มอบหมายบทบาทผู้ดูแลระบบที่กำหนดเองสำหรับฟีเจอร์ของ Classroom

ผู้ดูแลระบบสามารถสร้างบทบาทผู้ดูแลระบบที่กำหนดเองในคอนโซลผู้ดูแลระบบเพื่ออนุญาตให้บุคคลหรือกลุ่มที่มีใบอนุญาต Education Plus ดำเนินการต่อไปนี้ได้

คู่มือนี้จะอธิบายถึงวิธีตั้งค่าฟีเจอร์เหล่านี้ในโดเมนของคุณโดยใช้ Google API

ทำให้กระบวนการมอบหมายบทบาทที่กำหนดเองเป็นแบบอัตโนมัติ

หากต้องการทำให้กระบวนการมอบหมายบทบาทที่กำหนดเองเป็นอัตโนมัติ ให้ทำดังนี้

  1. สร้างกลุ่มความปลอดภัยเพื่อจัดระเบียบผู้ใช้ที่เข้าถึงฟีเจอร์เหล่านี้ได้
  2. เพิ่มสมาชิกในกลุ่ม
  3. สร้างบทบาทผู้ดูแลระบบที่กำหนดเองโดยเลือกสิทธิ์ที่ถูกต้อง
  4. เรียกข้อมูลรหัสหน่วยขององค์กร
  5. ใช้บทบาทผู้ดูแลระบบที่กำหนดเองกับกลุ่มที่สร้างใหม่

ข้อกำหนดเบื้องต้น

  1. อ่านคู่มือเริ่มใช้งานฉบับย่อเพื่อทำความเข้าใจวิธีตั้งค่าและเรียกใช้แอปพลิเคชันโดยใช้ Google APIs ในภาษาต่างๆ เช่น JavaScript, Python และ Java
  2. อ่านภาพรวมของ Groups API
  3. คุณต้องตั้งค่า Cloud Identity ก่อนใช้ Cloud Identity API ที่อธิบายไว้ในคู่มือนี้ API เหล่านี้ใช้เพื่อสร้างกลุ่มเพื่อมอบหมายสิทธิ์ของผู้ดูแลระบบ
  4. ตั้งค่า Groups API

สร้างกลุ่มความปลอดภัย

สร้างกลุ่มความปลอดภัยด้วยเมธอด groups.create คุณจะตั้งค่ากลุ่มเป็นกลุ่มความปลอดภัยได้เมื่อป้ายกำกับความปลอดภัยรวมอยู่ในช่อง labels ของคำขอ ดูข้อมูลเพิ่มเติมและข้อจำกัดเกี่ยวกับการสร้างกลุ่มความปลอดภัยได้ในคู่มือการสร้างกลุ่มความปลอดภัย

POST https://cloudidentity.googleapis.com/v1/groups

คุณสามารถใส่พารามิเตอร์การค้นหา InitialGroupConfig เพื่อเริ่มต้นเจ้าของกลุ่มได้ โดยทำดังนี้

POST https://cloudidentity.googleapis.com/v1/groups&initialGroupConfig={initialGroupConfig}

บัญชีที่ส่งคำขอนี้ต้องใช้ขอบเขตอย่างใดอย่างหนึ่งต่อไปนี้

  • https://www.googleapis.com/auth/cloud-identity.groups
  • https://www.googleapis.com/auth/cloud-identity
  • https://www.googleapis.com/auth/cloud-platform

เนื้อหาของคำขอ

เนื้อหาของคำขอมีรายละเอียดของกลุ่มที่จะสร้าง customerId ต้องขึ้นต้นด้วย "C" (เช่น C046psxkn) ค้นหารหัสลูกค้า

{
   parent: "customers/<customer-id>",
   description: "This is the leadership group of school A.",
   displayName: "Leadership School A",
   groupKey: {
      id: "leadership_school_a@example.com"
   },
   labels: {
      "cloudidentity.googleapis.com/groups.security": "",
      "cloudidentity.googleapis.com/groups.discussion_forum": ""
   }
}

