إجراءات المشرف

تتوفّر لمشرفي النطاق عناصر تحكّم متعدّدة لإدارة الميزات والتطبيقات التي يمكن للمستخدمين في نطاقهم الوصول إليها. توضّح هذه الصفحة هذه الميزات وكيفية تأثيرها في عملية الدمج الخارجية أو الاستفادة منها، بالإضافة إلى طلبات واجهة برمجة التطبيقات ذات الصلة.

إدارة وصول المستخدمين الذين تقلّ أعمارهم عن 18 عامًا إلى التطبيقات التابعة لجهات خارجية

على المشرفين ضبط إعدادات التطبيقات الخارجية في "وحدة تحكّم المشرف في Google" للمستخدمين الذين تقلّ أعمارهم عن 18 عامًا. إذا لم يضبط المشرف إعدادات أحد التطبيقات، لن يتمكّن المستخدمون الذين تقلّ أعمارهم عن 18 عامًا من الوصول إلى هذا التطبيق باستخدام حساباتهم على Google Workspace for Education.

ليس على المطوّرين الذين ينشئون تطبيقات لمستخدمي Google Workspace for Education الذين تقلّ أعمارهم عن 18 عامًا اتّخاذ أي إجراء. لا يمكن ضبط التطبيقات التابعة لجهات خارجية إلا من خلال المشرفين في واجهة مستخدم "وحدة تحكّم المشرف"، ولا يمكن إتمام ذلك آليًا.

تحديد أدوار مشرف مخصّصة لميزات Classroom

يمكن للمشرفين إنشاء أدوار مشرفين مخصّصة في "وحدة تحكّم المشرف" للسماح لأفراد أو مجموعات معيّنة لديهم Google Workspace for Education Standard أو Plus بما يلي:

• عرض إحصاءات Classroom لفهم البيانات، مثل إكمال المهام الدراسية ومؤشرات الدرجات ومعدّل استخدام Classroom

• الوصول مؤقتًا إلى الصفوف في Classroom بدون تعيين معلّم مساعد دائم

يوضّح هذا الدليل كيفية إعداد هذه الميزات في نطاقك باستخدام واجهات برمجة التطبيقات من Google.

أتمتة عملية منح الأدوار المخصّصة

سيرشدك هذا الدليل إلى كيفية إكمال الخطوات التالية لأتمتة عملية تعيين الأدوار المخصّصة:

1. أنشئ مجموعات أمان لتنظيم المستخدمين الذين يمكنهم الوصول إلى هذه الميزات.
2. أضِف أعضاءً إلى المجموعات.
3. أنشئ دورًا مخصَّصًا للمشرف من خلال اختيار الامتياز المناسب.
4. استرداد أرقام تعريف الوحدات التنظيمية
5. طبِّق دور المشرف المخصّص على المجموعات التي تم إنشاؤها حديثًا.

المتطلبات الأساسية

1. اطّلِع على أدلة البدء السريع للتعرّف على كيفية إعداد تطبيق وتشغيله باستخدام واجهات برمجة التطبيقات من Google بلغات مثل JavaScript وPython وJava.
2. قبل استخدام أي من واجهات Cloud Identity API الموضّحة في هذا الدليل، يجب إعداد Cloud Identity. تُستخدَم واجهات برمجة التطبيقات هذه لإنشاء مجموعات من أجل منح امتيازات المشرف.
3. اطّلِع على نظرة عامة على Groups API وإعداد Groups API إذا كنت تريد منح إذن الوصول إلى دور مخصّص لمجموعة من المستخدمين بدلاً من مستخدم فردي.

إنشاء مجموعات أمان

أنشئ مجموعة أمان باستخدام طريقة groups.create. يمكن ضبط مجموعة كمجموعة أمان عند تضمين تصنيف الأمان في الحقل labels من الطلب. لمزيد من المعلومات والقيود المفروضة على إنشاء مجموعات الأمان، يُرجى الرجوع إلى دليل إنشاء مجموعات الأمان.

POST https://cloudidentity.googleapis.com/v1/groups

يمكنك اختياريًا تضمين مَعلمة طلب البحث InitialGroupConfig لتهيئة مالك المجموعة:

POST https://cloudidentity.googleapis.com/v1/groups&initialGroupConfig={initialGroupConfig}

يجب أن يتضمّن الحساب الذي يقدّم هذا الطلب أحد النطاقات التالية:

• https://www.googleapis.com/auth/cloud-identity.groups
• https://www.googleapis.com/auth/cloud-identity
• https://www.googleapis.com/auth/cloud-platform

نص الطلب

يحتوي نص الطلب على تفاصيل المجموعة المطلوب إنشاؤها. يجب أن يبدأ customerId بالحرف "C" (على سبيل المثال، C046psxkn). العثور على رقم تعريف العميل

{
   parent: "customers/<customer-id>",
   description: "This is the leadership group of school A.",
   displayName: "Leadership School A",
   groupKey: {
      id: "leadership_school_a@example.com"
   },
   labels: {
      "cloudidentity.googleapis.com/groups.security": "",
      "cloudidentity.googleapis.com/groups.discussion_forum": ""
   }
}

الردّ

يحتوي الردّ على مثيل جديد للمورد Operation.

