驗證及授權
大多數 Google Cloud API 會根據使用者、群組或服務帳戶的IAM 角色授予權限。不過,Cloud Identity Groups API 會根據下列三種授權模式授予權限:
- 管理員授權
- 非管理員授權
- 命名空間授權
本指南會說明每種授權模式。
管理員授權
管理員授權模式會授予使用者網域中所有 Google 群組的完整存取權。凡是具備網路論壇管理員權限的使用者,皆具備管理員授權。只有該網域的超級管理員可以授予使用者群組管理員權限。
如要進一步瞭解如何授予群組管理員權限,請參閱「為使用者指派管理員角色」。
非管理員授權
非管理員授權是 Google 網路論壇的授權模式,可根據網域設定、群組設定,以及個別群組的權限 (例如群組中的成員角色),授予非管理員使用者 Google 網路論壇的存取權。
根據預設,所有使用者都可以在該網域中建立群組。不過,網域管理員可以使用管理控制台修改 Google 群組的網域設定。如要瞭解如何修改網域設定,請參閱「設定網路論壇企業版共用選項」。
群組擁有者可以為群組的每個成員角色設定權限。預設設定如下:
非群組成員在呼叫只讀
GroupsServiceAPI 時,可以查看群組及其詳細資料。在呼叫只讀MembershipsServiceAPI 時,他們也可以查看會員資格和詳細資料。成員的權限與非成員相同。
管理員擁有會員的所有權限,以及管理非擁有者會員會籍和會員角色的權限。
擁有者擁有管理員的所有權限,以及修改群組的結構描述、刪除群組,以及管理所有會籍和會籍角色的權限。
如要修改群組設定,請參閱建立群組並選擇群組設定。
命名空間授權
命名空間授權是針對身分群組的授權模式,可授予服務帳戶存取從相同身分來源同步處理的身分群組的權限。只有 Cloud Search 可以授予命名空間授權。