หน้านี้ได้รับการแปลโดย Cloud Translation API

การมอบหมายบทบาท

คุณกำลังดูเอกสารประกอบของ Apigee Edge
ไปที่เอกสารประกอบของ Apigee X ข้อมูล

หัวข้อนี้จะกล่าวถึงการควบคุมการเข้าถึงตามบทบาทสำหรับองค์กร Apigee Edge และอธิบายวิธีสร้างบทบาทและมอบหมายผู้ใช้ คุณต้องเป็นผู้ดูแลระบบองค์กรจึงจะดำเนินงานที่อธิบายที่นี่ได้

วิดีโอ: ดูวิดีโอสั้นๆ เพื่อเรียนรู้เกี่ยวกับบทบาทที่มีในตัวและบทบาทที่กำหนดเองของ Apigee Edge

บทบาทคืออะไร

บทบาทโดยพื้นฐานแล้วก็คือชุดสิทธิ์ที่ใช้ CRUD CRUD หมายถึง "สร้าง อ่าน อัปเดต ลบ" เช่น ผู้ใช้อาจได้รับบทบาทที่อนุญาตให้อ่านหรือ "รับ" รายละเอียดเกี่ยวกับเอนทิตีที่ได้รับการคุ้มครองได้ แต่ไม่มีสิทธิ์อัปเดตหรือลบเอนทิตีดังกล่าว ผู้ดูแลระบบองค์กรเป็นบทบาทระดับสูงสุดและมีสิทธิ์ดำเนินการต่างๆ ในเอนทิตีที่มีการป้องกัน ซึ่งรวมถึง

พร็อกซี API
เซสชันการติดตาม
ผลิตภัณฑ์ API
แอปของนักพัฒนาซอฟต์แวร์
นักพัฒนาซอฟต์แวร์
สภาพแวดล้อม (เซสชันและการทำให้ใช้งานได้ของเครื่องมือติดตาม)
รายงานที่กำหนดเอง (Analytics)

เริ่มต้นใช้งาน

คุณต้องเป็นผู้ดูแลระบบองค์กร Apigee Edge จึงจะสร้างผู้ใช้และมอบหมายบทบาทได้ มีเพียงผู้ดูแลระบบองค์กรเท่านั้นที่จะดูและใช้รายการในเมนูสำหรับจัดการผู้ใช้และบทบาทได้ โปรดดูการจัดการผู้ใช้ในองค์กรเพิ่มเติม

สิ่งที่คุณต้องทราบเกี่ยวกับบทบาทของผู้ใช้

ใน Apigee Edge บทบาทของผู้ใช้ถือเป็นพื้นฐานของการเข้าถึงตามบทบาท ซึ่งหมายความว่าคุณจะควบคุมได้ว่าผู้ใช้จะมีสิทธิ์เข้าถึงฟังก์ชันใดได้บ้างโดยการมอบหมายบทบาท สิ่งที่คุณควรทราบเกี่ยวกับบทบาทมีดังนี้

เมื่อสร้างบัญชี Apigee Edge ของคุณเอง ระบบจะมอบหมายบทบาทเป็นผู้ดูแลระบบขององค์กรในองค์กรโดยอัตโนมัติ หากเพิ่มผู้ใช้ในองค์กร คุณจะกำหนดบทบาทของผู้ใช้ (หรือบทบาท) ในขณะที่เพิ่ม
เมื่อผู้ดูแลระบบองค์กรเพิ่มคุณไปยังองค์กร ผู้ดูแลระบบจะเป็นผู้กำหนดบทบาทของคุณ ผู้ดูแลระบบองค์กรจะเปลี่ยนบทบาทของคุณได้ในภายหลังหากจำเป็น โปรดดูหัวข้อการมอบหมายบทบาทให้กับผู้ใช้ด้านล่าง
ผู้ใช้จะมอบหมายบทบาทได้มากกว่า 1 บทบาท หากผู้ใช้มีการมอบหมายบทบาทหลายบทบาท สิทธิ์ที่มีมากกว่าจะมีความสำคัญเหนือกว่า เช่น หากบทบาทหนึ่งไม่อนุญาตให้ผู้ใช้สร้างพร็อกซี API แต่อีกบทบาทหนึ่งอนุญาต ผู้ใช้จะสร้างพร็อกซี API ได้ การมอบหมายบทบาทหลายบทบาทไม่ใช่กรณีการใช้งานทั่วไป โปรดดูการมอบหมายบทบาทให้กับผู้ใช้ด้านล่าง
โดยค่าเริ่มต้น ผู้ใช้ทุกคนที่เชื่อมโยงกับองค์กรจะดูรายละเอียดเกี่ยวกับผู้ใช้องค์กรรายอื่นได้ เช่น อีเมล ชื่อ และนามสกุล

คุณควรทำความเข้าใจว่าบทบาทของผู้ใช้จะเฉพาะเจาะจงสำหรับองค์กรที่ได้รับการมอบหมายบทบาทนั้นๆ เท่านั้น ผู้ใช้ Apigee Edge อาจอยู่ในหลายองค์กร แต่บทบาทจะเป็นเฉพาะองค์กร เช่น ผู้ใช้อาจมีบทบาทผู้ดูแลระบบองค์กรในองค์กรหนึ่ง และอีกบทบาทหนึ่งเท่านั้นได้

การกำหนดบทบาทให้กับผู้ใช้

คุณสามารถเพิ่มบทบาทหนึ่งหรือหลายบทบาทให้กับผู้ใช้เมื่อคุณเพิ่มผู้ใช้ใหม่หรือแก้ไขผู้ใช้ที่มีอยู่ รายละเอียดเกี่ยวกับแต่ละบทบาทมีอธิบายอยู่ในสิทธิ์ของบทบาทเริ่มต้น

การกำหนดบทบาทให้กับผู้ใช้ด้วย Edge API

คุณใช้ Edge API เพื่อมอบหมายบทบาทให้กับผู้ใช้ได้ ตัวอย่างต่อไปนี้ใช้ API เพิ่มผู้ใช้ไปยังบทบาท เพื่อเพิ่มผู้ใช้ลงในบทบาทผู้ดูแลระบบการดำเนินการ

curl https://api.enterprise.apigee.com/v1/o/org_name/userroles/opsadmin/users \
    -X POST \
    -H "Content-Type:application/x-www-form-urlencoded" \
    -d 'id=jdoe@example.com'
    -u orgAdminEmail:pword

โดย org_name คือชื่อองค์กรของคุณ

สิทธิ์เริ่มต้นของบทบาท

Apigee Edge มีชุดบทบาทเริ่มต้นที่พร้อมใช้งานทันที ดูข้อมูลเพิ่มเติมได้ที่บทบาทภายในของ Edge

หากคุณเป็นผู้ดูแลระบบองค์กร

ผู้ดูแลระบบองค์กรจะดูรายการสิทธิ์ทั้งหมดสำหรับผู้ใช้แต่ละประเภทได้ เพียงไปที่ ผู้ดูแลระบบ > บทบาทองค์กร เมื่อคุณคลิกบทบาท ระบบจะนําคุณไปยังตารางที่มีลักษณะดังนี้

ตารางจะแสดงระดับการปกป้องทรัพยากร ในบริบทนี้ ทรัพยากรหมายถึง "เอนทิตี" ที่ผู้ใช้โต้ตอบด้วยผ่าน UI การจัดการ Edge และ API ได้

คอลัมน์แรกจะแสดงชื่อทั่วไปของทรัพยากรที่ผู้ใช้โต้ตอบด้วย นอกจากนี้ยังมีข้อมูลอื่นๆ เช่น พร็อกซี API, ผลิตภัณฑ์, การทำให้ใช้งานได้ เป็นต้น คอลัมน์นี้แสดงชื่อของสิ่งต่างๆ ตามที่คุณเห็นใน UI การจัดการ
คอลัมน์ที่ 2 แสดงเส้นทางที่ใช้เข้าถึงทรัพยากรผ่าน Management API
คอลัมน์ที่ 3 แสดงการดำเนินการที่บทบาทสามารถทำได้ในทรัพยากรและเส้นทางแต่ละรายการ ซึ่งการดำเนินการคือ GET, PUT และ DELETE ใน UI การดำเนินการเดียวกันนี้จะเรียกว่าดู แก้ไข และลบ โปรดทราบว่า UI และ API ใช้คำศัพท์ที่แตกต่างกันสำหรับการดำเนินการเหล่านี้

หากคุณไม่ใช่ผู้ดูแลระบบองค์กร

คุณไม่ได้รับอนุญาตให้เพิ่มหรือเปลี่ยนบทบาทของผู้ใช้ หรือดูคุณสมบัติของบทบาทใน UI โปรดดูข้อมูลเกี่ยวกับสิทธิ์ที่แต่ละบทบาทได้รับที่บทบาท Edge ที่มีในตัว

การดำเนินการบทบาท

คุณสามารถมอบหมายบทบาทผ่าน API การจัดการหรือผ่าน UI การจัดการได้ ไม่ว่าคุณจะดำเนินการด้วยวิธีใด คุณก็ใช้สิทธิ์ CRUD อยู่ แม้ว่า API และ UI จะใช้คำศัพท์ที่แตกต่างกันเล็กน้อย

API การจัดการ Edge อนุญาตการดำเนินการ CRUD ต่อไปนี้

GET: อนุญาตให้ผู้ใช้ดูรายการทรัพยากรที่มีการป้องกันหรือดูทรัพยากร RBAC เดี่ยว
PUT: ให้ผู้ใช้สร้างหรืออัปเดตทรัพยากรที่มีการป้องกัน (ครอบคลุมทั้งเมธอด HTTP แบบ PUT และ POST)
DELETE: ให้ผู้ใช้ลบอินสแตนซ์ของทรัพยากรที่มีการป้องกัน
หมายเหตุ: คุณจะลบอินสแตนซ์ที่เฉพาะเจาะจงของทรัพยากรได้เท่านั้น ตัวอย่างเช่น คุณจะลบพร็อกซี API ทั้งหมดไม่ได้ แต่จะลบพร็อกซี API เพียงรายการเดียวเท่านั้น

UI การจัดการ Edge อ้างอิงถึงการดำเนินการ CRUD เดียวกัน แต่ใช้ถ้อยคำที่แตกต่างกัน

ดู: อนุญาตให้ผู้ใช้ดูทรัพยากรที่มีการป้องกัน โดยปกติแล้ว คุณจะดูทรัพยากรได้ทีละรายการ หรือดูรายการทรัพยากรทั้งหมด
แก้ไข: อนุญาตให้ผู้ใช้อัปเดตทรัพยากรที่มีการป้องกัน
สร้าง: อนุญาตให้ผู้ใช้สร้างทรัพยากรที่มีการป้องกัน
ลบ: อนุญาตให้ผู้ใช้ลบอินสแตนซ์ของทรัพยากรที่มีการป้องกัน
หมายเหตุ: คุณจะลบอินสแตนซ์ที่เฉพาะเจาะจงของทรัพยากรได้เท่านั้น ตัวอย่างเช่น คุณจะลบพร็อกซี API ทั้งหมดไม่ได้ แต่ลบพร็อกซีเพียงตัวเดียวเท่านั้น

การสร้างบทบาทที่กำหนดเอง

บทบาทที่กำหนดเองช่วยให้คุณใช้สิทธิ์แบบละเอียดกับเอนทิตี Apigee Edge เหล่านี้ได้ เช่น พร็อกซี API, ผลิตภัณฑ์, แอปสำหรับนักพัฒนาซอฟต์แวร์, นักพัฒนาซอฟต์แวร์ และรายงานที่กำหนดเอง

คุณสร้างและกำหนดค่าบทบาทที่กำหนดเองได้ผ่าน UI หรือใช้ API ก็ได้ ดูการสร้างบทบาทที่กำหนดเองใน UI และการสร้างบทบาทด้วย API