Gestire l’accesso degli utenti
I progetti Adobe Commerce sull’infrastruttura cloud utilizzano l’accesso basato sui ruoli. A livello di progetto sono disponibili due ruoli:
- Amministratore progetto—Accesso in scrittura a tutti gli ambienti di progetto e può gestire utenti, inviare codice e aggiornare le impostazioni del progetto. (Precedentemente noto come Amministratore privilegiato)
- Visualizzatore progetti—Accesso in sola visualizzazione a tutti gli ambienti di progetto.
I visualizzatori dei progetti non possono eseguire attività in alcun ambiente; tuttavia, è possibile concedere ai visualizzatori dei progetti l'accesso in scrittura a un tipo di ambiente specifico.
L’accesso a livello di ambiente si basa sul tipo di ambiente: produzione, staging e sviluppo. Concedere a un utente l'autorizzazione visualizzatore per ambienti di sviluppo significa che può visualizzare tutti gli ambienti di sviluppo nel progetto. La tabella seguente chiarisce le capacità concesse a ciascun livello di autorizzazione:
È possibile aggiungere utenti e assegnare ruoli utilizzando la CLI di magento-cloud
o Cloud Console.
Prerequisiti:
- Un utente registrato con un Adobe ID. Un utente deve registrarsi per un account Adobe e quindi inizializzare il proprio account Cloud prima di poterlo aggiungere a un progetto Cloud.
- Un utente assegnato al ruolo Amministratore non può gestire gli utenti con CLI
magento-cloud
. Solo gli utenti con il ruolo Proprietario account possono gestire gli utenti.
Gestione degli utenti con CLI
Utilizza l'interfaccia della riga di comando magento-cloud
per gestire gli utenti e integrarli con i sistemi automatizzati:
magento-cloud user:add
-aggiungere un utente al progettomagento-cloud user:delete
-elimina un utentemagento-cloud user:list [users]
utenti progettomagento-cloud user:role
-visualizza o modifica il ruolo utentemagento-cloud user:update
-aggiorna ruolo utente in un progetto
Negli esempi seguenti viene utilizzata la CLI magento-cloud
per aggiungere un utente, configurare ruoli, modificare le assegnazioni di progetto e assegnare ruoli utente.
Per aggiungere un utente e assegnare ruoli:
-
Utilizzare la CLI
magento-cloud
per aggiungere l'utente.code language-bash magento-cloud user:add
note important IMPORTANT L'utente deve disporre di un Adobe ID. Vedere i prerequisiti. -
Segui i prompt: specifica l’indirizzo e-mail dell’utente, imposta i ruoli di progetto e tipo di ambiente, quindi aggiungi l’utente.
Prompt di esempio
code language-none Enter the user's email address: alice@example.com Email address: alice@example.com The user's project role can be admin (a) or viewer (v). Project role (default: viewer) [a/v]: viewer The user's environment type role(s) can be admin (a), viewer (v), contributor (c) or none (n). Role on type development (default: none) [a/v/c/n]: none Role on type production (default: none) [a/v/c/n]: admin Role on type staging (default: none) [a/v/c/n]: admin Adding the user alice@example.com to (project_id): Project role: viewer Role on type production: admin Role on type staging: admin Are you sure you want to add this user? [Y/n] y Adding the user to the project
Dopo aver aggiunto l’utente, Adobe invia un’e-mail all’indirizzo specificato con le istruzioni per l’accesso al progetto Adobe Commerce on Cloud Infrastructure.
Visualizzare il ruolo di progetto di un utente
magento-cloud user:get alice@example.com
Risposta di esempio:
Current role(s) of User (alice@example.com) on Production (project_id):
Project role: admin
Aggiungere un utente a più ambienti
Per aggiungere un utente come viewer
in un ambiente Production
e come contributor
in un ambiente Integration
:
magento-cloud user:add alice@example.com -r production:v -r integration:c
Aggiornare le autorizzazioni degli ambienti utente
Per aggiornare le autorizzazioni dell'ambiente utente a admin
nell'ambiente Production
:
magento-cloud user:update alice@example.com -r production:a
Gestisci utenti da Cloud Console
È possibile utilizzare Cloud Console per aggiungere le autorizzazioni e utilizzare la funzionalità Modifica per modificare le autorizzazioni per un utente esistente.
