google-directory-api - 您可以限制 Google Directory API 中的服务帐户权限吗？

问题描述

我们希望允许人们使用 GSuite 登录我们的应用程序进行单点登录。作为其中的一部分，我们希望从 Google 检索用户的组，以便我们可以在我们的应用程序中授予他们适当的权限，但 SAML 或 OIDC 身份验证方法均不提供组信息。

我们正在考虑使用服务帐户来获取用户组。但是，当我查看https://support.google.com/a/answer/7378726?hl=en时，似乎对 Directory API 的访问是全部或全部。“Domain-Wide Delegation”要么开启，授予我们太多访问权限（理论上我们可以创建、获取、列出或删除任何东西并造成严重破坏），要么关闭，不授予我们访问权限。我们不想要求客户提供如此高级别的访问权限。

据我所知，授予对https://developers.google.com/admin-sdk/directory/reference/rest/v1/groups/list的特定适当访问权限的唯一方法是创建一个具有所示OAuth/OIDC 范围。我正在考虑这种方法，但我看不到如何提取用户的凭据以在这样的脚本中以编程方式使用。

有什么提示或建议吗？

标签： google-directory-api