Gérer l’accès utilisateur

Les projets Adobe Commerce sur l’infrastructure cloud utilisent l’accès en fonction du rôle. Deux rôles sont disponibles au niveau du projet :

  • Administrateur de projet : accès en écriture à tous les environnements de projet et possibilité de gérer les utilisateurs, le code push et de mettre à jour les paramètres du projet. (Anciennement appelé Super admin)
  • Visionneuse de projets : accès en lecture seule à tous les environnements de projet.

Les visionneuses de projets ne peuvent effectuer de tâches dans aucun environnement. Cependant, vous pouvez leur accorder un accès en écriture à un type d’environnement spécifique.

L’accès au niveau de l’environnement dépend du type d’environnement : production, évaluation et développement. Accorder à un utilisateur l’autorisation observateur d’accéder aux environnements développement signifie qu’il peut afficher tous les environnements de développement du projet. Le tableau suivant clarifie les capacités accordées à chaque niveau d’autorisation :

Niveau d’autorisation
Accès
Accès SSH
Admin
Effectuer des tâches d’administration, telles que la modification des paramètres, le code push, l’exécution de tâches et la gestion de branches, y compris la fusion avec l’environnement parent
Oui
Contributeur
Code push et branchement de l’environnement ; impossible de modifier les paramètres ou d’exécuter des actions
Oui
Visionneuse
Accès en lecture seule au type d’environnement
Non
Aucun accès
Pas d’accès au type d’environnement
Non

Vous pouvez ajouter des utilisateurs et affecter des rôles à l’aide de l’interface de ligne de commande magento-cloud ou du Cloud Console.

recommendation-more-help

Conditions préalables :

  • Utilisateur enregistré avec un Adobe ID. Un utilisateur doit s’inscrire à un compte d’Adobepuis initialiser son compte Cloud avant de pouvoir l’ajouter à un projet cloud.
  • Un utilisateur disposant du rôle Admin ne peut pas gérer les utilisateurs avec l’interface de ligne de commande magento-cloud. Seuls les utilisateurs dotés du rôle Propriétaire du compte peuvent gérer les utilisateurs.

Gestion des utilisateurs à l’aide de l’interface de ligne de commande

Utilisez l’interface de ligne de commande magento-cloud pour gérer les utilisateurs et intégrer aux systèmes automatisés :

  • magento-cloud user:add-ajouter un utilisateur au projet
  • magento-cloud user:delete-supprimer un utilisateur
  • magento-cloud user:list [users] les utilisateurs du projet
  • magento-cloud user:role ou modifier le rôle de l’utilisateur
  • magento-cloud user:update-mettre à jour le rôle utilisateur sur un projet

Les exemples suivants utilisent l’interface de ligne de commande magento-cloud pour ajouter un utilisateur, configurer des rôles, modifier les affectations de projet et affecter des rôles utilisateur.

Pour ajouter un utilisateur et affecter des rôles :

  1. Utilisez l’interface de ligne de commande magento-cloud pour ajouter l’utilisateur .

    code language-bash
    magento-cloud user:add
    
    note important
    IMPORTANT
    L’utilisateur ou l’utilisatrice doit disposer d’une Adobe ID. Voir les conditions préalables.
  2. Suivez les invites : indiquez l’adresse e-mail de l’utilisateur, définissez les rôles de type projet et environnement, puis ajoutez l’utilisateur.

    Exemples d’invites

    code language-none
    Enter the user's email address: alice@example.com
    
    Email address: alice@example.com
    
    The user's project role can be admin (a) or viewer (v).
    
    Project role (default: viewer) [a/v]: viewer
    
    The user's environment type role(s) can be admin (a), viewer (v), contributor (c) or none (n).
    
    Role on type development (default: none) [a/v/c/n]: none
    Role on type production (default: none) [a/v/c/n]: admin
    Role on type staging (default: none) [a/v/c/n]: admin
    
    Adding the user alice@example.com to (project_id):
    Project role: viewer
      Role on type production: admin
      Role on type staging: admin
    
    Are you sure you want to add this user? [Y/n] y
    Adding the user to the project
    

    Après avoir ajouté l’utilisateur, Adobe envoie un e-mail à l’adresse spécifiée avec les instructions pour accéder au projet d’infrastructure cloud d’Adobe Commerce.

Afficher le rôle de projet d’un utilisateur

magento-cloud user:get alice@example.com

Exemple de réponse :

Current role(s) of User (alice@example.com) on Production (project_id):
  Project role: admin

Ajout d’un utilisateur à plusieurs environnements

Pour ajouter un utilisateur en tant que viewer dans un environnement Production et en tant que contributor dans un environnement Integration :

magento-cloud user:add alice@example.com -r production:v -r integration:c

Mettre à jour les autorisations de l’environnement utilisateur

Pour mettre à jour les autorisations de l’environnement utilisateur afin de les admin sur l’environnement Production :

magento-cloud user:update alice@example.com -r production:a

Gestion des utilisateurs à partir de l’Cloud Console

Vous pouvez utiliser l’Cloud Console pour ajouter des autorisations et utiliser la fonction Modifier pour modifier les autorisations d’un utilisateur existant.

IMPORTANT
L’utilisateur ou l’utilisatrice doit disposer d’une Adobe ID. Voir les conditions préalables.

Ajout d’un utilisateur au projet

  1. Connectez-vous à l’Cloud Console .

  2. Sélectionnez un projet dans la liste Tous les projets.

  3. Dans le tableau de bord Projet, cliquez sur l’icône de configuration en haut à droite.

  4. Sous Paramètres du projet, cliquez sur Access.

  5. Dans la vue Accès, cliquez sur Add.

  6. Complétez le formulaire Add User:

    • Saisissez l’adresse e-mail de l’utilisateur.

    • Project admin—accorder des droits d'administrateur à tous les paramètres et types d'environnements.

    • Environment types and permissions : octroi d'accès et de niveaux d'autorisation spécifiques à certains types d'environnements. Pas d’accès, Admin (modifier les paramètres, exécuter une action, fusionner le code), Contributeur (code push) ou Visionneuse (affichage uniquement).

    note tip
    TIP
    Seul un administrateur de projet peut gérer les utilisateurs dans n’importe quel environnement. Pour accorder à un utilisateur l’accès à l’onglet Accès, un autre administrateur de projet ou le propriétaire de compte doit lui attribuer le rôle administrateur de projet.
  7. Cliquez sur Add User.

    note important
    IMPORTANT
    L’ajout d’un utilisateur ne déclenche pas automatiquement un déploiement.
  8. Après avoir ajouté des utilisateurs, redéployez tous les environnements pour appliquer les modifications. L’ajout d’un utilisateur ne déclenche pas automatiquement un déploiement. Le redéploiement est une étape importante pour s’assurer que l’utilisateur peut accéder à un environnement à l’aide de SSH ou effectuer des tâches d’administration.

Après avoir ajouté l’utilisateur, Adobe envoie un e-mail à l’adresse spécifiée avec les instructions pour accéder au projet d’infrastructure cloud d’Adobe Commerce.

Exigences d’authentification des utilisateurs

Pour une sécurité accrue, Adobe fournit une application d’authentification multifacteur (MFA) au niveau du projet afin d’exiger une authentification à deux facteurs (TFA) pour l’accès SSH à Adobe Commerce dans les environnements et le code source du projet d’infrastructure cloud. Voir Activer MFA pour SSH.

Lorsque l’application MFA est activée sur un projet d’infrastructure cloud d’Adobe Commerce, tous les utilisateurs disposant d’un accès SSH à un environnement dans ce projet doivent activer TFA sur leur compte d’infrastructure cloud d’Adobe Commerce. Pour les processus automatisés, vous pouvez créer un utilisateur de la machine et un jeton API pour vous authentifier à partir de la ligne de commande.

Après avoir ajouté un utilisateur à un projet cloud, demandez à l’utilisateur de vérifier les paramètres de sécurité de son compte et d’ajouter les configurations de sécurité suivantes si nécessaire :

  • Activer TFA—Respectez les normes de sécurité et de conformité en configurant l'authentification à deux facteurs. Les projets configurés avec application de l’AMF nécessitent un accès à des ressources numériques sur les comptes qui utilisent SSH pour accéder aux projets.

  • Activer les clés SSH : les utilisateurs qui nécessitent l’accès à Adobe Commerce sur les référentiels de code source de l’infrastructure cloud doivent activer les clés SSH sur leur compte. Voir Connexions sécurisées.

  • Créer un jeton API : les utilisateurs doivent générer un jeton API utilisé pour l’accès SSH à un environnement. Vous avez besoin du jeton pour activer les workflows d’authentification pour les processus automatisés.

    Dans les projets pour lesquels l’application MFA est activée, vous devez utiliser le jeton API pour authentifier les demandes d’accès SSH provenant de comptes automatisés. Le jeton permet aux processus automatisés de contourner les workflows d’authentification qui nécessitent un accès à des informations personnelles.

Activer l’AFE pour les comptes cloud

Adobe Commerce sur les infrastructures cloud prend en charge TFA à l’aide de l’une des applications suivantes :

Les instructions d’installation de l’application d’authentification et d’activation de TFA sont disponibles sur la page Paramètres du compte de la Cloud Console.

Pour activer TFA sur votre compte utilisateur :

  1. Connectez-vous à votre compte.

  2. Dans le menu supérieur droit du compte, cliquez sur My Profile.

  3. Dans l’onglet Sécurité, cliquez sur Set up application.

  4. Si votre appareil mobile ne dispose pas d’une application d’authentification approuvée, suivez les instructions fournies pour l’installer.

  5. Ajoutez votre compte d’infrastructure cloud Adobe Commerce à l’application d’authentification.

    • Sur votre appareil mobile, ouvrez l’application d’authentification. Ajoutez ensuite le code de configuration à l’application.

    • Sur la page TFA set up - Application, saisissez le code TFA de votre appareil mobile dans le champ Application verification code .

    • Cliquez sur Verify and save.

      Si le code est valide, Adobe envoie une notification à l’adresse e-mail du compte confirmant que le compte dispose désormais de l’autorisation TFA.

  6. Facultatif. Activez les paramètres Navigateur approuvé pour mettre en cache le code d’authentification dans le navigateur pendant 30 jours.

    Cette configuration réduit le nombre de défis d’authentification lors de la connexion au projet.

  7. Cliquez sur Enregistrer ou Ignorer.

  8. Enregistrez les codes de récupération.

    • Sur la page Configuration de l’AFE - Récupération codes, copiez et enregistrez les codes de récupération afin de vous connecter à votre projet d’infrastructure cloud Adobe Commerce lorsque vous ne pouvez pas accéder à votre appareil mobile ou à votre application d’authentification.

    • Copiez les codes de récupération vers un autre emplacement ou notez-les au cas où vous perdriez l’accès à votre appareil ou à votre application d’authentification.

    • Cliquez sur Enregistrer pour enregistrer les codes dans votre compte afin de les afficher et de les gérer à partir des paramètres de sécurité de votre compte.

      note warning
      WARNING
      Si vous perdez l’accès à un compte avec TFA et que vous ne disposez pas de la liste des codes de récupération, vous devez contacter l’administrateur de votre projet ou Envoyer un ticket d’assistance Adobe Commerce pour réinitialiser l’application TFA.
  9. Une fois la configuration de l’AFE terminée, cliquez sur Enregistrer pour mettre à jour votre compte.

  10. Authentifiez votre session en cours avec l’AFE.

    • Déconnectez-vous de votre compte.
    • Connectez-vous avec votre nom d'utilisateur et votre mot de passe.
    • A l’invite, saisissez le code TFA de l’entrée accounts.magento.cloud de l’application d’authentification sur votre appareil mobile.

Gestion de la configuration et des codes de récupération TFA

Vous pouvez gérer la configuration TFA d’un compte d’infrastructure cloud Adobe Commerce à partir de la section Sécurité de la page Mon profil.

  1. Connectez-vous à votre compte.

  2. Dans le menu supérieur droit du compte, cliquez sur My Profile.

  3. Sur la page Mon profil, cliquez sur l’onglet Security.

  4. Utilisez les liens disponibles pour mettre à jour les paramètres de l’AFE pour votre compte Adobe Commerce sur l’infrastructure cloud :

    • Désactiver l’AFE
    • Réinitialiser l’application d’authentification
    • Ajouter ou supprimer des navigateurs approuvés
    • Afficher ou actualiser les codes de récupération de l'AFE sur votre compte

Création d’un jeton API

Un jeton API peut être échangé contre un jeton d’accès OAuth 2, qui peut ensuite être utilisé pour authentifier les requêtes.

Dans les projets pour lesquels l’application MFA est activée, vous devez disposer d’un jeton API pour activer l’accès SSH pour les utilisateurs de la machine et les processus automatisés.

IMPORTANT
Valeurs du jeton API Protect pour votre compte. N’exposez pas la valeur dans les exemples de code, les captures d’écran ou les communications client-serveur non sécurisées. En outre, n’exposez pas la valeur dans le code source stocké dans les référentiels publics.

Pour créer un jeton API :

  1. Connectez-vous à votre compte.

  2. Dans le menu supérieur droit du compte, cliquez sur My Profile.

  3. Sur la page Mon profil, cliquez sur l’onglet API tokens.

  4. Cliquez sur Create API token et saisissez un nom, par exemple, spécifiez un nom correspondant à l’utilisateur de la machine ou au processus automatisé qui utilise le jeton API.

    Jetons API

  5. Cliquez sur Create API token.