Fatal编程技术网
  • google-cloud-platform/
  • Google cloud platform 同意设置为“内部/谁是”的谷歌项目;“我的组织成员”;我如何管理会员?

Google cloud platform 同意设置为“内部/谁是”的谷歌项目;“我的组织成员”;我如何管理会员?

google-cloud-platform

Google cloud platform 同意设置为“内部/谁是”的谷歌项目;“我的组织成员”;我如何管理会员?,google-cloud-platform,google-oauth,google-workspace,google-iam,google-cloud-iam,Google Cloud Platform,Google Oauth,Google Workspace,Google Iam,Google Cloud Iam,免责声明:这里有线索。谷歌的文档是可怕的,所以给了我一个旋转的机会,我没有被否决到dev/null的深度 出于迫在眉睫的需要,我正在将一个监视Gmail帐户的私有应用程序迁移到OAuth 2,作为这个过程的一部分,有必要创建一个OAuth同意屏幕。由于此应用程序仅在内部使用,因此选择“内部”作为应用程序类型最有意义,如下所述: 只有在您的组织中拥有Google帐户的用户才能授予对此应用程序请求的作用域的访问权限 这个项目的用户包括两个“所有者”——我自己使用我的个人Gmail账户,还有 属于公司

免责声明:这里有线索。谷歌的文档是可怕的,所以给了我一个旋转的机会,我没有被否决到dev/null的深度

出于迫在眉睫的需要,我正在将一个监视Gmail帐户的私有应用程序迁移到OAuth 2,作为这个过程的一部分,有必要创建一个OAuth同意屏幕。由于此应用程序仅在内部使用,因此选择“内部”作为应用程序类型最有意义,如下所述:

只有在您的组织中拥有Google帐户的用户才能授予对此应用程序请求的作用域的访问权限

这个项目的用户包括两个“所有者”——我自己使用我的个人Gmail账户,还有 属于公司G套件账户的另一名员工

我的问题是谁符合“我的组织中的用户”的资格?这是基于项目所有者的吗?我的非G-Suite帐户(项目所有者)符合条件吗?在G套件帐户中包含一名成员是否会自动关联其他员工帐户?用户是否可以在任何地方看到这些用户或直接管理他们

事实上,我还想在组合中添加几个帐户,但仍然保持应用程序的私密性,但我对谷歌如何确定哪些gmail帐户能够授权应用程序感到困惑

更新:为了澄清,当我作为我们G套件的成员登录到项目所有者所在的同一域时,访问同意页面,一切都很好。但是,我们在同一个G套件帐户中管理的其他成员位于不同的域下,因此我收到以下消息:

错误403:org\u internal 此客户端仅限于其组织内的用户

此外,我甚至无法使用我自己的电子邮件授予访问权限,该电子邮件是应用程序的创建者和所有者。我想知道如何添加我自己和其他G套件成员,以便能够在不公开应用程序的情况下授予其访问权限。下面有人建议我将他们(或他们的域名)添加到Google Cloud IAM中,但我不清楚如何让这项功能发挥作用。我自己的电子邮件已经在IAM中以“所有者”的角色存在,显然这不符合要求

谁是我组织的成员

您为项目、文件夹或组织级别添加到Google Cloud IAM的任何人。这可能包括谷歌账户(Gmail电子邮件地址)、G套件和谷歌身份。最后两个使用域名(example.com)和在该域中具有身份的任何人(someone@example.com)

谷歌的目标是加强谷歌云平台的安全性。过去,任何拥有Google帐户电子邮件地址的人都可以使用您的项目OAuth请求访问。访问级别由OAuth作用域控制。现在,授予该访问权限会导致一个带有未经验证的应用程序警告的同意屏幕。要超越(删除)该警告,通常需要对应用程序进行安全审计,费用估计为75000美元

我如何管理成员

通过谷歌云IAM。您可以添加和删除成员;分配和删除附加到成员ID的IAM角色。通过G套件或Google Identity添加或删除成员帐户。不要忘记,成员可以是谷歌集团的一部分,也可以是一个域的一部分,每个域在谷歌云平台上都是一个身份

谁是我组织的成员

您为项目、文件夹或组织级别添加到Google Cloud IAM的任何人。这可能包括谷歌账户(Gmail电子邮件地址)、G套件和谷歌身份。最后两个使用域名(example.com)和在该域中具有身份的任何人(someone@example.com)

谷歌的目标是加强谷歌云平台的安全性。过去,任何拥有Google帐户电子邮件地址的人都可以使用您的项目OAuth请求访问。访问级别由OAuth作用域控制。现在,授予该访问权限会导致一个带有未经验证的应用程序警告的同意屏幕。要超越(删除)该警告,通常需要对应用程序进行安全审计,费用估计为75000美元

我如何管理成员

通过谷歌云IAM。您可以添加和删除成员;分配和删除附加到成员ID的IAM角色。通过G套件或Google Identity添加或删除成员帐户。不要忘记,成员可以是Google组的一部分,也可以是域的一部分,每个域在Google云平台上都是一个身份。

对于GSuite用户:

云IAM只处理授权您需要在其他地方处理身份验证。默认情况下,GSuite作为默认身份验证提供程序与CloudIAM集成

对于非GSuite用户:

您可以使用,但用户必须管理一组单独的凭据

不使用GSuite的单点登录

如果您想要单一登录选项,您还可以使用与本地Active Directory或LDAP服务器同步以进行身份验证。因此用户可以保留他们的登录详细信息

这就是身份验证在GCP上的工作方式。作为授权,您有CloudIAM,您可以通过预定义角色、基本角色和自定义角色管理访问

云IAM和授权

通常情况下,您可以使用google组分配访问权限,以便更轻松地管理用户访问。但请记住,如果您通过资源层次结构中的ascenstor文件夹授予对某些内容的访问权限,则不能拒绝下游的访问。因此,您需要相应地规划访问层次结构

回答你的问题,谁有资格成为“我的组织中的用户”?是吗