IBM Cloud Docs
Gestión de usuarios

Gestión de usuarios

Cree organizaciones proveedoras para gestionar API Connect, y asígnelas a IBM Cloud grupos de acceso IAM para especificar permisos de usuario a los Catálogos y Espacios contenidos en cada organización proveedora.

En API Connect Reservado, los usuarios se agrupan en organizaciones proveedoras. Cada organización proveedora es propietaria de un conjunto de activos que incluyen API, productos, catálogos, espacios y portales para desarrolladores, y a los usuarios que son miembros de esa organización proveedora se les pueden asignar funciones que determinan su nivel de acceso a dichos activos. El acceso de los usuarios se gestiona con el servicio IBM Cloud Identity and Access Management (IAM). Cuando un usuario inicia sesión en una instancia reservada, sus permisos vienen determinados por la configuración de IAM y sobrescriben cualquier definición de rol establecida en la API Connect.

Los roles personalizados no son compatibles con el servicio IAM, por lo que si creas roles personalizados en API Connect, se eliminarán la próxima vez que cada usuario inicie sesión y sus permisos se sincronicen con el servicio IAM.

Debe asignar un rol predefinido a cada usuario para asegurarse de que puede acceder a sus recursos. En API Connect, los recursos se gestionan en la siguiente jerarquía:

Jerarquía de recursos
Figura 1. Jerarquía de recursos

Para conceder permisos a los usuarios sobre los recursos API Connect propiedad de una organización proveedora concreta, añada los usuarios a esa organización proveedora. El rol que se asigna a un usuario para la organización proveedora es heredado por los catálogos dentro de ella, y por los espacios dentro de cada catálogo. Puede anular este acceso en los niveles inferiores asignando al usuario un rol diferente. Por ejemplo, si sólo desea que el usuario tenga acceso de Edición en un espacio concreto, asigne al usuario el rol de Lector para la organización proveedora y, a continuación, asigne al usuario un rol con acceso de Edición en el espacio seleccionado. El usuario seguirá teniendo sólo acceso de Lector al catálogo propietario del espacio, a todos los demás espacios dentro del mismo catálogo, y a alwildcard l otros catálogos y espacios propiedad de la organización proveedora.

Como mínimo, a cada usuario se le debe asignar al menos el rol de Lector en la instancia Reservada y en cada organización proveedora que se le permita ver. A continuación, puede decidir a qué funciones adicionales debe asignarse cada una en la organización proveedora y en cada uno de los catálogos y espacios que la componen.

Complete las siguientes tareas para conceder a los miembros de su cuenta IBM Cloud el acceso adecuado a los recursos de su instancia reservada.

Creación de organizaciones de proveedores

Puede crear una única organización de proveedores (por ejemplo, en una empresa con pocos empleados) o crear varias organizaciones de proveedores (por ejemplo, distintos departamentos en una empresa con muchos empleados). Algunos usuarios pueden pertenecer a varias organizaciones de proveedores y pueden recibir distintos niveles de acceso con cada uno de ellos.

Decidir cuántas organizaciones de proveedores necesita

En API Connect Reserved, todos los miembros de una organización de proveedor reciben el mismo nivel de acceso a API Connect. Revise los miembros de la cuenta de IBM Cloud de la empresa y las descripciones de quién hace qué en API Connect y determine cuántas organizaciones de proveedores debe crear.

Crear las organizaciones de proveedores en API Connect

Utilice la consola de API Connect administración para crear una organización de proveedores y correlaciónela con el nuevo grupo de acceso de IAM.

  1. Abra la consola de administración de la instancia de API Connect Reserved.

    a. Iniciar sesión en IBM Cloud.

    b. En el panel de control, pulse Icono de menú y seleccione Gestión de API.

    c. En la lista de navegación, expanda API Connect y pulse Servicios.

    d. En la página Servicios, haga clic en el nombre de su instancia reservada para abrir su consola de administración.

    En la página Servicios, una instancia Reservada está etiquetada como "infraestructura".

  2. En la página de inicio de la consola de administración, pulse el mosaico Organizaciones de proveedores.

  3. En la página Organizaciones proveedoras, haga clic en Crear organización proveedora.

  4. En la página Crear organización de proveedores, proporcione un Título, seleccione un Grupo de recursos y, a continuación, haga clic en Crear.

    El título es el nombre de visualización de la organización de proveedores; una versión en minúsculas del título se genera automáticamente como nombre de la organización de proveedores para su uso interno.

Repita los pasos 3 y 4 para cada organización de proveedor adicional. A continuación, cree un grupo de acceso de IAM que correlacionará con cada organización de proveedor y definirá los permisos de usuario.

Creación de grupos de acceso de IAM

Tras crear una organización de proveedores in API Connect, utilice el servicio Identity and Access Management (IAM) de IBM Cloud para definir permisos para la misma. Puede definir grupos de acceso de IAM con políticas que determinen permisos dentro de cada organización de proveedores enAPI Connect y, a continuación, puede añadir miembros de la cuenta de IBM Cloud de la empresa a los grupos de acceso adecuados, que correlaciona usuarios a organizaciones de proveedores.

Determinar las necesidades de acceso para los usuarios

Para cada organización de proveedores, debe crear un grupo de acceso de IAM y asignar los permisos adecuados. Para decidir qué tipo de permisos requiere cada grupo de acceso (organización de proveedor), revise la Tabla 1 para ver cómo se correlacionan los trabajos sugeridos en API Connect para acceder a los roles en IAM.

Cada usuario debe tener asignado al menos el rol de Lector en la instancia Reservada y en cada organización proveedora que se le permita ver. Si un usuario puede ver una organización de proveedores, también puede ver todos los catálogos y espacios que contiene. Aunque el usuario puede ver todos los catálogos y espacios de la organización proveedora, no puede realizar cambios a menos que se le asigne un rol que proporcione el nivel de permisos necesario para ese recurso.

La tabla 1 sugiere roles de IAM para los trabajos típicos API Connect que realizan los usuarios. Para obtener una lista completa de las funciones de IAM y cómo se utilizan en API Connect V10 Reservado, consulte Gestión del acceso.

Tabla 1. Mapeo de API Connect trabajos a roles IAM
Trabajo de API Connect Necesita este rol de IAM Acciones permitidas
Desarrollador de API Servicio: Escritor Crear, editar y publicar API
Administrador de API Servicio: Gestor, plataforma: editor Crear, editar y publicar API; control total de datos en el servicio; modificar la instancia de servicio
Gestor de producto Plataforma: Operador Crear, editar y publicar API
Administrador Plataforma: Administrador Control total de la instancia de servicio

El servicio IAM proporciona roles tanto para la "plataforma" (la propia instancia Reservada) como para el "servicio" (las características del producto proporcionadas en la instancia Reservada). API Connect administradores y administradores de API realizan tareas que utilizan los roles de plataforma; por ejemplo, aprovisionar una instancia de servicio y gestionar el acceso de los usuarios a la misma. Otros usuarios realizan tareas que utilizan roles de servicio; por ejemplo, la creación de una API o la visualización de análisis de sucesos.

Crear grupos de acceso en IAM

En IAM, un grupo de acceso contiene un conjunto de usuarios asignados a los mismos roles de acceso para el mismo recurso de IBM Cloud. Para sus propósitos, cada grupo de acceso representa una organización proveedora y debe ser asignado a los roles de acceso apropiados para esa organización proveedora.

  1. Iniciar sesión en IBM Cloud.

  2. En el panel de control de IBM Cloud, localice el mosaico "Acceso de usuario" y pulse Gestionar usuarios.

    El panel de control del servicio de IAM se abre a la página Acceso (IAM).

  3. En la página Acceso (IAM), busca en el menú de navegación y haz clic en Grupos de acceso.

  4. En la página Grupos de acceso, haga clic en Crear.

  5. En el cuadro Crear grupo de acceso, proporcione un nombre y una descripción para el nuevo grupo de acceso y, a continuación, haga clic en Crear.

Repita los pasos 4 y 5 para cada grupo de acceso.

Asignar políticas de acceso a los grupos de acceso

Una política de acceso de IAM asigna roles (cada rol representa un conjunto de permisos) a un grupo de acceso. Puede añadir uno o varios roles a cada grupo de acceso en IAM y puede correlacionar uno o varios grupos de acceso a cada una de las organizaciones de proveedores de API Connect.

  1. En la página del grupo de acceso, pulse el separador Políticas de acceso.

  2. En el separador Políticas de acceso, pulse Asignar acceso.

  3. En la página Asignar acceso, seleccione Servicios IAM.

    Solo está definiendo el acceso a API Connect, que es un servicio habilitado para IAM.

  4. Para ¿Qué tipo de acceso desea asignar? seleccione API Connect de la lista.

    ¡Las organizaciones de proveedores solo se aplican a API Connect Reserved.

  5. Seleccione una organización proveedora:

    a. En ¿A qué servicios desea asignar acceso?, seleccione Servicios basados en atributos.

    b. Para Añadir atributos seleccione Instancia de servicio, más:

    • En la primera lista, seleccione serie igual a.

    • En la segunda lista (instancias de servicio), seleccione el nombre de la organización proveedora en la que desea aplicar la política de acceso.

    La nueva política de acceso sólo se aplica a la organización proveedora especificada. La correlación de la política directamente con una organización de proveedores garantiza que no se otorgue accidentalmente a los usuarios un rango más amplio de permisos para la instancia de Reserved.

  6. Opcionalmente, seleccione uno o más catálogos propiedad de la organización proveedora.

    Si desea asignar acceso sólo a catálogos concretos (en lugar de a todos los catálogos de esa organización proveedora), seleccione Recurso, más:

    • En la primera lista, seleccione serie igual a.

