背景
我们的企业用户拥有 Google Apps 帐户。我们希望允许他们(并且只有他们)使用 Google 帐户登录酒店后台。理想情况下,我们还希望通过 Google 域管理 UI 来管理权限。一种想法是创建组并将组成员身份与 Extranet 权限相关联。
研究
Google Apps 支持使用 OAuth 2.0 登录,还支持通过 API 进行配置,这将允许我们测试用户是否是某个组的成员。配置 API 可能需要管理员凭据。
问题
是否可以通过编程方式确定 Google Apps 用户是否是某个群组的成员,而无需域管理员凭据?
有更好的方法来实现这个目标吗?
用于检查组成员身份的 API 调用至少需要一个有权通过 API 读取组的委派管理员。如果您使用新的 Google Admin SDK 会员 API 调用,您还可以将范围限制为只读:
https://www.googleapis.com/auth/admin.directory.group.readonly
Admin SDK 使用 OAuth 2.0,不需要委派管理员的用户名/密码,只需要 OAuth 令牌。
更新:Cloud Identity 组和组成员 API 端点允许任何具有管理员角色或权限的人管理组本身访问以调用 API。因此,任何有权查看组成员身份的人(通常是组的成员)都可以使用此 API,并且不需要委派管理员权限。