GAE Python：基于GSuite组的控制访问

Question

是否可以根据用户所属的GSuite for Education / Business组来控制对请求处理程序的全部或部分访问权限？

Answer 1

可以让代码使用Google Apps Admin SDK中的Directory API检查GSuite组成员身份。 您可能对以下其中一项感兴趣：

• 检索成员的所有组
• 检索组的成员 （如果只检查一个或几个组）。

你需要

• 在G Suite管理控制台中启用API访问权限 ：

G Suite管理员可以访问Admin SDK –应用程序编程接口（API）的集合。 使用这些API，您可以为G Suite产品构建自定义的管理工具。 您必须先在Google管理控制台中启用API访问权限，然后才能使用管理SDK。

您必须以超级管理员身份登录才能执行此任务。 启用API访问

要验证是否启用了API访问：

1. 登录到您的Google管理控制台 。

   使用管理员帐户而不是您当前的帐户some_user@gmail.com登录。

2. 在管理控制台信息中心中，转到安全 > API参考 。

   要在仪表板上查看安全性，可能必须单击底部的“ 更多控件 ”。

3. 确保选中“ 启用API访问权限”框。

4. 点击底部的保存 。

• 在您的GAE应用的“ API管理器”页面中，从Google Apps APIs组中启用Admin SDK API

• 在您的GAE应用中安装Google API客户端库 （如果尚未完成）

• 地址验证，可能使用您的GAE应用程序的服务帐户 。 请参阅Google API客户端库身份验证概述 。 也许相关的App Engine OAuth2.0授权的cron作业可以分析Google Sheet 。

• （如果需要）将应用访问权限限制为仅对您的GSuite域进行访问 ，请参阅将App Engine访问权限限制为自定义域中的G Suite帐户

• 使用目录api对访问控制逻辑进行编码以获得组成员身份信息