Atribuição de funções

Você está vendo a documentação do Apigee Edge.
Acesse a documentação da Apigee X.
informações

Neste tópico, discutimos o controle de acesso baseado em papéis para organizações do Apigee Edge e explicamos como criar papéis e atribuir usuários a eles. Você precisa ser um administrador da organização para executar as tarefas descritas aqui.

Vídeo: assista a um vídeo curto para saber mais sobre os papéis integrados e personalizados do Apigee Edge.

O que são papéis?

Os papéis são basicamente conjuntos de permissões baseados no CRUD. CRUD significa "criar, ler, atualizar, excluir". Por exemplo, um usuário pode receber um papel que permita ler ou acessar detalhes sobre uma entidade protegida, mas sem permissão para atualizá-la ou excluí-la. O administrador da organização é o papel de nível mais alto e tem permissões para executar qualquer operação em entidades protegidas, que incluem:

  • Proxies de API
  • Sessões de trace
  • Produtos de API
  • Apps para desenvolvedores
  • Desenvolvedores
  • Ambientes (sessões e implantações da ferramenta Trace)
  • Relatórios personalizados (Analytics)

Como começar

Você precisa ser um administrador da organização do Apigee Edge para criar usuários e atribuir papéis. Somente os administradores da organização podem ver e usar os itens do menu para gerenciar usuários e papéis. Consulte também Como gerenciar usuários da organização.

O que você precisa saber sobre os papel de usuário

No Apigee Edge, os papéis do usuário formam a base do acesso baseado em papéis. Isso significa que você pode controlar quais funções uma pessoa pode acessar atribuindo um ou mais papéis a ela. Veja a seguir algumas informações que você precisa saber sobre os papéis:

  • Quando você cria sua própria conta do Apigee Edge, seu papel é definido automaticamente como administrador da organização em sua organização. Ao adicionar usuários à organização, você define os papéis deles no momento em que os adiciona.
  • Quando um administrador da organização adiciona você a uma organização, seus papéis são determinados pelo administrador. O administrador da organização pode alterar os papéis posteriormente, se necessário. Consulte Atribuir papéis a um usuário abaixo.
  • Os usuários podem receber mais de um papel. Se um usuário tiver vários papéis atribuídos, a maior permissão terá precedência. Por exemplo, se um papel não permitir que o usuário crie proxies de API, mas outro papel permitir, ele poderá criar proxies de API. Em geral, não é um caso de uso comum atribuir vários papéis aos usuários. Consulte Atribuir papéis a um usuário abaixo.
  • Por padrão, todos os usuários associados a uma organização podem visualizar detalhes sobre outros usuários dela, como endereço de e-mail, nome e sobrenome.

É importante compreender que os papéis do usuário são específicos para a organização a que foram atribuídos. Um usuário do Apigee Edge pode pertencer a várias organizações, mas os papéis são específicos da organização. Por exemplo, um usuário pode ter o papel de administrador da organização em uma organização e somente o papel do usuário em outra.

Como atribuir papéis a um usuário

É possível adicionar um ou mais papéis a um usuário ao adicionar um novo usuário ou editar um usuário atual. Os detalhes sobre cada papel são explicados em Permissões de papel padrão.

Como atribuir papéis a usuários com a API Edge

É possível usar a API Edge para atribuir uma função aos usuários. No exemplo a seguir, a API Adicionar um usuário a um papel é usada para adicionar o usuário ao papel de Administrador de operações:

curl https://api.enterprise.apigee.com/v1/o/org_name/userroles/opsadmin/users \
    -X POST \
    -H "Content-Type:application/x-www-form-urlencoded" \
    -d 'id=jdoe@example.com'
    -u orgAdminEmail:pword

Em que org_name é o nome da sua organização.

Permissões de papel padrão

O Apigee Edge oferece um conjunto de papéis padrão prontos para uso. Para mais informações, consulte Papéis integrados do Edge.

Se você é um administrador da organização

Os administradores da organização podem ver a lista inteira de permissões para cada tipo de usuário. Basta acessar Administrador "Papéis da organização". Ao clicar em um papel, você é direcionado para uma tabela com esta aparência:

A tabela mostra os níveis de proteção para recursos. Nesse contexto, os recursos se referem a "entidades" com as quais os usuários podem interagir por meio da interface e da API de gerenciamento de borda.

  • A primeira coluna lista os nomes gerais dos recursos com os quais os usuários interagem. Ela também inclui outras coisas, como proxies de API, produtos, implantações etc. Essa coluna reflete os nomes das coisas com você as vê na IU de gerenciamento.
  • A segunda coluna lista os caminhos usados para acessar recursos por meio da API de gerenciamento.
  • A terceira coluna lista as operações que o papel pode executar em cada recurso e caminho. As operações são GET, PUT e DELETE. Na IU, essas mesmas operações são chamadas de "Visualização", "Editar" e "Excluir". A IU e a API usam termos diferentes para essas operações.

Se você não é administrador da organização

Você não tem permissão para adicionar ou alterar os papéis de um usuário ou exibir as propriedades do papel na IU. Consulte Papéis integrados do Edge para informações sobre as permissões concedidas a cada papel.

Operações de papel

Você pode atribuir funções usando as APIs ou a interface de gerenciamento. De qualquer forma, você está trabalhando com permissões CRUD, embora a API e a IU usem uma terminologia um pouco diferente.

As APIs de gerenciamento do Edge permitem as seguintes operações CRUD:

  • GET: permite que um usuário visualize uma lista de recursos protegidos ou veja um recurso RBAC singleton
  • PUT: permite que um usuário crie ou atualize um recurso protegido, abrangendo os métodos HTTP PUT e POST.
  • DELETE: permite que um usuário exclua uma instância de um recurso protegido.

A interface de gerenciamento do Edge se refere às mesmas operações CRUD, mas com termos diferentes:

  • Visualizar: permite que o usuário visualize recursos protegidos. Normalmente, você pode ver os recursos individualmente ou uma lista de recursos por vez.
  • Editar: permite que um usuário atualize um recurso protegido.
  • Criar: permite que um usuário crie um recurso protegido.
  • Excluir: permite que um usuário exclua uma instância de um recurso protegido.

Como criar papéis personalizados

Com os papéis personalizados, é possível aplicar permissões detalhadas a essas entidades do Apigee Edge, como proxies de API, produtos, apps de desenvolvedores, desenvolvedores e relatórios personalizados.

Você pode criar e configurar papéis personalizados por meio da IU ou usando APIs. Consulte Como criar papéis personalizados na IU e Como criar papéis com a API.