IBM Cloud Docs
管理用户

管理用户

创建提供商组织来管理 API Connect 并将其映射到 IBM Cloud IAM 访问组,以指定每个提供商组织中包含的目录和空间的用户权限。

在API Connect中保留,用户按提供商组织分组。 每个提供商组织都拥有一套资产,包括应用程序接口、产品、目录、空间和开发人员门户,作为该提供商组织成员的用户可以被分配到决定其访问这些资产级别的角色。 用户访问由IBM Cloud管理。Identity and Access Management(IAM)服务进行管理。 用户登录保留实例时,其权限由 IAM 设置决定,并覆盖 API Connect 用户界面中设置的任何角色定义。

IAM 服务不支持自定义角色,因此如果在 API Connect 中创建自定义角色,则在每个用户下次登录并与 IAM 服务同步权限时,这些角色将被删除。

您必须为每个用户分配一个预定义的角色,以确保他们可以访问您的资源。 在 API Connect 中,资源按以下层次进行管理:

资源层级
资源
*

要向用户授予特定提供商组织拥有的 API Connect 资源的权限,请将用户添加到该提供商组织。 为提供商组织分配给用户的角色会由其中的目录和每个目录中的空间继承。 您可以通过将用户分配到不同的角色,在较低的级别上覆盖此访问权限。 例如,如果只想让用户在特定空间拥有编辑权限,可将用户指定为提供商组织的“阅读器”角色,然后将用户指定为在选定空间拥有编辑权限的角色。 用户仍然只能对拥有该空间的目录、同一目录中的所有其他空间以及提供商组织拥有的所有其他目录和空间进行读卡访问。 的其他目录和空间。

至少,每个用户都必须在允许其查看的预留实例和每个提供商组织上至少分配一个“读者”角色。 然后,你就可以决定为提供商组织及其中的每个目录和空间分别分配哪些附加角色。

完成以下任务,授予IBM Cloud账户成员对预留实例资源的适当访问权限。

创建提供者组织

您可以创建单个提供商组织(例如,只有少数员工的公司)或创建多个提供商组织(例如,有许多员工的公司的不同部门)。 用户可以属于多个提供者组织,并且可以在每个组织中拥有不同级别的访问权。

确定需要多少个提供者组织

在 API Connect Reserved 中,提供者组织的所有成员都会获得相同级别的 API Connect 访问权。 您可以查看公司 IBM Cloud 帐户的成员以及有关谁在 API Connect 中做什么的描述,然后确定需要创建多少个提供者组织。

在 API Connect 中创建提供者组织

使用 API Connect 管理控制台来创建一个提供者组织,然后将其映射到新的 IAM 访问组。

  1. 打开 API Connect 保留实例的管理控制台。

    a. 登录IBM Cloud。

    b. 在控制面板上,单击 Menu 图标,然后选择 API Management

    c. 在导航列表中,展开 API Connect,然后单击服务

    d. 在 “服务”页面,单击保留实例的名称,打开其管理控制台。

    服务页面上,一个预留实例被标记为“基础设施”。

  2. 在管理控制台的主页上,单击提供者组织磁贴。

  3. 提供方组织页面,单击创建提供商组织

  4. 在“创建提供方组织”页面,提供标题,选择资源组,然后单击“创建”。

    标题是提供者组织的显示名称;小写版本的标题是为了供内部使用而自动生成的提供者组织名称。

对每个其他提供者组织重复步骤 3 和 4。 然后,创建 IAM 访问组以映射到每个提供者组织并定义用户许可权。

创建 IAM 访问组

在 API Connect 中创建提供者组织后,使用 IBM Cloud Identity and Access Management (IAM) 服务为其设置许可权。 您可以使用策略来定义 IAM 访问组(策略用于确定 API Connect 中每个提供者组织内的许可权),然后将公司 IBM Cloud 帐户的成员添加到相应的访问组中,以将用户映射到提供者组织。

确定用户的访问需求

对于每个提供者组织,都需要创建 IAM 访问组并分配适当的许可权。 要决定每个访问组(提供者组织)需要的许可权类型,请查看表 1 以了解 API Connect 中建议的作业如何映射到 IAM 中的访问角色。

每个用户都必须至少被分配到预留实例和允许其查看的每个提供商组织上的“阅读器”角色。 如果用户可以看到提供商组织,他们也可以看到其中的所有目录和空间。 虽然用户可以查看提供商组织内的所有目录和空间,但他们不能进行更改,除非为他们分配一个角色,为该资源提供所需的权限级别。

表 1 建议了用户执行的典型 API Connect 工作的 IAM 角色。 有关 IAM 角色的完整列表及其在API Connect中的使用方式,请参阅管理访问。V10Reserved,请参阅 管理访问

将API Connect作业映射到 IAM 角色
API Connect 作业 需要此 IAM 角色 允许的操作
API 开发者 服务:写入者 创建、编辑和发布 API
API 管理员 服务:管理者,平台:编辑者 创建、编辑和发布 API;完全控制服务中的数据;修改服务实例
产品经理 平台:操作员 创建、编辑和发布 API
管理员 平台:管理员 拥有对服务实例的完全控制权

IAM 服务为“平台”(预留实例本身)和“服务”(预留实例中提供的产品功能)提供角色。API Connect管理员和 API 管理员执行使用平台角色的任务;例如,调配服务实例和管理用户对服务实例的访问。 其他用户可执行使用服务角色的任务;例如,创建 API 或查看事件分析。

