了解组织

您正在查看的是 Apigee Edge 文档。
转到 Apigee X 文档
信息

组织是 Apigee Edge 中的顶层容器。它包含您的所有 API 代理及相关资源。虽然本主题的其余部分更加深入地介绍了组织,但是下面列出了一些有用的要点:

  • 默认情况下,您的组织名称位于用于调用 API 代理的网址中,如关于虚拟主机中所述。例如:
    http(s)://your_org_name-environment.apigee.net/proxy_base_path/...
  • 在 Edge 管理界面的网址中找到您的组织名称。例如,以下网址显示了 docs 组织的 API 代理:

    在网址 apigee.com/organizations/docs/proxies 中,/docs/ 被圈出。

  • 虽然您可能只创建了一个组织,但是您可以作为拥有特定权限的用户或管理员属于其他组织。在 Edge 管理界面中,如果您属于多个组织,则可以按照在组织之间切换中所述切换到其他组织。

  • 当您以 Organization Administrator 角色的用户身份使用 Management API 进行调用时,在大多数调用中,组织都是路径的必需部分。例如,以下 Management API c网址 请求会返回组织中所有 API 代理的列表:
    curl https://api.enterprise.apigee.com/v1/organizations/your_org_name/apis -u org_admin_email_address

视频:观看一段短视频,了解组织如何支持 API 管理的多租户架构。

组织组件

当您创建 Edge 帐号时,Edge 会自动为您创建一个组织。创建完成后,您可以将用户添加到组织,创建 API 代理和 API 产品,以及注册开发者和应用。

下图显示了 Edge 组织模型的主要组件。此模型定义了您的 API、API 产品、应用和应用开发者在 Edge 中有何关联。

流程图展示了环境、用户、API 产品和开发者与应用、API 密钥/OAuth 令牌和 API 代理之间的关系。

此模型不会显示 Apigee Edge 的所有功能。如果您使用创收功能,则该模型将具有额外的组件。如需了解详情,请参阅创收概览。如需了解如何通过创收功能管理公司和开发者,请参阅管理公司和开发者

组织名称

组织名称为:

  • 评估组织username-eval
  • 付费组织:初始配置时由用户定义

组织一经创建便无法重命名。

向 Edge Management API 发出请求时,组织名称会成为 API 代理网址的一部分。例如,用于访问 API 代理的典型网址采用以下形式:

http://org-name-env.apigee.net/v1/weather/forecastrss

其中:

  • org-name 是您组织的名称。
  • env 是 API 代理的部署环境,可以是测试环境,也可以是生产环境。

例如:

http://myorg-test.apigee.net/v1/weather/forecastrss

组织组件

下表更详细地描述了组织模型的组件:

组件 说明

组织

每个 Apigee 帐号都会映射到 Apigee Edge 上的一个或多个组织。该组织包含所有组件,包括 API 代理、API 产品、API 软件包、应用和开发者。

账号持有人并不限于单个组织。某些账号持有人可能会定义或成为支持不同应用开发者社区的多个组织。

环境 组织中 API 代理的运行时执行上下文。如需详细了解环境,请参阅以下部分。

用户

在组织内,创建帐号的人会自动成为管理员,您可以在组织内创建更多用户。用户构成组织的 API 团队,可以包括管理员、API 代理和 API 产品创建者、监控分析和其他统计信息的用户等人员。

不同的用户可以拥有不同的角色和访问权限。例如,将部分用户定义为组织管理员和操作管理员,他们有权修改组织及其组件。定义其他用户,他们有权创建 API 代理和 API 产品,但是无权修改其他用户。

用户可以是多个组织的成员。例如,您的公司可能会在 Apigee Edge 上定义多个组织,以支持不同的开发者社区。但是在内部,同一个人员构建所有 API 代理和 API 产品,因此属于您的所有组织的成员。

要成为用户,您不需要创建 Apigee 账号(即创建 Apigee 组织)。管理员可以将您添加到现有组织。

所有用户都会在此网址登录 Apigee Edge:https://enterprise.apigee.com

API 代理

组织中的用户会创建一个或多个 API 代理。API 代理定义了公共可用 HTTP 端点到后端服务的映射。API 代理也可以配置为包含安全性(如 OAuth)、执行消息转换(例如 XML 到 JSON)、限制发送到后端服务的流量以及对请求、响应和服务调用执行其他有价值的操作。

Edge 会收集数据以进行 API 代理分析。

API 产品

组织中的用户创建一个或多个 API 产品,其中 API 产品是一组结合了服务方案的 API 代理。该服务方案可以设置 API 代理的访问权限限制,提供安全性,支持监控和分析,并提供额外的功能。

Edge 会收集数据来进行 API 产品分析。

开发者

组织包含一个或多个开发者,他们构建使用您的组织定义的 API(内置于 API 产品中)的应用。开发者使用 API,但不能创建 API,也不能在组织中执行任何其他操作。

开发者可以是公司内部人员,也可以是合作伙伴,也可以是为 API 访问权限付费的外部开发者。

您必须先在组织中注册开发者,然后他们才能注册应用并接收用于访问 API 的 API 密钥。作为 API 提供方,您自行决定如何在组织中添加、更新或移除开发者。您可以通过 Edge 管理界面手动添加它们,创建开发者门户以便通过网站注册它们,或者使用 Edge Management API 定义自己的注册机制。

开发者无需拥有 Edge 帐号,大多数开发者无需了解 Edge。如果开发者在 Edge 上拥有帐号,则该帐号通常是其他组织中的用户,或者需要使用 Edge API 服务。

应用

开发者创建一个或多个使用您的 API 的客户端应用。

开发者必须向您的组织注册其应用。Edge 中的应用代表开发者的实际应用,可为开发者提供 API 密钥,以便在发送到 API 的每个请求中传入该密钥。

由于所有应用都是在您的组织中注册的,您可以使用 Edge 监控和收集有关应用及其 API 使用情况的分析信息。

API 密钥/OAuth 令牌

根据您为 API 定义的授权机制,应用会将 API 密钥随每个请求一起传递到 API。如果该密钥有效,则允许该请求。Edge 支持不同类型的身份验证,例如简单的 API 密钥、两方模式 OAuth、三方模式 OAuth 等。

作为 API 提供商,您必须定义开发者注册其应用的方法。该方法是注册应用,以向开发者返回访问您的 API 所需的密钥。

在注册应用时,开发者可以选择访问单个 API 产品,也可以选择访问多个 API 产品。开发者的实际应用使用相同的密钥来访问与该应用关联的所有 API 产品(开发者的应用在 Edge 中的注册表示形式)。

您可以随时撤消密钥,这样开发者的应用便无法再访问您的 API(即使开发者应用的注册表示法仍存在于您的组织中)。或者,您可以定义密钥的时间限制,以便开发者必须在特定时间之后刷新密钥。

关于环境

环境是组织中 API 代理的运行时执行上下文。您必须先将 API 代理部署到环境,然后才能对其进行访问。您可以将 API 代理部署到单个环境或多个环境。

一个组织可以包含多个环境。例如,您可以在组织中定义 devtestprod 环境。

组织提供了一些 Apigee 功能的范围。例如,键值对映射 (KVM) 数据可以在组织级别使用,这意味着部署到任何环境的 API 代理都将从 KVM 获取相同的数据。某些功能(例如缓存)可限定为组织或组织内的特定环境。Apigee 分析数据按组织和环境的组合进行分区。

下面显示了您在组织内管理的主要实体,包括组织中全局定义的实体以及专门针对环境定义的实体: