ผู้ดูแลระบบสามารถสร้างบทบาทผู้ดูแลระบบที่กำหนดเองในคอนโซลผู้ดูแลระบบเพื่ออนุญาตให้บุคคลหรือกลุ่มที่มีใบอนุญาต Education Plus ดำเนินการต่อไปนี้ได้
ดูข้อมูลวิเคราะห์ของ Classroom เพื่อทำความเข้าใจข้อมูล เช่น งานที่ทำเสร็จแล้ว แนวโน้มของเกรด และการใช้งาน Classroom
เข้าถึงชั้นเรียนใน Classroom ชั่วคราว เพื่อสนับสนุนนักการศึกษา โพสต์ประกาศ และอื่นๆ โดยไม่ต้องกำหนดให้เป็นครูร่วมสอนถาวร
คู่มือนี้จะอธิบายถึงวิธีตั้งค่าฟีเจอร์เหล่านี้ในโดเมนของคุณโดยใช้ Google API
ทำให้กระบวนการมอบหมายบทบาทที่กำหนดเองเป็นแบบอัตโนมัติ
หากต้องการทำให้กระบวนการมอบหมายบทบาทที่กำหนดเองเป็นอัตโนมัติ ให้ทำดังนี้
- สร้างกลุ่มความปลอดภัยเพื่อจัดระเบียบผู้ใช้ที่เข้าถึงฟีเจอร์เหล่านี้ได้
- เพิ่มสมาชิกในกลุ่ม
- สร้างบทบาทผู้ดูแลระบบที่กำหนดเองโดยเลือกสิทธิ์ที่ถูกต้อง
- เรียกข้อมูลรหัสหน่วยขององค์กร
- ใช้บทบาทผู้ดูแลระบบที่กำหนดเองกับกลุ่มที่สร้างใหม่
ข้อกำหนดเบื้องต้น
- อ่านคู่มือเริ่มใช้งานฉบับย่อเพื่อทำความเข้าใจวิธีตั้งค่าและเรียกใช้แอปพลิเคชันโดยใช้ Google APIs ในภาษาต่างๆ เช่น JavaScript, Python และ Java
- อ่านภาพรวมของ Groups API
- คุณต้องตั้งค่า Cloud Identity ก่อนใช้ Cloud Identity API ที่อธิบายไว้ในคู่มือนี้ API เหล่านี้ใช้เพื่อสร้างกลุ่มเพื่อมอบหมายสิทธิ์ของผู้ดูแลระบบ
- ตั้งค่า Groups API
สร้างกลุ่มความปลอดภัย
สร้างกลุ่มความปลอดภัยด้วยเมธอด groups.create
คุณจะตั้งค่ากลุ่มเป็นกลุ่มความปลอดภัยได้เมื่อป้ายกำกับความปลอดภัยรวมอยู่ในช่อง labels
ของคำขอ ดูข้อมูลเพิ่มเติมและข้อจำกัดเกี่ยวกับการสร้างกลุ่มความปลอดภัยได้ในคู่มือการสร้างกลุ่มความปลอดภัย
POST https://cloudidentity.googleapis.com/v1/groups
คุณสามารถใส่พารามิเตอร์การค้นหา InitialGroupConfig
เพื่อเริ่มต้นเจ้าของกลุ่มได้ โดยทำดังนี้
POST https://cloudidentity.googleapis.com/v1/groups&initialGroupConfig={initialGroupConfig}
บัญชีที่ส่งคำขอนี้ต้องใช้ขอบเขตอย่างใดอย่างหนึ่งต่อไปนี้
https://www.googleapis.com/auth/cloud-identity.groups
https://www.googleapis.com/auth/cloud-identity
https://www.googleapis.com/auth/cloud-platform
เนื้อหาของคำขอ
เนื้อหาของคำขอมีรายละเอียดของกลุ่มที่จะสร้าง customerId
ต้องขึ้นต้นด้วย "C" (เช่น C046psxkn
) ค้นหารหัสลูกค้า
{
parent: "customers/<customer-id>",
description: "This is the leadership group of school A.",
displayName: "Leadership School A",
groupKey: {
id: "leadership_school_a@example.com"
},
labels: {
"cloudidentity.googleapis.com/groups.security": "",
"cloudidentity.googleapis.com/groups.discussion_forum": ""
}
}
คำตอบ
การตอบกลับจะมีอินสแตนซ์ใหม่ของทรัพยากร Operation
{
done: true,
response: {
