דף זה תורגם על ידי Cloud Translation API.

הקצאת תפקידים

כרגע מוצג התיעוד של Apigee Edge.
כניסה למסמכי התיעוד של Apigee X. מידע

במאמר הזה נדון בבקרת גישה מבוססת-תפקידים לארגוני Apigee Edge, ונסביר איך ליצור תפקידים ולהקצות להם משתמשים. עליכם להיות מנהלי חשבון ארגוניים כדי לבצע את המשימות המתוארות כאן.

סרטון: אפשר לצפות בסרטון קצר כדי ללמוד על התפקידים המובנים והמותאמות אישית ב-Apigee Edge.

מהם תפקידים?

תפקידים הם למעשה קבוצות הרשאות המבוססות על CRUD. המשמעות של CRUD היא 'יצירה, קריאה, עדכון, מחיקה'. לדוגמה, משתמש יכול לקבל תפקיד שמאפשר לו לקרוא או "לקבל" פרטים על ישות מוגנת, אבל לא הרשאה לעדכן או למחוק את הישות. אדמין הארגון הוא התפקיד ברמה הגבוהה ביותר ויש לו הרשאות לבצע כל פעולה בישויות מוגנות, כולל:

ממשקי proxy ל-API
סשנים של יומן מעקב
מוצרי API
אפליקציות למפתחים
מפתחים
סביבות (סשנים ופריסות של כלי המעקב)
דוחות בהתאמה אישית (Analytics)

תחילת העבודה

כדי ליצור משתמשים ולהקצות תפקידים, צריכה להיות לכם אדמין ארגוני ב-Apigee Edge. רק מנהלי מערכת בארגון יכולים לראות את האפשרויות בתפריט לניהול משתמשים ותפקידים, ולהשתמש בהן. למידע נוסף, ראו ניהול המשתמשים בארגון.

מה צריך לדעת על תפקידי משתמשים

ב-Apigee Edge, תפקידי המשתמש מהווים את הבסיס לגישה מבוססת-תפקיד. כלומר, אפשר לקבוע לאילו פונקציות אנשים יוכלו לגשת על ידי הקצאת תפקיד (או תפקידים). יש כמה דברים שחשוב לדעת על תפקידים:

כשיוצרים חשבון Apigee Edge משלכם, התפקיד שלכם מוגדר אוטומטית כמנהל מערכת בארגון בארגון. אם מוסיפים משתמשים לארגון, מגדירים את תפקיד המשתמש (או את התפקידים) בזמן ההוספה שלהם.
כשאדמין ארגוני מוסיף את הכם לארגון, התפקיד (או התפקידים) שלכם נקבעים על ידי האדמין. בהמשך, האדמין הארגוני יכול לשנות את התפקידים שלך, אם יש צורך בכך. ראה הקצאת תפקידים למשתמש בהמשך.
אפשר להקצות למשתמשים יותר מתפקיד אחד. אם למשתמש הוקצו כמה תפקידים, ההרשאה הגדולה יותר מקבלת עדיפות. לדוגמה, אם תפקיד אחד לא מאפשר למשתמש ליצור שרתי proxy של API, אבל תפקיד אחר כן מאפשר זאת, המשתמש יכול ליצור שרתי proxy של API. באופן כללי, להקצות למשתמשים תפקידים מרובים אינו תרחיש נפוץ. לפרטים נוספים, ראו הקצאת תפקידים למשתמש בהמשך.
כברירת מחדל, כל המשתמשים המשויכים לארגון יכולים להציג פרטים על משתמשים אחרים בארגון, כמו כתובת אימייל, שם פרטי ושם משפחה.

חשוב להבין שתפקידי משתמשים הם ספציפיים לארגון שבו הם הוקצו. משתמש Apigee Edge יכול להשתייך למספר ארגונים, אבל התפקידים הם ספציפיים לארגון. לדוגמה, למשתמש יכול להיות תפקיד אדמין ארגוני בארגון אחד, ורק תפקיד משתמש בארגון אחר.

הקצאת תפקידים למשתמש

אפשר להוסיף למשתמש תפקיד אחד או יותר כאשר מוסיפים משתמש חדש או עורכים משתמש קיים. הפרטים לגבי כל תפקיד מוסברים בקטע הרשאות ברירת מחדל של תפקיד.

הקצאת תפקידים למשתמשים באמצעות Edge API

כדי להקצות למשתמשים תפקיד, אפשר להשתמש ב-Edge API. בדוגמה הבאה נשתמש ב-API Add a user to a role כדי להוסיף את המשתמש לתפקיד Operations Administrator:

curl https://api.enterprise.apigee.com/v1/o/org_name/userroles/opsadmin/users \
    -X POST \
    -H "Content-Type:application/x-www-form-urlencoded" \
    -d 'id=jdoe@example.com'
    -u orgAdminEmail:pword

כאשר org_name הוא שם הארגון שלך.

הרשאות ברירת המחדל של התפקיד

ב-Apigee Edge יש קבוצה של תפקידים מוגדרים כברירת מחדל. אפשר לקרוא מידע נוסף במאמר הקצאת תפקידים מובנים קצה.

אם אתם מנהלי חשבון ארגוני

מנהלי המערכת בארגון יכולים לראות את רשימת ההרשאות המלאה לכל סוג משתמש. לשם כך, נכנסים לקטע אדמין > תפקידים בארגון. בלחיצה על תפקיד תועברו לטבלה שנראית כך:

בטבלה מוצגות רמות ההגנה על המשאבים. בהקשר הזה, המשאבים מתייחסים ל'ישויות' שאיתן המשתמשים יכולים לתקשר דרך ממשק המשתמש לניהול Edge וגם ה-API.

בעמודה הראשונה מפורטים השמות הכלליים של המשאבים שאיתם המשתמשים מקיימים אינטראקציה. היא כוללת גם עוד כמה דברים כמו שרתי proxy של API, מוצרים, פריסות וכו'. העמודה הזו משקפת את שמות הדברים כפי שהם מופיעים בממשק המשתמש של הניהול.
בעמודה השנייה מפורטים הנתיבים שמשמשים לגישה למשאבים דרך ממשק ה-API לניהול.
בעמודה השלישית מפורטות הפעולות שהתפקיד יכול לבצע בכל משאב ונתיב. הפעולות הן GET, PUT ו-DELETE. בממשק המשתמש, הפעולות האלה נקראות 'תצוגה', 'עריכה' ו'מחיקה'. חשוב לזכור שממשק המשתמש וה-API משתמשים במונחים שונים עבור פעולות אלה.

אם אינך מנהל מערכת בארגון

אין לך הרשאה להוסיף או לשנות תפקידים של משתמש או להציג את מאפייני התפקיד בממשק המשתמש. במאמר תפקידים מובנים של Edge מוסבר על ההרשאות שניתנות לכל תפקיד.

פעולות של תפקידים

אפשר להקצות תפקידים דרך ממשקי API לניהול או דרך ממשק המשתמש לניהול. בכל מקרה, אתם עובדים עם הרשאות CRUD, אם כי המינוחים בממשק ה-API ובממשק המשתמש שונים במקצת.

ממשקי API לניהול של Edge מאפשרים לבצע את הפעולות הבאות של CRUD:

GET: מאפשר למשתמש להציג רשימה של משאבים מוגנים או להציג משאב singleton RBAC
PUT: מאפשר למשתמש ליצור או לעדכן משאב מוגן (הכולל שיטות HTTP מסוג PUT וגם POST)
DELETE: מאפשר למשתמש למחוק מופע של משאב מוגן.
הערה: אפשר למחוק רק מופע ספציפי של משאב. לדוגמה, לא ניתן למחוק את כל שרתי ה-API, רק שרת ספציפי אחד.

ממשק המשתמש לניהול של Edge מתייחס לאותן פעולות CRUD, אבל עם ניסוח שונה:

תצוגה: מאפשרת למשתמש לצפות במשאבים מוגנים. בדרך כלל אפשר להציג את כל המשאבים בנפרד או להציג רשימה של כל המשאבים.
עריכה: המשתמשים יכולים לעדכן משאב מוגן.
יצירה: מאפשרת למשתמש ליצור משאב מוגן.
מחיקה: מאפשרת למשתמש למחוק מופע של משאב מוגן.
הערה: אפשר למחוק רק מופע ספציפי של משאב. לדוגמה, אי אפשר למחוק את כל שרתי ה-API של ה-API, אלא רק שרת ספציפי.

יצירת תפקידים בהתאמה אישית

תפקידים בהתאמה אישית מאפשרים לך להחיל הרשאות פרטניות לישויות האלה של Apigee Edge, כמו שרתי proxy ב-API, מוצרים, אפליקציות למפתחים, מפתחים ודוחות בהתאמה אישית.

אפשר ליצור ולהגדיר תפקידים בהתאמה אישית דרך ממשק המשתמש או באמצעות ממשקי API. למידע נוסף, ראו יצירת תפקידים בהתאמה אישית בממשק המשתמש ויצירת תפקידים באמצעות ה-API.