Gli amministratori possono creare ruoli amministrativi personalizzati nella Console di amministrazione per consentire a determinati individui o gruppi con una licenza Education Plus di:
Visualizza le analisi di Classroom per comprendere dati come il completamento di compiti, le tendenze dei voti e l'adozione di Classroom.
Accedi temporaneamente ai corsi in Classroom per supportare gli insegnanti, pubblicare annunci e altro ancora, senza che ti venga assegnato il ruolo di co-insegnante permanente.
Questa guida spiega come configurare queste funzionalità nel tuo dominio utilizzando le API di Google.
Automatizzare il processo di assegnazione dei ruoli personalizzati
Per automatizzare la procedura di assegnazione dei ruoli personalizzati:
- Crea gruppi di sicurezza per organizzare gli utenti che possono accedere a queste funzionalità.
- Aggiungi membri ai gruppi.
- Crea un ruolo amministrativo personalizzato selezionando il privilegio corretto.
- Recupera gli ID delle unità organizzative.
- Applica il ruolo amministrativo personalizzato ai gruppi appena creati.
Prerequisiti
- Leggi le guide rapide per capire come configurare ed eseguire un'applicazione utilizzando le API di Google in linguaggi come JavaScript, Python e Java.
- Leggi la panoramica dell'API Groups.
- Prima di utilizzare le API Cloud Identity descritte in questa guida, è necessario configurare Cloud Identity. Queste API vengono utilizzate per creare gruppi per l'assegnazione dei privilegi di amministratore.
- Imposta l'API Groups.
Crea gruppi di sicurezza
Crea un gruppo di sicurezza con il metodo groups.create
. Un gruppo può essere impostato come gruppo di sicurezza quando l'etichetta di sicurezza è inclusa nel campo labels
della richiesta. Per ulteriori informazioni e limitazioni sulla creazione di gruppi di sicurezza, consulta la guida Creazione di gruppi di sicurezza.
POST https://cloudidentity.googleapis.com/v1/groups
Se vuoi, puoi includere il parametro di query InitialGroupConfig
per inizializzare il proprietario del gruppo:
POST https://cloudidentity.googleapis.com/v1/groups&initialGroupConfig={initialGroupConfig}
L'account che effettua questa richiesta richiede uno dei seguenti ambiti:
https://www.googleapis.com/auth/cloud-identity.groups
https://www.googleapis.com/auth/cloud-identity
https://www.googleapis.com/auth/cloud-platform
Corpo della richiesta
Il corpo della richiesta contiene i dettagli del gruppo da creare. customerId
deve iniziare con "C" (ad esempio, C046psxkn
).
Trova il tuo ID cliente.
{
parent: "customers/<customer-id>",
description: "This is the leadership group of school A.",
displayName: "Leadership School A",
groupKey: {
id: "leadership_school_a@example.com"
},
labels: {
"cloudidentity.googleapis.com/groups.security": "",
"cloudidentity.googleapis.com/groups.discussion_forum": ""
}
}
Risposta
La risposta contiene una nuova istanza della risorsa Operation
.
{
done: true,
response: {
@type: "type.googleapis.com/google.apps.cloudidentity.groups.v1.Group",
name: "groups/<group-id>", // unique group ID
groupKey: {
id: "leadership_school_a@example.com" // group email address
},
parent: "customers/<customer-id>",
displayName: "Leadership School A",
description: "This is the leadership group of school A.",
createTime: "<created time>",
updateTime: "<updated time>",
labels: {
"cloudidentity.googleapis.com/groups.security": "",
"cloudidentity.googleapis.com/groups.discussion_forum": ""
}
}
}
Aggiungi membri del gruppo
Una volta creato il gruppo, il passaggio successivo è aggiungere i membri. Un membro di un gruppo può essere un utente o un altro gruppo di sicurezza. Se aggiungi un gruppo come membro di un altro gruppo, la propagazione dell'iscrizione potrebbe richiedere fino a 10 minuti. Inoltre, l'API restituisce un errore per i cicli nelle appartenenze ai gruppi. Ad esempio, se group1
è un membro di group2
, group2
non può
essere membro di group1
.
Per aggiungere un membro a un gruppo, utilizza la seguente richiesta POST.
