Определить, является ли пользователь членом группы

фон

наши корпоративные пользователи имеют учетную запись Google Apps. Мы хотели бы разрешить им (и только им) войти в Экстранет с помощью учетной записи Google. В идеале мы также хотели бы управлять разрешениями через интерфейс управления доменами Google. Одна из идей-создать группы и связать членство в группах с разрешениями экстрасети.

исследования

Google Apps поддерживает войти с помощью OAuth 2.0 и поддержка подготовки через API, что позволит нам проверить, является ли пользователь членом группы. API подготовки предположительно требует учетных данных администратора.

вопрос

можно ли программно определить, является ли пользователь Google Apps членом группы, не требуя учетных данных администратора домена?

есть ли лучший способ достичь этой цели?

1 ответов


вызов API для проверки членства в группе требует по крайней мере делегированного администратора с правами на чтение групп через API. Если вы используете новый Google Admin SDK членство API вызова, вы также можете ограничить область применения только для чтения:

https://www.googleapis.com/auth/admin.directory.group.readonly

admin SDK использует OAuth 2.0, который не требует имени пользователя/пароля делегированного администратора, только токен OAuth.