    • En la segunda lista (recursos), seleccione o escriba el nombre del catálogo en el que desea aplicar la política de acceso. Puede utilizar comodines para cadenas (*) y números (?). Por ejemplo, para aplicar el acceso a todos los catálogos que empiecen por "catalog-1" seguido de cualquier carácter (como en catalog-1a, catalog-1b), escriba "catalog-1*".

    Especifique los nombres de los catálogos en lugar de los títulos de las pantallas.

  7. Opcionalmente, seleccione uno o más espacios dentro de un catálogo especificado.

    Si desea asignar acceso sólo a determinados espacios dentro de un catálogo seleccionado, añada "/" más el nombre del espacio al nombre del catálogo. Especifique los nombres de los espacios en lugar de los títulos de las pantallas. Puede utilizar comodines para letras y números.

    Por ejemplo, si especificó catalog-1a en el paso anterior y ahora desea incluir sólo space-1a dentro de ese catálogo, actualice el nombre del recurso a "catalog-1a/space-1a".

  8. Seleccione los roles que desea asignar a los miembros de este grupo de acceso.

    Pulse el número junto a cada rol para ver la lista detallada de permisos que están disponibles con ese rol.

  9. Seleccione Añadir para añadir los roles seleccionados al grupo de acceso.

  10. Revise la sección "Resumen de acceso" y haga clic en Asignar para guardar los grupos de acceso con las políticas de acceso.

A continuación, añada usuarios al grupo de acceso para que se les puedan asignar los permisos que acaba de configurar.

Añadir usuarios al grupo de acceso

La adición de usuarios a un grupo de acceso los correlaciona con la organización de proveedores que está asociada con ese grupo de acceso y determina sus permisos en API Connect cuando inician sesión con esa organización de proveedores.

  1. En la página del grupo de acceso, pulse el separador Usuarios.

  2. En la pestaña Usuarios, haga clic en Añadir usuarios.

    Los nombres de todos los usuarios que pertenecen a la visualización de la cuenta de IBM Cloud de la empresa.

  3. Seleccione los usuarios que se van a añadir al grupo de acceso.

    Puede añadir rápidamente todos los usuarios de la lista marcando el recuadro de selección situado junto a Usuarios al principio de la tabla.

  4. Al principio de la tabla, pulse Añadir a grupo.

Notificar a los usuarios que la organización de proveedores está disponible

Cuando configure el acceso de IAM para los usuarios, no hay notificación automática. Una vez que haya terminado de configurar el acceso para una organización de proveedores, debe notificarlo a sus miembros para que puedan empezar a trabajar con API Connect. Por ejemplo, puede enviar un correo electrónico o publicar un mensaje donde los usuarios puedan verlo. Deberá proporcionar a los usuarios la siguiente información:

  • El nombre de la instancia de Reserved (especialmente si ha suministrado más de una)
  • El nombre de la organización de proveedores a la que está asignado el usuario
  • Dónde encontrar documentación: https://cloud.ibm.com/docs/apiconnect

Cada usuario debe cerrar la sesión de IBM Cloud y volver a iniciarla para que los cambios de permisos surtan efecto.

IBM Cloud cerrar sesión
Figura 2. IBM Cloud cerrar sesión

Gestión de organizaciones de proveedores

Utilice IAM para acceder y eliminar usuarios, y para gestionar sus permisos.

Cuando se solicita la eliminación de una organización de proveedores en API Connect V10 Reservado, la organización de proveedores no se elimina inmediatamente del sistema. Este retraso forma parte del proceso de recuperación de recursos y puede impedirle volver a crear la organización proveedora inmediatamente. Si necesita volver a crear la organización de proveedores inmediatamente después de la eliminación, puede acelerar el proceso forzando la reclamación anticipada de la organización de proveedores eliminada, como se explica en Uso de las reclamaciones de recursos. Además, si decide restaurar la organización proveedora eliminada, el proceso de recuperación de recursos permite restaurar los recursos en un plazo de tiempo limitado.

Asignar la propiedad de una organización de proveedores

En lugar de gestionar todas las organizaciones de proveedores usted mismo, puede designar otros usuarios como propietarios y concederles el acceso adecuado. Para asignar acceso a nivel de propietario a una organización de proveedores, cree un grupo de acceso de IAM que tenga acceso administrativo para la organización de proveedores y añadir el usuario a ese grupo de acceso.

Gestionar permisos de usuario

Para cambiar un permiso de usuario en API Connect, cambie los roles asignados al grupo de acceso deIAM que contiene dicho usuario o desplácelo a un grupo de acceso distinto.

Eliminar usuarios de una organización de proveedores

Para eliminar un usuario de una organización de proveedores, suprima dicho usuario del rol de acceso correspondiente en IAM. La próxima vez que el usuario intente iniciar sesión en la organización de proveedores, no se le permitirá.

Un usuario que ya haya iniciado sesión en API Connect cuando se elimina del grupo de acceso permanece conectado y con acceso a los activos de la organización de proveedores. Para que el usuario deje de trabajar con activos de inmediato, elimínelos del catálogo y de las pertenencias de espacio dentro de la instancia de Reserved.