คำตอบ

การตอบกลับจะมีอินสแตนซ์ใหม่ของทรัพยากร Operation

{
   done: true,
   response: {
      @type: "type.googleapis.com/google.apps.cloudidentity.groups.v1.Group",
      name: "groups/<group-id>", // unique group ID
      groupKey: {
         id: "leadership_school_a@example.com" // group email address
      },
      parent: "customers/<customer-id>",
      displayName: "Leadership School A",
      description: "This is the leadership group of school A.",
      createTime: "<created time>",
      updateTime: "<updated time>",
      labels: {
         "cloudidentity.googleapis.com/groups.security": "",
         "cloudidentity.googleapis.com/groups.discussion_forum": ""
      }
   }
}

เพิ่มสมาชิกในกลุ่ม

เมื่อสร้างกลุ่มแล้ว ขั้นตอนถัดไปคือการเพิ่มสมาชิก สมาชิกกลุ่มจะเป็นผู้ใช้หรือกลุ่มความปลอดภัยอื่นก็ได้ หากคุณเพิ่มกลุ่มเป็นสมาชิกของกลุ่มอื่น อาจมีความล่าช้าถึง 10 นาทีในการเผยแพร่การเป็นสมาชิก นอกจากนี้ API ยังแสดงผลข้อผิดพลาดสำหรับรอบในการเป็นสมาชิกกลุ่มด้วย ตัวอย่างเช่น หาก group1 เป็นสมาชิกของ group2 group2 จะเป็นสมาชิกของ group1 ไม่ได้

หากต้องการเพิ่มสมาชิกในกลุ่ม ให้ใช้คำขอ POST ต่อไปนี้

API ไดเรกทอรี members.insert:

POST https://admin.googleapis.com/admin/directory/v1/groups/{groupKey}/members

พารามิเตอร์เส้นทาง groupKey คืออีเมลกลุ่มของสมาชิกใหม่หรือรหัสที่ไม่ซ้ำกันของกลุ่ม

บัญชีที่ส่งคำขอ POST ต้องมีขอบเขตใดขอบเขตหนึ่งต่อไปนี้

  • https://apps-apis.google.com/a/feeds/groups/
  • https://www.googleapis.com/auth/admin.directory.group
  • https://www.googleapis.com/auth/admin.directory.group.member

เนื้อหาของคำขอ

เนื้อหาของคำขอมีรายละเอียดของ member ที่จะสร้าง

{
   email: "person_one@example.com",
   role: "MEMBER", // can be `MEMBER`, `OWNER`, `MANAGER`
}

คำตอบ

การตอบกลับจะมีอินสแตนซ์ใหม่ของสมาชิก

{
   kind: "admin#directory#member",
   etag: "<etag-value>", // role's unique ETag
   id: "4567", // group member's unique ID
   email: "person_one@example.com",
   role: "MEMBER",
   type: "GROUP",
   status: "ACTIVE"
}

คุณต้องส่งคำขอนี้ไปยังผู้ใช้ทุกคนที่ต้องการเพิ่มเป็นสมาชิก คุณสามารถจัดกลุ่มคำขอเหล่านี้เพื่อลดจำนวนการเชื่อมต่อ HTTP ที่ไคลเอ็นต์ต้องสร้างได้

สร้างบทบาทผู้ดูแลระบบที่กำหนดเองที่มีสิทธิ์

Directory API ช่วยให้คุณใช้การควบคุมการเข้าถึงตามบทบาท (RBAC) เพื่อจัดการการเข้าถึงฟีเจอร์ในโดเมน Google Workspace ได้ คุณสามารถสร้างบทบาทที่กำหนดเองที่มีสิทธิ์เพื่อจำกัดสิทธิ์การเข้าถึงของผู้ดูแลระบบ โดยเฉพาะบทบาทที่กำหนดไว้ล่วงหน้าสำหรับ Google Workspace คุณสามารถกำหนดบทบาท ให้กับผู้ใช้หรือกลุ่มความปลอดภัย ดูข้อมูลโดยละเอียดเกี่ยวกับข้อจำกัดของการสร้างบทบาทได้ที่บทบาทที่กำหนดเองและข้อจำกัดของการมอบหมายบทบาท

หากต้องการสร้างบทบาทใหม่ ให้ใช้คำขอ POST ต่อไปนี้

API ไดเรกทอรี roles.insert:

