Эта страница переведена с помощью Cloud Translation API.

Назначение ролей

Вы просматриваете документацию Apigee Edge .
Перейдите к документации Apigee X. информация

В этом разделе обсуждается управление доступом на основе ролей для организаций Apigee Edge и объясняется, как создавать роли и назначать им пользователей. Для выполнения описанных здесь задач вы должны быть администратором организации.

Видео: посмотрите короткое видео, чтобы узнать о встроенных и настраиваемых ролях Apigee Edge.

Что такое роли?

Роли по сути представляют собой наборы разрешений на основе CRUD. CRUD означает «создать, прочитать, обновить, удалить». Например, пользователю может быть предоставлена роль, которая позволяет ему читать или «получать» сведения о защищенном объекте, но не разрешает его обновлять или удалять. Администратор организации является ролью самого высокого уровня и имеет разрешения на выполнение любых операций с защищенными объектами, в том числе:

API-прокси
Трассировка сеансов
API-продукты
Приложения для разработчиков
Разработчики
Среды (сеансы и развертывания инструментов трассировки)
Пользовательские отчеты (Аналитика)

Начиная

Вы должны быть администратором организации Apigee Edge, чтобы создавать пользователей и назначать роли. Только администраторы организации могут видеть и использовать пункты меню для управления пользователями и ролями. См. также Управление пользователями организации .

Что нужно знать о ролях пользователей

В Apigee Edge роли пользователей составляют основу доступа на основе ролей. Это означает, что вы можете контролировать, к каким функциям может получить доступ человек, назначая ему роль (или роли). Вот несколько вещей, которые вам нужно знать о ролях:

Когда вы создаете собственную учетную запись Apigee Edge, ваша роль автоматически устанавливается администратором вашей организации. Если вы добавляете пользователей в свою организацию, вы устанавливаете роль пользователя (или роли) во время их добавления.
Когда администратор организации добавляет вас в организацию, ваша роль (или роли) определяется администратором. При необходимости администратор организации позже может изменить ваши роли. См. раздел Назначение ролей пользователю ниже.
Пользователям можно назначить более одной роли. Если пользователю назначено несколько ролей, большее разрешение имеет приоритет. Например, если одна роль не позволяет пользователю создавать прокси-серверы API, а другая роль позволяет, то пользователь может создавать прокси-серверы API. В общем, назначение пользователям нескольких ролей не является распространенным случаем. См. раздел Назначение ролей пользователю ниже.
По умолчанию все пользователи, связанные с организацией, могут просматривать сведения о других пользователях организации, такие как адрес электронной почты, имя и фамилия.

Важно понимать, что роли пользователей зависят от организации, в которой они были назначены. Пользователь Apigee Edge может принадлежать к нескольким организациям, но роли зависят от организации. Например, пользователь может иметь роль администратора организации в одной организации и только роль пользователя в другой.

Назначение ролей пользователю

Вы можете добавить пользователю одну или несколько ролей при добавлении нового пользователя или редактировании существующего пользователя . Подробности о каждой роли описаны в разделе Разрешения роли по умолчанию .

Назначение ролей пользователям с помощью Edge API

Вы можете использовать Edge API для назначения пользователям ролей. В следующем примере используется API добавления пользователя в роль для добавления пользователя к роли администратора операций:

curl https://api.enterprise.apigee.com/v1/o/org_name/userroles/opsadmin/users \
    -X POST \
    -H "Content-Type:application/x-www-form-urlencoded" \
    -d 'id=jdoe@example.com'
    -u orgAdminEmail:pword

Где org_name — название вашей организации.

Разрешения роли по умолчанию

Apigee Edge предоставляет готовый набор ролей по умолчанию. Дополнительные сведения см. в разделе Встроенные роли Edge .

Если вы администратор организации

Администраторы организации могут видеть весь список разрешений для каждого типа пользователей. Просто зайдите в «Администратор» > «Роли организации» . Когда вы нажимаете на роль, вы попадаете в таблицу, которая выглядит следующим образом:

В таблице показаны уровни защиты ресурсов . В этом контексте ресурсы относятся к «сущностям», с которыми пользователи могут взаимодействовать через пользовательский интерфейс и API управления Edge.

В первом столбце перечислены общие названия ресурсов , с которыми взаимодействуют пользователи. Он также включает в себя некоторые другие вещи, такие как прокси-серверы API, продукты, развертывания и т. д. В этом столбце отражаются названия вещей, как вы видите их в пользовательском интерфейсе управления.
Во втором столбце перечислены пути, используемые для доступа к ресурсам через API управления.
В третьем столбце перечислены операции, которые роль может выполнять с каждым ресурсом и путем. Операции GET, PUT и DELETE. В пользовательском интерфейсе эти же операции называются просмотром, редактированием и удалением. Просто имейте в виду, что пользовательский интерфейс и API используют разные термины для этих операций.

Если вы не администратор организации

Вам не разрешено добавлять или изменять роли пользователей или просматривать свойства роли в пользовательском интерфейсе. См. встроенные роли Edge для получения информации о разрешениях, предоставленных каждой роли.

Ролевые операции

Вы можете назначать роли через API управления или через пользовательский интерфейс управления. В любом случае вы работаете с разрешениями CRUD, хотя API и пользовательский интерфейс используют несколько разную терминологию.

API-интерфейсы управления Edge позволяют выполнять следующие операции CRUD:

GET: позволяет пользователю просматривать список защищенных ресурсов или просматривать одноэлементный ресурс RBAC.
PUT: позволяет пользователю создавать или обновлять защищенный ресурс (включая HTTP-методы PUT и POST ).
DELETE: позволяет пользователю удалить экземпляр защищенного ресурса.
Примечание. Вы можете удалить только определенный экземпляр ресурса. Вы не можете, например, удалить все прокси API, а только один.

Пользовательский интерфейс управления Edge относится к тем же операциям CRUD, но в другой формулировке:

Просмотр: позволяет пользователю просматривать защищенные ресурсы. Обычно вы можете просматривать ресурсы по одному или просматривать список ресурсов.
Изменить: позволяет пользователю обновлять защищенный ресурс.
Создать: позволяет пользователю создавать защищенный ресурс.
Удалить: позволяет пользователю удалить экземпляр защищенного ресурса.
Примечание. Вы можете удалить только определенный экземпляр ресурса. Вы не можете, например, удалить ВСЕ API-прокси, только один конкретный.

Создание пользовательских ролей

Пользовательские роли позволяют применять детальные разрешения к таким объектам Apigee Edge, как прокси-серверы API, продукты, приложения для разработчиков, разработчики и пользовательские отчеты.

Вы можете создавать и настраивать собственные роли либо через пользовательский интерфейс, либо с помощью API. См. Создание пользовательских ролей в пользовательском интерфейсе и Создание ролей с помощью API .