google-cloud-platform - 同意设置为内部的 Google 项目/谁是“我的组织的成员”,我如何管理成员?
问题描述
免责声明:https : //console.cloud.google.com/support/community 在这里引导。谷歌的文档太可怕了,所以如果我没有被低估到 dev/null 的深度,那就试一试吧
出于迫在眉睫的需要,我正在将监视我们的 Gmail 帐户的私有应用程序迁移到 OAuth 2,作为此过程的一部分,有必要创建一个OAuth 同意屏幕。由于此应用程序将仅在内部使用,因此为应用程序类型选择“内部”是最有意义的- 描述如下:
只有在您的组织中拥有 Google 帐户的用户才能授予对此应用请求的范围的访问权限。
该项目的用户由两个“所有者”组成——我自己使用我的个人 Gmail 帐户,另一位员工是公司 G Suite 帐户的一部分。
我的问题是谁有资格成为“我组织中的用户”?这是基于项目所有者吗?我的非 G-Suite 帐户(项目所有者)是否符合条件?G Suite 帐户中包含一名成员是否会自动关联其他员工帐户?是否可以在任何地方实际看到这些用户或直接管理他们?
我实际上想添加另外几个帐户,但仍然保持应用程序的私密性,但我对 Google 如何确定哪些 gmail 帐户能够授权该应用程序感到困惑。
更新:澄清一下,当我以与项目所有者相同域的 G Suite 成员身份登录时访问同意页面时,一切都很好。但是,我们在同一个 G Suite 帐户中管理的其他成员位于不同的域下,对于这些成员,我收到以下消息:
错误 403:org_internal 此客户端仅限于其组织内的用户。
此外,我什至无法使用我自己的电子邮件授予访问权限,该电子邮件是应用程序的创建者和所有者。我想知道如何添加自己和其他 G Suite 成员,以便能够在不公开的情况下授予对应用程序的访问权限。下面建议我将它们(或它们的域)添加到 Google Cloud IAM,但我不清楚如何使它工作。我自己的电子邮件确实存在于 IAM 中,角色为“所有者”,显然不满足要求。
解决方案
谁是我组织的成员?
您为项目、文件夹或组织级别添加到 Google Cloud IAM 的任何人。这可以包括 Google 帐户(Gmail 电子邮件地址)、G Suite 和 Google 身份。最后两个使用域名 (example.com) 和在该域中具有身份的任何人 (someone@example.com)。
Google 的目标是加强 Google Cloud Platform 的安全性。过去,任何拥有 Google 帐户电子邮件地址的人都可以使用您的项目 OAuth 来请求访问权限。访问级别由 OAuth 范围控制。今天,授予该访问权限会导致同意屏幕显示未经验证的应用程序警告。要超越(删除)该警告,通常需要对您的应用程序进行安全审计,费用估计为 75,000 美元。
如何管理会员?
通过谷歌云 IAM。您可以添加和删除成员;分配和删除附加到成员 ID 的 IAM 角色。通过 G Suite 或 Google Identity 添加或删除成员帐户。不要忘记,成员可以是 Google 组的一部分,也可以是域的一部分,每个域也是 Google Cloud Platform 中的一个身份。
推荐阅读
- code-generation - Autorest 代码自定义不起作用
- ansible - 如何从ansible的列表输出中删除'u'
- r - 评估在 r 中使用 caret::train() 创建的回归模型时 car::vif() 出错
- reactjs - 当组件挂载时,它给出了太多的重新渲染错误
- unity3d - 如何制作“下一个场景”按钮一个脚本
- vue.js - Vue 原生入门
- pickle - 如何提取未腌制的对象?
- android - 如何使用视频标签的控件属性在Android中显示全屏按钮
- php - E_COMPILE_ERROR 处理 woocommerce 中的请求?
- django - 如何从 django rest 框架中的一个视图集操作将数据插入两个模型