我正在尝试使用Cloud Resource Manager v1beta1 API 的organizations.list方法来检索用户的组织,最终目标是找到directoryCustomerIdGoogle Workspace/G Suite 用户自己的本地租户。它是少数可用于检索此信息的 Google API 之一。
由于此 API 返回组织列表,我假设它们代表用户有权访问的 Google Cloud Platform 组织列表,包括用户本身不属于的那些租户。
我的问题是,是否保证对于任何 Google Workspace/G Suite 用户,此列表将至少包括(并且很可能仅包括)用户自己的 Google Workspace/G Suite 组织,即使该组织不使用任何 Google Cloud Google Workspace/G Suite 以外的产品(因此用户对任何此类产品没有特殊访问权限)?
是的,它保证可以在任何帐户上工作,并且我已经在 3 个不同的帐户上对其进行了测试:
只是概述,G-suite 是面向最终用户的 Google 产品集合,其中包括 GMail、Google Drive、Google Docs、Hangouts 等。另一方面,谷歌云平台是谷歌为开发者或超级用户提供的一系列服务,以便他们创建和运行自己的应用程序。因此,两者在组织和云 API 方面具有相同的结构。请参阅官方文档了解更多信息。
organizations.search需要resourcemanager.organizations.get许可。
默认情况下,该域的所有用户都被授予组织的计费帐户创建者和项目创建者。两个角色都包含resourcemanager.organizations.get权限。因此,默认情况下,用户可以看到自己的组织。
但是,通常的做法是删除这两个默认 IAM 绑定。然后,除非您明确授予他们“组织查看者”角色或包含上述权限的其他角色,否则用户将无法看到他们自己的组织。