REST Resource: roleAssignments

Ressource: RoleAssignment

Définit l'attribution d'un rôle.

Représentation JSON 
{
  "roleAssignmentId": string,
  "roleId": string,
  "kind": string,
  "etag": string,
  "assignedTo": string,
  "assigneeType": enum (AssigneeType),
  "scopeType": string,
  "orgUnitId": string,
  "condition": string
}
Champs
roleAssignmentId

string (int64 format)

ID de cette affectation de rôle.
roleId

string (int64 format)

ID du rôle attribué.
kind

string

Type de la ressource d'API. Cette valeur est toujours admin#directory#roleAssignment.
etag

string

ETag de la ressource.
assignedTo

string

ID unique de l'entité à laquelle ce rôle est attribué (userId d'un utilisateur, groupId d'un groupe ou uniqueId d'un compte de service, comme défini dans Identity and Access Management (IAM)).
assigneeType

enum (AssigneeType)

Uniquement en sortie. Type de l'affecté (USER ou GROUP).
scopeType

string

Champ d'application de ce rôle.

Les valeurs acceptées sont les suivantes :

  • CUSTOMER
  • ORG_UNIT
orgUnitId

string

Si le rôle est limité à une unité organisationnelle, il contient l'ID de l'unité organisationnelle à laquelle l'exercice de ce rôle est limité.
condition

string

Facultatif. (Bêta ouverte : disponible dans la version /admin/directory/v1.1beta1 de l'API)

Remarque: Cette fonctionnalité est disponible pour les clients Enterprise Standard, Enterprise Plus, Google Workspace for Education Plus et Cloud Identity Premium. Aucune configuration supplémentaire n'est requise pour utiliser cette fonctionnalité. Actuellement, dans la version bêta, le RoleAssignment associé à un condition n'est pas encore respecté dans la console d'administration (http://admin.google.com).

Condition associée à cette attribution de rôle. Un RoleAssignment pour lequel le champ condition est défini ne prend effet que lorsque la ressource en cours d'accès remplit la condition. Si condition est vide, le rôle (roleId) est appliqué à l'acteur (assignedTo) au niveau du champ d'application (scopeType) sans condition.

Actuellement, seules deux conditions sont acceptées:

  • Pour que RoleAssignment ne s'applique qu'aux groupes de sécurité: api.getAttribute('cloudidentity.googleapis.com/groups.labels', []).hasAny(['groups.security']) && resource.type == 'cloudidentity.googleapis.com/Group'

  • Pour rendre RoleAssignment non applicable aux groupes de sécurité: !api.getAttribute('cloudidentity.googleapis.com/groups.labels', []).hasAny(['groups.security']) && resource.type == 'cloudidentity.googleapis.com/Group'

Actuellement, les deux chaînes de conditions doivent être identiques et ne fonctionnent qu'avec les rôles d'administrateur prédéfinis suivants:

  • Éditeur de groupes
  • Lecteur Groupes

La condition suit la syntaxe des conditions Cloud IAM.

AssigneeType

Type d'identité auquel un rôle est attribué.

Enums
USER Utilisateur individuel du domaine.
GROUP Un groupe du domaine.

Méthodes

delete

 Supprime une attribution de rôle.

get

 Récupère une attribution de rôle.

insert

 Crée une attribution de rôle.

list

 Récupère une liste paginée de tous les rôleAssignments.