管理用户访问权限

云基础架构上的Adobe Commerce项目使用基于角色的访问。 在项目级别有两个可用的角色:

  • 项目管理员 — 写入对所有项目环境的访问权限,并可管理用户、推送代码和更新项目设置。
  • 项目查看器 — 对所有项目环境的仅查看访问权限。

项目查看者不能在任何环境中执行任务;但是,您可以授予项目查看者对特定环境类型的写入权限。

环境级访问基于环境类型:生产、暂存和开发。 向用户​ 查看器 ​授予​ 开发 ​环境的权限意味着他们可以查看项目中的​ 所有 ​开发环境。 下表说明了授予各个权限级别的功能:

权限级别
访问
SSH访问
管理员
执行管理员任务,如更改设置、推送代码、执行任务和分支管理(包括与父环境合并)
参与者
推送代码并分支环境;无法更改设置或执行操作
查看器
对环境类型的仅查看访问权限
无访问权限
无法访问环境类型

您可以使用magento-cloud CLI或Cloud Console添加用户和分配角色。

recommendation-more-help

先决条件:

  • Adobe ID的注册用户。 用户必须注册Adobe帐户,然后初始化其云帐户,然后才能将其添加到云项目。
  • 分配了​ 管理员 ​角色的用户无法使用magento-cloud CLI管理用户。 只有被授予​ 帐户所有者 ​角色的用户才能管理用户。

使用CLI管理用户

使用magento-cloud CLI管理用户并与自动化系统集成:

  • magento-cloud user:add — 添加用户到项目
  • magento-cloud user:delete — 删除用户
  • magento-cloud user:list [users]列出项目用户
  • magento-cloud user:role — 查看或更改用户角色
  • magento-cloud user:update — 更新项目中的用户角色

以下示例使用magento-cloud CLI添加用户、配置角色、修改项目分配以及分配用户角色。

要添加用户并分配角色

  1. 使用magento-cloud CLI添加用户。

    code language-bash
    magento-cloud user:add
    
    note important
    IMPORTANT
    用户必须具有Adobe ID;请参阅先决条件
  2. 按照提示操作:指定用户电子邮件地址,设置项目和环境类型角色,并添加用户。

    示例提示

    code language-none
    Enter the user's email address: alice@example.com
    
    Email address: alice@example.com
    
    The user's project role can be admin (a) or viewer (v).
    
    Project role (default: viewer) [a/v]: viewer
    
    The user's environment type role(s) can be admin (a), viewer (v), contributor (c) or none (n).
    
    Role on type development (default: none) [a/v/c/n]: none
    Role on type production (default: none) [a/v/c/n]: admin
    Role on type staging (default: none) [a/v/c/n]: admin
    
    Adding the user alice@example.com to (project_id):
    Project role: viewer
      Role on type production: admin
      Role on type staging: admin
    
    Are you sure you want to add this user? [Y/n] y
    Adding the user to the project
    

    添加用户后,Adobe会向指定地址发送一封电子邮件,说明如何访问云基础架构上的Adobe Commerce。

查看用户的项目角色

magento-cloud user:get alice@example.com

示例响应:

Current role(s) of User (alice@example.com) on Production (project_id):
  Project role: admin

将用户添加到多个环境

要在Production环境中将用户添加为viewer,并在Integration环境中将用户添加为contributor,请执行以下操作:

magento-cloud user:add alice@example.com -r production:v -r integration:c

更新用户环境权限

要在Production环境中将用户环境权限更新为admin,请执行以下操作:

magento-cloud user:update alice@example.com -r production:a

从Cloud Console管理用户

您可以使用Cloud Console添加权限并使用​ 编辑 ​功能修改现有用户的权限。

IMPORTANT
用户必须具有Adobe ID;请参阅先决条件

在项目中添加用户

  1. 登录到Cloud Console

  2. 从​ 所有项目 ​列表中选择一个项目。

  3. 在项目仪表板上,单击右上角的配置图标。

  4. 在​ 项目设置 ​下,单击​ Access

  5. 在​ 访问 ​视图中,单击​ Add

  6. 完成​ Add User ​表单:

