REST Resource: roleAssignments

Ressource: RoleAssignment

Definiert die Zuweisung einer Rolle.

JSON-Darstellung 
{
  "roleAssignmentId": string,
  "roleId": string,
  "kind": string,
  "etag": string,
  "assignedTo": string,
  "assigneeType": enum (AssigneeType),
  "scopeType": string,
  "orgUnitId": string,
  "condition": string
}
Felder
roleAssignmentId

string (int64 format)

Die ID dieser Rollenzuweisung.
roleId

string (int64 format)

Die ID der zugewiesenen Rolle.
kind

string

Der Typ der API-Ressource. Dies ist immer admin#directory#roleAssignment.
etag

string

ETag der Ressource.
assignedTo

string

Die eindeutige ID der Entität, der diese Rolle zugewiesen ist – entweder die userId eines Nutzers, die groupId einer Gruppe oder die uniqueId eines Dienstkontos gemäß Identity and Access Management (IAM).
assigneeType

enum (AssigneeType)

Nur Ausgabe. Der Typ des Bearbeiters (USER oder GROUP).
scopeType

string

Der Umfang, in dem diese Rolle zugewiesen ist.

Akzeptable Werte sind:

  • CUSTOMER
  • ORG_UNIT
orgUnitId

string

Wenn die Rolle auf eine Organisationseinheit beschränkt ist, enthält dieses Feld die ID der Organisationseinheit, auf die sich die Ausübung dieser Rolle beschränkt.
condition

string

Optional. (Offene Betaversion – verfügbar in der /admin/directory/v1.1beta1-Version der API)

Hinweis: Die Funktion ist für Kunden von Enterprise Standard, Enterprise Plus, Google Workspace for Education Plus und der Cloud Identity Premiumversion verfügbar. Für diese Funktion ist keine zusätzliche Einrichtung erforderlich. In der Betaversion wird die mit einer condition verknüpfte RoleAssignment in der Admin-Konsole (http://admin.google.com) derzeit noch nicht berücksichtigt.

Die mit dieser Rollenzuweisung verknüpfte Bedingung. Eine RoleAssignment mit dem festgelegten Feld condition wird nur wirksam, wenn die Ressource, auf die zugegriffen wird, die Bedingung erfüllt. Wenn condition leer ist, wird die Rolle (roleId) dem Nutzer (assignedTo) im Gültigkeitsbereich (scopeType) ohne Bedingungen angewendet.

Derzeit werden nur zwei Bedingungen unterstützt:

  • So legen Sie fest, dass die RoleAssignment nur für Sicherheitsgruppen gilt: api.getAttribute('cloudidentity.googleapis.com/groups.labels', []).hasAny(['groups.security']) && resource.type == 'cloudidentity.googleapis.com/Group'

  • So legen Sie fest, dass die RoleAssignment nicht für Sicherheitsgruppen gilt: !api.getAttribute('cloudidentity.googleapis.com/groups.labels', []).hasAny(['groups.security']) && resource.type == 'cloudidentity.googleapis.com/Group'

Derzeit müssen die beiden Bedingungsstrings wörtlich übernommen werden und sie funktionieren nur mit den folgenden vordefinierten Administratorrollen:

  • Gruppen-Editor
  • Google Groups-Leser

Die Bedingung folgt der Syntax für Cloud IAM-Bedingungen.

AssigneeType

Der Identitätstyp, dem eine Rolle zugewiesen ist.

Enums
USER Ein einzelner Nutzer innerhalb der Domain.
GROUP Eine Gruppe innerhalb der Domain.

Methoden

delete

 Löscht eine Rollenzuweisung.

get

 Ruft eine Rollenzuweisung ab.

insert

 Erstellt eine Rollenzuweisung.

list

 Ruft eine paginaierte Liste aller Rollenzuweisungen ab.