在 IAM 中创建访问组

在 IAM 中,访问组包含一组用户,这些用户分配有对相同 IBM Cloud 资源的相同访问角色。 就您的目的而言,每个访问组代表一个医疗服务提供者组织,应为该医疗服务提供者组织分配适当的访问角色。

  1. 登录IBM Cloud。

  2. 在 IBM Cloud 仪表板上,找到“用户访问权”磁贴,然后单击管理用户

    IAM 服务仪表板将打开并显示访问权 (IAM) 页面。

  3. 访问 (IAM) 页面上,查看导航菜单并单击访问组

  4. 访问组页面,单击创建

  5. 在“创建访问组”框中,提供新访问组的名称和说明,然后单击“创建”。

对每个访问组重复步骤 4 和 5。

将访问策略分配给访问组

IAM 访问策略会将角色(每个角色代表一组许可权)分配给访问组。 您可以向 IAM 中的每个访问组添加一个或多个角色,还可以将一个或多个访问组映射到每个 API Connect 提供者组织。

  1. 在访问组的页面上,单击访问策略选项卡。

  2. 访问策略选项卡上,单击分配访问权

  3. 分配访问权限页面上,选择 IAM 服务

    您将仅定义对 API Connect(这是启用 IAM 的服务)的访问权。

  4. 对于 您要分配哪种访问类型? 从列表中选择 API Connect

    您的提供者组织仅适用于 API Connect Reserved。

  5. 选择一个提供商组织:

    a. 在“要为哪些服务分配访问权限?”中,选择“基于属性的服务”。

    b. 在“添加属性”中选择“服务实例”,加:

    • 在第一个列表中,选择字符串等于

    • 在第二个(服务实例)列表中,选择要应用访问策略的提供商组织名称。

    新的访问策略只适用于指定的提供商组织。 将策略直接映射到提供商组织,可确保不会意外授予用户更广泛的保留实例权限。

  6. 可选择选择一个或多个提供方组织拥有的目录。

    如果只想为特定目录分配访问权限(而不是该提供商组织内的所有目录),请选择 资源,加号:

    • 在第一个列表中,选择字符串等于

    • 在第二个(资源)列表中,选择或键入要应用访问策略的目录名称。 可以对字符串 (*) 和数字 (?)使用通配符。例如,要对以"catalog-1"开头、后跟任意字符(如 catalog-1a、catalog-1b)的所有目录进行访问,请键入"catalog-1*"。

    指定目录名称而不是显示标题。

  7. 可选择在指定目录中选择一个或多个空格。

    如果只想为所选目录中的特定空间分配访问权限,请在目录名后加上"/"和空间名。 指定空间名称而不是显示标题。 字母和数字可以使用通配符。

    例如,如果在上一步中指定了 catalog-1a,而现在只想在该目录中包含 space-1a,则应将资源名称更新为"catalog-1a/space-1a"。

  8. 选择要分配给此访问组成员的角色。

    单击每个角色旁边的数字,以查看该角色可用的许可权的详细列表。

  9. 选择添加以将所选角色添加到访问组。

  10. 查看“访问摘要”部分,然后单击“分配”保存带有访问策略的访问组。

接下来,将用户添加到访问组,这样就可以为他们分配您刚刚配置的许可权。

向访问组添加用户

向访问组添加用户会将用户映射到与该访问组相关联的提供者组织,并在用户使用该提供者组织进行登录时确定其在 API Connect 中的许可权。

  1. 在访问组的页面上,单击用户选项卡。

  2. 在“用户”选项卡上,单击“添加用户”。

    将显示属于您公司 IBM Cloud 帐户的所有用户的名称。

  3. 选择要添加到访问组的用户。

    要快速添加列表中的所有用户,可以单击表开头的用户旁边的复选框。

  4. 在表的开头,单击添加到组

通知用户提供者组织可用

为用户设置 IAM 访问权时,没有自动通知。 为提供者组织配置完访问权后,应通知其成员,以便他们可以开始使用 API Connect。 例如,您可以发送电子邮件,或在用户会看到的位置发布消息。 您应该向用户通知以下信息:

每个用户必须从 IBM Cloud 注销,然后重新登录,权限更改才能生效。

IBM Cloud log out
IBM Cloud log out

管理提供者组织

使用 IAM 来添加和除去用户,并管理这些用户的许可权。

在 API Connect V10 Reserved 中请求删除医疗服务提供者机构时,医疗服务提供者机构不会立即从系统中删除。 这种延迟是资源回收过程的一部分,可能会阻止你立即重新创建提供商组织。 如果需要在删除后立即重新创建提供程序组织,可以按照 Using resource reclamations 中的说明,通过强制提前回收已删除的提供程序组织来加快这一过程。 此外,如果您决定恢复已删除的提供商组织,资源回收流程允许在有限的时间内恢复资源。

分配提供商组织的所有权

您可以指定其他用户作为所有者并授予他们相应的访问权,而不是自己管理所有提供者组织。 要为提供者组织分配所有者级别访问权,请创建对提供者组织具有管理访问权的 IAM 访问组,并将用户添加到该访问组。

管理用户许可权

要更改用户在 API Connect 中的许可权,请更改分配给包含该用户的 IAM 访问组的角色,或将该用户移动到其他访问组。

从提供者组织中除去用户

要从提供者组织中除去用户,请从 IAM 中的相应访问角色中删除该用户。 下次用户尝试登录到提供者组织时,将不允许登录。

从访问组除去已登录到 API Connect 的用户后,该用户将保持登录状态并仍具有对提供者组织的资产的访问权。 要立即阻止用户使用资产,可将其从保留实例中的所有目录和空间成员资格中删除。