背景
我们的企业用户有一个谷歌应用程序帐户。我们希望允许他们(而且只有他们(使用谷歌帐户登录到外部网。理想情况下,我们还希望通过谷歌域管理UI来管理权限。一种想法是创建组并将组成员资格与extranet权限相关联。
研究
Google Apps支持使用OAuth 2.0登录,还支持通过API进行配置,这将允许我们测试用户是否是组的成员。设置API可能需要管理员凭据。
问题
是否可以在不需要域管理员凭据的情况下通过程序确定Google Apps用户是否为组成员?
有没有更好的方法来实现这个目标?
检查组成员身份的API调用至少需要具有通过API读取组的权限的委派管理员。如果您使用新的Google Admin SDK成员API调用,您还可以将范围限制为只读:
https://www.googleapis.com/auth/admin.directory.group.readonly
Admin SDK使用OAuth 2.0,它不需要委派管理员的用户名/密码,只需要OAuth令牌。