REST Resource: roleAssignments

Ressource : RoleAssignment

Définit une attribution de rôle.

Représentation JSON 
{
  "roleAssignmentId": string,
  "roleId": string,
  "kind": string,
  "etag": string,
  "assignedTo": string,
  "assigneeType": enum (AssigneeType),
  "scopeType": string,
  "orgUnitId": string,
  "condition": string
}
Champs
roleAssignmentId

string (int64 format)

ID de cette roleAssignment.
roleId

string (int64 format)

ID du rôle attribué.
kind

string

Type de ressource de l'API. Cette valeur est toujours admin#directory#roleAssignment.
etag

string

ETag de la ressource.
assignedTo

string

ID unique de l'entité à laquelle ce rôle est attribué : userId d'un utilisateur, groupId d'un groupe ou uniqueId d'un compte de service, tel que défini dans Identity and Access Management (IAM).
assigneeType

enum (AssigneeType)

Uniquement en sortie. Type de l'utilisateur affecté (USER ou GROUP).
scopeType

string

Champ d'application dans lequel ce rôle est attribué.

Les valeurs acceptées sont les suivantes :

  • CUSTOMER
  • ORG_UNIT
orgUnitId

string

Si le rôle est limité à une unité organisationnelle, cette valeur contient l'ID de l'unité organisationnelle à laquelle l'exercice de ce rôle est limité.
condition

string

Facultatif. Condition associée à cette attribution de rôle.

Remarque : Cette fonctionnalité est disponible pour les clients Enterprise Standard, Enterprise Plus, Google Workspace for Education Plus et Cloud Identity Premium.

Un RoleAssignment dont le champ condition est défini ne prendra effet que lorsque la ressource à laquelle l'utilisateur tente d'accéder répond à la condition. Si condition est vide, le rôle (roleId) est appliqué à l'acteur (assignedTo) au niveau du champ d'application (scopeType) de manière inconditionnelle.

Actuellement, les conditions suivantes sont acceptées :

  • Pour que RoleAssignment ne s'applique qu'aux groupes de sécurité : api.getAttribute('cloudidentity.googleapis.com/groups.labels', []).hasAny(['groups.security']) && resource.type == 'cloudidentity.googleapis.com/Group'

  • Pour que RoleAssignment ne s'applique pas aux groupes de sécurité : !api.getAttribute('cloudidentity.googleapis.com/groups.labels', []).hasAny(['groups.security']) && resource.type == 'cloudidentity.googleapis.com/Group'

Actuellement, les chaînes de condition doivent être littérales et ne fonctionnent qu'avec les rôles d'administrateur prédéfinis suivants :

  • Éditeur de groupes
  • Lecteur de groupes

La condition suit la syntaxe des conditions Cloud IAM.

  • Pour que RoleAssignment ne s'applique pas aux groupes verrouillés : !api.getAttribute('cloudidentity.googleapis.com/groups.labels', []).hasAny(['groups.locked']) && resource.type == 'cloudidentity.googleapis.com/Group'

Cette condition peut également être utilisée conjointement avec une condition liée à la sécurité.

AssigneeType

Type d'identité à laquelle un rôle est attribué.

Enums
USER Un utilisateur individuel au sein du domaine.
GROUP Il s'agit d'un groupe au sein du domaine.

Méthodes

delete

 Supprime une attribution de rôle.

get

 Récupère une attribution de rôle.

insert

 Crée une attribution de rôle.

list

 Récupère une liste paginée de toutes les attributions de rôle.