Issue Type Icon CAPL-7944

Suporte a integração de grupos de usuários (Google Groups) no BigQuery via Google Integration (Carol)

Description

Contexto

Na plataforma Carol, atualmente não é possível habilitar a integração no BigQuery utilizando grupos de usuários (Google Groups). Isso ocorre porque:

  • A API do GCP exige um formato específico para habilitar a integração.

  • Quando um grupo é cadastrado como email de usuário na Carol, a tentativa de habilitar a integração gera erro.

Exemplo de erro retornado:

Principal cst_automacao_adm_vendas@totvs.com.br is of type "group". The principal should appear as "group:cst_automacao_adm_vendas@totvs.com.br".See https://cloud.google.com/iam/help/members/types for additional documentation.

Problema

  • Hoje a Carol trata grupos como usuários, sem diferenciar o tipo group exigido pela API do GCP.

  • Isso impede habilitar permissões de acesso via grupos no BigQuery, impossibilitando iniciativas de dados baseadas em dashboards por grupos de usuários.

Solução Proposta

  • Ajustar a API para suportar grupos de usuários como principals no formato esperado pelo GCP:

    • "group:<email-do-grupo>".

  • Permitir que, ao configurar integração com BigQuery, a Carol detecte o tipo de principal e aplique o formato correto.

  • O acesso ao bigquery é dado ao grupo de usuário, porém o acesso é feito pelo usuário em si, não gerando acessos por meio de grupos, sempre identificando o usuário nominal. Após aplicação do row.access.policies no grupo, toda consulta daquele grupo é filtrada pela politica aplicada. Dessa forma, é melhorada a rastreabilidade de uso de soluções DataViz.

Benefícios esperados

  • Habilitar permissionamento de dashboards baseados em grupos de usuários.

  • Melhorar escalabilidade no gerenciamento de acessos (não depender de usuários individuais).

  • Maior rastreabilidade e governança de dados.

User Groups Carol BigQuery - Enable Google Integration

  • Google Group é inserido na plataforma Carol como usuário e é habilitada a Integração Google para ele.

  • Acesso ao BigQuery é habilitado para os usuários abaixo desse Google Group.

  • Row Access Policies filtra os dados que o Group pode visualizar.

  • Acesso ao BigQuery segue nominal, porém com filtros.

  • Em ferramentas Data Viz integradas ao GCP (exemplo Looker), é concedido acesso ao Google Group, que consegue usar a Credencial do Usuário por trás, habilitando auditoria de Jobs executados no BigQuery.

Fonte do desenho com as descrições:

https://app.diagrams.net/#G1XIgCC9a0fTEBmMotm3ak8uSgWe2fbOeV#{"pageId"%3A"A8t_j9X5DwI311U1lfYB"}

Done

Details

Created: 22 August 2025, 18:02 Updated: 15 December 2025, 14:38