了解组织

您正在查看 Apigee Edge 文档。
前往 Apigee X 文档信息

组织是 Apigee Edge 中的顶层容器。它包含您的所有 API 代理及相关资源。虽然本主题的其余部分更加深入地介绍了组织,但是下面列出了一些有用的要点:

  • 默认情况下,您的组织名称位于用于调用 API 代理的网址中,如虚拟主机简介中所述。 例如: 
    http(s)://your_org_name-environment.apigee.net/proxy_base_path/...
  • 组织名称位于 Edge 管理界面的网址中。例如,以下网址会显示 docs 组织的 API 代理:

    在网址 apigee.com/organizations/docs/proxies 中,/docs/ 已圈出。

  • 虽然您可能只创建了一个组织,但是您可以作为拥有特定权限的用户或管理员属于其他组织。在 Edge 管理界面中,如果您属于多个组织,则可以如在组织之间切换中所述切换到其他组织。

  • 如果您以 Organization Administrator 角色中的用户身份使用 Management API 进行调用,则组织在大多数调用中都是该路径的必需部分。例如,以下 Management API c网址 请求会返回组织中的所有 API 代理的列表: 
    curl https://api.enterprise.apigee.com/v1/organizations/your_org_name/apis -u org_admin_email_address

视频:观看一段短视频,了解组织如何支持 API 管理的多租户架构。

组织组件

创建 Edge 账号时,Edge 会自动为您创建组织。创建组织后,您可以向组织中添加用户、创建 API 代理和 API 产品,以及注册开发者和应用。

下图显示了 Edge 组织模型的主要组件。此模型定义了您的 API、API 产品、应用和应用开发者在 Edge 中的相关性。

流程图显示了环境、用户、API 产品和开发者与应用、API 密钥/OAuth 令牌和 API 代理之间的关系。

此模型并未显示 Apigee Edge 的所有功能。如果您启用了创收功能,则该模型将包含其他组件。如需了解详情,请参阅变现概览。如需了解如何管理启用了创收功能的公司和开发者,请参阅管理公司和开发者

组织名称

组织名称为:

  • 评估组织username-eval
  • 付费组织:用户在初始预配时定义

组织一经创建便无法重命名。

向 Edge Management API 发出请求时,组织名称会成为 API 代理网址和网址的一部分。例如,用于访问 API 代理的典型网址格式如下:

http://org-name-env.apigee.net/v1/weather/forecastrss

其中:

  • org-name 是您组织的名称。
  • env 是 API 代理的部署环境,即 test 或 prod。

例如:

http://myorg-test.apigee.net/v1/weather/forecastrss

组织组件

下表更详细地描述了组织模型的组件:

组件 说明

组织

每个 Apigee 账号都会映射到 Apigee Edge 上的一个或多个组织。该组织包含所有组件(包括 API 代理、API 产品、API 软件包、应用和开发者)的表示法。

账号持有人并不限于单个组织。某些账号持有人可能会定义或成为支持不同应用开发者社区的多个组织。
环境 组织中 API 代理的运行时执行上下文。如需详细了解环境,请参阅以下部分。

用户

在组织内,创建账号的人员将自动成为管理员,您可以创建更多用户。用户构成了组织的 API 团队,他们可能包括管理员、API 代理和 API 产品创建者、监控分析和其他统计信息的用户等人员,以及任何其他人员。

不同的用户可以拥有不同的角色和访问权限。例如,将部分用户定义为组织管理员和操作管理员,他们有权修改组织及其组件。定义其他用户,他们有权创建 API 代理和 API 产品,但是无权修改其他用户。

用户可以是多个组织的成员。例如,您的公司可能会在 Apigee Edge 上定义多个组织来支持不同的开发者社区。但是在内部,同一个人员构建所有 API 代理和 API 产品,因此属于您的所有组织的成员。

要成为用户,您不需要创建 Apigee 账号(即创建 Apigee 组织)。管理员可以将您添加到现有组织。

所有用户都在此处登录 Apigee Edge:https://enterprise.apigee.com

API 代理

组织中的用户可以创建一个或多个 API 代理。API 代理定义了公共可用 HTTP 端点到后端服务的映射。API 代理也可以配置为包含安全性(如 OAuth)、执行消息转换(例如 XML 到 JSON)、限制发送到后端服务的流量以及对请求、响应和服务调用执行其他有价值的操作。

Edge 会收集 API 代理的相关数据。

API 产品

组织中的用户可以创建一个或多个 API 产品,其中 API 产品是 API 代理与服务计划组合的软件包。该服务计划可为 API 代理设置访问限制、提供安全性、允许监控和分析,以及提供其他功能。

Edge 会收集有关 API 产品的分析的数据。

开发者

组织包含一个或多个开发者,他们构建使用您的组织定义的 API(内置于 API 产品中)的应用。开发者使用 API,但不能创建 API,也不能在组织中执行任何其他操作。

开发者可以是公司内部的开发者,可以是合作伙伴,也可以是付费购买您的 API 访问权限的外部开发者。

您必须先在组织中注册开发者,然后他们才能注册应用并接收用于访问 API 的 API 密钥。作为 API 提供方,您自行决定如何在组织中添加、更新或移除开发者。您可以通过 Edge 管理界面手动添加开发者,创建开发者门户以通过网站注册开发者,或者使用 Edge 管理 API 定义您自己的注册机制。

开发者无需在 Edge 上拥有账号,大多数开发者也不需要了解 Edge 的任何信息。如果开发者确实在 Edge 上拥有账号,则通常是作为其他组织中的用户或为了使用 Edge API 服务而拥有的。

应用

开发者创建一个或多个使用您的 API 的客户端应用。

开发者必须向您的组织注册其应用。Edge 中的应用代表开发者的实际应用的表示,它为开发者提供一个 API 密钥,以便与对您的 API 的每个请求一起传入。

由于组织中的所有应用均已注册,因此您可以使用 Edge 来监控和收集有关该应用及其使用您的 API 情况的分析信息。

API 密钥/OAuth 令牌

根据您为 API 定义的授权机制,应用会将 API 密钥与每个请求一起传递给您的 API。如果该密钥有效,则允许请求。Edge 支持不同类型的身份验证,例如简单的 API 密钥、二足式 OAuth、三足式 OAuth 等等。

作为 API 提供商,您必须定义开发者注册其应用的方法。该方法是注册应用,以向开发者返回访问您的 API 所需的密钥。

在注册应用时,开发者可以选择访问单个 API 产品或多个 API 产品。开发者的实际应用使用相同的密钥访问与应用关联的所有 API 产品(Edge 中开发者应用的注册表示法)。

您可以随时撤消密钥,这样开发者的应用便无法再访问您的 API(即使开发者应用的注册表示法仍存在于您的组织中)。或者,您可以定义密钥的时间限制,以便开发者必须在特定时间之后刷新密钥。

关于环境

环境是组织中 API 代理的运行时执行上下文。您必须先将 API 代理部署到环境,然后才能对其进行访问。您可以将 API 代理部署到单个环境或多个环境。

一个组织可以包含多个环境。例如,您可以在组织中定义 devtestprod 环境。

组织可为一些 Apigee 功能提供范围。例如,键值对映射 (KVM) 数据可以在组织级别使用,这意味着部署到任何环境的 API 代理都将从 KVM 获取相同的数据。某些功能(例如缓存)可以限定为组织级别,也可以限定为组织内的特定环境。Apigee 分析数据按组织和环境的组合进行分区。

下面显示了您在组织内管理的主要实体,包括组织中全局定义的实体以及专门针对环境定义的实体: