REST Resource: roleAssignments

Recurso: RoleAssignment

Define a atribuição de um papel.

Representação JSON
{
  "roleAssignmentId": string,
  "roleId": string,
  "kind": string,
  "etag": string,
  "assignedTo": string,
  "assigneeType": enum (AssigneeType),
  "scopeType": string,
  "orgUnitId": string,
  "condition": string
}
Campos
roleAssignmentId

string (int64 format)

ID deste roleAssignment.

roleId

string (int64 format)

O ID do papel atribuído.

kind

string

O tipo do recurso da API. É sempre admin#directory#roleAssignment.

etag

string

ETag do recurso.

assignedTo

string

O ID exclusivo da entidade a que este papel é atribuído: o userId de um usuário, o groupId de um grupo ou o uniqueId de uma conta de serviço, conforme definido no Identity and Access Management (IAM).

assigneeType

enum (AssigneeType)

Apenas saída. O tipo do responsável (USER ou GROUP).

scopeType

string

O escopo em que esse papel é atribuído.

Os valores aceitáveis são:

  • CUSTOMER
  • ORG_UNIT
orgUnitId

string

Se a função for restrita a uma unidade organizacional, ele conterá o ID da unidade organizacional a que o exercício é restrito.

condition

string

Opcional. (Beta aberta: disponível na versão /admin/directory/v1.1beta1 da API)

Observação: o recurso está disponível para clientes do Enterprise Standard, Enterprise Plus, Google Workspace for Education Plus e Cloud Identity Premium. Nenhuma configuração adicional é necessária para usar o recurso. Atualmente, na versão Beta, o RoleAssignment associado a um condition ainda não é respeitado no Admin Console (http://admin.google.com).

A condição associada a esta atribuição de papel. Um RoleAssignment com o campo condition definido só vai entrar em vigor quando o recurso que está sendo acessado atender à condição. Se condition estiver vazio, o papel (roleId) será aplicado incondicionalmente ao ator (assignedTo) no escopo (scopeType).

Atualmente, apenas duas condições são compatíveis:

  • Para tornar RoleAssignment aplicável apenas a grupos de segurança: api.getAttribute('cloudidentity.googleapis.com/groups.labels', []).hasAny(['groups.security']) && resource.type == 'cloudidentity.googleapis.com/Group'

  • Para tornar RoleAssignment não aplicável a grupos de segurança: !api.getAttribute('cloudidentity.googleapis.com/groups.labels', []).hasAny(['groups.security']) && resource.type == 'cloudidentity.googleapis.com/Group'

Atualmente, as duas strings de condição precisam ser literais e só funcionam com as seguintes funções de administrador predefinidas:

  • Editor de grupos
  • Leitor dos Grupos do Google

A condição segue a sintaxe da condição do Cloud IAM.

AssigneeType

O tipo de identidade ao qual um papel é atribuído.

Enums
USER Um usuário individual no domínio.
GROUP Um grupo dentro do domínio.

Métodos

delete

Exclui uma atribuição de papel.

get

Recupera uma atribuição de papel.

insert

Cria uma atribuição de papel.

list

Recupera uma lista paginada de todos os roleAssignments.