REST Resource: roleAssignments

Ressource: RoleAssignment

Definiert eine Rollenzuweisung.

JSON-Darstellung 
{
  "roleAssignmentId": string,
  "roleId": string,
  "kind": string,
  "etag": string,
  "assignedTo": string,
  "assigneeType": enum (AssigneeType),
  "scopeType": string,
  "orgUnitId": string,
  "condition": string
}
Felder
roleAssignmentId

string (int64 format)

ID dieser RoleAssignment.
roleId

string (int64 format)

Die ID der zugewiesenen Rolle.
kind

string

Der Typ der API-Ressource. Dies ist immer admin#directory#roleAssignment.
etag

string

Das ETag der Ressource.
assignedTo

string

Die eindeutige ID der Entität, der diese Rolle zugewiesen ist – entweder die userId eines Nutzers, die groupId einer Gruppe oder die uniqueId eines Dienstkontos, wie in Identity and Access Management (IAM) definiert.
assigneeType

enum (AssigneeType)

Nur Ausgabe. Der Typ der zuständigen Person (USER oder GROUP).
scopeType

string

Der Bereich, in dem diese Rolle zugewiesen wird.

Akzeptable Werte sind:

  • CUSTOMER
  • ORG_UNIT
orgUnitId

string

Wenn die Rolle auf eine Organisationseinheit beschränkt ist, enthält dieses Feld die ID der Organisationseinheit, auf die die Ausübung dieser Rolle beschränkt ist.
condition

string

Optional. (Offene Betaversion – verfügbar in der /admin/directory/v1.1beta1-Version der API)

Hinweis: Die Funktion ist für Kunden von Enterprise Standard, Enterprise Plus, Google Workspace for Education Plus und der Cloud Identity Premiumversion verfügbar. Für diese Funktion ist keine zusätzliche Einrichtung erforderlich. In der Betaversion wird die mit einer condition verknüpfte RoleAssignment noch nicht in der Admin-Konsole (http://admin.google.com) berücksichtigt.

Die mit dieser Rollenzuweisung verknüpfte Bedingung. Ein RoleAssignment mit einem festgelegten Feld condition wird nur wirksam, wenn die Ressource, auf die zugegriffen wird, die Bedingung erfüllt. Wenn „condition“ leer ist, wird die Rolle (roleId) dem Akteur (assignedTo) im Bereich (scopeType) ohne Bedingungen zugewiesen.

Derzeit werden nur zwei Bedingungen unterstützt:

  • So legen Sie fest, dass die RoleAssignment nur für Sicherheitsgruppen gilt: api.getAttribute('cloudidentity.googleapis.com/groups.labels', []).hasAny(['groups.security']) && resource.type == 'cloudidentity.googleapis.com/Group'

  • So machen Sie die RoleAssignment nicht auf Sicherheitsgruppen anwendbar: !api.getAttribute('cloudidentity.googleapis.com/groups.labels', []).hasAny(['groups.security']) && resource.type == 'cloudidentity.googleapis.com/Group'

Derzeit müssen die beiden Bedingungsstrings wortwörtlich sein und funktionieren nur mit den folgenden vordefinierten Administratorrollen:

  • Bearbeiter von Gruppen
  • Google Groups-Leser

Die Bedingung entspricht der Cloud IAM-Bedingungssyntax.

AssigneeType

Der Identitätstyp, dem eine Rolle zugewiesen wird.

Enums
USER Ein einzelner Nutzer innerhalb der Domain.
GROUP Eine Gruppe innerhalb der Domain.

Methoden

delete

 Löscht eine Rollenzuweisung.

get

 Ruft eine Rollenzuweisung ab.

insert

 Erstellt eine Rollenzuweisung.

list

 Ruft eine paginierte Liste aller RoleAssignments ab.