Gerenciar acesso do usuário
Os projetos do Adobe Commerce em infraestrutura em nuvem usam acesso com base em funções. Há duas funções disponíveis no nível do projeto:
- Administrador do projeto—Grava acesso a todos os ambientes do projeto e pode gerenciar usuários, código de push e atualizar configurações do projeto.
- Visualizador do projeto — Acesso somente para visualização a todos os ambientes do projeto.
Visualizadores de projeto não podem executar tarefas em nenhum ambiente; no entanto, você pode conceder aos visualizadores do projeto acesso de gravação a um tipo de ambiente específico.
O acesso no nível do ambiente é baseado no tipo de ambiente: produção, preparo e desenvolvimento. Conceder a um usuário visualizador permissão para ambientes de desenvolvimento significa que ele pode exibir todos ambientes de desenvolvimento no projeto. A tabela a seguir esclarece as habilidades concedidas a cada nível de permissão:
Você pode adicionar usuários e atribuir funções usando a CLI do magento-cloud ou o Cloud Console.
Pré-requisitos:
- Um usuário registrado com uma Adobe ID. Um usuário deve se registrar para uma conta Adobe e depois inicializar sua conta da nuvem para poder adicioná-lo a um projeto da nuvem.
- Um usuário com a função de Administrador atribuída não pode gerenciar usuários com a CLI
magento-cloud. Somente usuários com a função Proprietário da conta podem gerenciar usuários.
Gerenciar usuários com a CLI
Use a CLI do magento-cloud para gerenciar usuários e integrar a sistemas automatizados:
magento-cloud user:add-adicionar um usuário ao projetomagento-cloud user:delete-excluir um usuáriomagento-cloud user:list [users]usuários da lista de projetosmagento-cloud user:role-visualizar ou alterar a função de usuáriomagento-cloud user:update- atualizar função de usuário em um projeto
Os exemplos a seguir usam a CLI do magento-cloud para adicionar um usuário, configurar funções, modificar atribuições de projetos e atribuir funções de usuário.
Para adicionar um usuário e atribuir funções:
-
Use a CLI do
magento-cloudpara adicionar o usuário.code language-bash magento-cloud user:addnote important IMPORTANT O usuário deve ter uma Adobe ID; consulte os pré-requisitos. -
Siga as instruções: especifique o endereço de email do usuário, defina as funções de projeto e de ambiente e adicione o usuário.
Exemplos de prompts
code language-none Enter the user's email address: alice@example.com Email address: alice@example.com The user's project role can be admin (a) or viewer (v). Project role (default: viewer) [a/v]: viewer The user's environment type role(s) can be admin (a), viewer (v), contributor (c) or none (n). Role on type development (default: none) [a/v/c/n]: none Role on type production (default: none) [a/v/c/n]: admin Role on type staging (default: none) [a/v/c/n]: admin Adding the user alice@example.com to (project_id): Project role: viewer Role on type production: admin Role on type staging: admin Are you sure you want to add this user? [Y/n] y Adding the user to the projectDepois de adicionar o usuário, o Adobe envia um email para o endereço especificado com instruções para acessar o projeto Adobe Commerce na infraestrutura em nuvem.
Exibir a função de projeto de um usuário
magento-cloud user:get alice@example.com
Exemplo de resposta:
Current role(s) of User (alice@example.com) on Production (project_id):
Project role: admin
Adicionar um usuário a vários ambientes
Para adicionar um usuário como viewer em um ambiente Production e como contributor em um ambiente Integration:
magento-cloud user:add alice@example.com -r production:v -r integration:c
Atualizar permissões de ambiente do usuário
Para atualizar as permissões do ambiente do usuário para admin no ambiente Production:
magento-cloud user:update alice@example.com -r production:a
Gerenciar usuários do Cloud Console
Você pode usar o Cloud Console para adicionar permissões e usar o recurso Editar para modificar permissões para um usuário existente.
Adicionar um usuário ao projeto
-
Faça logon no Cloud Console.
-
Selecione um projeto na lista Todos os projetos.
-
No painel Projeto, clique no ícone de configuração no canto superior direito.
-
Em Configurações do projeto, clique em Access.
-
No modo de exibição Acesso, clique em Add.
-
Preencha o formulário Add User:
-
Insira o endereço de email do usuário.
-
Project admin—conceda direitos de Administrador a todos os tipos de configurações e ambientes.
-
Environment types and permissions — conceder acesso e níveis de permissão específicos a determinados tipos de ambientes. Sem acesso, Administrador (alterar configurações, executar ação, mesclar código), Colaborador (código de push) ou Visualizador (somente exibição).
note tip TIP Somente um Administrador do projeto pode gerenciar usuários em qualquer ambiente. Para conceder a um usuário acesso à guia Acesso, outro Administrador de projeto ou o Proprietário da conta deve atribuir a esse usuário a função de Administrador de projeto. -
-
Clique em Add User.
note important IMPORTANT Adicionar um usuário não aciona uma implantação automaticamente. -
Depois de adicionar usuários, implante novamente todos os ambientes para aplicar as alterações. Adicionar um usuário não aciona uma implantação automaticamente. A reimplantação é uma etapa importante para garantir que o usuário possa acessar um ambiente usando SSH ou executar tarefas de administrador.
Depois de adicionar o usuário, o Adobe envia um email para o endereço especificado com instruções para acessar o projeto Adobe Commerce na infraestrutura em nuvem.