POST https://admin.googleapis.com/admin/directory/v1/customer/{customer}/roles

customerId เหมือนกับที่ใช้ในขั้นตอนที่ 1 ของคู่มือนี้

บัญชีที่ส่งคำขอ POST ต้องมีขอบเขตดังต่อไปนี้

  • https://www.googleapis.com/auth/admin.directory.rolemanagement

เนื้อหาของคำขอ

เนื้อหาของคำขอมีรายละเอียดของ role ที่จะสร้าง เพิ่ม privilegeName และ serviceId สำหรับสิทธิ์แต่ละรายการที่ควรได้รับจากบทบาทนี้

ข้อมูลวิเคราะห์ของ Classroom

คุณต้องใช้สิทธิ์ EDU_ANALYTICS_DATA_ACCESS เพื่อสร้างบทบาทที่กำหนดเองซึ่งมีสิทธิ์เข้าถึงข้อมูลวิเคราะห์ รวมถึงตั้งค่า serviceId เป็น 019c6y1840fzfkt

{
   roleName: "Education Admin", // customize as needed
   roleDescription: "Access to view analytics data", // customize as needed
   rolePrivileges: [
      {
         privilegeName: "EDU_ANALYTICS_DATA_ACCESS",
         serviceId: "019c6y1840fzfkt"
      }
   ]
}

สิทธิ์เข้าถึงชั้นเรียนชั่วคราว

คุณต้องใช้สิทธิ์ ADMIN_OVERSIGHT_MANAGE_CLASSES เพื่อสร้างบทบาทที่กำหนดเองที่เข้าถึงชั้นเรียนได้ชั่วคราว รวมถึงตั้งค่า serviceId เป็น 019c6y1840fzfkt

{
   roleName: "Education Admin", // customize as needed
   roleDescription: "Access to manage classes privilege", // customize as needed
   rolePrivileges: [
      {
         privilegeName: "ADMIN_OVERSIGHT_MANAGE_CLASSES",
         serviceId: "019c6y1840fzfkt"
      }
   ]
}

เรียกใช้เมธอด privileges.list เพื่อเรียกรายการ privilegeIds และ serviceIds

คำตอบ

การตอบกลับจะมีอินสแตนซ์ใหม่ของบทบาท

ข้อมูลวิเคราะห์ของ Classroom

{
   kind: "admin#directory#role",
   etag: "<etag-value>",  // role's unique ETag
   roleId: "<role-id>",   // role's unique ID
   roleName: "Education Admin",
   roleDescription: "Access to view analytics data",
   rolePrivileges: [
      {
         privilegeName: "EDU_ANALYTICS_DATA_ACCESS",
         serviceId: "019c6y1840fzfkt"
      }
   ],
   isSystemRole: false,
   isSuperAdminRole: false
}

สิทธิ์เข้าถึงชั้นเรียนชั่วคราว

{
   kind: "admin#directory#role",
   etag: "<etag-value>",  // role's unique ETag
   roleId: "<role-id>",   // role's unique ID
   roleName: "Education Admin",
   roleDescription: "Access to manage classes privilege",
   rolePrivileges: [
      {
         privilegeName: "ADMIN_OVERSIGHT_MANAGE_CLASSES",
         serviceId: "019c6y1840fzfkt"
      }
   ],
   isSystemRole: false,
   isSuperAdminRole: false
}

เรียกข้อมูลรหัสหน่วยขององค์กร

คุณจะจำกัดการเข้าถึงของบทบาทผู้ดูแลระบบที่กำหนดเองให้กับหน่วยขององค์กรอย่างน้อย 1 หน่วยโดยใช้รหัสหน่วยขององค์กรได้ ใช้ OrgUnit API เพื่อเรียกข้อมูล orgUnitId

