google-directory-api - 您可以限制 Google Directory API 中的服务帐户权限吗?
问题描述
我们希望允许人们使用 GSuite 登录我们的应用程序进行单点登录。作为其中的一部分,我们希望从 Google 检索用户的组,以便我们可以在我们的应用程序中授予他们适当的权限,但 SAML 或 OIDC 身份验证方法均不提供组信息。
我们正在考虑使用服务帐户来获取用户组。但是,当我查看https://support.google.com/a/answer/7378726?hl=en时,似乎对 Directory API 的访问是全部或全部。“Domain-Wide Delegation”要么开启,授予我们太多访问权限(理论上我们可以创建、获取、列出或删除任何东西并造成严重破坏),要么关闭,不授予我们访问权限。我们不想要求客户提供如此高级别的访问权限。
据我所知,授予对https://developers.google.com/admin-sdk/directory/reference/rest/v1/groups/list的特定适当访问权限的唯一方法是创建一个具有所示OAuth/OIDC 范围。我正在考虑这种方法,但我看不到如何提取用户的凭据以在这样的脚本中以编程方式使用。
有什么提示或建议吗?
解决方案
推荐阅读
- google-calendar-api - 如何获取按类别分组的公共谷歌日历?
- python - 如何创建模型的层次结构?
- redux-form - Redux-form:输入值尚未设置 onChange of input
- javascript - 添加 Content-Security-Policy / content=default-src https 后 JS 不起作用:
- json - 在 WCF 中从 POST 检索数据时出现问题
- android - 如何在 WebView 中加载带有标题的 URL?
- java - com.google.zxing.common.BitMatrix 未找到
- video-streaming - UbikLoadPack:视频流负载测试以及如何从多个 IP 发出请求
- actions-on-google - 如何获取与对话流相关联的谷歌帐户的用户名/ID
- sql - 经典 ASP Microsoft SQL Server Native Client 11.0 错误 '80040e14' 用户登录失败,但不是我指定的