了解组织

您正在查看 Apigee Edge 文档。
请查看 Apigee X 文档

组织是 Apigee Edge 中的顶层容器。它包含您的所有 API 代理及相关资源。虽然本主题的其余部分更加深入地介绍了组织,但是下面列出了一些有用的要点:

  • 默认情况下,组织名称位于用于调用 API 代理的网址中,如关于虚拟主机中所述。例如:
    http(s)://your_org_name-environment.apigee.net/proxy_base_path/...
  • 贵组织名称位于 Edge 管理界面的网址中。例如,以下网址会显示 docs 组织的 API 代理:

    在网址 apigee.com/organizations/docs/proxy 中,/docs/ 已用圆圈圈出。

  • 虽然您可能只创建了一个组织,但是您可以作为拥有特定权限的用户或管理员属于其他组织。在边缘管理界面中,如果您属于多个组织,则可以按照在组织之间切换中的说明切换到其他组织。

  • 当您以 Organization Administrator 角色的身份使用 Management API 拨打电话时,在大多数调用中,组织都是路径的必需部分。例如,以下管理 API c网址 请求会返回组织中所有 API 代理的列表:
    curl https://api.enterprise.apigee.com/v1/organizations/your_org_name/apis -u org_admin_email_address

视频:观看一段短视频,了解组织如何支持 API 管理的多租户架构。

组织组件

当您创建 Edge 帐号时,Edge 会自动为您创建一个组织。创建后,您可以向您的组织添加用户、创建 API 代理和 API 产品,以及注册开发者和应用。

下图显示了 Edge 组织模型的主要组件。此模型定义了您的 API、API 产品、应用和应用开发者在 Edge 中之间的关系。

一个流程图显示了环境、用户、API 产品和开发者与应用、API 密钥/OAuth 令牌和 API 代理之间的关系。

此模型并未显示 Apigee Edge 的所有功能。如果您使用创收功能,则模型还会包含其他组件。如需了解详情,请参阅创收概览。如需了解如何利用创收功能管理公司和开发者,请参阅管理公司和开发者

组织名称

组织名称为:

  • 评估组织username-eval
  • 付费组织:用户在初始配置时定义

组织一经创建便无法重命名。

向 Edge Management API 发出请求时,组织名称会成为 API 代理网址的一部分。例如,用于访问 API 代理的典型网址采用以下格式:

http://org-name-env.apigee.net/v1/weather/forecastrss

其中:

  • org-name 是您的组织的名称。
  • env 是 API 代理(即测试或生产环境)的部署环境。

例如:

http://myorg-test.apigee.net/v1/weather/forecastrss

组织组件

下表更详细地描述了组织模型的组件:

组件 说明

组织

每个 Apigee 帐号都映射到 Apigee Edge 上的一个或多个组织。组织中包含所有组件的表示法,包括 API 代理、API 产品、API 软件包、应用和开发者。

帐号持有人并不限于单个组织。某些帐号持有人可能会定义或成为支持不同应用开发者社区的多个组织。

环境 组织中 API 代理的运行时执行上下文。如需详细了解环境,请参阅下文。

用户级

在组织(其中帐号创建者自动成为管理员)中,您可以创建更多用户。用户构成组织的 API 团队,可能包括管理员、API 代理和 API 产品创建者、监控分析和其他统计信息等的人员。

不同的用户可以拥有不同的角色和访问权限。例如,将部分用户定义为组织管理员和操作管理员,他们有权修改组织及其组件。定义其他用户,他们有权创建 API 代理和 API 产品,但是无权修改其他用户。

用户可以是多个组织的成员。例如,贵公司可能会针对 Apigee Edge 定义多个组织,为不同的开发者社区提供支持。 但是在内部,同一个人员构建所有 API 代理和 API 产品,因此属于您的所有组织的成员。

要成为用户,您不需要创建 Apigee 帐号(即创建 Apigee 组织)。管理员可以将您添加到现有组织。

所有用户访问 https://enterprise.apigee.com 即可登录 Apigee Edge。

API 代理

组织中的用户可创建一个或多个 API 代理。API 代理定义了公共可用 HTTP 端点到后端服务的映射。API 代理也可以配置为包含安全性(如 OAuth)、执行消息转换(例如 XML 到 JSON)、限制发送到后端服务的流量以及对请求、响应和服务调用执行其他有价值的操作。

Edge 会收集有关 API 代理的数据。

API 产品

组织中的用户会创建一个或多个 API 产品,其中 API 产品是一组 API 代理与一项服务计划。该服务计划可以设置 API 代理的访问限制、提供安全性、允许监控和分析,以及提供其他功能。

Edge 会收集数据以用于 API 产品的分析。

开发者

组织包含一个或多个开发者,他们构建使用您的组织定义的 API(内置于 API 产品中)的应用。开发者使用 API,但不能创建 API,也不能在组织中执行任何其他操作。

开发者可以是公司内部人员,也可以是合作伙伴,或者是付费使用您的 API 的外部开发者。

您必须先在组织中注册开发者,然后他们才能注册应用并接收用于访问 API 的 API 密钥。作为 API 提供方,您自行决定如何在组织中添加、更新或移除开发者。您可以通过 Edge 管理界面手动添加它们,创建开发者门户并通过网站进行注册,或者使用 Edge Management API 定义您自己的注册机制。

开发者无需拥有 Edge 帐号,大多数开发者无需了解 Edge 的任何信息。如果开发者在 Edge 上拥有帐号,该帐号通常以其他组织中的用户身份使用,或者使用 Edge API 服务。

应用

开发者创建一个或多个客户端应用,使用您的 API。

开发者必须向您的组织注册其应用。边缘中的应用表示开发者的实际应用,它向开发者提供 API 密钥以随每个 API 一起传入 API。

由于所有应用均已在您的组织注册,因此您可以使用 Edge 来监控和收集有关应用及其 API 的分析信息。

API 密钥/OAuth 令牌

根据您为 API 定义的授权机制,应用会将 API 密钥以及每个请求传递给您的 API。如果该密钥有效,则允许请求。Edge 支持不同类型的身份验证,例如简单的 API 密钥、两方模式的 OAuth、三足式 OAuth 等等。

作为 API 提供商,您必须定义开发者注册其应用的方法。该方法是注册应用,以向开发者返回访问您的 API 所需的密钥。

在应用注册时,开发者可以选择访问单个 API 产品或多个 API 产品。开发者的实际应用使用相同的密钥来访问与该应用关联的所有 API 产品(开发者应用在 Edge 中的注册表示形式)。

您可以随时撤消密钥,这样开发者的应用便无法再访问您的 API(即使开发者应用的注册表示法仍存在于您的组织中)。或者,您可以定义密钥的时间限制,以便开发者必须在特定时间之后刷新密钥。

关于环境

环境是组织中 API 代理的运行时执行上下文。您必须先将 API 代理部署到环境,然后才能对其进行访问。您可以将 API 代理部署到单个环境或多个环境。

一个组织可以包含多个环境。例如,您可以在组织中定义 devtestprod 环境。

组织为一些 Apigee 功能提供了范围。例如,您可以在组织级别使用键值对映射 (KVM) 数据,这意味着部署到任何环境的 API 代理都将从 KVM 获得相同的数据。一些功能(例如缓存)的范围可以限定为组织或组织中的特定环境。Apigee 分析数据按组织和环境组合划分。

下面显示了您在组织内管理的主要实体,包括组织中全局定义的实体以及专门针对环境定义的实体: