Chỉ định vai trò quản trị viên tuỳ chỉnh cho các tính năng trong Lớp học

Quản trị viên có thể tạo vai trò quản trị viên tuỳ chỉnh trong Bảng điều khiển dành cho quản trị viên để cho phép một số cá nhân hoặc nhóm có giấy phép Education Plus :

• Xem số liệu phân tích Lớp học để hiểu các dữ liệu như tỷ lệ hoàn thành bài tập, xu hướng điểm và mức sử dụng Lớp học.

• Tạm thời truy cập vào các lớp học trong Lớp học để hỗ trợ nhà giáo dục, đăng thông báo và làm nhiều việc khác mà không cần được chỉ định là người cùng dạy vĩnh viễn.

Hướng dẫn này giải thích cách thiết lập các tính năng này trong miền của bạn bằng API của Google.

Tự động hoá quy trình chỉ định vai trò tuỳ chỉnh

Cách tự động hoá quy trình chỉ định vai trò tuỳ chỉnh:

1. Tạo nhóm bảo mật để sắp xếp những người dùng có thể truy cập vào các tính năng này.
2. Thêm thành viên vào nhóm.
3. Tạo vai trò quản trị viên tuỳ chỉnh bằng cách chọn đặc quyền phù hợp.
4. Truy xuất mã nhận dạng đơn vị tổ chức.
5. Áp dụng vai trò quản trị viên tuỳ chỉnh cho các nhóm mới tạo.

Điều kiện tiên quyết

1. Đọc hướng dẫn Bắt đầu nhanh để hiểu cách thiết lập và chạy một ứng dụng bằng API của Google bằng các ngôn ngữ như JavaScript, Python và Java.
2. Đọc bài viết Tổng quan về Groups API.
3. Trước khi sử dụng bất kỳ API Cloud Identity nào được mô tả trong hướng dẫn này, bạn phải thiết lập Cloud Identity. Các API này được dùng để tạo nhóm nhằm chỉ định đặc quyền quản trị viên.
4. Thiết lập Groups API.

Tạo nhóm bảo mật

Tạo nhóm bảo mật bằng phương thức groups.create. Bạn có thể đặt một nhóm làm nhóm bảo mật khi nhãn bảo mật được đưa vào trường labels của yêu cầu. Để biết thêm thông tin và các giới hạn về việc tạo nhóm bảo mật, hãy tham khảo hướng dẫn tạo nhóm bảo mật.

POST https://cloudidentity.googleapis.com/v1/groups

Bạn có thể đưa tham số truy vấn InitialGroupConfig vào để khởi chạy chủ sở hữu nhóm:

POST https://cloudidentity.googleapis.com/v1/groups&initialGroupConfig={initialGroupConfig}

Tài khoản thực hiện yêu cầu này cần có một trong các phạm vi sau:

• https://www.googleapis.com/auth/cloud-identity.groups
• https://www.googleapis.com/auth/cloud-identity
• https://www.googleapis.com/auth/cloud-platform

Nội dung yêu cầu

Nội dung yêu cầu chứa thông tin chi tiết về nhóm cần tạo. customerId phải bắt đầu bằng "C" (ví dụ: C046psxkn). Tìm mã khách hàng của bạn.

{
   parent: "customers/<customer-id>",
   description: "This is the leadership group of school A.",
   displayName: "Leadership School A",
   groupKey: {
      id: "leadership_school_a@example.com"
   },
   labels: {
      "cloudidentity.googleapis.com/groups.security": "",
      "cloudidentity.googleapis.com/groups.discussion_forum": ""
   }
}

Phản hồi

Phản hồi chứa một thực thể mới của tài nguyên Operation.

{
   done: true,
   response: {
      @type: "type.googleapis.com/google.apps.cloudidentity.groups.v1.Group",
      name: "groups/<group-id>", // unique group ID
      groupKey: {
         id: "leadership_school_a@example.com" // group email address
      },
      parent: "customers/<customer-id>",
      displayName: "Leadership School A",
      description: "This is the leadership group of school A.",
      createTime: "<created time>",
      updateTime: "<updated time>",
      labels: {
         "cloudidentity.googleapis.com/groups.security": "",
         "cloudidentity.googleapis.com/groups.discussion_forum": ""
      }
   }
}

Thêm thành viên nhóm

Sau khi tạo nhóm, bước tiếp theo là thêm thành viên. Thành viên nhóm có thể là người dùng hoặc một nhóm bảo mật khác. Nếu bạn thêm một nhóm làm thành viên của một nhóm khác, thì có thể sẽ có độ trễ lên đến 10 phút để quyền thành viên được truyền đi. Ngoài ra, API sẽ trả về lỗi cho các chu kỳ trong quyền thành viên nhóm. Ví dụ: nếu group1 là thành viên của group2, thì group2 không thể là thành viên của group1.

Để thêm thành viên vào nhóm, hãy sử dụng yêu cầu POST sau.

Directory API members.insert:

POST https://admin.googleapis.com/admin/directory/v1/groups/{groupKey}/members

Tham số đường dẫn groupKey là địa chỉ email nhóm của thành viên mới hoặc mã nhận dạng duy nhất của nhóm.

Tài khoản thực hiện yêu cầu POST cần có một trong các phạm vi sau:

• https://apps-apis.google.com/a/feeds/groups/
• https://www.googleapis.com/auth/admin.directory.group
• https://www.googleapis.com/auth/admin.directory.group.member

Nội dung yêu cầu

Nội dung yêu cầu chứa thông tin chi tiết về member cần tạo.

{
   email: "person_one@example.com",
   role: "MEMBER", // can be `MEMBER`, `OWNER`, `MANAGER`
}

Phản hồi

Phản hồi chứa thực thể mới của thành viên.

{
   kind: "admin#directory#member",
   etag: "<etag-value>", // role's unique ETag
   id: "4567", // group member's unique ID
   email: "person_one@example.com",
   role: "MEMBER",
   type: "GROUP",
   status: "ACTIVE"
}

Bạn cần thực hiện yêu cầu này cho mỗi người dùng mà bạn muốn thêm làm thành viên. Bạn có thể gửi các yêu cầu này theo lô để giảm số lượng kết nối HTTP mà ứng dụng của bạn phải thực hiện.

Tạo vai trò quản trị viên tuỳ chỉnh có đặc quyền

Directory API cho phép bạn sử dụng tính năng kiểm soát truy cập dựa trên vai trò (RBAC) để quản lý quyền truy cập vào các tính năng trong miền Google Workspace. Bạn có thể tạo vai trò tuỳ chỉnh có đặc quyền để hạn chế quyền truy cập của quản trị viên một cách cụ thể hơn so với các vai trò được tạo sẵn đi kèm với Google Workspace. Bạn có thể chỉ định vai trò cho người dùng hoặc nhóm bảo mật. Để biết thông tin chi tiết hơn về các giới hạn khi tạo vai trò, hãy tham khảo các giới hạn về vai trò tùy chỉnh và việc chỉ định vai trò.

Để tạo vai trò mới, hãy sử dụng yêu cầu POST sau.

Directory API roles.insert:

POST https://admin.googleapis.com/admin/directory/v1/customer/{customer}/roles

customerId giống với mã được dùng trong bước 1 của hướng dẫn này.

Tài khoản thực hiện yêu cầu POST cần có phạm vi sau:

• https://www.googleapis.com/auth/admin.directory.rolemanagement

Nội dung yêu cầu

Nội dung yêu cầu chứa thông tin chi tiết về role cần tạo. Thêm privilegeName và serviceId cho mỗi đặc quyền cần được cấp cho vai trò này.

{
   roleName: "Education Admin", // customize as needed
   roleDescription: "Access to view analytics data", // customize as needed
   rolePrivileges: [
      {
         privilegeName: "EDU_ANALYTICS_DATA_ACCESS",
         serviceId: "019c6y1840fzfkt"
      }
   ]
}

{
   roleName: "Education Admin", // customize as needed
   roleDescription: "Access to manage classes privilege", // customize as needed
   rolePrivileges: [
      {
         privilegeName: "ADMIN_OVERSIGHT_MANAGE_CLASSES",
         serviceId: "019c6y1840fzfkt"
      }
   ]
}

Gọi phương thức privileges.list để truy xuất danh sách privilegeIds và serviceIds.

