REST Resource: roleAssignments

Risorsa: RoleAssignment

Definisce l'assegnazione di un ruolo.

Rappresentazione JSON
{
  "roleAssignmentId": string,
  "roleId": string,
  "kind": string,
  "etag": string,
  "assignedTo": string,
  "assigneeType": enum (AssigneeType),
  "scopeType": string,
  "orgUnitId": string,
  "condition": string
}
Campi
roleAssignmentId

string (int64 format)

L'ID di questo ruolo.

roleId

string (int64 format)

L'ID del ruolo assegnato.

kind

string

Il tipo di risorsa API. Questo valore è sempre admin#directory#roleAssignment.

etag

string

ETag della risorsa.

assignedTo

string

L'ID univoco dell'entità a cui è assegnato il ruolo: userId di un utente, groupId di un gruppo o uniqueId di un account di servizio come definito in Identity and Access Management (IAM).

assigneeType

enum (AssigneeType)

Solo output. Il tipo di assegnatario (USER o GROUP).

scopeType

string

L'ambito in cui è assegnato questo ruolo.

I valori accettabili sono:

  • CUSTOMER
  • ORG_UNIT
orgUnitId

string

Se il ruolo è limitato a un'unità organizzativa, contiene l'ID dell'unità organizzativa a cui è limitato l'esercizio di questo ruolo.

condition

string

Facoltativo. La condizione associata a questa assegnazione del ruolo.

Nota: la funzionalità è disponibile per i clienti di Enterprise Standard, Enterprise Plus, Google Workspace for Education Plus e Cloud Identity Premium.

Un RoleAssignment con il campo condition impostato avrà effetto solo quando la risorsa a cui si accede soddisfa la condizione. Se condition è vuoto, il ruolo (roleId) viene applicato all'attore (assignedTo) nell'ambito (scopeType) in modo incondizionato.

Al momento sono supportate le seguenti condizioni:

  • Per rendere RoleAssignment applicabile solo ai gruppi di sicurezza: api.getAttribute('cloudidentity.googleapis.com/groups.labels', []).hasAny(['groups.security']) && resource.type == 'cloudidentity.googleapis.com/Group'

  • Per rendere RoleAssignment non applicabile ai gruppi di sicurezza: !api.getAttribute('cloudidentity.googleapis.com/groups.labels', []).hasAny(['groups.security']) && resource.type == 'cloudidentity.googleapis.com/Group'

Al momento, le stringhe di condizione devono essere verbatim e funzionano solo con i seguenti ruoli amministrativi predefiniti:

  • Editor di gruppi
  • Lettore di gruppi

La condizione segue la sintassi della condizione Cloud IAM.

Altre condizioni relative ai gruppi bloccati sono disponibili nella versione beta aperta.

  • Per rendere RoleAssignment non applicabile ai gruppi bloccati: !api.getAttribute('cloudidentity.googleapis.com/groups.labels', []).hasAny(['groups.locked']) && resource.type == 'cloudidentity.googleapis.com/Group'

Questa condizione può essere utilizzata anche in combinazione con una condizione relativa alla sicurezza.

AssigneeType

Il tipo di identità a cui è assegnato un ruolo.

Enum
USER Un singolo utente all'interno del dominio.
GROUP Un gruppo all'interno del dominio.

Metodi

delete

Elimina un'assegnazione di ruolo.

get

Recupera un'assegnazione di ruolo.

insert

Crea un'assegnazione del ruolo.

list

Recupera un elenco paginato di tutti i roleAssignments.