Gestire l’accesso degli utenti

I progetti Adobe Commerce sull’infrastruttura cloud utilizzano l’accesso basato sui ruoli. A livello di progetto sono disponibili due ruoli:

  • Amministratore progetto—Accesso in scrittura a tutti gli ambienti di progetto e può gestire utenti, inviare codice e aggiornare le impostazioni del progetto.
  • Visualizzatore progetti—Accesso in sola visualizzazione a tutti gli ambienti di progetto.

I visualizzatori dei progetti non possono eseguire attività in alcun ambiente; tuttavia, è possibile concedere ai visualizzatori dei progetti l'accesso in scrittura a un tipo di ambiente specifico.

L’accesso a livello di ambiente si basa sul tipo di ambiente: produzione, staging e sviluppo. Concedere a un utente l'autorizzazione visualizzatore per ambienti di sviluppo significa che può visualizzare tutti gli ambienti di sviluppo nel progetto. La tabella seguente chiarisce le capacità concesse a ciascun livello di autorizzazione:

Livello di autorizzazione
Accesso
Accesso SSH
Amministratore
Eseguire attività di amministrazione, ad esempio modificare le impostazioni, inviare codice, eseguire attività e gestire i rami, inclusa l'unione con l'ambiente padre
Collaboratore
Invio di codice e diramazione dell'ambiente; impossibile modificare le impostazioni o eseguire azioni
Visualizzatore
Accesso in sola visualizzazione al tipo di ambiente
No
Nessun accesso
Nessun accesso al tipo di ambiente
No

È possibile aggiungere utenti e assegnare ruoli utilizzando la CLI di magento-cloud o Cloud Console.

recommendation-more-help

Prerequisiti:

  • Un utente registrato con un Adobe ID. Un utente deve registrarsi per un account Adobe e quindi inizializzare il proprio account Cloud prima di poterlo aggiungere a un progetto Cloud.
  • Un utente assegnato al ruolo Amministratore non può gestire gli utenti con CLI magento-cloud. Solo gli utenti con il ruolo Proprietario account possono gestire gli utenti.

Gestione degli utenti con CLI

Utilizza l'interfaccia della riga di comando magento-cloud per gestire gli utenti e integrarli con i sistemi automatizzati:

  • magento-cloud user:add-aggiungere un utente al progetto
  • magento-cloud user:delete-elimina un utente
  • magento-cloud user:list [users] utenti progetto
  • magento-cloud user:role-visualizza o modifica il ruolo utente
  • magento-cloud user:update-aggiorna ruolo utente in un progetto

Negli esempi seguenti viene utilizzata la CLI magento-cloud per aggiungere un utente, configurare ruoli, modificare le assegnazioni di progetto e assegnare ruoli utente.

Per aggiungere un utente e assegnare ruoli:

  1. Utilizzare la CLI magento-cloud per aggiungere l'utente.

    code language-bash
    magento-cloud user:add
    
    note important
    IMPORTANT
    L'utente deve disporre di un Adobe ID. Vedere i prerequisiti.
  2. Segui i prompt: specifica l’indirizzo e-mail dell’utente, imposta i ruoli di progetto e tipo di ambiente, quindi aggiungi l’utente.

    Prompt di esempio

    code language-terminal
    Enter the user's email address: alice@example.com
    
    Email address: alice@example.com
    
    The user's project role can be admin (a) or viewer (v).
    
    Project role (default: viewer) [a/v]: viewer
    
    The user's environment type role(s) can be admin (a), viewer (v), contributor (c) or none (n).
    
    Role on type development (default: none) [a/v/c/n]: none
    Role on type production (default: none) [a/v/c/n]: admin
    Role on type staging (default: none) [a/v/c/n]: admin
    
    Adding the user alice@example.com to (project_id):
    Project role: viewer
      Role on type production: admin
      Role on type staging: admin
    
    Are you sure you want to add this user? [Y/n] y
    Adding the user to the project
    

    Dopo aver aggiunto l’utente, Adobe invia un’e-mail all’indirizzo specificato con le istruzioni per l’accesso al progetto Adobe Commerce on Cloud Infrastructure.

Visualizzare il ruolo di progetto di un utente

magento-cloud user:get alice@example.com

Risposta di esempio:

Current role(s) of User (alice@example.com) on Production (project_id):
  Project role: admin

Aggiungere un utente a più ambienti

Per aggiungere un utente come viewer in un ambiente Production e come contributor in un ambiente Integration:

magento-cloud user:add alice@example.com -r production:v -r integration:c

Aggiornare le autorizzazioni degli ambienti utente

Per aggiornare le autorizzazioni dell'ambiente utente a admin nell'ambiente Production:

magento-cloud user:update alice@example.com -r production:a

Gestisci utenti da Cloud Console

È possibile utilizzare Cloud Console per aggiungere le autorizzazioni e utilizzare la funzionalità Modifica per modificare le autorizzazioni per un utente esistente.

IMPORTANT
L'utente deve disporre di un Adobe ID. Vedere i prerequisiti.

Aggiungere un utente al progetto

  1. Accedi a Cloud Console.

  2. Selezionare un progetto dall'elenco Tutti i progetti.

  3. Nel dashboard Progetto, fai clic sull’icona di configurazione in alto a destra.

  4. In Impostazioni progetto, fare clic su Access.

  5. Nella visualizzazione Access, fare clic su Add.

  6. Completa il modulo Add User:

    • Immetti l’indirizzo e-mail dell’utente.

    • Project admin: concedere diritti di amministratore a tutte le impostazioni e a tutti i tipi di ambiente.

    • Environment types and permissions—concedere l'accesso e livelli di autorizzazione specifici a determinati tipi di ambiente. Nessun accesso, Amministratore (modifica impostazioni, esecuzione azione, codice unione), Collaboratore (codice push) o Visualizzatore (solo visualizzazione).

    note tip
    TIP
    Solo un amministratore di progetto può gestire gli utenti in qualsiasi ambiente. Per concedere a un utente l'accesso alla scheda Accesso, un altro Amministratore progetto o il Proprietario account deve assegnare a tale utente il ruolo Amministratore progetto.
  7. Fare clic su Add User.

    note important
    IMPORTANT
    L’aggiunta di un utente non attiva automaticamente una distribuzione.
  8. Dopo aver aggiunto gli utenti, ridistribuisci tutti gli ambienti per applicare le modifiche. L’aggiunta di un utente non attiva automaticamente una distribuzione. La ridistribuzione è un passaggio importante per garantire che l’utente possa accedere a un ambiente utilizzando SSH o eseguire attività di amministratore.

Dopo aver aggiunto l’utente, Adobe invia un’e-mail all’indirizzo specificato con le istruzioni per l’accesso al progetto Adobe Commerce on Cloud Infrastructure.

Requisiti di autenticazione utente

Per una maggiore sicurezza, Adobe fornisce l’applicazione dell’autenticazione a più fattori (MFA) a livello di progetto per richiedere l’autenticazione a due fattori (TFA) per l’accesso SSH ad Adobe Commerce sul codice sorgente e sugli ambienti del progetto di infrastruttura cloud. Vedere Abilitare MFA per SSH.

Quando l’applicazione MFA è abilitata in un progetto di infrastruttura cloud Adobe Commerce on, tutti gli utenti con accesso SSH a un ambiente in tale progetto devono abilitare TFA sul proprio account di infrastruttura cloud Adobe Commerce. Per i processi automatizzati, puoi creare un token API e un utente del computer per l’autenticazione dalla riga di comando.

Dopo aver aggiunto un utente a un progetto Cloud, chiedi all’utente di rivedere le impostazioni di sicurezza dell’account e aggiungere le seguenti configurazioni di sicurezza, in base alle esigenze:

  • Abilita TFA: soddisfa gli standard di sicurezza e conformità configurando l'autenticazione a due fattori. I progetti configurati con imposizione MFA richiedono TFA per gli account che utilizzano SSH per accedere ai progetti.

  • Abilita chiavi SSH: gli utenti che richiedono l'accesso ad Adobe Commerce negli archivi del codice sorgente dell'infrastruttura cloud devono abilitare le chiavi SSH nel proprio account. Vedi Connessioni sicure.

  • Creare un token API. Gli utenti devono generare un token API utilizzato per l'accesso SSH a un ambiente. È necessario il token per abilitare i flussi di lavoro di autenticazione per i processi automatizzati.

    Nei progetti in cui è abilitata l’imposizione MFA, è necessario utilizzare il token API per autenticare le richieste di accesso SSH da account automatizzati. Il token consente ai processi automatizzati di ignorare i flussi di lavoro di autenticazione che richiedono TFA.

Abilita TFA per gli account Cloud

Adobe Commerce su infrastruttura cloud supporta TFA utilizzando una delle seguenti applicazioni:

Le istruzioni per l'installazione dell'applicazione di autenticazione e l'abilitazione di TFA sono disponibili nella pagina Impostazioni account di Cloud Console.

Per abilitare TFA nel tuo account utente:

  1. Accedi a il tuo account.

  2. Nel menu dell'account in alto a destra, fare clic su My Profile.

  3. Nella scheda Protezione fare clic su Set up application.

  4. Se non disponi di un’applicazione di autenticazione approvata sul tuo dispositivo mobile, utilizza le istruzioni collegate per installarne una.

  5. Aggiungi l’account Adobe Commerce su infrastruttura cloud all’applicazione di autenticazione.

    • Sul dispositivo mobile, apri l’applicazione di autenticazione. Quindi, aggiungi il codice di installazione all’applicazione.

    • Nella pagina TFA set up - Application, digita il codice TFA dal tuo dispositivo mobile nel campo Application verification code.

    • Fare clic su Verify and save.

      Se il codice è valido, Adobe invia una notifica all’indirizzo e-mail dell’account confermando che l’account ora ha TFA.

  6. Facoltativo. Abilita le impostazioni del browser attendibile per memorizzare il codice di autenticazione nella cache del browser per 30 giorni.

    Questa configurazione riduce il numero di problemi di autenticazione durante l’accesso al progetto.

  7. Fai clic su Salva o Salta.

  8. Salvare i codici di ripristino.

    • Nella pagina Configurazione TFA - Recupero codici, copia e salva i codici di recupero in modo da poter accedere al progetto Adobe Commerce on Cloud Infrastructure quando non è possibile accedere al dispositivo mobile o all'applicazione di autenticazione.

    • Copiare i codici di ripristino in un'altra posizione o annotarli nel caso si perda l'accesso al dispositivo o all'applicazione di autenticazione.

    • Fai clic su Salva per salvare i codici nel tuo account in modo da poterli visualizzare e gestire dalle impostazioni di sicurezza dell'account.

      note warning
      WARNING
      Se si perde l'accesso a un account con TFA e non si dispone dell'elenco dei codici di ripristino, è necessario contattare l'amministratore del progetto o Inviare un ticket di supporto Adobe Commerce per reimpostare l'applicazione TFA.
  9. Dopo aver completato la configurazione TFA, fai clic su Salva per aggiornare l'account.

  10. Autentica la sessione corrente con TFA.

    • Esci dal tuo account.
    • Accedi con il tuo nome utente e la tua password.
    • Quando richiesto, immettere il codice TFA per la voce accounts.magento.cloud dall'applicazione di autenticazione sul dispositivo mobile.

Gestione dei codici di configurazione e ripristino TFA

Puoi gestire la configurazione TFA per un account Adobe Commerce su infrastruttura cloud dalla sezione Sicurezza nella pagina Il mio profilo.

  1. Accedi a il tuo account.

  2. Nel menu dell'account in alto a destra, fare clic su My Profile.

  3. Nella pagina Profilo personale fare clic sulla scheda Security.

  4. Utilizza i collegamenti disponibili per aggiornare le impostazioni TFA per il tuo account Adobe Commerce sull’infrastruttura cloud:

    • Disattiva TFA
    • Reimposta l'applicazione di autenticazione
    • Aggiungere o rimuovere browser attendibili
    • Visualizza o aggiorna i codici di recupero TFA sul tuo account

Creare un token API

È possibile scambiare un token API con un token di accesso OAuth 2, che può quindi essere utilizzato per autenticare le richieste.

Nei progetti in cui è abilitata l’imposizione MFA, è necessario disporre di un token API per abilitare l’accesso SSH per gli utenti del computer e i processi automatizzati.

IMPORTANT
Valori dei token API di Protect per l’account. Non esporre il valore in esempi di codice, acquisizioni di schermate o comunicazioni client-server non sicure. Inoltre, non esporre il valore nel codice sorgente memorizzato negli archivi pubblici.

Per creare un token API:

  1. Accedi a il tuo account.

  2. Nel menu dell'account in alto a destra, fare clic su My Profile.

  3. Nella pagina Profilo personale fare clic sulla scheda API tokens.

  4. Fare clic su Create API token e immettere un nome. Ad esempio, specificare un nome che corrisponda a quello dell'utente del computer o del processo automatizzato che utilizza il token API.

    Token API

  5. Fare clic su Create API token.

05f2f56e-ac5d-4931-8cdb-764e60e16f26