背景
我们的企业用户拥有Google Apps帐户。我们希望允许他们(并且只有他们)使用Google帐户登录外联网。理想情况下,我们还希望通过Google域管理用户界面管理权限。一种想法是创建组并使用Extranet权限关联组成员身份。
研究
Google Apps支持login using OAuth 2.0以及supports provisioning via API,这样我们就可以测试用户是否是某个群组的成员。 Provisioning API可能需要管理员凭据。
问题
是否可以以编程方式确定Google Apps用户是否是某个群组的成员而不需要域管理员凭据?
有没有更好的方法来实现这一目标?
答案 0 :(得分:6)
检查组成员身份的API调用确实需要至少一个委派的管理员,该管理员有权通过API读取组。如果您使用新的Google Admin SDK membership API call,您还可以将范围限制为只读:
https://www.googleapis.com/auth/admin.directory.group.readonly
Admin SDK使用的OAuth 2.0不需要委托管理员的用户名/密码,只需要OAuth令牌。