选择 Directory API 权限范围

本文档包含 Directory API 专属的授权和身份验证信息。在阅读本文档之前,请务必参阅 了解身份验证和授权,了解 Google Workspace 的一般身份验证和授权信息。

配置 OAuth 2.0 以进行授权

配置 OAuth 权限请求页面并选择范围,以定义向用户和应用审核者显示哪些信息,并注册应用以便以后发布。

Directory API 范围

如需定义授予应用的访问权限级别,您需要确定并声明授权范围。授权范围是 OAuth 2.0 URI 字符串,其中包含 Google Workspace 应用名称、它访问的数据类型以及访问权限级别。范围是您的应用请求处理 Google Workspace 数据(包括用户的 Google 账号数据)的请求。

在用户安装您的应用时,系统会要求用户验证该应用使用的范围。通常,您应尽可能选择最窄的范围,并避免请求应用不需要的范围。用户更乐意向描述清晰的有限范围授予访问权限。

Directory API 支持以下范围:

设备的范围 含义
https://www.googleapis.com/auth/admin.directory.device.chromeos 全局范围,用于访问所有 Chrome 设备操作。
https://www.googleapis.com/auth/admin.directory.device.chromeos.readonly 仅用于检索 Chrome 设备的范围。
https://www.googleapis.com/auth/admin.directory.device.mobile 全局范围,用于访问所有移动设备操作。
https://www.googleapis.com/auth/admin.directory.device.mobile.readonly 仅检索移动设备的范围
https://www.googleapis.com/auth/admin.directory.device.mobile.action 在移动设备上执行操作的任务的范围。
群组、群组别名和群组成员的范围 含义
https://www.googleapis.com/auth/admin.directory.group.member 用于访问所有群组成员角色和信息操作的范围。
https://www.googleapis.com/auth/admin.directory.group.member.readonly 仅用于检索群组成员角色和信息的范围。
https://www.googleapis.com/auth/admin.directory.group 全局范围,用于访问所有群组操作,包括群组别名和成员。
https://www.googleapis.com/auth/admin.directory.group.readonly 仅用于检索群组、群组别名和成员信息的范围。
组织部门的范围 含义
https://www.googleapis.com/auth/admin.directory.orgunit 全局范围,用于访问所有组织部门操作。
https://www.googleapis.com/auth/admin.directory.orgunit.readonly 仅用于检索组织部门的范围。
用户和用户别名的范围 含义
https://www.googleapis.com/auth/admin.directory.user 全局范围,用于访问所有用户和用户别名操作。
https://www.googleapis.com/auth/admin.directory.user.readonly 仅用于检索用户或用户别名的范围。
https://www.googleapis.com/auth/admin.directory.user.alias 用于访问所有用户别名操作的范围。
https://www.googleapis.com/auth/admin.directory.user.alias.readonly 仅用于检索用户别名的范围。
用户安全功能的范围 含义
https://www.googleapis.com/auth/admin.directory.user.security 用于访问所有应用专用密码、OAuth 令牌和验证码操作的范围。
角色管理的范围 含义
https://www.googleapis.com/auth/admin.directory.rolemanagement 所有角色管理操作(包括创建角色和角色分配)的范围。
https://www.googleapis.com/auth/admin.directory.rolemanagement.readonly 用于获取和列出角色、权限和角色分配的范围。
自定义用户架构的范围 含义
https://www.googleapis.com/auth/admin.directory.userschema 用于访问所有自定义用户架构操作的范围。
https://www.googleapis.com/auth/admin.directory.userschema.readonly 仅用于检索自定义用户架构的范围。
适用于客户的范围 含义
https://www.googleapis.com/auth/admin.directory.customer 对所有客户操作的访问权限范围。
https://www.googleapis.com/auth/admin.directory.customer.readonly 仅用于检索客户的范围。
网域的范围 含义
https://www.googleapis.com/auth/admin.directory.domain 用于访问所有网域操作的范围。
https://www.googleapis.com/auth/admin.directory.domain.readonly 仅检索网域的范围。
日历资源的范围 含义
https://www.googleapis.com/auth/admin.directory.resource.calendar 用于访问所有日历资源操作的范围。
https://www.googleapis.com/auth/admin.directory.resource.calendar.readonly 仅用于检索日历资源的范围。