Thao tác của quản trị viên

Quản trị viên miền có một số chế độ kiểm soát để quản lý các tính năng và ứng dụng mà người dùng trong miền của họ có thể truy cập. Trang này mô tả các tính năng này, mức độ ảnh hưởng hoặc mức độ hữu ích của các tính năng này đối với việc tích hợp bên ngoài, cũng như các yêu cầu API có liên quan.

Quản lý quyền truy cập vào ứng dụng bên thứ ba cho người dùng dưới 18 tuổi

Quản trị viên phải thiết lập ứng dụng bên thứ ba trong Bảng điều khiển dành cho quản trị viên của Google cho người dùng dưới 18 tuổi. Nếu quản trị viên chưa định cấu hình một ứng dụng, thì người dùng dưới 18 tuổi sẽ không thể truy cập vào ứng dụng đó bằng tài khoản Google Workspace for Education.

Nhà phát triển không cần làm gì khi xây dựng ứng dụng cho người dùng Google Workspace for Education dưới 18 tuổi. Chỉ quản trị viên mới có thể thiết lập ứng dụng bên thứ ba trong giao diện người dùng của Bảng điều khiển dành cho quản trị viên và không thể thực hiện bằng cách lập trình.

Chỉ định vai trò quản trị viên tuỳ chỉnh cho các tính năng của Lớp học

Quản trị viên có thể tạo vai trò quản trị viên tuỳ chỉnh trong Bảng điều khiển dành cho quản trị viên để cho phép một số cá nhân hoặc nhóm có giấy phép Education Plus:

Hướng dẫn này giải thích cách thiết lập các tính năng này trong miền của bạn bằng cách sử dụng API của Google.

Tự động hoá quy trình chỉ định vai trò tuỳ chỉnh

Hướng dẫn này sẽ hướng dẫn bạn cách hoàn tất các bước sau để tự động hoá quy trình chỉ định vai trò tuỳ chỉnh:

  1. Tạo nhóm bảo mật để sắp xếp những người dùng có thể truy cập vào các tính năng này.
  2. Thêm thành viên vào nhóm.
  3. Tạo vai trò quản trị viên tuỳ chỉnh bằng cách chọn đúng đặc quyền.
  4. Truy xuất mã nhận dạng đơn vị tổ chức.
  5. Áp dụng vai trò quản trị viên tuỳ chỉnh cho các nhóm mới tạo.

Điều kiện tiên quyết

  1. Đọc Hướng dẫn bắt đầu nhanh để tìm hiểu cách thiết lập và chạy ứng dụng bằng các API của Google bằng các ngôn ngữ như JavaScript, Python và Java.
  2. Trước khi sử dụng bất kỳ API Cloud Identity nào được mô tả trong hướng dẫn này, bạn phải thiết lập Cloud Identity. Các API này được dùng để tạo nhóm nhằm chỉ định đặc quyền quản trị.
  3. Đọc Tổng quan về API Nhómthiết lập API Nhóm nếu bạn muốn cấp quyền truy cập theo vai trò tuỳ chỉnh cho một nhóm người dùng thay vì một người dùng riêng lẻ.

Tạo nhóm bảo mật

Tạo một nhóm bảo mật bằng phương thức groups.create. Bạn có thể đặt một nhóm làm nhóm bảo mật khi nhãn bảo mật được đưa vào trường labels của yêu cầu. Để biết thêm thông tin và các giới hạn về việc tạo nhóm bảo mật, hãy tham khảo hướng dẫn tạo nhóm bảo mật.

POST https://cloudidentity.googleapis.com/v1/groups

Bạn có thể đưa tham số truy vấn InitialGroupConfig vào để khởi chạy chủ sở hữu nhóm (không bắt buộc):

POST https://cloudidentity.googleapis.com/v1/groups&initialGroupConfig={initialGroupConfig}

Tài khoản đưa ra yêu cầu này cần có một trong các phạm vi sau:

  • https://www.googleapis.com/auth/cloud-identity.groups
  • https://www.googleapis.com/auth/cloud-identity
  • https://www.googleapis.com/auth/cloud-platform

Nội dung yêu cầu

Nội dung yêu cầu chứa thông tin chi tiết về nhóm cần tạo. customerId phải bắt đầu bằng "C" (ví dụ: C046psxkn). Tìm mã khách hàng của bạn.

{
   parent: "customers/<customer-id>",
   description: "This is the leadership group of school A.",
   displayName: "Leadership School A",
   groupKey: {
      id: "leadership_school_a@example.com"
   },
   labels: {
      "cloudidentity.googleapis.com/groups.security": "",
      "cloudidentity.googleapis.com/groups.discussion_forum": ""
   }
}

Phản hồi

Phản hồi chứa một thực thể mới của tài nguyên Operation.

{
   done: true,
   response: {
      @type: "type.googleapis.com/google.apps.cloudidentity.groups.v1.Group",
      name: "groups/<group-id>", // unique group ID
      groupKey: {
         id: "leadership_school_a@example.com" // group email address
      },
      parent: "customers/<customer-id>",
      displayName: "Leadership School A",
      description: "This is the leadership group of school A.",
      createTime: "<created time>",
      updateTime: "<updated time>",
      labels: {
         "cloudidentity.googleapis.com/groups.security": "",
         "cloudidentity.googleapis.com/groups.discussion_forum": ""
      }
   }
}

Thêm thành viên nhóm

Sau khi tạo nhóm, bước tiếp theo là thêm thành viên. Thành viên nhóm có thể là người dùng hoặc một nhóm bảo mật khác. Nếu bạn thêm một nhóm làm thành viên của một nhóm khác, thì có thể mất tối đa 10 phút để trạng thái thành viên được truyền tải. Ngoài ra, API sẽ trả về lỗi cho các chu kỳ trong tư cách thành viên nhóm. Ví dụ: nếu group1 là thành viên của group2, thì group2 không thể là thành viên của group1.

Để thêm thành viên vào một nhóm, hãy sử dụng yêu cầu POST sau đây cho phương thức members.insert của Directory API:

POST https://admin.googleapis.com/admin/directory/v1/groups/{groupKey}/members

Tham số đường dẫn groupKey là địa chỉ email nhóm của thành viên mới hoặc mã nhận dạng duy nhất của nhóm.

Tài khoản thực hiện yêu cầu POST cần có một trong các phạm vi sau:

  • https://apps-apis.google.com/a/feeds/groups/
  • https://www.googleapis.com/auth/admin.directory.group
  • https://www.googleapis.com/auth/admin.directory.group.member

Nội dung yêu cầu

Nội dung yêu cầu chứa thông tin chi tiết về member cần tạo.

{
   email: "person_one@example.com",
   role: "MEMBER", // can be `MEMBER`, `OWNER`, `MANAGER`
}

Phản hồi

Phản hồi chứa thực thể mới của thành viên.

{
   kind: "admin#directory#member",
   etag: "<etag-value>", // role's unique ETag
   id: "4567", // group member's unique ID
   email: "person_one@example.com",
   role: "MEMBER",
   type: "GROUP",
   status: "ACTIVE"
}

Bạn cần gửi yêu cầu này cho mọi người dùng mà bạn muốn thêm làm thành viên. Bạn có thể gửi hàng loạt các yêu cầu này để giảm số lượng kết nối HTTP mà ứng dụng của bạn phải thực hiện.

Tạo vai trò quản trị viên tuỳ chỉnh đặc quyền

Directory API cho phép bạn sử dụng tính năng kiểm soát quyền truy cập dựa trên vai trò (RBAC) để quản lý quyền truy cập vào các tính năng trong miền Google Workspace. Bạn có thể tạo vai trò tuỳ chỉnh với các đặc quyền để hạn chế quyền truy cập của quản trị viên một cách cụ thể hơn so với các vai trò tạo sẵn được cung cấp trong Google Workspace. Bạn có thể chỉ định vai trò cho người dùng hoặc nhóm bảo mật. Để biết thêm thông tin chi tiết về các giới hạn của việc tạo vai trò, hãy tham khảo các giới hạn về vai trò tuỳ chỉnh và việc chỉ định vai trò.

Để tạo vai trò mới, hãy sử dụng yêu cầu POST sau đây đến phương thức roles.insert của Directory API:

POST https://admin.googleapis.com/admin/directory/v1/customer/{customer}/roles

customerId giống với customerId được sử dụng trong bước 1 của hướng dẫn này.

Tài khoản thực hiện yêu cầu POST cần có phạm vi sau:

  • https://www.googleapis.com/auth/admin.directory.rolemanagement

Nội dung yêu cầu

Nội dung yêu cầu chứa thông tin chi tiết về role cần tạo. Thêm privilegeNameserviceId cho từng đặc quyền cần được cấp với vai trò này.

Số liệu phân tích Lớp học

Bạn cần có đặc quyền EDU_ANALYTICS_DATA_ACCESS để tạo vai trò tuỳ chỉnh có thể truy cập vào dữ liệu phân tích, cùng với serviceId được đặt thành 019c6y1840fzfkt.

{
  roleName: "Education Admin", // customize as needed
  roleDescription: "Access to view analytics data", // customize as needed
  rolePrivileges: [
     {
        privilegeName: "EDU_ANALYTICS_DATA_ACCESS",
        serviceId: "019c6y1840fzfkt"
     }
  ]
}

Quyền truy cập tạm thời vào lớp

Bạn cần có đặc quyền ADMIN_OVERSIGHT_MANAGE_CLASSES để tạo một vai trò tuỳ chỉnh có thể tạm thời truy cập vào các lớp, cùng với serviceId được đặt thành 019c6y1840fzfkt.

{
  roleName: "Education Admin", // customize as needed
  roleDescription: "Access to manage classes privilege", // customize as needed
  rolePrivileges: [
     {
        privilegeName: "ADMIN_OVERSIGHT_MANAGE_CLASSES",
        serviceId: "019c6y1840fzfkt"
     }
  ]
}

Gọi phương thức privileges.list để truy xuất danh sách privilegeIdsserviceIds.

Phản hồi

Phản hồi chứa thực thể mới của vai trò.

Số liệu phân tích Lớp học

{
  kind: "admin#directory#role",
  etag: "<etag-value>",  // role's unique ETag
  roleId: "<role-id>",   // role's unique ID
  roleName: "Education Admin",
  roleDescription: "Access to view analytics data",
  rolePrivileges: [
     {
        privilegeName: "EDU_ANALYTICS_DATA_ACCESS",
        serviceId: "019c6y1840fzfkt"
     }
  ],
  isSystemRole: false,
  isSuperAdminRole: false
}

Quyền truy cập tạm thời vào lớp

{
  kind: "admin#directory#role",
  etag: "<etag-value>",  // role's unique ETag
  roleId: "<role-id>",   // role's unique ID
  roleName: "Education Admin",
  roleDescription: "Access to manage classes privilege",
  rolePrivileges: [
     {
        privilegeName: "ADMIN_OVERSIGHT_MANAGE_CLASSES",
        serviceId: "019c6y1840fzfkt"
     }
  ],
  isSystemRole: false,
  isSuperAdminRole: false
}

Truy xuất mã nhận dạng đơn vị tổ chức

Bạn có thể giới hạn quyền truy cập của vai trò quản trị viên tuỳ chỉnh ở một hoặc nhiều đơn vị tổ chức bằng cách sử dụng mã đơn vị tổ chức. Sử dụng OrgUnit API để truy xuất orgUnitId.

Số liệu phân tích Lớp học

Bạn nên chọn đơn vị tổ chức của học viên đơn vị tổ chức của giáo viên khi chỉ định vai trò quản trị viên tuỳ chỉnh cho một người dùng hoặc nhóm cụ thể. Việc này cho phép người dùng được chỉ định quyền đặc quyền quản trị tuỳ chỉnh truy cập vào dữ liệu ở cấp học viên và lớp học cho các đơn vị tổ chức. Nếu bạn bỏ qua đơn vị tổ chức của học viên, thì người dùng được chỉ định sẽ không có quyền truy cập vào dữ liệu học viên. Nếu bạn bỏ qua đơn vị tổ chức của giáo viên, thì người dùng được chỉ định sẽ không có quyền truy cập vào dữ liệu ở cấp lớp.

Quyền truy cập tạm thời vào lớp

Bạn có thể giới hạn các đặc quyền truy cập tạm thời vào lớp học bằng cách cho phép người dùng có vai trò quản trị viên tuỳ chỉnh truy cập vào các lớp học trong các đơn vị tổ chức cụ thể. Nếu bạn hạn chế quyền truy cập vào một đơn vị tổ chức, thì nhóm được chỉ định vai trò quản trị viên tuỳ chỉnh chỉ có thể truy cập vào các lớp học mà giáo viên chính của lớp học đó thuộc đơn vị tổ chức đó.

Chỉ định vai trò quản trị viên tuỳ chỉnh

Để chỉ định vai trò quản trị viên tuỳ chỉnh cho một nhóm, hãy sử dụng yêu cầu POST sau. Tham khảo hướng dẫn về giới hạn về vai trò tuỳ chỉnh và việc chỉ định vai trò để biết giới hạn về việc chỉ định vai trò.

Directory API roleAssignments.insert:

POST https://admin.googleapis.com/admin/directory/v1/customer/{customer}/roleassignments

Chỉ định cho một nhóm hoặc người dùng cá nhân

Nếu chỉ định đặc quyền cho một nhóm, hãy đưa groupId vào trường assignedTo trong nội dung yêu cầu. groupId được lấy trong bước Tạo nhóm bảo mật. Nếu chỉ định đặc quyền cho một người dùng riêng lẻ, hãy thêm mã nhận dạng của người dùng đó vào trường assignedTo trong phần nội dung yêu cầu. Bạn có thể truy xuất mã nhận dạng của người dùng bằng cách gọi users.get và chỉ định địa chỉ email của người dùng làm tham số userKey hoặc bằng cách gọi users.list.

Tài khoản thực hiện yêu cầu POST cần có phạm vi sau:

  • https://www.googleapis.com/auth/admin.directory.rolemanagement

Nội dung yêu cầu

Nội dung yêu cầu chứa thông tin chi tiết về RoleAssignment cần tạo. Bạn phải thực hiện một yêu cầu cho mỗi đơn vị tổ chức mà bạn muốn liên kết với nhóm này.

{
   roleId: "<role-id>",        // role's unique ID obtained from Step 3
   assignedTo: "<id>",         // group ID or user ID
   scopeType: "ORG_UNIT",      // can be `ORG_UNIT` or `CUSTOMER`
   orgUnitId: "<org-unit-id>"  // organizational unit ID referenced in Step 4
}

Phản hồi

Phản hồi chứa thực thể mới của RoleAssignment.

{
   kind: "admin#directory#roleAssignment",
   etag: "<etag-value>",
   roleAssignmentId: "<role-assignment-id>",
   roleId: "<role-id>",
   assignedTo: "<group-id or user-id>",
   assigneeType: "GROUP",
   scopeType: "ORG_UNIT",
   orgUnitId: "<org-unit-id>"
}

Tài nguyên

Bạn có thể xem thêm thông tin tại: