Назначение ролей, Назначение ролей

Вы просматриваете документацию по Apigee Edge.
См. документацию по Apigee X.

В этом разделе обсуждается управление доступом на основе ролей для организаций Apigee Edge и объясняется, как создавать роли и назначать им пользователей. Вы должны быть администратором организации, чтобы выполнять описанные здесь задачи.

Видео: Посмотрите короткое видео, чтобы узнать о встроенных и настраиваемых ролях Apigee Edge.

Что такое роли?

Роли — это, по сути, наборы разрешений на основе CRUD. CRUD означает «создавать, читать, обновлять, удалять». Например, пользователю может быть предоставлена ​​роль, которая позволяет ему читать или «получать» сведения о защищенном объекте, но не разрешает обновлять или удалять его. Администратор организации является ролью самого высокого уровня и имеет разрешения на выполнение любых операций с защищенными объектами, в том числе:

  • API-прокси
  • Трассировка сеансов
  • API-продукты
  • Приложения для разработчиков
  • Разработчики
  • Среды (сеансы и развертывания инструмента трассировки)
  • Пользовательские отчеты (аналитика)

Начиная

Вы должны быть администратором организации Apigee Edge, чтобы создавать пользователей и назначать роли. Только администраторы организации могут видеть и использовать элементы меню для управления пользователями и ролями. См. также Управление пользователями организации .

Что нужно знать о ролях пользователей

В Apigee Edge роли пользователей составляют основу доступа на основе ролей, что означает, что вы можете контролировать, к каким функциям человек может получить доступ, назначив ему роль (или роли). Вот несколько вещей, которые вам нужно знать о ролях:

  • Когда вы создаете собственную учетную запись Apigee Edge, ваша роль автоматически устанавливается на администратора организации в вашей организации. Если вы добавляете пользователей в свою организацию, вы устанавливаете роль пользователя (или роли) во время их добавления.
  • Когда администратор организации добавляет вас в организацию, ваша роль (или роли) определяется администратором. Администратор организации может позже изменить ваши роли, если это необходимо. См. Назначение ролей пользователю ниже.
  • Пользователям может быть назначено более одной роли. Если пользователю назначено несколько ролей, большее разрешение имеет приоритет. Например, если одна роль не позволяет пользователю создавать прокси-серверы API, а другая роль разрешает, то пользователь может создавать прокси-серверы API. Как правило, назначение пользователям нескольких ролей не является распространенным вариантом использования. См. Назначение ролей пользователю ниже.
  • По умолчанию все пользователи, связанные с организацией, могут просматривать сведения о других пользователях организации, такие как адрес электронной почты, имя и фамилия.

Важно понимать, что роли пользователей зависят от организации, в которой они были назначены. Пользователь Apigee Edge может принадлежать нескольким организациям, но роли зависят от организации. Например, пользователь может иметь роль администратора организации в одной организации и только роль пользователя в другой.

Назначение ролей пользователю

Вы можете добавить пользователю одну или несколько ролей при добавлении нового пользователя или редактировании существующего пользователя . Подробная информация о каждой роли объясняется в разделе Разрешения роли по умолчанию .

Назначение ролей пользователям с помощью Edge API

Вы можете использовать Edge API для назначения пользователям ролей. В следующем примере API добавления пользователя в роль используется для добавления пользователя в роль администратора операций:

curl https://api.enterprise.apigee.com/v1/o/org_name/userroles/opsadmin/users \
    -X POST \
    -H "Content-Type:application/x-www-form-urlencoded" \
    -d 'id=jdoe@example.com'
    -u orgAdminEmail:pword

Где org_name — название вашей организации.

Разрешения роли по умолчанию

Apigee Edge предоставляет готовый набор ролей по умолчанию. Дополнительные сведения см. в разделе Встроенные роли Edge .

Если вы администратор организации

Администраторы организации могут видеть весь список разрешений для каждого типа пользователей. Просто перейдите в «Администратор» > «Роли организации» . Когда вы нажимаете на роль, вы попадаете в таблицу, которая выглядит следующим образом:

В таблице показаны уровни защиты ресурсов . В этом контексте ресурсы относятся к «сущностям», с которыми пользователи могут взаимодействовать через пользовательский интерфейс и API управления Edge.

  • В первом столбце перечислены общие названия ресурсов , с которыми взаимодействуют пользователи. Он также включает в себя некоторые другие элементы, такие как прокси-серверы API, продукты, развертывания и т. д. В этом столбце отображаются названия элементов, которые вы видите в пользовательском интерфейсе управления.
  • Во втором столбце перечислены пути, используемые для доступа к ресурсам через API управления.
  • В третьем столбце перечислены операции, которые роль может выполнять с каждым ресурсом и путем. Операции GET, PUT и DELETE. В пользовательском интерфейсе эти же операции называются View, Edit и Delete. Просто имейте в виду, что пользовательский интерфейс и API используют разные термины для этих операций.

Если вы не являетесь администратором организации

Вам не разрешено добавлять или изменять роли пользователя или просматривать свойства ролей в пользовательском интерфейсе. См. встроенные роли Edge для получения информации о разрешениях, предоставленных каждой роли.

Ролевые операции

Вы можете назначать роли через API управления или через пользовательский интерфейс управления. В любом случае вы работаете с разрешениями CRUD, хотя API и пользовательский интерфейс используют несколько иную терминологию.

API-интерфейсы управления Edge позволяют выполнять следующие операции CRUD:

  • GET: позволяет пользователю просматривать список защищенных ресурсов или просматривать одиночный ресурс RBAC.
  • PUT: позволяет пользователю создавать или обновлять защищенный ресурс (включая HTTP-методы PUT и POST ).
  • DELETE: Позволяет пользователю удалить экземпляр защищенного ресурса.

Пользовательский интерфейс управления Edge относится к тем же операциям CRUD, но с другой формулировкой:

  • Просмотр: позволяет пользователю просматривать защищенные ресурсы. Как правило, вы можете просматривать ресурсы по одному или список ресурсов.
  • Изменить: позволяет пользователю обновлять защищенный ресурс.
  • Создать: позволяет пользователю создать защищенный ресурс.
  • Удалить: позволяет пользователю удалить экземпляр защищенного ресурса.

Создание пользовательских ролей

Пользовательские роли позволяют применять детализированные разрешения к этим объектам Apigee Edge, таким как прокси-серверы API, продукты, приложения для разработчиков, разработчики и настраиваемые отчеты.

Вы можете создавать и настраивать пользовательские роли либо через пользовательский интерфейс, либо с помощью API. См. Создание пользовательских ролей в пользовательском интерфейсе и Создание ролей с помощью API .

,

Вы просматриваете документацию по Apigee Edge.
См. документацию по Apigee X.

В этом разделе обсуждается управление доступом на основе ролей для организаций Apigee Edge и объясняется, как создавать роли и назначать им пользователей. Вы должны быть администратором организации, чтобы выполнять описанные здесь задачи.

Видео: Посмотрите короткое видео, чтобы узнать о встроенных и настраиваемых ролях Apigee Edge.

Что такое роли?

Роли — это, по сути, наборы разрешений на основе CRUD. CRUD означает «создавать, читать, обновлять, удалять». Например, пользователю может быть предоставлена ​​роль, которая позволяет ему читать или «получать» сведения о защищенном объекте, но не разрешает обновлять или удалять его. Администратор организации является ролью самого высокого уровня и имеет разрешения на выполнение любых операций с защищенными объектами, в том числе:

  • API-прокси
  • Трассировка сеансов
  • API-продукты
  • Приложения для разработчиков
  • Разработчики
  • Среды (сеансы и развертывания инструмента трассировки)
  • Пользовательские отчеты (аналитика)

Начиная

Вы должны быть администратором организации Apigee Edge, чтобы создавать пользователей и назначать роли. Только администраторы организации могут видеть и использовать элементы меню для управления пользователями и ролями. См. также Управление пользователями организации .

Что нужно знать о ролях пользователей

В Apigee Edge роли пользователей составляют основу доступа на основе ролей, что означает, что вы можете контролировать, к каким функциям человек может получить доступ, назначив ему роль (или роли). Вот несколько вещей, которые вам нужно знать о ролях:

  • Когда вы создаете собственную учетную запись Apigee Edge, ваша роль автоматически устанавливается на администратора организации в вашей организации. Если вы добавляете пользователей в свою организацию, вы устанавливаете роль пользователя (или роли) во время их добавления.
  • Когда администратор организации добавляет вас в организацию, ваша роль (или роли) определяется администратором. Администратор организации может позже изменить ваши роли, если это необходимо. См. Назначение ролей пользователю ниже.
  • Пользователям может быть назначено более одной роли. Если пользователю назначено несколько ролей, большее разрешение имеет приоритет. Например, если одна роль не позволяет пользователю создавать прокси-серверы API, а другая роль разрешает, то пользователь может создавать прокси-серверы API. Как правило, назначение пользователям нескольких ролей не является распространенным вариантом использования. См. Назначение ролей пользователю ниже.
  • По умолчанию все пользователи, связанные с организацией, могут просматривать сведения о других пользователях организации, такие как адрес электронной почты, имя и фамилия.

Важно понимать, что роли пользователей зависят от организации, в которой они были назначены. Пользователь Apigee Edge может принадлежать нескольким организациям, но роли зависят от организации. Например, пользователь может иметь роль администратора организации в одной организации и только роль пользователя в другой.

Назначение ролей пользователю

Вы можете добавить пользователю одну или несколько ролей при добавлении нового пользователя или редактировании существующего пользователя . Подробная информация о каждой роли объясняется в разделе Разрешения роли по умолчанию .

Назначение ролей пользователям с помощью Edge API

Вы можете использовать Edge API для назначения пользователям ролей. В следующем примере API добавления пользователя в роль используется для добавления пользователя в роль администратора операций:

curl https://api.enterprise.apigee.com/v1/o/org_name/userroles/opsadmin/users \
    -X POST \
    -H "Content-Type:application/x-www-form-urlencoded" \
    -d 'id=jdoe@example.com'
    -u orgAdminEmail:pword

Где org_name — название вашей организации.

Разрешения роли по умолчанию

Apigee Edge предоставляет готовый набор ролей по умолчанию. Дополнительные сведения см. в разделе Встроенные роли Edge .

Если вы администратор организации

Администраторы организации могут видеть весь список разрешений для каждого типа пользователей. Просто перейдите в «Администратор» > «Роли организации» . Когда вы нажимаете на роль, вы попадаете в таблицу, которая выглядит следующим образом:

В таблице показаны уровни защиты ресурсов . В этом контексте ресурсы относятся к «сущностям», с которыми пользователи могут взаимодействовать через пользовательский интерфейс и API управления Edge.

  • В первом столбце перечислены общие названия ресурсов , с которыми взаимодействуют пользователи. Он также включает в себя некоторые другие элементы, такие как прокси-серверы API, продукты, развертывания и т. д. В этом столбце отображаются названия элементов, которые вы видите в пользовательском интерфейсе управления.
  • Во втором столбце перечислены пути, используемые для доступа к ресурсам через API управления.
  • В третьем столбце перечислены операции, которые роль может выполнять с каждым ресурсом и путем. Операции GET, PUT и DELETE. В пользовательском интерфейсе эти же операции называются View, Edit и Delete. Просто имейте в виду, что пользовательский интерфейс и API используют разные термины для этих операций.

Если вы не являетесь администратором организации

Вам не разрешено добавлять или изменять роли пользователя или просматривать свойства ролей в пользовательском интерфейсе. См. встроенные роли Edge для получения информации о разрешениях, предоставленных каждой роли.

Ролевые операции

Вы можете назначать роли через API управления или через пользовательский интерфейс управления. В любом случае вы работаете с разрешениями CRUD, хотя API и пользовательский интерфейс используют несколько иную терминологию.

API-интерфейсы управления Edge позволяют выполнять следующие операции CRUD:

  • GET: позволяет пользователю просматривать список защищенных ресурсов или просматривать одиночный ресурс RBAC.
  • PUT: позволяет пользователю создавать или обновлять защищенный ресурс (включая HTTP-методы PUT и POST ).
  • DELETE: Позволяет пользователю удалить экземпляр защищенного ресурса.

Пользовательский интерфейс управления Edge относится к тем же операциям CRUD, но с другой формулировкой:

  • Просмотр: позволяет пользователю просматривать защищенные ресурсы. Как правило, вы можете просматривать ресурсы по одному или список ресурсов.
  • Изменить: позволяет пользователю обновлять защищенный ресурс.
  • Создать: позволяет пользователю создать защищенный ресурс.
  • Удалить: позволяет пользователю удалить экземпляр защищенного ресурса.

Создание пользовательских ролей

Пользовательские роли позволяют применять детализированные разрешения к этим объектам Apigee Edge, таким как прокси-серверы API, продукты, приложения для разработчиков, разработчики и настраиваемые отчеты.

Вы можете создавать и настраивать пользовательские роли либо через пользовательский интерфейс, либо с помощью API. См. Создание пользовательских ролей в пользовательском интерфейсе и Создание ролей с помощью API .