在针对Google App域使用OAuth 2.0身份验证的Web应用程序中维护角色(例如user-provisioning角色)的最佳做法是什么?这些角色与特定的Web应用程序相关联,而不是与整个域相关联。
一旦OAuth Web流程授权完成,通常使用应用程序的后端数据库完成应用程序级别的角色管理吗?我考虑使用Google App组来代替每个角色,然后在允许执行操作之前使用Directory API验证组中的成员身份。这是一种合适的方法吗?这需要具有组成员身份权限的服务帐户,或者为具有该角色的域中的每个用户分配此类权限,这些步骤最好避免。
是否有API可以阅读有关Google App的本机域级角色的信息?应该使用用户配置文件上的自定义属性吗?如果是后者,域管理员是否有直接的方式在域中配置新用户时设置这些,或者是否需要构建单独的UI?我注意到在用户配置文件信息中有一个isDelegatedAdmin字段,但该字段是一个布尔值,我没有找到任何关于委派给用户帐户的角色的更详细信息。