Requisitos de autenticação do usuário
Para maior segurança, o Adobe fornece imposição de autenticação multifator (MFA) no nível do projeto para exigir autenticação de dois fatores (TFA) para acesso SSH ao código-fonte e aos ambientes do projeto da infraestrutura em nuvem do Adobe Commerce. Consulte Habilitar MFA para SSH.
Quando a imposição de MFA é habilitada em um projeto de infraestrutura do Adobe Commerce na nuvem, todos os usuários com acesso SSH a um ambiente nesse projeto devem habilitar o TFA em sua conta do Adobe Commerce na infraestrutura da nuvem. Para processos automatizados, você pode criar um usuário de máquina e um token de API para autenticar na linha de comando.
Depois de adicionar um usuário a um projeto na nuvem, peça para o usuário revisar as configurações de segurança da conta e adicionar as seguintes configurações de segurança, conforme necessário:
-
Habilitar TFA—Atenda aos padrões de segurança e conformidade configurando a autenticação de dois fatores. Projetos configurados com imposição de MFA exigem o TFA em contas que usam SSH para acessar os projetos.
-
Habilitar chaves SSH — Os usuários que exigem acesso ao Adobe Commerce em repositórios de código-fonte de infraestrutura em nuvem devem habilitar chaves SSH em suas contas. Consulte Conexões seguras.
-
Criar um token de API — Os usuários devem gerar um token de API que seja usado para acesso SSH a um ambiente. Você precisa do token para habilitar fluxos de trabalho de autenticação para processos automatizados.
Em projetos com imposição de MFA ativada, você deve usar o token da API para autenticar solicitações de acesso SSH de contas automatizadas. O token permite que processos automatizados ignorem workflows de autenticação que exigem o TFA.
Ativar o TFA para contas na nuvem
O Adobe Commerce na infraestrutura em nuvem é compatível com o TFA usando qualquer um dos seguintes aplicativos:
As instruções para instalar o aplicativo autenticador e habilitar o TFA estão disponíveis na página Configurações de conta em Cloud Console.
Para habilitar o TFA em sua conta de usuário:
-
Faça logon em sua conta.
-
No menu de conta superior direito, clique em My Profile.
-
Na guia Segurança, clique em Set up application.
-
Se você não tiver um aplicativo autenticador aprovado no dispositivo móvel, use as instruções vinculadas para instalar um.
-
Adicione a conta Adobe Commerce na infraestrutura em nuvem ao aplicativo autenticador.
-
No dispositivo móvel, abra o aplicativo autenticador. Em seguida, adicione o código de configuração ao aplicativo.
-
Na página TFA set up - Application, digite o código do TFA de seu dispositivo móvel no campo Application verification code.
-
Clique em Verify and save.
Se o código for válido, o Adobe enviará uma notificação ao endereço de email da conta confirmando que a conta agora tem o TFA.
-
-
Opcional. Habilite as configurações do Navegador confiável para armazenar em cache o código de autenticação no navegador por 30 dias.
Essa configuração reduz o número de desafios de autenticação durante o logon no projeto.
-
Clique em Salvar ou Ignorar.
-
Salve os códigos de recuperação.
-
Na página Configuração do TFA - Recuperação códigos, copie e salve os códigos de recuperação para poder fazer logon no projeto Adobe Commerce na infraestrutura em nuvem quando não for possível acessar o dispositivo móvel ou o aplicativo de autenticação.
-
Copie os códigos de recuperação para outro local ou anote-os caso perca o acesso ao dispositivo ou ao aplicativo de autenticação.
-
Clique em Salvar para salvar os códigos em sua conta para que você possa exibi-los e gerenciá-los nas configurações de segurança da conta.
note warning WARNING Se você perder o acesso a uma conta com TFA e não tiver a lista de códigos de recuperação, entre em contato com o administrador do projeto ou Envie um tíquete de Suporte da Adobe Commerce para redefinir o aplicativo TFA.
-
-
Após concluir a configuração do TFA, clique em Salvar para atualizar sua conta.
-
Autentique sua sessão atual com o TFA.
- Faça logout da sua conta.
- Faça logon com seu nome de usuário e senha.
- Quando solicitado, insira o código TFA para a entrada
accounts.magento.clouddo aplicativo autenticador em seu dispositivo móvel.
Gerenciar códigos de configuração e recuperação do TFA
Você pode gerenciar a configuração de TFA para uma conta Adobe Commerce na infraestrutura em nuvem na seção Segurança da página Meu perfil.
-
Faça logon em sua conta.
-
No menu de conta superior direito, clique em My Profile.
-
Na página Meu perfil, clique na guia Security.
-
Use os links disponíveis para atualizar as configurações do TFA para sua conta do Adobe Commerce na infraestrutura em nuvem:
- Desativar TFA
- Redefinir o aplicativo autenticador
- Adicionar ou remover navegadores confiáveis
- Exibir ou atualizar códigos de recuperação do TFA em sua conta
Criar um token de API
Um token de API pode ser trocado por um token de acesso OAuth 2, que pode ser usado para autenticar solicitações.
Em projetos que têm a imposição de MFA habilitada, você deve ter um token de API para habilitar o acesso SSH para usuários de máquina e processos automatizados.
Para criar um token de API:
-
Faça logon em sua conta.
-
No menu de conta superior direito, clique em My Profile.
-
Na página Meu perfil, clique na guia API tokens.
-
Clique em Create API token e digite um nome, por exemplo, especifique um nome que corresponda ao usuário da máquina ou ao processo automatizado que usa o token de API.
-
Clique em Create API token.