REST Resource: roleAssignments

Recurso: RoleAssignment

Define a atribuição de uma função.

Representação JSON 
{
  "roleAssignmentId": string,
  "roleId": string,
  "kind": string,
  "etag": string,
  "assignedTo": string,
  "assigneeType": enum (AssigneeType),
  "scopeType": string,
  "orgUnitId": string,
  "condition": string
}
Campos
roleAssignmentId

string (int64 format)

ID deste roleAssignment.
roleId

string (int64 format)

O ID do papel atribuído.
kind

string

O tipo do recurso da API. É sempre admin#directory#roleAssignment.
etag

string

ETag do recurso.
assignedTo

string

O ID exclusivo da entidade à qual esse papel é atribuído: o userId de um usuário, o groupId de um grupo ou o uniqueId de uma conta de serviço, conforme definido no gerenciamento de identidade e acesso (IAM).
assigneeType

enum (AssigneeType)

Apenas saída. O tipo do responsável (USER ou GROUP).
scopeType

string

O escopo em que esta função é atribuída.

Os valores aceitos são:

  • CUSTOMER
  • ORG_UNIT
orgUnitId

string

Se o papel for restrito a uma unidade organizacional, ele conterá o ID da unidade organizacional à qual esse papel está restrito.
condition

string

Beta aberto: disponível na versão /admin/directory/v1.1beta1 da API

Observação: o recurso está disponível para os clientes do Enterprise Standard, Enterprise Plus, Google Workspace for Education Plus e Cloud Identity Premium. Nenhuma configuração adicional é necessária para usar o recurso. Atualmente na versão Beta, o RoleAssignment associado a um condition ainda não é respeitado no Admin Console (http://admin.google.com).

A condição associada a esta atribuição de papel. Uma RoleAssignment com o campo condition definido só vai entrar em vigor quando o recurso que estiver sendo acessado atender à condição. Se condition estiver vazio, o papel (roleId) será aplicado incondicionalmente ao ator (assignedTo) no escopo (scopeType).

Atualmente, apenas duas condições são suportadas:

  • Para tornar o RoleAssignment aplicável apenas aos Grupos de segurança: api.getAttribute('cloudidentity.googleapis.com/groups.labels', []).hasAny(['groups.security']) && resource.type == 'cloudidentity.googleapis.com/Group'

  • Para tornar o RoleAssignment não aplicável aos Grupos de segurança: !api.getAttribute('cloudidentity.googleapis.com/groups.labels', []).hasAny(['groups.security']) && resource.type == 'cloudidentity.googleapis.com/Group'

Atualmente, as duas strings de condição precisam ser exatamente ao mesmo tempo e só funcionam com as seguintes funções de administrador predefinidas:

  • Editor do Grupos
  • Leitor de grupos

A condição segue a sintaxe de condição do Cloud IAM.

Tipo de responsável

O tipo de identidade atribuído a um papel.

Enums
USER Um usuário individual no domínio.
GROUP Um grupo dentro do domínio.

Métodos

delete

 Exclui uma atribuição de função.

get

 Recupera uma atribuição de papel.

insert

 Cria uma atribuição de função.

list

 Recupera uma lista paginada de todos os roleAssignments.