('cloudidentity.googleapis.com/groups.labels',
    []).hasAny(['groups.security']) && resource.type ==
    'cloudidentity.googleapis.com/Group'"
}