REST Resource: roleAssignments

Ressource: RoleAssignment

Definiert eine Zuweisung einer Rolle.

JSON-Darstellung 
{
  "roleAssignmentId": string,
  "roleId": string,
  "kind": string,
  "etag": string,
  "assignedTo": string,
  "assigneeType": enum (AssigneeType),
  "scopeType": string,
  "orgUnitId": string,
  "condition": string
}
Felder
roleAssignmentId

string (int64 format)

Die ID dieser Rollenzuweisung.
roleId

string (int64 format)

Die ID der zugewiesenen Rolle.
kind

string

Der Typ der API-Ressource. Dies ist immer admin#directory#roleAssignment.
etag

string

ETag der Ressource.
assignedTo

string

Die eindeutige ID der Entität, der diese Rolle zugewiesen ist – entweder die userId eines Nutzers, die groupId einer Gruppe oder die uniqueId eines Dienstkontos, wie in Identity and Access Management (IAM) definiert.
assigneeType

enum (AssigneeType)

Nur Ausgabe. Der Typ des Zuweisungsempfängers (USER oder GROUP).
scopeType

string

Der Bereich, in dem diese Rolle zugewiesen wird.

Akzeptable Werte sind:

  • CUSTOMER
  • ORG_UNIT
orgUnitId

string

Wenn die Rolle auf eine Organisationseinheit beschränkt ist, enthält dieses Feld die ID der Organisationseinheit, auf die die Ausübung dieser Rolle beschränkt ist.
condition

string

Optional. Die Bedingung, die dieser Rollenzuweisung zugeordnet ist.

Hinweis: Diese Funktion ist für Kunden von Enterprise Standard, Enterprise Plus, Google Workspace for Education Plus und Cloud Identity Premium verfügbar.

Ein RoleAssignment mit dem Feld condition wird nur wirksam, wenn die Ressource, auf die zugegriffen wird, die Bedingung erfüllt. Wenn condition leer ist, wird die Rolle (roleId) bedingungslos auf den Akteur (assignedTo) im Bereich (scopeType) angewendet.

Derzeit werden die folgenden Bedingungen unterstützt:

  • Damit die RoleAssignment nur für Sicherheitsgruppen gilt: api.getAttribute('cloudidentity.googleapis.com/groups.labels', []).hasAny(['groups.security']) && resource.type == 'cloudidentity.googleapis.com/Group'

  • So machen Sie RoleAssignment für Sicherheitsgruppen ungültig: !api.getAttribute('cloudidentity.googleapis.com/groups.labels', []).hasAny(['groups.security']) && resource.type == 'cloudidentity.googleapis.com/Group'

Derzeit müssen die Bedingungsstrings wortwörtlich angegeben werden und funktionieren nur mit den folgenden vordefinierten Administratorrollen:

  • Groups Editor
  • Groups Reader

Die Bedingung folgt der Cloud IAM-Bedingungssyntax.

  • So machen Sie die RoleAssignment für gesperrte Gruppen ungültig: !api.getAttribute('cloudidentity.googleapis.com/groups.labels', []).hasAny(['groups.locked']) && resource.type == 'cloudidentity.googleapis.com/Group'

Diese Bedingung kann auch in Verbindung mit einer sicherheitsbezogenen Bedingung verwendet werden.

AssigneeType

Der Identitätstyp, dem eine Rolle zugewiesen ist.

Enums
USER Ein einzelner Nutzer in der Domain.
GROUP Eine Gruppe in der Domain.

Methoden

delete

 Löscht eine Rollenzuweisung.

get

 Ruft eine Rollenzuweisung ab.

insert

 Erstellt eine Rollenzuweisung.

list

 Ruft eine paginierte Liste aller roleAssignments ab.