דף זה תורגם על ידי Cloud Translation API.

הקצאת תפקידים

מוצג המסמך של Apigee Edge.
עוברים אל מסמכי תיעוד של Apigee X. מידע

בנושא הזה נדבר על בקרת גישה מבוססת-תפקידים בארגונים ב-Apigee Edge ונסביר איך כדי ליצור תפקידים ולהקצות להם משתמשים. רק מנהלי מערכת בארגון יכולים לבצע אלו המשימות שמתוארות כאן.

סרטון: כדאי לצפות בסרטון קצר עם מידע על Apigee Edge המובנית ומותאמת אישית תפקידים.

מהם תפקידים?

תפקידים הם בעצם קבוצות הרשאות שמבוססות על CRUD. המשמעות של CRUD היא "create, read, update, delete" (יצירה, קריאה, עדכון, מחיקה). לדוגמה, ניתן להקצות למשתמש תפקיד שמאפשר לו לקרוא או לקבל פרטים על מוגן בזכויות יוצרים, אבל לא הרשאה לעדכן או למחוק אותה. מנהל החשבון הארגוני תפקיד ברמה הגבוהה ביותר, ויש לו הרשאות לבצע כל פעולה על ישויות מוגנות, כוללים:

ממשקי proxy ל-API
סשנים של יומן מעקב
מוצרי API
אפליקציות למפתחים
מפתחים
סביבות (סשנים ופריסות של כלי מעקב)
דוחות בהתאמה אישית (Analytics)

תחילת העבודה

כדי ליצור משתמשים ולהקצות תפקידים, צריכה להיות לכם הרשאת אדמין בארגון ב-Apigee Edge. רק אדמינים ארגוניים יכולים לראות את האפשרויות בתפריט ולהשתמש בהן לניהול משתמשים ותפקידים. צפייה גם ניהול משתמשים בארגון.

מה צריך לדעת על תפקידי משתמשים

ב-Apigee Edge, תפקידי המשתמשים הם הבסיס לגישה מבוססת-תפקיד. כלומר, יש לכם אפשרות לשלוט לאילו פונקציות המשתמש יכול לגשת על ידי הקצאת תפקיד (או תפקידים). הנה כמה דברים צריכים לדעת על תפקידים:

כשיוצרים חשבון Apigee Edge משלכם, התפקיד מוגדר אוטומטית בתור אדמין ארגוני בארגון שלכם. אם אתם מוסיפים משתמשים ארגון, מגדירים את תפקיד המשתמש (או התפקידים) בזמן שמוסיפים אותם.
כשמנהל ארגוני מוסיף את הכם לארגון, התפקיד (או התפקידים) שלכם נקבע על ידי האדמין. מנהל החשבון הארגוני יוכל לשנות את התפקידים שלכם בשלב מאוחר יותר, אם הנחוצים. פרטים נוספים מופיעים בקטע הקצאת תפקידים למשתמש שבהמשך.
אפשר להקצות למשתמשים יותר מתפקיד אחד. אם למשתמש מוקצים מספר תפקידים, הרשאה גבוהה יותר מקבלת עדיפות. לדוגמה, אם תפקיד אחד לא מאפשר למשתמש ליצור שרתי proxy ל-API, אבל תפקיד אחר כן עובד, המשתמש יכול ליצור שרתי proxy ל-API. באופן כללי, אין תרחיש לדוגמה נפוץ להקצאת למשתמשים מרובים תפקידים. למידע נוסף, ראו הקצאה למשתמש/ת שלמטה.
כברירת מחדל, כל המשתמשים שמשויכים לארגון יכולים לראות פרטים על אמצעי אחר משתמשים בארגון, כגון כתובת אימייל, שם פרטי ושם משפחה.

חשוב להבין שתפקידי משתמשים הם ספציפיים לארגון שבו הם הוקצו. משתמש Apigee Edge יכול להשתייך למספר ארגונים, אבל התפקידים כן ספציפי לארגון. לדוגמה, משתמש יכול להיות בתפקיד 'אדמין ארגוני' בארגון ורק את תפקיד המשתמש בארגון אחר.

הקצאה תפקידים למשתמש

אפשר להוסיף תפקיד אחד או יותר למשתמש כשאתם מוסיפים משתמש חדש או עורכים משתמש קיים משתמש. בקטע תפקיד ברירת מחדל מוסבר על הפרטים של כל תפקיד. הרשאות.

הקצאת תפקידים למשתמשים עם ממשק ה-API של Edge

אפשר להשתמש ב-Edge API כדי להקצות למשתמשים תפקיד. הדוגמה הבאה משתמשת באפשרות הוספת משתמש role כדי להוסיף את המשתמש לתפקיד 'אדמין פעולות':

curl https://api.enterprise.apigee.com/v1/o/org_name/userroles/opsadmin/users \
    -X POST \
    -H "Content-Type:application/x-www-form-urlencoded" \
    -d 'id=jdoe@example.com'
    -u orgAdminEmail:pword

כאשר org_name הוא שם הארגון.

הרשאות ברירת מחדל לתפקיד

ב-Apigee Edge יש קבוצה של תפקידי ברירת מחדל, מחוץ למסגרת. מידע נוסף זמין במאמר הבא: להגדיר תפקידים מובנים.

אם את/ה אדמין/ת בארגון

אדמינים ארגוניים יכולים לראות את הרשימה המלאה של ההרשאות לכל סוג משתמש. מעבר אל אדמין > תפקידים בארגון. לחיצה על תפקיד תעביר אותך לטבלה שנראה כך:

בטבלה מוצגות רמות ההגנה על משאבים. בהקשר הזה, מתייחסים ל"ישויות" שהמשתמשים יכולים לנהל איתם אינטראקציה דרך ממשק המשתמש של Edge Management. ו- של ה-API.

בעמודה הראשונה מפורטים השמות הכלליים של המשאבים שהמשתמשים מקיימים אינטראקציה עם. הוא כולל גם דברים אחרים כמו שרתי proxy ל-API, מוצרים, פריסות וכו'. העמודה משקפת את השמות של הדברים כפי שהם מוצגים בממשק המשתמש של הניהול.
בעמודה השנייה מפורטים הנתיבים שמשמשים לגישה למשאבים דרך Management API.
בעמודה השלישית מפורטות הפעולות שהתפקיד יכול לבצע בכל אחד מהפעולות. ולנתיב. הפעולות הן GET, PUT ו-DELETE. בממשק המשתמש, אותן הפעולות נקראים 'הצגה', 'עריכה' ו'מחיקה'. עם זאת, חשוב לזכור שבממשק המשתמש וב-API נעשה שימוש לתנאים של הפעולות האלה.

אם אתם לא מנהלי מערכת ארגוניים

אי אפשר להוסיף או לשנות תפקידים של משתמש או לצפות במאפייני התפקידים בממשק המשתמש. אפשר לקרוא מידע נוסף בקטע Edge Built-In. מידע על ההרשאות שניתנות לכל תפקיד.

פעולות התפקידים

אפשר להקצות תפקידים באמצעות ממשקי API לניהול או דרך ממשק המשתמש של הניהול. בכל מקרה, עבודה עם הרשאות CRUD, למרות שה-API וממשק המשתמש משתמשים במונחים מעט שונים.

ממשקי ה-API לניהול של Edge מאפשרים את פעולות CRUD הבאות:

GET: מאפשר למשתמש לצפות ברשימה של משאבים מוגנים או לצפות משאב RBAC של Singleton
PUT: מאפשר למשתמש ליצור או לעדכן משאב מוגן (כולל שיטות HTTP מסוג PUT וגם POST)
DELETE: מאפשרת למשתמש למחוק מופע של מכונה מוגנת משאב.
הערה: אפשר למחוק רק מופע ספציפי של משאב. לדוגמה, לא ניתן למחוק את כל שרתי ה-proxy ל-API, אלא רק אחת.

ממשק המשתמש לניהול של Edge מתייחס לאותן פעולות CRUD, אבל בניסוח אחר:

תצוגה: מאפשרת למשתמש לצפות במשאבים מוגנים. בדרך כלל, יכולים להציג כל משאב בנפרד, או להציג רשימה של משאבים.
עריכה: מאפשרת למשתמש לעדכן משאב מוגן.
יצירה: מאפשרת למשתמש ליצור משאב מוגן.
מחיקה: מאפשרת למשתמש למחוק מופע של מופע מוגן משאב.
הערה: אפשר למחוק רק מופע ספציפי של משאב. לדוגמה, אי אפשר למחוק את כל שרתי ה-proxy ל-API, אלא רק קובץ ספציפי.

יצירת תפקידים בהתאמה אישית

תפקידים בהתאמה אישית מאפשרים לך להחיל הרשאות פרטניות על ישויות Apigee Edge האלה כמו API שרתי proxy, מוצרים, אפליקציות למפתחים, מפתחים ודוחות בהתאמה אישית.

אפשר ליצור ולהגדיר תפקידים בהתאמה אישית דרך ממשק המשתמש או באמצעות ממשקי API. מידע נוסף זמין בקטע יצירת תפקידים בהתאמה אישית UI ו-יצירת תפקידים באמצעות ה-API.