Atribuição de funções

Esta é a documentação do Apigee Edge.
Acesse Documentação da Apigee X.
informações

Neste tópico, discutimos o controle de acesso baseado em papéis para organizações do Apigee Edge e explicamos como para criar funções e atribuir usuários a elas. Você precisa ser um administrador da organização para executar as tarefas descritas aqui.

Vídeo: assista a um breve vídeo para saber mais sobre o Apigee Edge integrado e personalizado papéis de segurança na nuvem.

O que são papéis?

Os papéis são basicamente conjuntos de permissões baseados no CRUD. CRUD significa "criar, ler, atualizar, excluir". Por exemplo, um usuário pode receber um papel que permita ler ou acessar detalhes sobre uma entidade protegida, mas sem permissão para atualizá-la ou excluí-la. O administrador da organização é o papel de nível mais alto e tem permissões para executar qualquer operação em entidades protegidas, que incluem:

  • Proxies de API
  • Sessões de trace
  • Produtos de API
  • Apps para desenvolvedores
  • Desenvolvedores
  • Ambientes (sessões e implantações da ferramenta Trace)
  • Relatórios personalizados (Analytics)

Primeiros passos

Você precisa ser um administrador da organização do Apigee Edge para criar usuários e atribuir papéis. Somente os administradores da organização podem ver e usar os itens do menu para gerenciar usuários e papéis. Consulte também Como gerenciar usuários da organização.

O que você precisa saber sobre os papel de usuário

No Apigee Edge, os papéis de usuário formam a base do acesso baseado em papéis, ou seja, você pode controlar quais funções uma pessoa pode acessar atribuindo a ela uma função (ou funções). Veja a seguir algumas informações que você precisa saber sobre os papéis:

  • Quando você cria sua própria conta do Apigee Edge, seu papel é definido automaticamente como administrador da organização na sua organização. Ao adicionar usuários à organização, você define os papéis deles no momento em que os adiciona.
  • Quando um administrador da organização adiciona você a uma organização, suas funções são determinadas pelo administrador. O administrador da organização pode alterar os papéis posteriormente, se necessário. Consulte Atribuir papéis a um usuário abaixo.
  • Os usuários podem receber mais de um papel. Se um usuário tiver vários papéis atribuídos, a maior permissão terá precedência. Por exemplo, se um papel não permitir que o usuário crie proxies de API, mas outro papel permitir, ele poderá criar proxies de API. Em geral, não é um caso de uso comum atribuir vários papéis aos usuários. Consulte Atribuir papéis a um usuário abaixo.
  • Por padrão, todos os usuários associados a uma organização podem visualizar detalhes sobre outros usuários dela, como endereço de e-mail, nome e sobrenome.

É importante compreender que os papéis do usuário são específicos para a organização a que foram atribuídos. Um usuário do Apigee Edge pode pertencer a várias organizações, mas os papéis são específicos da organização. Por exemplo, um usuário pode ter a função de administrador da organização em uma organização e apenas a função do usuário em outra.

Como atribuir papéis a um usuário

É possível adicionar um ou mais papéis a um usuário ao adicionar um novo usuário ou editar um usuário atual. Os detalhes sobre cada papel são explicados em Permissões de papel padrão.

Ao atribuir funções a usuários com a API Edge

Você pode usar a API Edge para atribuir usuários a um papel. No exemplo a seguir, a API Adicionar um usuário a um papel é usada para adicionar o usuário ao papel de Administrador de operações:

curl https://api.enterprise.apigee.com/v1/o/org_name/userroles/opsadmin/users \
    -X POST \
    -H "Content-Type:application/x-www-form-urlencoded" \
    -d 'id=jdoe@example.com'
    -u orgAdminEmail:pword

Em que org_name é o nome da sua organização.

Permissões de papel padrão

O Apigee Edge oferece um conjunto de papéis padrão pronto para uso. Para mais informações, consulte Papéis integrados do Edge.

Se você é um administrador da organização

Os administradores da organização podem ver a lista inteira de permissões para cada tipo de usuário. Basta acessar Administrador "Papéis da organização". Ao clicar em um papel, você é direcionado para uma tabela com esta aparência:

A tabela mostra os níveis de proteção para recursos. Nesse contexto, os recursos se referem a "entidades" com que os usuários podem interagir pela interface do Edge Management e a API.

  • A primeira coluna lista os nomes gerais dos recursos com os quais os usuários interagem. Ela também inclui outras coisas, como proxies de API, produtos, implantações etc. Essa coluna reflete os nomes das coisas com você as vê na IU de gerenciamento.
  • A segunda coluna lista os caminhos usados para acessar os recursos por meio da API de gerenciamento.
  • A terceira coluna lista as operações que o papel pode executar em cada recurso e caminho. As operações são GET, PUT e DELETE. Na IU, essas mesmas operações são chamadas de "Visualização", "Editar" e "Excluir". A IU e a API usam termos diferentes para essas operações.

Se você não for um administrador da organização

Você não tem permissão para adicionar ou alterar os papéis de um usuário ou exibir as propriedades do papel na IU. Consulte Papéis integrados do Edge para informações sobre as permissões concedidas a cada papel.

Operações de papel

É possível atribuir funções por meio de APIs de gerenciamento ou da interface de gerenciamento. De qualquer forma, você está trabalhando com permissões CRUD, embora a API e a IU usem uma terminologia um pouco diferente.

As APIs de gerenciamento do Edge permitem estas operações CRUD:

  • GET: permite que um usuário visualize uma lista de recursos protegidos ou veja um recurso RBAC singleton
  • PUT: permite que um usuário crie ou atualize um recurso protegido, abrangendo os métodos HTTP PUT e POST.
  • DELETE: permite que um usuário exclua uma instância de um recurso protegido.

A interface de gerenciamento do Edge se refere às mesmas operações CRUD, mas com palavras diferentes:

  • Visualizar: permite que o usuário visualize recursos protegidos. Normalmente, você pode ver os recursos individualmente ou uma lista de recursos por vez.
  • Editar: permite que um usuário atualize um recurso protegido.
  • Criar: permite que um usuário crie um recurso protegido.
  • Excluir: permite que um usuário exclua uma instância de um recurso protegido.

Como criar papéis personalizados

Os papéis personalizados permitem aplicar permissões refinadas a essas entidades do Apigee Edge, como APIs proxies, produtos, apps de desenvolvedores, desenvolvedores e relatórios personalizados.

Você pode criar e configurar papéis personalizados por meio da IU ou usando APIs. Consulte Como criar papéis personalizados na IU e Como criar papéis com a API.