我们有一个用例,我们需要允许服务帐户访问特定用户的 G Suite 帐户,但不能访问任何其他用户的帐户。我们的第一种方法是域范围的委派,但这当然太广泛了 - 它仅通过更改模拟目标就可以全权访问所有用户帐户,从安全角度来看这是不可接受的.而且,因为这是一个服务器到服务器的操作,上面没有任何 UI,所以手动授权流程是 Right Out™ - 这必须完全从 G Suite 管理面板/GCloud 中实现,或者通过登录主 G Suite 中某处的用户。
有什么办法可以做到这一点吗?预期的最终结果是该服务帐户能够模拟一个用户,但尝试使用任何其他用户这样做会导致违反权限。
答案 0 :(得分:1)
您可以将服务帐号视为身份。所以你有一个关于这个身份的电子邮件。
所以你有两种访问目标用户的方式:
您还可以通过域范围委派的另一个服务帐户执行此权限授予。
如果总结,没有奥秘: