Asigna roles

Estás consultando la documentación de Apigee Edge.
Consulta la documentación de Apigee X.
Información

En este tema, se analiza el control de acceso basado en roles para las organizaciones de Apigee Edge y se explica cómo crear funciones y asignarles usuarios. Debes ser administrador de una organización para realizar las tareas que se describen aquí.

Video: Mira un breve video para obtener información sobre los roles integrados y personalizados de Apigee Edge.

¿Qué son las funciones?

En esencia, los roles son conjuntos de permisos basados en CRUD. CRUD significa “crear, leer, actualizar y borrar”. Por ejemplo, es posible que a un usuario se le otorgue un rol que le permita leer o “obtener” detalles sobre una entidad protegida, pero sin permiso para actualizarla o borrarla. El administrador de la organización es el rol de nivel más alto y tiene permisos para realizar cualquier operación en entidades protegidas, incluidas las siguientes:

  • PROXIES DE API
  • Sesiones de seguimiento
  • Productos de API
  • Apps de desarrolladores
  • Desarrolladores
  • Entornos (implementaciones y sesiones de la herramienta de Trace)
  • Informes personalizados (Analytics)

Primeros pasos

Debes ser un administrador de la organización de Apigee Edge para crear usuarios y asignar roles. Solo los administradores de la organización pueden ver y usar los elementos de menú para administrar usuarios y roles. Consulta también Cómo administrar usuarios de la organización.

Lo que debes saber sobre los roles de los usuarios

En Apigee Edge, los roles de usuario forman la base del acceso basado en roles, lo que significa que puedes controlar las funciones a las que puede acceder una persona si le asignas uno o varios roles. A continuación, se mencionan algunos detalles que debes conocer sobre los roles:

  • Cuando creas tu propia cuenta de Apigee Edge, tu función se establece automáticamente en el administrador de la organización en la organización. Si agregas usuarios a tu organización, debes establecer las funciones del usuario en el momento en que los agregues.
  • Cuando el administrador de una organización te agrega a una organización, el administrador determina tus funciones. El administrador de la organización puede cambiar tus roles más adelante si es necesario. Consulta Cómo asignar funciones a un usuario a continuación.
  • A los usuarios se les puede asignar más de un rol. Si un usuario tiene varios roles asignados, tiene prioridad el permiso mayor. Por ejemplo, si una función no permite al usuario crear proxies de API, pero otra función sí lo hace, el usuario puede crear proxies de API. En general, no es un caso práctico común asignarles varios roles a los usuarios. Consulta Asigna funciones a un usuario a continuación.
  • De forma predeterminada, todos los usuarios asociados a una organización pueden ver los detalles de otros usuarios, como la dirección de correo electrónico, el nombre y el apellido.

Es importante comprender que las funciones de los usuarios son específicas de la organización en la que se asignaron. Un usuario de Apigee Edge puede pertenecer a varias organizaciones, pero las funciones son específicas de la organización. Por ejemplo, un usuario puede tener el rol de administrador de la organización en una organización y solo el rol del usuario en otra.

Asigna roles a un usuario

Puedes agregar uno o más roles a un usuario cuando agregas un usuario nuevo o editas un usuario existente. Los detalles sobre cada función se explican en Permisos de funciones predeterminadas.

Asigna roles a los usuarios con la API de Edge

Puedes usar la API de Edge para asignar usuarios a un rol. En el siguiente ejemplo, se usa la API de Agregar un usuario a una función para agregar al usuario a la función de administrador de operaciones:

curl https://api.enterprise.apigee.com/v1/o/org_name/userroles/opsadmin/users \
    -X POST \
    -H "Content-Type:application/x-www-form-urlencoded" \
    -d 'id=jdoe@example.com'
    -u orgAdminEmail:pword

En el ejemplo anterior, org_name es el nombre de la organización.

Permisos de la función predeterminados

Apigee Edge proporciona un conjunto de roles predeterminados listos para usar. Para obtener más información, consulta Funciones integradas de Edge.

Si eres administrador de una organización

Los administradores de la organización pueden ver la lista completa de permisos de cada tipo de usuario. Solo ve a Administrador > Roles de la organización. Cuando haces clic en un rol, accedes a una tabla que se ve de la siguiente manera:

La tabla muestra los niveles de protección para los recursos. En este contexto, los recursos se refieren a "entidades" con las que los usuarios pueden interactuar a través de la IU y la API de Edge Management.

  • En la primera columna, se enumeran los nombres generales de los recursos con los que interactúan los usuarios. También incluye otros elementos, como proxies de API, productos, implementaciones, etc. En esta columna, se reflejan los nombres de los elementos como los ves en la IU de administración.
  • En la segunda columna, se enumeran las rutas que se usan para acceder a los recursos a través de la API de Management.
  • En la tercera columna, se enumeran las operaciones que la función puede realizar en cada recurso y ruta de acceso. Las operaciones son GET, PUT y DELETE. En la IU, estas mismas operaciones se conocen como Ver, Editar y Borrar. Solo ten en cuenta que la IU y la API usan términos diferentes para estas operaciones.

Si no eres administrador de una organización

No puedes agregar ni cambiar los roles de un usuario ni ver las propiedades de los roles en la IU. Consulta Funciones integradas de Edge para obtener información sobre los permisos otorgados a cada función.

Operaciones de roles

Puedes asignar roles a través de las APIs de administración o la IU de administración. De cualquier manera, trabajarás con permisos de CRUD, aunque la API y la IU usen terminología un poco diferente.

Las APIs de administración de Edge permiten estas operaciones de CRUD:

  • GET: permite que un usuario vea una lista de recursos protegidos o un recurso singleton de RBAC.
  • PUT: Permite que un usuario cree o actualice un recurso protegido (que incluya métodos HTTP PUT y POST).
  • DELETE: Permite que un usuario borre una instancia de un recurso protegido.

La IU de administración de Edge hace referencia a las mismas operaciones de CRUD, pero con palabras diferentes:

  • View: Permite que un usuario vea los recursos protegidos. Por lo general, puedes ver los recursos uno a la vez o una lista de recursos.
  • Edit: Permite que un usuario actualice un recurso protegido.
  • Create:Permite que un usuario cree un recurso protegido.
  • Borrar: Permite que un usuario borre una instancia de un recurso protegido.

Crea funciones personalizadas

Las funciones personalizadas te permiten aplicar permisos detallados a estas entidades de Apigee Edge, como proxies de API, productos, apps para desarrolladores, informes personalizados y desarrolladores.

Puedes crear y configurar roles personalizados a través de la IU o con las APIs. Consulta Crea funciones personalizadas en la IU y Crea funciones con la API.