2013-05-17 50 views
7

nềnXác định Cho dù tài khoản là Nhóm thành viên

người dùng doanh nghiệp của chúng tôi có một tài khoản Google Apps. Chúng tôi muốn cho phép họ (và chỉ họ) đăng nhập vào một mạng mở rộng bằng tài khoản Google. Lý tưởng nhất là chúng tôi cũng muốn quản lý quyền thông qua giao diện người dùng quản lý miền của Google. Một ý nghĩ là tạo các nhóm và liên kết thành viên nhóm với các quyền extranet.

Nghiên cứu

Google Apps hỗ trợ login using OAuth 2.0 và cũng supports provisioning via API, mà sẽ cho phép chúng tôi để kiểm tra nếu người dùng là thành viên của một nhóm. API cấp phép có lẽ yêu cầu thông tin đăng nhập của quản trị viên.

Câu hỏi

Có thể programatically xác định xem người dùng Google Apps là thành viên của một nhóm mà không đòi hỏi quyền quản trị tên miền?

Có cách nào tốt hơn để thực hiện mục tiêu này không?

Trả lời

5

Cuộc gọi API để kiểm tra tư cách thành viên nhóm yêu cầu ít nhất một quản trị viên được ủy quyền có quyền đọc nhóm thông qua API. Nếu bạn sử dụng các mới Google Admin SDK membership API call, bạn cũng có thể giới hạn phạm vi để readonly:

https://www.googleapis.com/auth/admin.directory.group.readonly 

Các SDK quản trị sử dụng OAuth 2.0 mà không đòi hỏi các quản trị được của tên người dùng/mật khẩu, chỉ có mã thông báo OAuth.

+0

bạn có biết phạm vi này có sẵn cho tài khoản dịch vụ không? Tôi đã sử dụng thành công tính năng này bằng tính năng gọi lại OAuth bằng tài khoản thông thường, nhưng chưa có tài khoản dịch vụ/khóa cá nhân. Tôi gặp sự cố khi thiết lập quyền. –

+1

Đây là một câu hỏi/câu trả lời quan trọng, nó thực sự cần sự rõ ràng hơn để đảm bảo chúng ta chỉ cần có được những điều đúng (tm). @ jaylee, xin bạn có thể làm rõ: khi thực hiện cuộc gọi API để kiểm tra tư cách thành viên nhóm (Thành viên: nhận được) trong khi sử dụng thông tin đăng nhập của tài khoản dịch vụ, tài khoản quản trị nào chúng tôi nên mạo danh? Nên có một tài khoản quản trị dành riêng cho mục đích này? – Andrew

+1

Bạn có thể sử dụng tài khoản dịch vụ đã được ủy quyền cho phạm vi này. Xem hướng dẫn sau đây từ Google: https://developers.google.com/identity/protocols/OAuth2ServiceAccount#delegatingauthority – Paul

Các vấn đề liên quan