API Directory members.insert
:
POST https://admin.googleapis.com/admin/directory/v1/groups/{groupKey}/members
Il parametro del percorso groupKey
è l'indirizzo email del gruppo del nuovo membro o l'ID univoco del gruppo.
L'account che effettua la richiesta POST richiede uno dei seguenti ambiti:
https://apps-apis.google.com/a/feeds/groups/
https://www.googleapis.com/auth/admin.directory.group
https://www.googleapis.com/auth/admin.directory.group.member
Corpo della richiesta
Il corpo della richiesta contiene i dettagli della member
da creare.
{
email: "person_one@example.com",
role: "MEMBER", // can be `MEMBER`, `OWNER`, `MANAGER`
}
Risposta
La risposta contiene la nuova istanza del membro.
{
kind: "admin#directory#member",
etag: "<etag-value>", // role's unique ETag
id: "4567", // group member's unique ID
email: "person_one@example.com",
role: "MEMBER",
type: "GROUP",
status: "ACTIVE"
}
Questa richiesta deve essere effettuata per ogni utente che vuoi aggiungere come membro. Puoi eseguire un batch di queste richieste per ridurre il numero di connessioni HTTP che il tuo client deve effettuare.
Creare un ruolo amministrativo personalizzato con privilegi
L'API Directory consente di utilizzare il controllo dell'accesso basato sui ruoli (RBAC) per gestire l'accesso alle funzionalità nel tuo dominio Google Workspace. Puoi creare ruoli personalizzati con privilegi per limitare l'accesso degli amministratori in modo più specifico rispetto ai ruoli predefiniti forniti con Google Workspace. Puoi assegnare ruoli a utenti o gruppi di sicurezza. Per informazioni più dettagliate sulle limitazioni della creazione dei ruoli, consulta le limitazioni relative a ruoli personalizzati e assegnazioni di ruoli.
Per creare un nuovo ruolo, utilizza la seguente richiesta POST.
API Directory roles.insert
:
POST https://admin.googleapis.com/admin/directory/v1/customer/{customer}/roles
customerId
è uguale a quello utilizzato nel
passaggio 1 di questa guida.
L'account che effettua la richiesta POST richiede il seguente ambito:
https://www.googleapis.com/auth/admin.directory.rolemanagement
Corpo della richiesta
Il corpo della richiesta contiene i dettagli della role
da creare. Aggiungi privilegeName
e serviceId
per ogni privilegio che deve essere concesso con questo ruolo.
Dati e analisi di Classroom
Per creare un
ruolo personalizzato che possa accedere ai dati di analisi è necessario il privilegio EDU_ANALYTICS_DATA_ACCESS
, insieme al criterio serviceId
impostato su 019c6y1840fzfkt
.
{
roleName: "Education Admin", // customize as needed
roleDescription: "Access to view analytics data", // customize as needed
rolePrivileges: [
{
privilegeName: "EDU_ANALYTICS_DATA_ACCESS",
serviceId: "019c6y1840fzfkt"
}
]
}
Accesso temporaneo al corso
Il privilegio ADMIN_OVERSIGHT_MANAGE_CLASSES
è necessario per creare
un ruolo personalizzato che possa accedere temporaneamente alle classi, insieme al criterio serviceId
impostato su 019c6y1840fzfkt
.
{
roleName: "Education Admin", // customize as needed
roleDescription: "Access to manage classes privilege", // customize as needed
rolePrivileges: [
{
privilegeName: "ADMIN_OVERSIGHT_MANAGE_CLASSES",
serviceId: "019c6y1840fzfkt"
}
]
}
Chiama il metodo privileges.list
per recuperare un
elenco di privilegeIds
e serviceIds
.
Risposta
La risposta contiene la nuova istanza del ruolo.
