REST Resource: roleAssignments

Ressource: RoleAssignment

Définit l'attribution d'un rôle.

Représentation JSON 
{
  "roleAssignmentId": string,
  "roleId": string,
  "kind": string,
  "etag": string,
  "assignedTo": string,
  "assigneeType": enum (AssigneeType),
  "scopeType": string,
  "orgUnitId": string,
  "condition": string
}
Champs
roleAssignmentId

string (int64 format)

ID de ce RoleAssignment.
roleId

string (int64 format)

ID du rôle attribué.
kind

string

Type de ressource d'API. Il s'agit toujours de admin#directory#roleAssignment.
etag

string

ETag de la ressource.
assignedTo

string

ID unique de l'entité à laquelle ce rôle est attribué. Il peut s'agir du userId d'un utilisateur, du groupId d'un groupe ou de l'uniqueId d'un compte de service, comme défini dans Identity and Access Management (IAM).
assigneeType

enum (AssigneeType)

Uniquement en sortie. Type de la personne responsable (USER ou GROUP).
scopeType

string

Champ d'application dans lequel ce rôle est attribué.

Les valeurs acceptées sont les suivantes :

  • CUSTOMER
  • ORG_UNIT
orgUnitId

string

Si le rôle est limité à une unité organisationnelle, ce champ contient l'ID de l'unité organisationnelle à laquelle ce rôle est limité.
condition

string

Facultatif. (Version bêta ouverte – Disponible avec la version /admin/directory/v1.1beta1 de l'API)

Remarque: Cette fonctionnalité est disponible pour les clients Enterprise Standard, Enterprise Plus, Google Workspace for Education Plus et Cloud Identity Premium. Aucune configuration supplémentaire n'est requise pour utiliser cette fonctionnalité. Actuellement, dans la version bêta, le RoleAssignment associé à un condition n'est pas encore respecté dans la console d'administration (http://admin.google.com).

Condition associée à cette attribution de rôle. Un élément RoleAssignment pour lequel le champ condition est défini ne prend effet que lorsque la ressource consultée remplit la condition. Si condition est vide, le rôle (roleId) est appliqué à l'acteur (assignedTo) au niveau du champ d'application (scopeType) de manière inconditionnelle.

Actuellement, seules deux conditions sont acceptées:

  • Pour que la règle RoleAssignment ne s'applique qu'aux groupes de sécurité: api.getAttribute('cloudidentity.googleapis.com/groups.labels', []).hasAny(['groups.security']) && resource.type == 'cloudidentity.googleapis.com/Group'

  • Pour rendre la RoleAssignment non applicable aux groupes de sécurité: !api.getAttribute('cloudidentity.googleapis.com/groups.labels', []).hasAny(['groups.security']) && resource.type == 'cloudidentity.googleapis.com/Group'

Actuellement, les deux chaînes de condition doivent être énoncées telles quelles et ne fonctionnent qu'avec les rôles d'administrateur prédéfinis suivants:

  • Éditeur de groupes
  • Lecteur de groupes

La condition respecte la syntaxe des conditions Cloud IAM.

AssigneeType

Type d'identité auquel un rôle est attribué.

Enums
USER Utilisateur individuel dans le domaine.
GROUP Groupe appartenant au domaine.

Méthodes

delete

 Supprime une attribution de rôle.

get

 Récupère une attribution de rôle.

insert

 Crée une attribution de rôle.

list

 Récupère une liste paginée de toutes les attributions de rôles.