Phản hồi

Phản hồi chứa thực thể mới của vai trò.

{
   kind: "admin#directory#role",
   etag: "<etag-value>",  // role's unique ETag
   roleId: "<role-id>",   // role's unique ID
   roleName: "Education Admin",
   roleDescription: "Access to view analytics data",
   rolePrivileges: [
      {
         privilegeName: "EDU_ANALYTICS_DATA_ACCESS",
         serviceId: "019c6y1840fzfkt"
      }
   ],
   isSystemRole: false,
   isSuperAdminRole: false
}

{
   kind: "admin#directory#role",
   etag: "<etag-value>",  // role's unique ETag
   roleId: "<role-id>",   // role's unique ID
   roleName: "Education Admin",
   roleDescription: "Access to manage classes privilege",
   rolePrivileges: [
      {
         privilegeName: "ADMIN_OVERSIGHT_MANAGE_CLASSES",
         serviceId: "019c6y1840fzfkt"
      }
   ],
   isSystemRole: false,
   isSuperAdminRole: false
}

Truy xuất mã nhận dạng đơn vị tổ chức

Bạn có thể giới hạn quyền truy cập của vai trò quản trị viên tuỳ chỉnh vào một hoặc nhiều đơn vị tổ chức bằng mã nhận dạng đơn vị tổ chức. Sử dụng OrgUnit API để truy xuất orgUnitId.

Chỉ định vai trò quản trị viên tuỳ chỉnh

Để chỉ định vai trò quản trị viên tuỳ chỉnh cho một nhóm, hãy sử dụng yêu cầu POST sau. Tham khảo hướng dẫn về các giới hạn đối với vai trò tùy chỉnh và việc chỉ định vai trò để biết các giới hạn về việc chỉ định vai trò.

Directory API roleAssignments.insert:

POST https://admin.googleapis.com/admin/directory/v1/customer/{customer}/roleassignments

Chỉ định cho một nhóm hoặc người dùng

Nếu chỉ định đặc quyền cho một nhóm, hãy đưa groupId vào trường assignedTo trong nội dung yêu cầu. groupId đã được lấy trong bước Tạo nhóm bảo mật. Nếu chỉ định đặc quyền cho một người dùng, hãy đưa mã nhận dạng của người dùng vào trường assignedTo trong nội dung yêu cầu. Bạn có thể truy xuất mã nhận dạng của người dùng bằng cách gọi users.get và chỉ định địa chỉ email của người dùng làm tham số userKey hoặc bằng cách gọi users.list.

Tài khoản thực hiện yêu cầu POST cần có phạm vi sau:

• https://www.googleapis.com/auth/admin.directory.rolemanagement

Nội dung yêu cầu

Nội dung yêu cầu chứa thông tin chi tiết về RoleAssignment cần tạo. Bạn phải thực hiện một yêu cầu cho mỗi đơn vị tổ chức mà bạn muốn liên kết với nhóm này.

{
   roleId: "<role-id>",        // role's unique ID obtained from Step 3
   assignedTo: "<id>",         // group ID or user ID
   scopeType: "ORG_UNIT",      // can be `ORG_UNIT` or `CUSTOMER`
   orgUnitId: "<org-unit-id>"  // organizational unit ID referenced in Step 4
}

Phản hồi

Phản hồi chứa thực thể mới của the RoleAssignment.

{
   kind: "admin#directory#roleAssignment",
   etag: "<etag-value>",
   roleAssignmentId: "<role-assignment-id>",
   roleId: "<role-id>",
   assignedTo: "<group-id or user-id>",
   assigneeType: "GROUP",
   scopeType: "ORG_UNIT",
   orgUnitId: "<org-unit-id>"
}

Tài nguyên

Bạn có thể tìm thêm thông tin tại:

• Tổng quan về Directory API
• Xác thực và uỷ quyền dành riêng cho Directory API
• Tài liệu REST về Directory API
• Hỗ trợ nhà phát triển cho Admin SDK API