คุณกำลังดูเอกสารประกอบ Apigee Edge
ไปที่
เอกสารประกอบเกี่ยวกับ Apigee X. ข้อมูล
หัวข้อนี้กล่าวถึงการควบคุมการเข้าถึงตามบทบาทสําหรับองค์กร Apigee Edge และอธิบายวิธีสร้างบทบาทและมอบหมายผู้ใช้ให้กับบทบาท คุณต้องเป็นผู้ดูแลระบบองค์กรจึงจะดำเนินการต่อไปนี้ได้ งานที่อธิบายในที่นี้
วิดีโอ: ดูวิดีโอสั้นๆ เพื่อเรียนรู้เกี่ยวกับบทบาทในตัวและบทบาทที่กำหนดเองของ Apigee Edge
บทบาทคืออะไร
บทบาทคือชุดสิทธิ์ตาม CRUD CRUD หมายถึง "สร้าง อ่าน อัปเดต ลบ" เช่น ผู้ใช้อาจได้รับบทบาทที่อนุญาตให้อ่านหรือ "รับ" รายละเอียดเกี่ยวกับเอนทิตีที่ได้รับการคุ้มครอง แต่ไม่มีสิทธิ์อัปเดตหรือลบ ผู้ดูแลระบบองค์กรคือ บทบาทระดับสูงสุด และมีสิทธิ์ดำเนินการต่างๆ กับเอนทิตีที่มีการป้องกัน ซึ่ง รวมข้อมูลต่อไปนี้
- พร็อกซี API
- เซสชันการติดตาม
- ผลิตภัณฑ์ API
- แอปของนักพัฒนาแอป
- นักพัฒนาซอฟต์แวร์
- สภาพแวดล้อม (เซสชันของเครื่องมือติดตามและการทำให้ใช้งานได้)
- รายงานที่กําหนดเอง (Analytics)
เริ่มต้นใช้งาน
คุณต้องเป็นผู้ดูแลระบบองค์กรของ Apigee Edge จึงจะสร้างผู้ใช้และมอบหมายบทบาทได้ เฉพาะ ผู้ดูแลระบบองค์กรสามารถดูและใช้รายการในเมนูเพื่อจัดการผู้ใช้และบทบาท โปรดดูหัวข้อการจัดการผู้ใช้องค์กรด้วย
สิ่งที่คุณควรทราบเกี่ยวกับบทบาทของผู้ใช้
ใน Apigee Edge บทบาทของผู้ใช้จะเป็นพื้นฐานของการเข้าถึงตามบทบาท ซึ่งหมายความว่าคุณสามารถควบคุมฟังก์ชันที่ผู้ใช้เข้าถึงได้โดยการกําหนดบทบาท (หรือบทบาท) ให้กับผู้ใช้ สิ่งที่ควรทราบเกี่ยวกับบทบาทมีดังนี้
- เมื่อสร้างบัญชี Apigee Edge ของคุณเอง ระบบจะตั้งค่าบทบาทของคุณเป็นผู้ดูแลระบบองค์กรในองค์กรโดยอัตโนมัติ หากคุณเพิ่มผู้ใช้ลงใน คุณจะเป็นผู้ตั้งค่าบทบาทผู้ใช้ ณ เวลาที่คุณเพิ่มผู้ใช้
- เมื่อผู้ดูแลระบบองค์กรเพิ่มคุณในองค์กร ระบบจะกำหนดบทบาทของคุณ โดยผู้ดูแลระบบ ผู้ดูแลระบบองค์กรสามารถเปลี่ยนบทบาทของคุณในภายหลังได้หาก ตามความจำเป็น โปรดดูการมอบหมายบทบาทให้กับผู้ใช้ด้านล่าง
- ผู้ใช้จะได้รับมอบหมายบทบาทได้มากกว่า 1 บทบาท หากผู้ใช้ได้รับบทบาทหลายบทบาท สิทธิ์ที่มากกว่ามีความสำคัญกว่า ตัวอย่างเช่น หากบทบาทหนึ่งไม่อนุญาตให้ผู้ใช้สร้างพร็อกซี API แต่อีกบทบาทหนึ่งอนุญาต ผู้ใช้ก็จะสร้างพร็อกซี API ได้ โดยทั่วไประบบจะไม่ดำเนินการ กรณีการใช้งานทั่วไปเพื่อมอบหมายบทบาทหลายบทบาทให้กับผู้ใช้ ดูการมอบหมาย ให้กับผู้ใช้ที่ด้านล่าง
- โดยค่าเริ่มต้น ผู้ใช้ทั้งหมดที่เกี่ยวข้องกับองค์กรสามารถดูรายละเอียดเกี่ยวกับ ผู้ใช้ขององค์กร เช่น อีเมล ชื่อ และนามสกุล
โปรดทราบว่าบทบาทของผู้ใช้จะเฉพาะเจาะจงสำหรับองค์กรที่ได้รับมอบหมาย ผู้ใช้ Apigee Edge สามารถอยู่ในหลายองค์กรได้ แต่บทบาทต่างๆ ได้แก่ เฉพาะองค์กร เช่น ผู้ใช้อาจมีบทบาทผู้ดูแลระบบองค์กรในองค์กรหนึ่งและบทบาทผู้ใช้เท่านั้นในอีกองค์กรหนึ่ง
การมอบหมาย บทบาทให้กับผู้ใช้
คุณสามารถเพิ่มบทบาทอย่างน้อย 1 บทบาทให้กับผู้ใช้เมื่อคุณเพิ่มผู้ใช้ใหม่หรือแก้ไขบทบาทเดิมที่มีอยู่ ผู้ใช้ รายละเอียดเกี่ยวกับแต่ละบทบาทจะอธิบายไว้ในสิทธิ์ของบทบาทเริ่มต้น
การมอบหมายบทบาทให้กับผู้ใช้ที่มี Edge API
คุณสามารถใช้ Edge API เพื่อมอบหมายบทบาทให้กับผู้ใช้ได้ ตัวอย่างต่อไปนี้ใช้ API เพิ่มผู้ใช้ในบทบาทเพื่อเพิ่มผู้ใช้ในบทบาทผู้ดูแลระบบการดําเนินการ
curl https://api.enterprise.apigee.com/v1/o/org_name/userroles/opsadmin/users \ -X POST \ -H "Content-Type:application/x-www-form-urlencoded" \ -d 'id=jdoe@example.com' -u orgAdminEmail:pword
โดยที่ org_name คือชื่อองค์กรของคุณ
สิทธิ์ตามค่าเริ่มต้นของบทบาท
Apigee Edge มีชุดบทบาทเริ่มต้นที่พร้อมใช้งานทันที สำหรับข้อมูลเพิ่มเติม โปรดดู บทบาทในหน้า Edge
หากคุณเป็นผู้ดูแลระบบองค์กร
ผู้ดูแลระบบขององค์กรจะเห็นรายการสิทธิ์ทั้งหมดสำหรับผู้ใช้แต่ละประเภท เพียงไปที่ผู้ดูแลระบบ > บทบาทขององค์กร เมื่อคุณคลิกบทบาท ระบบจะนำคุณไปที่ตาราง ซึ่งมีลักษณะดังนี้
ตารางจะแสดงระดับการป้องกันสำหรับทรัพยากร ในบริบทนี้ ทรัพยากรหมายถึง "เอนทิตี" ที่ผู้ใช้โต้ตอบผ่าน UI การจัดการ Edge ได้และ API
- คอลัมน์แรกจะแสดงชื่อทั่วไปของทรัพยากรที่ผู้ใช้โต้ตอบ ด้วย และยังรวมถึงสิ่งอื่นๆ เช่น พร็อกซี API, ผลิตภัณฑ์, การทำให้ใช้งานได้ ฯลฯ จะแสดงชื่อของสิ่งต่างๆ ตามที่คุณเห็นใน UI การจัดการ
- คอลัมน์ที่ 2 จะแสดงเส้นทางที่ใช้ในการเข้าถึงทรัพยากรผ่านคอลัมน์ API การจัดการ
- คอลัมน์ที่ 3 จะแสดงการดำเนินการที่บทบาทสามารถทำได้ในแต่ละรายการ ของทรัพยากรและเส้นทาง การดำเนินการได้แก่ GET, PUT และ DELETE ใน UI การดำเนินการเดียวกันเหล่านี้จะเรียกว่า "ดู" "แก้ไข" และ "ลบ" โปรดทราบว่า UI และ API ใช้คำที่แตกต่างกันสำหรับการดำเนินการเหล่านี้
หากคุณไม่ใช่ผู้ดูแลระบบองค์กร
คุณไม่ได้รับอนุญาตให้เพิ่มหรือเปลี่ยนบทบาทของผู้ใช้หรือดูพร็อพเพอร์ตี้ของบทบาทใน UI ดูข้อมูลเกี่ยวกับสิทธิ์ที่มอบให้แต่ละบทบาทได้ที่บทบาทในตัวของ Edge
การดำเนินการกับบทบาท
คุณมอบหมายบทบาทผ่านทาง API การจัดการหรือผ่าน UI การจัดการได้ ไม่ว่าจะเลือกทางใด การทำงานกับสิทธิ์ CRUD แม้ว่า API และ UI จะใช้คำศัพท์ที่แตกต่างกันเล็กน้อย
API การจัดการของ Edge อนุญาตให้ดำเนินการ CRUD ต่อไปนี้
GET:
อนุญาตให้ผู้ใช้ดูรายการทรัพยากรที่มีการป้องกันหรือดู ทรัพยากร RBAC แบบ SingletonPUT:
อนุญาตให้ผู้ใช้สร้างหรืออัปเดตทรัพยากรที่มีการป้องกัน (ครอบคลุมทั้งเมธอด HTTPPUT
และPOST
)DELETE:
อนุญาตให้ผู้ใช้ลบอินสแตนซ์ของการป้องกัน ของ Google
UI การจัดการของ Edge หมายถึงการดำเนินการ CRUD เดียวกัน แต่ใช้คำพูดที่ต่างกัน ดังนี้
- ดู: อนุญาตให้ผู้ใช้ดูทรัพยากรที่มีการป้องกัน โดยปกติแล้ว คุณจะดูทรัพยากรทีละรายการหรือดูรายการทรัพยากรได้
- แก้ไข: อนุญาตให้ผู้ใช้อัปเดตทรัพยากรที่ได้รับการปกป้อง
- สร้าง: อนุญาตให้ผู้ใช้สร้างทรัพยากรที่ได้รับการปกป้อง
- ลบ: อนุญาตให้ผู้ใช้ลบอินสแตนซ์ของการป้องกัน ของ Google
การสร้างบทบาทที่กำหนดเอง
บทบาทที่กำหนดเองช่วยให้คุณใช้สิทธิ์แบบละเอียดกับเอนทิตี Apigee Edge เหล่านี้ได้ เช่น API Proxies, ผลิตภัณฑ์, แอปของนักพัฒนาแอป, นักพัฒนาแอป และรายงานที่กำหนดเอง
คุณจะสร้างและกำหนดค่าบทบาทที่กำหนดเองผ่าน UI หรือ API ก็ได้ โปรดดูการสร้างบทบาทที่กำหนดเองใน UI และการสร้างบทบาท ด้วย API