REST Resource: roleAssignments

Risorsa: RoleAssignment

Definisce l'assegnazione di un ruolo.

Rappresentazione JSON
{
  "roleAssignmentId": string,
  "roleId": string,
  "kind": string,
  "etag": string,
  "assignedTo": string,
  "assigneeType": enum (AssigneeType),
  "scopeType": string,
  "orgUnitId": string,
  "condition": string
}
Campi
roleAssignmentId

string (int64 format)

ID di questo roleAssignment.

roleId

string (int64 format)

L'ID del ruolo assegnato.

kind

string

Il tipo di risorsa API. Il valore è sempre admin#directory#roleAssignment.

etag

string

ETag della risorsa.

assignedTo

string

L'ID univoco dell'entità a cui è assegnato questo ruolo: il userId di un utente, il groupId di un gruppo o il uniqueId di un account di servizio come definito in Identity and Access Management (IAM).

assigneeType

enum (AssigneeType)

Solo output. Il tipo di assegnatario (USER o GROUP).

scopeType

string

L'ambito in cui viene assegnato questo ruolo.

I valori accettati sono:

  • CUSTOMER
  • ORG_UNIT
orgUnitId

string

Se il ruolo è limitato a un'unità organizzativa, questo conterrà l'ID dell'unità organizzativa a cui è limitato l'esercizio di questo ruolo.

condition

string

(Facoltativo) (Beta aperta: disponibile nella versione /admin/directory/v1.1beta1 dell'API)

Nota: la funzionalità è disponibile per i clienti di Enterprise Standard, Enterprise Plus, Google Workspace for Education Plus e Cloud Identity Premium. Non è necessaria alcuna configurazione aggiuntiva per utilizzare la funzionalità. Attualmente, nella versione beta, il RoleAssignment associato a condition non è ancora rispettato nella Console di amministrazione (http://admin.google.com).

La condizione associata a questa assegnazione del ruolo. Un RoleAssignment con l'impostazione di campi condition ha effetto solo quando la risorsa a cui si accede soddisfa la condizione. Se il campo condition è vuoto, il ruolo (roleId) viene applicato all'attore (assignedTo) nell'ambito (scopeType) in modo incondizionato.

Al momento sono supportate solo due condizioni:

  • Per rendere RoleAssignment applicabile solo ai gruppi di sicurezza: api.getAttribute('cloudidentity.googleapis.com/groups.labels', []).hasAny(['groups.security']) && resource.type == 'cloudidentity.googleapis.com/Group'

  • Per rendere RoleAssignment non applicabile ai gruppi di sicurezza: !api.getAttribute('cloudidentity.googleapis.com/groups.labels', []).hasAny(['groups.security']) && resource.type == 'cloudidentity.googleapis.com/Group'

Al momento, le due stringhe di condizioni devono essere testate e funzionano solo con i seguenti ruoli di amministratore predefiniti:

  • Editor di Gruppi
  • Lettore gruppi

La condizione segue la sintassi delle condizioni di Cloud IAM.

AssigneeType

Il tipo di identità a cui è assegnato un ruolo.

Enum
USER Un singolo utente all'interno del dominio.
GROUP Un gruppo all'interno del dominio.

Metodi

delete

Elimina un'assegnazione del ruolo.

get

Recupera un'assegnazione del ruolo.

insert

Crea un'assegnazione del ruolo.

list

Recupera un elenco impaginato di tutti i ruoli roleAssignments.