Aggiungere un utente al progetto
-
Accedi a Cloud Console.
-
Selezionare un progetto dall'elenco Tutti i progetti.
-
Nel dashboard Progetto, fai clic sull’icona di configurazione in alto a destra.
-
In Impostazioni progetto, fare clic su Access.
-
Nella visualizzazione Access, fare clic su Add.
-
Completa il modulo Add User:
-
Immetti l’indirizzo e-mail dell’utente.
-
Project admin: concedere diritti di amministratore a tutte le impostazioni e a tutti i tipi di ambiente.
-
Environment types and permissions—concedere l'accesso e livelli di autorizzazione specifici a determinati tipi di ambiente. Nessun accesso, Amministratore (modifica impostazioni, esecuzione azione, codice unione), Collaboratore (codice push) o Visualizzatore (solo visualizzazione).
note tip TIP Solo un amministratore di progetto può gestire gli utenti in qualsiasi ambiente. Per concedere a un utente l'accesso alla scheda Accesso, un altro Amministratore progetto o il Proprietario account deve assegnare a tale utente il ruolo Amministratore progetto. -
-
Fare clic su Add User.
note important IMPORTANT L’aggiunta di un utente non attiva automaticamente una distribuzione. -
Dopo aver aggiunto gli utenti, ridistribuisci tutti gli ambienti per applicare le modifiche. L’aggiunta di un utente non attiva automaticamente una distribuzione. La ridistribuzione è un passaggio importante per garantire che l’utente possa accedere a un ambiente utilizzando SSH o eseguire attività di amministratore.
Dopo aver aggiunto l’utente, Adobe invia un’e-mail all’indirizzo specificato con le istruzioni per l’accesso al progetto Adobe Commerce on Cloud Infrastructure.
Requisiti di autenticazione utente
Per una maggiore sicurezza, Adobe fornisce l’applicazione dell’autenticazione a più fattori (MFA) a livello di progetto per richiedere l’autenticazione a due fattori (TFA) per l’accesso SSH ad Adobe Commerce sul codice sorgente e sugli ambienti del progetto di infrastruttura cloud. Vedere Abilitare MFA per SSH.
Quando l’applicazione MFA è abilitata in un progetto di infrastruttura cloud Adobe Commerce on, tutti gli utenti con accesso SSH a un ambiente in tale progetto devono abilitare TFA sul proprio account di infrastruttura cloud Adobe Commerce. Per i processi automatizzati, puoi creare un token API e un utente del computer per l’autenticazione dalla riga di comando.
Dopo aver aggiunto un utente a un progetto Cloud, chiedi all’utente di rivedere le impostazioni di sicurezza dell’account e aggiungere le seguenti configurazioni di sicurezza, in base alle esigenze:
-
Abilita TFA: soddisfa gli standard di sicurezza e conformità configurando l'autenticazione a due fattori. I progetti configurati con imposizione MFA richiedono TFA per gli account che utilizzano SSH per accedere ai progetti.
-
Abilita chiavi SSH: gli utenti che richiedono l'accesso ad Adobe Commerce negli archivi del codice sorgente dell'infrastruttura cloud devono abilitare le chiavi SSH nel proprio account. Vedi Connessioni sicure.
-
Creare un token API. Gli utenti devono generare un token API utilizzato per l'accesso SSH a un ambiente. È necessario il token per abilitare i flussi di lavoro di autenticazione per i processi automatizzati.
Nei progetti in cui è abilitata l’imposizione MFA, è necessario utilizzare il token API per autenticare le richieste di accesso SSH da account automatizzati. Il token consente ai processi automatizzati di ignorare i flussi di lavoro di autenticazione che richiedono TFA.
