user-provisioning在针对 Google App 域使用 OAuth 2.0 身份验证的 Web 应用程序中维护角色(例如角色)的最佳做法是什么?这些角色与特定的 Web 应用程序相关联,而不是与整个域相关联。
一旦完成 OAuth Web 流授权,应用程序级别的角色管理是否通常使用应用程序的后端数据库完成?我正在考虑使用 Google App 组来代替每个角色,然后在允许执行操作之前使用 Directory API 验证组中的成员身份。这是一个合适的方法吗?这需要具有组成员权限的服务帐户或将此类权限分配给域中具有该角色的每个用户,这是可以避免的步骤。
是否有一个 API 可以为此读取有关 Google App 的本机域级角色的信息?是否应该使用用户配置文件上的自定义属性?如果是后者,在域中配置新用户时,域管理员是否有一种直接的方法来设置这些,或者是否需要构建单独的 UI?我注意到在用户个人资料信息中有一个isDelegatedAdmin字段,但该字段是一个布尔值,我还没有找到任何有关委派给用户帐户的角色的更详细信息。