{
   done: true,
   response: {
      @type: "type.googleapis.com/google.apps.cloudidentity.groups.v1.Group",
      name: "groups/<group-id>", // unique group ID
      groupKey: {
         id: "leadership_school_a@example.com" // group email address
      },
      parent: "customers/<customer-id>",
      displayName: "Leadership School A",
      description: "This is the leadership group of school A.",
      createTime: "<created time>",
      updateTime: "<updated time>",
      labels: {
         "cloudidentity.googleapis.com/groups.security": "",
         "cloudidentity.googleapis.com/groups.discussion_forum": ""
      }
   }
}

إضافة أعضاء مجموعة

بعد إنشاء المجموعة، الخطوة التالية هي إضافة أعضاء إليها. يمكن أن يكون عضو المجموعة مستخدمًا أو مجموعة أمان أخرى. في حال إضافة مجموعة كعضو في مجموعة أخرى، قد يستغرق نشر العضوية مدة تصل إلى 10 دقائق. بالإضافة إلى ذلك، تعرض واجهة برمجة التطبيقات خطأً بشأن الدورات في عضويات المجموعات. على سبيل المثال، إذا كان group1 عضوًا في group2، لا يمكن أن يكون group2 عضوًا في group1.

لإضافة مستخدم إلى مجموعة، استخدِم طلب POST التالي إلى طريقة Directory API members.insert:

POST https://admin.googleapis.com/admin/directory/v1/groups/{groupKey}/members

مَعلمة المسار groupKey هي عنوان البريد الإلكتروني للمجموعة الخاص بالعضو الجديد أو المعرّف الفريد للمجموعة.

يجب أن يتضمّن الحساب الذي يرسل طلب POST أحد النطاقات التالية:

• https://apps-apis.google.com/a/feeds/groups/
• https://www.googleapis.com/auth/admin.directory.group
• https://www.googleapis.com/auth/admin.directory.group.member

نص الطلب

يحتوي نص الطلب على تفاصيل member المطلوب إنشاؤه.

{
   email: "person_one@example.com",
   role: "MEMBER", // can be `MEMBER`, `OWNER`, `MANAGER`
}

الردّ

يحتوي الردّ على النسخة الجديدة من العضو.

{
   kind: "admin#directory#member",
   etag: "<etag-value>", // role's unique ETag
   id: "4567", // group member's unique ID
   email: "person_one@example.com",
   role: "MEMBER",
   type: "GROUP",
   status: "ACTIVE"
}

يجب تقديم هذا الطلب لكل مستخدم تريد إضافته كعضو. يمكنك تجميع هذه الطلبات في دُفعات لتقليل عدد اتصالات HTTP التي يجب أن يجريها العميل.

إنشاء دور مخصّص للمشرف يتضمّن امتيازات

تتيح لك Directory API استخدام ميزة "التحكّم في الوصول استنادًا إلى الدور" (RBAC) لإدارة إمكانية الوصول إلى الميزات في نطاق Google Workspace. يمكنك إنشاء أدوار مخصّصة تتضمّن امتيازات للحدّ من وصول المشرف بشكل أكثر تحديدًا من الأدوار الجاهزة المضمّنة في Google Workspace. يمكنك منح الأدوار للمستخدمين أو مجموعات الأمان. للحصول على معلومات أكثر تفصيلاً حول القيود المفروضة على إنشاء الأدوار، يُرجى الرجوع إلى القيود المفروضة على الأدوار المخصّصة وتعيين الأدوار.

لإنشاء دور جديد، استخدِم طلب POST التالي إلى طريقة Directory API roles.insert:

POST https://admin.googleapis.com/admin/directory/v1/customer/{customer}/roles

يكون customerId هو نفسه المستخدَم في الخطوة 1 من هذا الدليل.

يجب أن يتضمّن الحساب الذي يرسل طلب POST النطاق التالي:

• https://www.googleapis.com/auth/admin.directory.rolemanagement

نص الطلب

يحتوي نص الطلب على تفاصيل role المطلوب إنشاؤه. أضِف privilegeName وserviceId لكل إذن مميّز يجب منحه مع هذا الدور.

{
  roleName: "Education Admin", // customize as needed
  roleDescription: "Access to view analytics data", // customize as needed
  rolePrivileges: [
     {
        privilegeName: "EDU_ANALYTICS_DATA_ACCESS",
        serviceId: "019c6y1840fzfkt"
     }
  ]
}

{
  roleName: "Education Admin", // customize as needed
  roleDescription: "Access to manage classes privilege", // customize as needed
  rolePrivileges: [
     {
        privilegeName: "ADMIN_OVERSIGHT_MANAGE_CLASSES",
        serviceId: "019c6y1840fzfkt"
     }
  ]
}

استدعِ طريقة privileges.list لاسترداد قائمة privilegeIds وserviceIds.

الردّ

يحتوي الردّ على النسخة الجديدة من الدور.

{
  kind: "admin#directory#role",
  etag: "<etag-value>",  // role's unique ETag
  roleId: "<role-id>",   // role's unique ID
  roleName: "Education Admin",
  roleDescription: "Access to view analytics data",
  rolePrivileges: [
     {
        privilegeName: "EDU_ANALYTICS_DATA_ACCESS",
        serviceId: "019c6y1840fzfkt"
     }
  ],
  isSystemRole: false,
  isSuperAdminRole: false
}

{
  kind: "admin#directory#role",
  etag: "<etag-value>",  // role's unique ETag
  roleId: "<role-id>",   // role's unique ID
  roleName: "Education Admin",
  roleDescription: "Access to manage classes privilege",
  rolePrivileges: [
     {
        privilegeName: "ADMIN_OVERSIGHT_MANAGE_CLASSES",
        serviceId: "019c6y1840fzfkt"
     }
  ],
  isSystemRole: false,
  isSuperAdminRole: false
}

استرداد أرقام تعريف الوحدات التنظيمية

يمكنك حصر إذن الوصول إلى دور مخصَّص للمشرف على وحدة تنظيمية واحدة أو أكثر باستخدام معرّف الوحدة التنظيمية. استخدِم OrgUnit API لاسترداد orgUnitId.

منح دور مخصَّص للمشرف

لمنح دور مخصَّص للمشرف لمجموعة، استخدِم طلب POST التالي. راجِع إرشادات القيود المفروضة على الأدوار المخصّصة وإسناد الأدوار للتعرّف على القيود المفروضة على إسناد الأدوار.

‫Directory API roleAssignments.insert:

POST https://admin.googleapis.com/admin/directory/v1/customer/{customer}/roleassignments

التخصيص لمجموعة أو مستخدم فردي

في حال منح الإذن المميّز لمجموعة، أدرِج groupId في حقل assignedTo في نص الطلب. تم الحصول على groupId في خطوة إنشاء مجموعات الأمان. في حال منح الإذن المميّز لمستخدم فردي، أدرِج رقم تعريف المستخدم في الحقل assignedTo في نص الطلب. يمكن استرداد معرّف المستخدم من خلال استدعاء users.get وتحديد عنوان البريد الإلكتروني للمستخدم كالمَعلمة userKey أو من خلال استدعاء users.list.

يجب أن يتضمّن الحساب الذي يرسل طلب POST النطاق التالي:

• https://www.googleapis.com/auth/admin.directory.rolemanagement

نص الطلب

يحتوي نص الطلب على تفاصيل RoleAssignment المطلوب إنشاؤه. يجب تقديم طلب واحد لكل وحدة تنظيمية تريد ربطها بهذه المجموعة.

{
   roleId: "<role-id>",        // role's unique ID obtained from Step 3
   assignedTo: "<id>",         // group ID or user ID
   scopeType: "ORG_UNIT",      // can be `ORG_UNIT` or `CUSTOMER`
   orgUnitId: "<org-unit-id>"  // organizational unit ID referenced in Step 4
}

الردّ

يحتوي الردّ على المثال الجديد RoleAssignment.

{
   kind: "admin#directory#roleAssignment",
   etag: "<etag-value>",
   roleAssignmentId: "<role-assignment-id>",
   roleId: "<role-id>",
   assignedTo: "<group-id or user-id>",
   assigneeType: "GROUP",
   scopeType: "ORG_UNIT",
   orgUnitId: "<org-unit-id>"
}

الموارد

يمكنك العثور على معلومات إضافية على:

• نظرة عامة على Directory API
• المصادقة والتفويض الخاصان بواجهة Directory API
• مستندات REST الخاصة بواجهة Directory API
• دعم المطوّرين لواجهة برمجة التطبيقات Admin SDK