@type: "type.googleapis.com/google.apps.cloudidentity.groups.v1.Group",
name: "groups/<group-id>", // unique group ID
groupKey: {
id: "leadership_school_a@example.com" // group email address
},
parent: "customers/<customer-id>",
displayName: "Leadership School A",
description: "This is the leadership group of school A.",
createTime: "<created time>",
updateTime: "<updated time>",
labels: {
"cloudidentity.googleapis.com/groups.security": "",
"cloudidentity.googleapis.com/groups.discussion_forum": ""
}
}
}
เพิ่มสมาชิกในกลุ่ม
เมื่อสร้างกลุ่มแล้ว ขั้นตอนถัดไปคือการเพิ่มสมาชิก สมาชิกกลุ่มจะเป็นผู้ใช้หรือกลุ่มความปลอดภัยอื่นก็ได้ หากคุณเพิ่มกลุ่มเป็นสมาชิกของกลุ่มอื่น อาจมีความล่าช้าถึง 10 นาทีในการเผยแพร่การเป็นสมาชิก นอกจากนี้ API ยังแสดงผลข้อผิดพลาดสำหรับรอบในการเป็นสมาชิกกลุ่มด้วย ตัวอย่างเช่น หาก group1
เป็นสมาชิกของ group2
group2
จะเป็นสมาชิกของ group1
ไม่ได้
หากต้องการเพิ่มสมาชิกในกลุ่ม ให้ใช้คำขอ POST ต่อไปนี้
API ไดเรกทอรี members.insert
:
POST https://admin.googleapis.com/admin/directory/v1/groups/{groupKey}/members
พารามิเตอร์เส้นทาง groupKey
คืออีเมลกลุ่มของสมาชิกใหม่หรือรหัสที่ไม่ซ้ำกันของกลุ่ม
บัญชีที่ส่งคำขอ POST ต้องมีขอบเขตใดขอบเขตหนึ่งต่อไปนี้
https://apps-apis.google.com/a/feeds/groups/
https://www.googleapis.com/auth/admin.directory.group
https://www.googleapis.com/auth/admin.directory.group.member
เนื้อหาของคำขอ
เนื้อหาของคำขอมีรายละเอียดของ member
ที่จะสร้าง
{
email: "person_one@example.com",
role: "MEMBER", // can be `MEMBER`, `OWNER`, `MANAGER`
}
คำตอบ
การตอบกลับจะมีอินสแตนซ์ใหม่ของสมาชิก
{
kind: "admin#directory#member",
etag: "<etag-value>", // role's unique ETag
id: "4567", // group member's unique ID
email: "person_one@example.com",
role: "MEMBER",
type: "GROUP",
status: "ACTIVE"
}
คุณต้องส่งคำขอนี้ไปยังผู้ใช้ทุกคนที่ต้องการเพิ่มเป็นสมาชิก คุณสามารถจัดกลุ่มคำขอเหล่านี้เพื่อลดจำนวนการเชื่อมต่อ HTTP ที่ไคลเอ็นต์ต้องสร้างได้
สร้างบทบาทผู้ดูแลระบบที่กำหนดเองที่มีสิทธิ์
Directory API ช่วยให้คุณใช้การควบคุมการเข้าถึงตามบทบาท (RBAC) เพื่อจัดการการเข้าถึงฟีเจอร์ในโดเมน Google Workspace ได้ คุณสามารถสร้างบทบาทที่กำหนดเองที่มีสิทธิ์เพื่อจำกัดสิทธิ์การเข้าถึงของผู้ดูแลระบบ โดยเฉพาะบทบาทที่กำหนดไว้ล่วงหน้าสำหรับ Google Workspace คุณสามารถกำหนดบทบาท ให้กับผู้ใช้หรือกลุ่มความปลอดภัย ดูข้อมูลโดยละเอียดเกี่ยวกับข้อจำกัดของการสร้างบทบาทได้ที่บทบาทที่กำหนดเองและข้อจำกัดของการมอบหมายบทบาท
หากต้องการสร้างบทบาทใหม่ ให้ใช้คำขอ POST ต่อไปนี้
API ไดเรกทอรี roles.insert
:
POST https://admin.googleapis.com/admin/directory/v1/customer/{customer}/roles
customerId
เหมือนกับที่ใช้ในขั้นตอนที่ 1 ของคู่มือนี้
บัญชีที่ส่งคำขอ POST ต้องมีขอบเขตดังต่อไปนี้
https://www.googleapis.com/auth/admin.directory.rolemanagement
เนื้อหาของคำขอ
เนื้อหาของคำขอมีรายละเอียดของ role
ที่จะสร้าง เพิ่ม privilegeName
และ serviceId
สำหรับสิทธิ์แต่ละรายการที่ควรได้รับจากบทบาทนี้
ข้อมูลวิเคราะห์ของ Classroom
คุณต้องใช้สิทธิ์ EDU_ANALYTICS_DATA_ACCESS
เพื่อสร้างบทบาทที่กำหนดเองซึ่งมีสิทธิ์เข้าถึงข้อมูลวิเคราะห์ รวมถึงตั้งค่า serviceId
เป็น 019c6y1840fzfkt
{
roleName: "Education Admin", // customize as needed
roleDescription: "Access to view analytics data", // customize as needed
rolePrivileges: [
{
privilegeName: "EDU_ANALYTICS_DATA_ACCESS",
serviceId: "019c6y1840fzfkt"
}
]
}
สิทธิ์เข้าถึงชั้นเรียนชั่วคราว
คุณต้องใช้สิทธิ์ ADMIN_OVERSIGHT_MANAGE_CLASSES
เพื่อสร้างบทบาทที่กำหนดเองที่เข้าถึงชั้นเรียนได้ชั่วคราว รวมถึงตั้งค่า serviceId
เป็น 019c6y1840fzfkt
{
roleName: "Education Admin", // customize as needed
roleDescription: "Access to manage classes privilege", // customize as needed
rolePrivileges: [
{
privilegeName: "ADMIN_OVERSIGHT_MANAGE_CLASSES",
serviceId: "019c6y1840fzfkt"
}
]
}
เรียกใช้เมธอด privileges.list
เพื่อเรียกรายการ privilegeIds
และ serviceIds
คำตอบ
การตอบกลับจะมีอินสแตนซ์ใหม่ของบทบาท
ข้อมูลวิเคราะห์ของ Classroom
{
kind: "admin#directory#role",
etag: "<etag-value>", // role's unique ETag
roleId: "<role-id>", // role's unique ID
roleName: "Education Admin",
roleDescription: "Access to view analytics data",
rolePrivileges: [
{
privilegeName: "EDU_ANALYTICS_DATA_ACCESS",
serviceId: "019c6y1840fzfkt"
}
],
isSystemRole: false,
isSuperAdminRole: false
}
สิทธิ์เข้าถึงชั้นเรียนชั่วคราว
{
kind: "admin#directory#role",
etag: "<etag-value>", // role's unique ETag
roleId: "<role-id>", // role's unique ID
roleName: "Education Admin",
roleDescription: "Access to manage classes privilege",
rolePrivileges: [
{
privilegeName: "ADMIN_OVERSIGHT_MANAGE_CLASSES",
serviceId: "019c6y1840fzfkt"
}
],
isSystemRole: false,
isSuperAdminRole: false
}
เรียกข้อมูลรหัสหน่วยขององค์กร
คุณจะจำกัดการเข้าถึงของบทบาทผู้ดูแลระบบที่กำหนดเองให้กับหน่วยขององค์กรอย่างน้อย 1 หน่วยโดยใช้รหัสหน่วยขององค์กรได้ ใช้ OrgUnit API เพื่อเรียกข้อมูล orgUnitId
ข้อมูลวิเคราะห์ของ Classroom
เราขอแนะนำให้คุณเลือกหน่วยขององค์กรของนักเรียนและหน่วยขององค์กรของครูเมื่อมอบหมายบทบาทผู้ดูแลระบบที่กำหนดเองให้กับผู้ใช้หรือกลุ่มที่ต้องการ ซึ่งจะช่วยให้ผู้ใช้ที่ได้รับมอบหมายสิทธิ์ผู้ดูแลระบบที่กำหนดเองมีสิทธิ์เข้าถึงข้อมูลระดับนักเรียนและชั้นเรียนสำหรับหน่วยขององค์กร หากไม่ระบุหน่วยขององค์กรของนักเรียน ผู้ใช้ที่ได้รับมอบหมายจะไม่มีสิทธิ์เข้าถึงข้อมูลของนักเรียน หากไม่ระบุหน่วยขององค์กรสำหรับครู ผู้ใช้ที่ได้รับมอบหมายจะไม่มีสิทธิ์เข้าถึงข้อมูลระดับชั้นเรียน
สิทธิ์เข้าถึงชั้นเรียนชั่วคราว
คุณจำกัดสิทธิ์การเข้าถึงชั้นเรียนชั่วคราวได้โดยอนุญาตให้ผู้ใช้ที่มีสิทธิ์การเข้าถึงบทบาทผู้ดูแลระบบที่กำหนดเองเข้าถึงชั้นเรียนในหน่วยขององค์กรที่ต้องการ หากจำกัดการเข้าถึงเฉพาะหน่วยขององค์กร กลุ่มที่มอบหมายบทบาทผู้ดูแลระบบที่กำหนดเองจะเข้าถึงได้เฉพาะชั้นเรียนที่ครูผู้สอนหลักของชั้นเรียนอยู่ในหน่วยขององค์กรนั้น
มอบหมายบทบาทผู้ดูแลระบบที่กำหนดเอง
หากต้องการมอบหมายบทบาทของผู้ดูแลระบบที่กำหนดเองให้กับกลุ่ม ให้ใช้คำขอ POST ต่อไปนี้ โปรดดูคำแนะนำเกี่ยวกับขีดจำกัดการมอบหมายบทบาทที่กำหนดเองสำหรับขีดจำกัดของการมอบหมายบทบาท
API ไดเรกทอรี roleAssignments.insert
:
POST https://admin.googleapis.com/admin/directory/v1/customer/{customer}/roleassignments
มอบหมายให้กลุ่มหรือผู้ใช้รายบุคคล
หากกำหนดสิทธิ์ให้กับกลุ่ม ให้ใส่ groupId
ในช่อง assignedTo
ในเนื้อหาคำขอ ได้รับ groupId
ในขั้นตอนสร้างกลุ่มความปลอดภัย หากกำหนดสิทธิ์ให้กับผู้ใช้แต่ละราย ให้ใส่รหัสของผู้ใช้ในช่อง assignedTo
ในเนื้อหาคำขอ คุณจะดึงรหัสผู้ใช้ได้ด้วยการเรียกใช้ users.get
และระบุอีเมลของผู้ใช้เป็นพารามิเตอร์ userKey
หรือเรียกใช้ users.list
บัญชีที่ส่งคำขอ POST ต้องมีขอบเขตดังต่อไปนี้
https://www.googleapis.com/auth/admin.directory.rolemanagement
เนื้อหาของคำขอ
เนื้อหาของคำขอมีรายละเอียดของ RoleAssignment
ที่จะสร้าง โดยคุณต้องส่งคำขอ 1 รายการต่อหน่วยขององค์กรที่ต้องการเชื่อมโยงกับกลุ่มนี้
{
roleId: "<role-id>", // role's unique ID obtained from Step 3
assignedTo: "<id>", // group ID or user ID
scopeType: "ORG_UNIT", // can be `ORG_UNIT` or `CUSTOMER`
orgUnitId: "<org-unit-id>" // organizational unit ID referenced in Step 4
}
คำตอบ
การตอบกลับจะมีอินสแตนซ์ใหม่ของ RoleAssignment
{
kind: "admin#directory#roleAssignment",
etag: "<etag-value>",
roleAssignmentId: "<role-assignment-id>",
roleId: "<role-id>",
assignedTo: "<group-id or user-id>",
assigneeType: "GROUP",
scopeType: "ORG_UNIT",
orgUnitId: "<org-unit-id>"
}
แหล่งข้อมูล
ดูข้อมูลเพิ่มเติมได้ที่:
- ภาพรวมของ Directory API
- การตรวจสอบสิทธิ์และการให้สิทธิ์เฉพาะ Directory API
- เอกสารประกอบเกี่ยวกับ Directory API REST
- การสนับสนุนนักพัฒนา Admin SDK API