Dati e analisi di Classroom
{
kind: "admin#directory#role",
etag: "<etag-value>", // role's unique ETag
roleId: "<role-id>", // role's unique ID
roleName: "Education Admin",
roleDescription: "Access to view analytics data",
rolePrivileges: [
{
privilegeName: "EDU_ANALYTICS_DATA_ACCESS",
serviceId: "019c6y1840fzfkt"
}
],
isSystemRole: false,
isSuperAdminRole: false
}
Accesso temporaneo al corso
{
kind: "admin#directory#role",
etag: "<etag-value>", // role's unique ETag
roleId: "<role-id>", // role's unique ID
roleName: "Education Admin",
roleDescription: "Access to manage classes privilege",
rolePrivileges: [
{
privilegeName: "ADMIN_OVERSIGHT_MANAGE_CLASSES",
serviceId: "019c6y1840fzfkt"
}
],
isSystemRole: false,
isSuperAdminRole: false
}
Recuperare gli ID delle unità organizzative
Puoi limitare l'accesso del ruolo amministrativo personalizzato a una o più
unità organizzative utilizzando l'ID unità organizzativa. Usa l'API OrgUnit per recuperare il orgUnitId
.
Dati e analisi di Classroom
Ti consigliamo di selezionare un'unità organizzativa di studenti e un'unità organizzativa di insegnanti quando assegni il ruolo di amministratore personalizzato a un utente o a un gruppo specifico. In questo modo, gli utenti designati con privilegi amministrativi personalizzati possono accedere ai dati a livello di studente e di classe per le unità organizzative. Se l'unità organizzativa degli studenti viene omessa, gli utenti designati non avranno accesso ai dati degli studenti. Se l'unità organizzativa dell'insegnante viene omessa, gli utenti designati non avranno accesso ai dati a livello di corso.
Accesso temporaneo al corso
Puoi limitare i privilegi di accesso temporaneo ai corsi consentendo agli utenti con ruolo di amministratore personalizzato di accedere ai corsi di determinate unità organizzative. Se limiti l'accesso a un'unità organizzativa, il gruppo a cui è stato assegnato il ruolo di amministratore personalizzato può accedere solo ai corsi di cui fa parte l'insegnante principale del corso.
Assegnare il ruolo di amministratore personalizzato
Per assegnare il ruolo amministrativo personalizzato a un gruppo, utilizza la seguente richiesta POST. Fai riferimento alle linee guida sui limiti di assegnazione dei ruoli e dei ruoli personalizzati per conoscere i limiti di assegnazione dei ruoli.
API Directory roleAssignments.insert
:
POST https://admin.googleapis.com/admin/directory/v1/customer/{customer}/roleassignments
Assegnare a un gruppo o a un singolo utente
Se assegni il privilegio a un gruppo, includi groupId
nel campo assignedTo
nel corpo della richiesta. Il valore groupId
è stato ottenuto nel passaggio Creare gruppi di sicurezza. Se assegni il privilegio a un singolo utente, includi l'ID dell'utente nel campo assignedTo
nel corpo della richiesta. L'ID dell'utente può essere recuperato chiamando
users.get
e specificando l'indirizzo email
dell'utente come parametro userKey
o chiamando
users.list
.
L'account che effettua la richiesta POST richiede il seguente ambito:
https://www.googleapis.com/auth/admin.directory.rolemanagement
Corpo della richiesta
Il corpo della richiesta contiene i dettagli dell'elemento RoleAssignment
da creare. Devi effettuare
una richiesta per ogni unità organizzativa da associare a questo
gruppo.
{
roleId: "<role-id>", // role's unique ID obtained from Step 3
assignedTo: "<id>", // group ID or user ID
scopeType: "ORG_UNIT", // can be `ORG_UNIT` or `CUSTOMER`
orgUnitId: "<org-unit-id>" // organizational unit ID referenced in Step 4
}
Risposta
La risposta contiene la nuova istanza di RoleAssignment
.
{
kind: "admin#directory#roleAssignment",
etag: "<etag-value>",
roleAssignmentId: "<role-assignment-id>",
roleId: "<role-id>",
assignedTo: "<group-id or user-id>",
assigneeType: "GROUP",
scopeType: "ORG_UNIT",
orgUnitId: "<org-unit-id>"
}
Risorse
Ulteriori informazioni sono disponibili all'indirizzo:
- Panoramica dell'API Directory
- Autenticazione e autorizzazione specifiche per l'API Directory
- Documentazione REST dell'API Directory
- Assistenza per gli sviluppatori di API SDK Admin