ข้อมูลวิเคราะห์ของ Classroom

เราขอแนะนำให้คุณเลือกหน่วยขององค์กรของนักเรียนและหน่วยขององค์กรของครูเมื่อมอบหมายบทบาทผู้ดูแลระบบที่กำหนดเองให้กับผู้ใช้หรือกลุ่มที่ต้องการ ซึ่งจะช่วยให้ผู้ใช้ที่ได้รับมอบหมายสิทธิ์ผู้ดูแลระบบที่กำหนดเองมีสิทธิ์เข้าถึงข้อมูลระดับนักเรียนและชั้นเรียนสำหรับหน่วยขององค์กร หากไม่ระบุหน่วยขององค์กรของนักเรียน ผู้ใช้ที่ได้รับมอบหมายจะไม่มีสิทธิ์เข้าถึงข้อมูลของนักเรียน หากไม่ระบุหน่วยขององค์กรสำหรับครู ผู้ใช้ที่ได้รับมอบหมายจะไม่มีสิทธิ์เข้าถึงข้อมูลระดับชั้นเรียน

สิทธิ์เข้าถึงชั้นเรียนชั่วคราว

คุณจำกัดสิทธิ์การเข้าถึงชั้นเรียนชั่วคราวได้โดยอนุญาตให้ผู้ใช้ที่มีสิทธิ์การเข้าถึงบทบาทผู้ดูแลระบบที่กำหนดเองเข้าถึงชั้นเรียนในหน่วยขององค์กรที่ต้องการ หากจำกัดการเข้าถึงเฉพาะหน่วยขององค์กร กลุ่มที่มอบหมายบทบาทผู้ดูแลระบบที่กำหนดเองจะเข้าถึงได้เฉพาะชั้นเรียนที่ครูผู้สอนหลักของชั้นเรียนอยู่ในหน่วยขององค์กรนั้น

มอบหมายบทบาทผู้ดูแลระบบที่กำหนดเอง

หากต้องการมอบหมายบทบาทของผู้ดูแลระบบที่กำหนดเองให้กับกลุ่ม ให้ใช้คำขอ POST ต่อไปนี้ โปรดดูคำแนะนำเกี่ยวกับขีดจำกัดการมอบหมายบทบาทที่กำหนดเองสำหรับขีดจำกัดของการมอบหมายบทบาท

API ไดเรกทอรี roleAssignments.insert:

POST https://admin.googleapis.com/admin/directory/v1/customer/{customer}/roleassignments

มอบหมายให้กลุ่มหรือผู้ใช้รายบุคคล

หากกำหนดสิทธิ์ให้กับกลุ่ม ให้ใส่ groupId ในช่อง assignedTo ในเนื้อหาคำขอ ได้รับ groupId ในขั้นตอนสร้างกลุ่มความปลอดภัย หากกำหนดสิทธิ์ให้กับผู้ใช้แต่ละราย ให้ใส่รหัสของผู้ใช้ในช่อง assignedTo ในเนื้อหาคำขอ คุณจะดึงรหัสผู้ใช้ได้ด้วยการเรียกใช้ users.get และระบุอีเมลของผู้ใช้เป็นพารามิเตอร์ userKey หรือเรียกใช้ users.list

บัญชีที่ส่งคำขอ POST ต้องมีขอบเขตดังต่อไปนี้

  • https://www.googleapis.com/auth/admin.directory.rolemanagement

เนื้อหาของคำขอ

เนื้อหาของคำขอมีรายละเอียดของ RoleAssignment ที่จะสร้าง โดยคุณต้องส่งคำขอ 1 รายการต่อหน่วยขององค์กรที่ต้องการเชื่อมโยงกับกลุ่มนี้

{
   roleId: "<role-id>",        // role's unique ID obtained from Step 3
   assignedTo: "<id>",         // group ID or user ID
   scopeType: "ORG_UNIT",      // can be `ORG_UNIT` or `CUSTOMER`
   orgUnitId: "<org-unit-id>"  // organizational unit ID referenced in Step 4
}

คำตอบ

การตอบกลับจะมีอินสแตนซ์ใหม่ของ RoleAssignment

{
   kind: "admin#directory#roleAssignment",
   etag: "<etag-value>",
   roleAssignmentId: "<role-assignment-id>",
   roleId: "<role-id>",
   assignedTo: "<group-id or user-id>",
   assigneeType: "GROUP",
   scopeType: "ORG_UNIT",
   orgUnitId: "<org-unit-id>"
}

แหล่งข้อมูล

ดูข้อมูลเพิ่มเติมได้ที่: