การมอบหมายบทบาท

คุณกำลังดูเอกสารประกอบ Apigee Edge
ไปที่ เอกสารประกอบเกี่ยวกับ Apigee X.
ข้อมูล

หัวข้อนี้กล่าวถึงการควบคุมการเข้าถึงตามบทบาทสําหรับองค์กร Apigee Edge และอธิบายวิธีสร้างบทบาทและมอบหมายผู้ใช้ให้กับบทบาท คุณต้องเป็นผู้ดูแลระบบองค์กรจึงจะดำเนินการต่อไปนี้ได้ งานที่อธิบายในที่นี้

วิดีโอ: ดูวิดีโอสั้นๆ เพื่อเรียนรู้เกี่ยวกับบทบาทในตัวและบทบาทที่กำหนดเองของ Apigee Edge

บทบาทคืออะไร

บทบาทคือชุดสิทธิ์ตาม CRUD CRUD หมายถึง "สร้าง อ่าน อัปเดต ลบ" เช่น ผู้ใช้อาจได้รับบทบาทที่อนุญาตให้อ่านหรือ "รับ" รายละเอียดเกี่ยวกับเอนทิตีที่ได้รับการคุ้มครอง แต่ไม่มีสิทธิ์อัปเดตหรือลบ ผู้ดูแลระบบองค์กรคือ บทบาทระดับสูงสุด และมีสิทธิ์ดำเนินการต่างๆ กับเอนทิตีที่มีการป้องกัน ซึ่ง รวมข้อมูลต่อไปนี้

  • พร็อกซี API
  • เซสชันการติดตาม
  • ผลิตภัณฑ์ API
  • แอปของนักพัฒนาแอป
  • นักพัฒนาซอฟต์แวร์
  • สภาพแวดล้อม (เซสชันของเครื่องมือติดตามและการทำให้ใช้งานได้)
  • รายงานที่กําหนดเอง (Analytics)

เริ่มต้นใช้งาน

คุณต้องเป็นผู้ดูแลระบบองค์กรของ Apigee Edge จึงจะสร้างผู้ใช้และมอบหมายบทบาทได้ เฉพาะ ผู้ดูแลระบบองค์กรสามารถดูและใช้รายการในเมนูเพื่อจัดการผู้ใช้และบทบาท โปรดดูหัวข้อการจัดการผู้ใช้องค์กรด้วย

สิ่งที่คุณควรทราบเกี่ยวกับบทบาทของผู้ใช้

ใน Apigee Edge บทบาทของผู้ใช้จะเป็นพื้นฐานของการเข้าถึงตามบทบาท ซึ่งหมายความว่าคุณสามารถควบคุมฟังก์ชันที่ผู้ใช้เข้าถึงได้โดยการกําหนดบทบาท (หรือบทบาท) ให้กับผู้ใช้ สิ่งที่ควรทราบเกี่ยวกับบทบาทมีดังนี้

  • เมื่อสร้างบัญชี Apigee Edge ของคุณเอง ระบบจะตั้งค่าบทบาทของคุณเป็นผู้ดูแลระบบองค์กรในองค์กรโดยอัตโนมัติ หากคุณเพิ่มผู้ใช้ลงใน คุณจะเป็นผู้ตั้งค่าบทบาทผู้ใช้ ณ เวลาที่คุณเพิ่มผู้ใช้
  • เมื่อผู้ดูแลระบบองค์กรเพิ่มคุณในองค์กร ระบบจะกำหนดบทบาทของคุณ โดยผู้ดูแลระบบ ผู้ดูแลระบบองค์กรสามารถเปลี่ยนบทบาทของคุณในภายหลังได้หาก ตามความจำเป็น โปรดดูการมอบหมายบทบาทให้กับผู้ใช้ด้านล่าง
  • ผู้ใช้จะได้รับมอบหมายบทบาทได้มากกว่า 1 บทบาท หากผู้ใช้ได้รับบทบาทหลายบทบาท สิทธิ์ที่มากกว่ามีความสำคัญกว่า ตัวอย่างเช่น หากบทบาทหนึ่งไม่อนุญาตให้ผู้ใช้สร้างพร็อกซี API แต่อีกบทบาทหนึ่งอนุญาต ผู้ใช้ก็จะสร้างพร็อกซี API ได้ โดยทั่วไประบบจะไม่ดำเนินการ กรณีการใช้งานทั่วไปเพื่อมอบหมายบทบาทหลายบทบาทให้กับผู้ใช้ ดูการมอบหมาย ให้กับผู้ใช้ที่ด้านล่าง
  • โดยค่าเริ่มต้น ผู้ใช้ทั้งหมดที่เกี่ยวข้องกับองค์กรสามารถดูรายละเอียดเกี่ยวกับ ผู้ใช้ขององค์กร เช่น อีเมล ชื่อ และนามสกุล

โปรดทราบว่าบทบาทของผู้ใช้จะเฉพาะเจาะจงสำหรับองค์กรที่ได้รับมอบหมาย ผู้ใช้ Apigee Edge สามารถอยู่ในหลายองค์กรได้ แต่บทบาทต่างๆ ได้แก่ เฉพาะองค์กร เช่น ผู้ใช้อาจมีบทบาทผู้ดูแลระบบองค์กรในองค์กรหนึ่งและบทบาทผู้ใช้เท่านั้นในอีกองค์กรหนึ่ง

การมอบหมาย บทบาทให้กับผู้ใช้

คุณสามารถเพิ่มบทบาทอย่างน้อย 1 บทบาทให้กับผู้ใช้เมื่อคุณเพิ่มผู้ใช้ใหม่หรือแก้ไขบทบาทเดิมที่มีอยู่ ผู้ใช้ รายละเอียดเกี่ยวกับแต่ละบทบาทจะอธิบายไว้ในสิทธิ์ของบทบาทเริ่มต้น

การมอบหมายบทบาทให้กับผู้ใช้ที่มี Edge API

คุณสามารถใช้ Edge API เพื่อมอบหมายบทบาทให้กับผู้ใช้ได้ ตัวอย่างต่อไปนี้ใช้ API เพิ่มผู้ใช้ในบทบาทเพื่อเพิ่มผู้ใช้ในบทบาทผู้ดูแลระบบการดําเนินการ

curl https://api.enterprise.apigee.com/v1/o/org_name/userroles/opsadmin/users \
    -X POST \
    -H "Content-Type:application/x-www-form-urlencoded" \
    -d 'id=jdoe@example.com'
    -u orgAdminEmail:pword

โดยที่ org_name คือชื่อองค์กรของคุณ

สิทธิ์ตามค่าเริ่มต้นของบทบาท

Apigee Edge มีชุดบทบาทเริ่มต้นที่พร้อมใช้งานทันที สำหรับข้อมูลเพิ่มเติม โปรดดู บทบาทในหน้า Edge

หากคุณเป็นผู้ดูแลระบบองค์กร

ผู้ดูแลระบบขององค์กรจะเห็นรายการสิทธิ์ทั้งหมดสำหรับผู้ใช้แต่ละประเภท เพียงไปที่ผู้ดูแลระบบ > บทบาทขององค์กร เมื่อคุณคลิกบทบาท ระบบจะนำคุณไปที่ตาราง ซึ่งมีลักษณะดังนี้

ตารางจะแสดงระดับการป้องกันสำหรับทรัพยากร ในบริบทนี้ ทรัพยากรหมายถึง "เอนทิตี" ที่ผู้ใช้โต้ตอบผ่าน UI การจัดการ Edge ได้และ API

  • คอลัมน์แรกจะแสดงชื่อทั่วไปของทรัพยากรที่ผู้ใช้โต้ตอบ ด้วย และยังรวมถึงสิ่งอื่นๆ เช่น พร็อกซี API, ผลิตภัณฑ์, การทำให้ใช้งานได้ ฯลฯ จะแสดงชื่อของสิ่งต่างๆ ตามที่คุณเห็นใน UI การจัดการ
  • คอลัมน์ที่ 2 จะแสดงเส้นทางที่ใช้ในการเข้าถึงทรัพยากรผ่านคอลัมน์ API การจัดการ
  • คอลัมน์ที่ 3 จะแสดงการดำเนินการที่บทบาทสามารถทำได้ในแต่ละรายการ ของทรัพยากรและเส้นทาง การดำเนินการได้แก่ GET, PUT และ DELETE ใน UI การดำเนินการเดียวกันเหล่านี้จะเรียกว่า "ดู" "แก้ไข" และ "ลบ" โปรดทราบว่า UI และ API ใช้คำที่แตกต่างกันสำหรับการดำเนินการเหล่านี้

หากคุณไม่ใช่ผู้ดูแลระบบองค์กร

คุณไม่ได้รับอนุญาตให้เพิ่มหรือเปลี่ยนบทบาทของผู้ใช้หรือดูพร็อพเพอร์ตี้ของบทบาทใน UI ดูข้อมูลเกี่ยวกับสิทธิ์ที่มอบให้แต่ละบทบาทได้ที่บทบาทในตัวของ Edge

การดำเนินการกับบทบาท

คุณมอบหมายบทบาทผ่านทาง API การจัดการหรือผ่าน UI การจัดการได้ ไม่ว่าจะเลือกทางใด การทำงานกับสิทธิ์ CRUD แม้ว่า API และ UI จะใช้คำศัพท์ที่แตกต่างกันเล็กน้อย

API การจัดการของ Edge อนุญาตให้ดำเนินการ CRUD ต่อไปนี้

  • GET: อนุญาตให้ผู้ใช้ดูรายการทรัพยากรที่มีการป้องกันหรือดู ทรัพยากร RBAC แบบ Singleton
  • PUT: อนุญาตให้ผู้ใช้สร้างหรืออัปเดตทรัพยากรที่มีการป้องกัน (ครอบคลุมทั้งเมธอด HTTP PUT และ POST)
  • DELETE: อนุญาตให้ผู้ใช้ลบอินสแตนซ์ของการป้องกัน ของ Google

UI การจัดการของ Edge หมายถึงการดำเนินการ CRUD เดียวกัน แต่ใช้คำพูดที่ต่างกัน ดังนี้

  • ดู: อนุญาตให้ผู้ใช้ดูทรัพยากรที่มีการป้องกัน โดยปกติแล้ว คุณจะดูทรัพยากรทีละรายการหรือดูรายการทรัพยากรได้
  • แก้ไข: อนุญาตให้ผู้ใช้อัปเดตทรัพยากรที่ได้รับการปกป้อง
  • สร้าง: อนุญาตให้ผู้ใช้สร้างทรัพยากรที่ได้รับการปกป้อง
  • ลบ: อนุญาตให้ผู้ใช้ลบอินสแตนซ์ของการป้องกัน ของ Google

การสร้างบทบาทที่กำหนดเอง

บทบาทที่กำหนดเองช่วยให้คุณใช้สิทธิ์แบบละเอียดกับเอนทิตี Apigee Edge เหล่านี้ได้ เช่น API Proxies, ผลิตภัณฑ์, แอปของนักพัฒนาแอป, นักพัฒนาแอป และรายงานที่กำหนดเอง

คุณจะสร้างและกำหนดค่าบทบาทที่กำหนดเองผ่าน UI หรือ API ก็ได้ โปรดดูการสร้างบทบาทที่กำหนดเองใน UI และการสร้างบทบาท ด้วย API