Cette page a été traduite par l'API Cloud Translation.

Attribution de rôles

Vous consultez la documentation d'Apigee Edge.
Consultez la documentation Apigee X. en savoir plus

Cette rubrique traite du contrôle des accès basé sur les rôles pour les organisations Apigee Edge, et explique comment créer des rôles et leur attribuer des utilisateurs. Vous devez être un administrateur de l'organisation pour effectuer les tâches décrites ici.

Vidéo:regardez une courte vidéo pour en savoir plus sur les rôles intégrés et personnalisés d'Apigee Edge.

Que sont les rôles ?

Les rôles sont essentiellement des ensembles d'autorisations basés sur CRUD. CRUD signifie "création, lecture, mise à jour et suppression". Par exemple, un utilisateur peut se voir attribuer un rôle lui permettant de lire ou d'obtenir des détails ("get") sur une entité protégée, mais pas de la mettre à jour ou de la supprimer. L'administrateur de l'organisation est le rôle le plus élevé et est autorisé à effectuer toute opération sur les entités protégées, y compris :

Proxys d'API
Sessions Trace
Produits d'API
Applications de développeur
Développeurs
Environnements (sessions et déploiements de l'outil Trace)
Rapports personnalisés (Analytics)

Premiers pas

Vous devez être un administrateur d'organisation Apigee Edge pour créer des utilisateurs et attribuer des rôles. Seuls les administrateurs de l'organisation peuvent consulter et utiliser les éléments du menu pour gérer les utilisateurs et les rôles. Consultez également la section Gérer les utilisateurs de l'organisation.

Ce que vous devez savoir sur les rôles utilisateur

Dans Apigee Edge, les rôles utilisateur constituent la base de l'accès basé sur les rôles, ce qui signifie que vous pouvez contrôler les fonctions auxquelles une personne peut accéder en lui attribuant un ou plusieurs rôles. Voici quelques points à retenir à propos des rôles :

Lorsque vous créez votre propre compte Apigee Edge, votre rôle est automatiquement défini sur administrateur de l'organisation dans votre organisation. Si vous ajoutez des utilisateurs à votre organisation, vous définissez le ou les rôles utilisateur au moment où vous les ajoutez.
Lorsqu'un administrateur de l'organisation vous ajoute vous à une organisation, il détermine votre ou vos rôles. L'administrateur de l'organisation peut ensuite modifier le ou les rôles si nécessaire. Consultez la section Attribuer des rôles à un utilisateur ci-dessous.
Les utilisateurs peuvent se voir attribuer plusieurs rôles. Si plusieurs rôles sont attribués à un utilisateur, l'autorisation la plus élevée est prioritaire. Par exemple, si un rôle ne permet pas à l'utilisateur de créer des proxys d'API, mais qu'un autre rôle le permet, il peut créer des proxys d'API. En général, il n'est pas courant d'attribuer plusieurs rôles à des utilisateurs. Consultez la section Attribuer des rôles à un utilisateur ci-dessous.
Par défaut, tous les utilisateurs associés à une organisation peuvent consulter les détails des autres utilisateurs de l'organisation, tels que l'adresse e-mail, le prénom et le nom.

Il est important de comprendre que les rôles utilisateur sont spécifiques à l'organisation dans laquelle ils ont été attribués. Un utilisateur Apigee Edge peut appartenir à plusieurs organisations, mais les rôles sont spécifiques à l'organisation. Par exemple, un utilisateur peut avoir le rôle d'administrateur de l'organisation dans une organisation et uniquement le rôle d'utilisateur dans une autre.

Attribuer des rôles à un utilisateur

Vous pouvez ajouter un ou plusieurs rôles à un utilisateur lorsque vous ajoutez un nouvel utilisateur ou modifiez un utilisateur existant. Les détails de chaque rôle sont expliqués dans la section Autorisations des rôles par défaut.

Attribution de rôles aux utilisateurs avec l'API Edge

Vous pouvez utiliser l'API Edge pour attribuer un rôle aux utilisateurs. Dans l'exemple suivant, l'utilisateur est ajouté au rôle Administrateur des opérations à l'aide de l'API Ajouter un utilisateur à un rôle :

curl https://api.enterprise.apigee.com/v1/o/org_name/userroles/opsadmin/users \
    -X POST \
    -H "Content-Type:application/x-www-form-urlencoded" \
    -d 'id=jdoe@example.com'
    -u orgAdminEmail:pword

Où org_name est le nom de votre organisation.

Autorisations du rôle par défaut

Apigee Edge fournit un ensemble de rôles par défaut prêts à l'emploi. Pour en savoir plus, consultez la section Rôles intégrés Edge.

Si vous êtes administrateur de l'organisation

Les administrateurs de l'organisation peuvent voir la liste complète des autorisations pour chaque type d'utilisateur. Accédez simplement à Administrateur > Rôles de l'organisation. Lorsque vous cliquez sur un rôle, vous accédez à un tableau semblable à celui-ci :

Le tableau vous indique les niveaux de protection des ressources. Dans ce contexte, les ressources font référence à des "entités" avec lesquelles les utilisateurs peuvent interagir via l'interface utilisateur de gestion Edge et l'API.

La première colonne répertorie les noms généraux des ressources avec lesquels les utilisateurs interagissent. Elle comprend également d'autres éléments, tels que les proxys d'API, les produits, les déploiements, etc. Cette colonne reflète le nom des éléments tels que vous les voyez dans l'interface utilisateur de gestion.
La deuxième colonne répertorie les chemins d'accès utilisés pour accéder aux ressources via l'API de gestion.
La troisième colonne répertorie les opérations que le rôle peut effectuer sur chaque ressource et chaque chemin d'accès. Les opérations sont GET, PUT et DELETE. Dans l'interface utilisateur, ces opérations sont appelées "Afficher", "Modifier" et "Supprimer". N'oubliez pas que l'UI et l'API utilisent des termes différents pour ces opérations.

Si vous n'êtes pas administrateur de l'organisation

Vous n'êtes pas autorisé à ajouter ou modifier les rôles d'un utilisateur, ni à afficher les propriétés des rôles dans l'interface utilisateur. Consultez la section Rôles intégrés Edge pour en savoir plus sur les autorisations accordées à chaque rôle.

Opérations des rôles

Vous pouvez attribuer des rôles via des API de gestion ou via l'interface utilisateur de gestion. Dans les deux cas, vous travaillez avec des autorisations CRUD, bien que l'API et l'interface utilisateur utilisent une terminologie légèrement différente.

Les API de gestion Edge permettent ces opérations CRUD:

GET: permet à un utilisateur d'afficher une liste de ressources protégées ou d'afficher une ressource RBAC unique.
PUT: permet à un utilisateur de créer ou de mettre à jour une ressource protégée (en combinant les méthodes HTTP PUT et POST).
DELETE: permet à un utilisateur de supprimer une instance d'une ressource protégée.
Remarque : Vous ne pouvez supprimer qu'une instance spécifique d'une ressource. Par exemple, vous ne pouvez pas supprimer tous les proxys d'API, mais uniquement un proxy spécifique.

L'interface utilisateur de gestion Edge fait référence aux mêmes opérations CRUD, mais avec une formulation différente:

Afficher : permet à un utilisateur d'afficher des ressources protégées. En règle générale, vous pouvez afficher les ressources une par une ou afficher une liste de ressources.
Modifier : permet à un utilisateur de mettre à jour une ressource protégée.
Créer : permet à un utilisateur de créer une ressource protégée.
Supprimer : permet à un utilisateur de supprimer une instance d'une ressource protégée.
Remarque : Vous ne pouvez supprimer qu'une instance spécifique d'une ressource. Par exemple, vous ne pouvez pas supprimer TOUS les proxys d'API, mais un seul en particulier.

Créer des rôles personnalisés

Les rôles personnalisés vous permettent d'appliquer des autorisations granulaires à ces entités Apigee Edge telles que les proxys d'API, les produits, les applications de développement, les développeurs et les rapports personnalisés.

Vous pouvez créer et configurer des rôles personnalisés via l'interface utilisateur ou à l'aide des API. Consultez les sections Créer des rôles personnalisés dans l'interface utilisateur et Créer des rôles avec l'API.