REST Resource: roleAssignments

Zasób: RoleAssignment

Definiuje przypisanie roli.

Zapis JSON 
{
  "roleAssignmentId": string,
  "roleId": string,
  "kind": string,
  "etag": string,
  "assignedTo": string,
  "assigneeType": enum (AssigneeType),
  "scopeType": string,
  "orgUnitId": string,
  "condition": string
}
Pola
roleAssignmentId

string (int64 format)

Identyfikator tego przypisania ról.
roleId

string (int64 format)

Identyfikator przypisanej roli.
kind

string

Typ zasobu interfejsu API. Jest ona zawsze admin#directory#roleAssignment.
etag

string

ETag zasobu.
assignedTo

string

Unikalny identyfikator podmiotu, do którego przypisana jest ta rola: userId użytkownika, groupId grupy lub uniqueId konta usługi zgodnie z definicją w Uprawnieniach dostępu (IAM).
assigneeType

enum (AssigneeType)

Tylko dane wyjściowe. Typ osoby, której przypisano profil (USER lub GROUP).
scopeType

string

Zakres, w którym przypisana jest ta rola.

Akceptowane wartości:

  • CUSTOMER
  • ORG_UNIT
orgUnitId

string

Jeśli rola jest ograniczona do jednostki organizacyjnej, zawiera identyfikator jednostki organizacyjnej, w której rola jest ograniczona.
condition

string

Opcjonalnie: Warunek powiązany z tym przypisaniem roli.

Uwaga: ta funkcja jest dostępna dla klientów korzystających z wersji Enterprise Standard, Enterprise Plus, Google Workspace for Education Plus i Cloud Identity Premium.

Wartość RoleAssignment z ustawionym polem condition zacznie obowiązywać dopiero wtedy, gdy zasób, do którego uzyskujesz dostęp, spełni warunek. Jeśli condition jest puste, rola (roleId) jest bezwarunkowo stosowana do aktora (assignedTo) w zakresie (scopeType).

Obecnie obsługiwane są te warunki:

  • Aby RoleAssignment dotyczyła tylko grup zabezpieczeń: api.getAttribute('cloudidentity.googleapis.com/groups.labels', []).hasAny(['groups.security']) && resource.type == 'cloudidentity.googleapis.com/Group'

  • Aby uniemożliwić RoleAssignment stosowanie się do grup zabezpieczeń: !api.getAttribute('cloudidentity.googleapis.com/groups.labels', []).hasAny(['groups.security']) && resource.type == 'cloudidentity.googleapis.com/Group'

Obecnie ciągi znaków w warunkach muszą być identyczne i działają tylko z tymi gotowymi rolami administratora:

  • Edytujący grupy dyskusyjne
  • Odczytujący grupy dyskusyjne

Warunek jest zgodny ze składnią warunków Cloud IAM.

Dodatkowe warunki dotyczące grup zablokowanych są dostępne w wersji beta otwartej.

  • Aby uniemożliwić RoleAssignment w zablokowanych grupach: !api.getAttribute('cloudidentity.googleapis.com/groups.labels', []).hasAny(['groups.locked']) && resource.type == 'cloudidentity.googleapis.com/Group'

Warunek ten można też stosować w połączeniu z warunkiem związanym z bezpieczeństwem.

AssigneeType

Typ tożsamości, do której przypisana jest rola.

Wartości w polu enum
USER pojedynczy użytkownik w domenie,
GROUP Grupa w domenie.

Metody

delete

 Usuwa przypisanie roli.

get

 Pobiera przypisanie roli.

insert

 Tworzy przypisanie roli.

list

 Pobiera ponumerowany wykaz wszystkich przypisań ról.