Abilita TFA per gli account Cloud
Adobe Commerce su infrastruttura cloud supporta TFA utilizzando una delle seguenti applicazioni:
Le istruzioni per l'installazione dell'applicazione di autenticazione e l'abilitazione di TFA sono disponibili nella pagina Impostazioni account di Cloud Console.
Per abilitare TFA nel tuo account utente:
-
Accedi a il tuo account.
-
Nel menu dell'account in alto a destra, fare clic su My Profile.
-
Nella scheda Protezione fare clic su Set up application.
-
Se non disponi di un’applicazione di autenticazione approvata sul tuo dispositivo mobile, utilizza le istruzioni collegate per installarne una.
-
Aggiungi l’account Adobe Commerce su infrastruttura cloud all’applicazione di autenticazione.
-
Sul dispositivo mobile, apri l’applicazione di autenticazione. Quindi, aggiungi il codice di installazione all’applicazione.
-
Nella pagina TFA set up - Application, digita il codice TFA dal tuo dispositivo mobile nel campo Application verification code.
-
Fare clic su Verify and save.
Se il codice è valido, Adobe invia una notifica all’indirizzo e-mail dell’account confermando che l’account ora ha TFA.
-
-
Facoltativo. Abilita le impostazioni del browser attendibile per memorizzare il codice di autenticazione nella cache del browser per 30 giorni.
Questa configurazione riduce il numero di problemi di autenticazione durante l’accesso al progetto.
-
Fai clic su Salva o Salta.
-
Salvare i codici di ripristino.
-
Nella pagina Configurazione TFA - Recupero codici, copia e salva i codici di recupero in modo da poter accedere al progetto Adobe Commerce on Cloud Infrastructure quando non è possibile accedere al dispositivo mobile o all'applicazione di autenticazione.
-
Copiare i codici di ripristino in un'altra posizione o annotarli nel caso si perda l'accesso al dispositivo o all'applicazione di autenticazione.
-
Fai clic su Salva per salvare i codici nel tuo account in modo da poterli visualizzare e gestire dalle impostazioni di sicurezza dell'account.
note warning WARNING Se si perde l'accesso a un account con TFA e non si dispone dell'elenco dei codici di ripristino, è necessario contattare l'amministratore del progetto o Inviare un ticket di supporto Adobe Commerce per reimpostare l'applicazione TFA.
-
-
Dopo aver completato la configurazione TFA, fai clic su Salva per aggiornare l'account.
-
Autentica la sessione corrente con TFA.
- Esci dal tuo account.
- Accedi con il tuo nome utente e la tua password.
- Quando richiesto, immettere il codice TFA per la voce
accounts.magento.cloud
dall'applicazione di autenticazione sul dispositivo mobile.
Gestione dei codici di configurazione e ripristino TFA
Puoi gestire la configurazione TFA per un account Adobe Commerce su infrastruttura cloud dalla sezione Sicurezza nella pagina Il mio profilo.
-
Accedi a il tuo account.
-
Nel menu dell'account in alto a destra, fare clic su My Profile.
-
Nella pagina Profilo personale fare clic sulla scheda Security.
-
Utilizza i collegamenti disponibili per aggiornare le impostazioni TFA per il tuo account Adobe Commerce sull’infrastruttura cloud:
- Disattiva TFA
- Reimposta l'applicazione di autenticazione
- Aggiungere o rimuovere browser attendibili
- Visualizza o aggiorna i codici di recupero TFA sul tuo account
Creare un token API
È possibile scambiare un token API con un token di accesso OAuth 2, che può quindi essere utilizzato per autenticare le richieste.
Nei progetti in cui è abilitata l’imposizione MFA, è necessario disporre di un token API per abilitare l’accesso SSH per gli utenti del computer e i processi automatizzati.
Per creare un token API:
-
Accedi a il tuo account.
-
Nel menu dell'account in alto a destra, fare clic su My Profile.
-
Nella pagina Profilo personale fare clic sulla scheda API tokens.
-
Fare clic su Create API token e immettere un nome. Ad esempio, specificare un nome che corrisponda a quello dell'utente del computer o del processo automatizzato che utilizza il token API.
-
Fare clic su Create API token.