    • 输入用户电子邮件地址。

    • Project admin — 向所有设置和环境类型授予管理员权限。

    • Environment types and permissions — 向特定环境类型授予访问权和特定权限级别。 无访问权限管理员(更改设置、执行操作、合并代码)、参与者(推送代码)或​ 查看器(仅查看)。

    note tip
    TIP
    只有​ 项目管理员 ​可以在任何环境中管理用户。 要授予用户访问​ 访问 ​选项卡的权限,其他​ 项目管理员 ​或​ 帐户所有者 ​必须为该用户分配​ 项目管理员 ​角色。
  7. 单击​ Add User

    note important
    IMPORTANT
    添加用户不会自动触发部署。
  8. 添加用户后,重新部署所有环境以应用更改。 添加用户不会自动触发部署。 重新部署是确保用户可以使用SSH访问环境或执行管理员任务的重要步骤。

添加用户后,Adobe会向指定地址发送一封电子邮件,说明如何访问云基础架构上的Adobe Commerce。

用户身份验证要求

为了提高安全性,Adobe提供了项目级别的多因素身份验证(MFA)实施,以要求在云基础架构项目源代码和环境上对Adobe Commerce的SSH访问需要双重身份验证(TFA)。 请参阅为SSH启用MFA

在云基础架构项目上的Adobe Commerce上启用MFA强制执行后,所有对该项目中的环境具有SSH访问权限的用户都必须在其云基础架构帐户上的Adobe Commerce上启用TFA。 对于自动化进程,您可以创建计算机用户和API令牌,以通过命令行进行身份验证。

将用户添加到云项目后,请要求用户查看其帐户安全设置并根据需要添加以下安全配置:

  • 启用TFA — 通过配置双重身份验证满足安全和合规性标准。 使用MFA强制配置的项目需要使用SSH访问项目的帐户上的TFA。

  • 启用SSH密钥 — 需要访问Cloud Infrastructure源代码存储库上的Adobe Commerce的用户必须在其帐户上启用SSH密钥。 请参阅安全连接

  • 创建API令牌 — 用户必须生成用于环境SSH访问的API令牌。 您需要令牌以启用自动化流程的身份验证工作流。

    在启用了MFA强制的项目中,您必须使用API令牌来验证来自自动帐户的SSH访问请求。 令牌允许自动化进程绕过需要TFA的身份验证工作流。

为云帐户启用TFA

云基础架构上的Adobe Commerce支持使用以下任意应用程序进行TFA:

有关安装验证器应用程序和启用TFA的说明,请参阅Cloud Console中的​ 帐户设置 ​页。

要在您的用户帐户上启用TFA

  1. 登录到您的帐户

  2. 在右上角帐户菜单中,单击​ My Profile

  3. 在​ 安全性 ​选项卡上,单击​ Set up application

  4. 如果您的移动设备上没有经过批准的验证器应用程序,请使用链接说明安装该应用程序。

  5. 将您的Adobe Commerce on cloud infrastructure帐户添加到验证器应用程序。

    • 在移动设备上,打开验证器应用程序。 然后,将设置代码添加到应用程序中。

    • TFA set up - Application 页面的​ Application verification code ​字段中键入移动设备中的TFA代码。

    • 单击​ Verify and save

      如果代码有效,Adobe会向帐户电子邮件地址发送通知,确认帐户现在具有TFA。

  6. 可选。 启用​ 受信任的浏览器 ​设置以将浏览器中的身份验证代码缓存30天。

    此配置减少了项目登录期间的身份验证挑战。

  7. 单击​ 保存 ​或​ 跳过

  8. 保存恢复代码。

    • 在​ TFA设置 — 恢复 ​代码页面上,复制并保存恢复代码,以便在无法访问移动设备或身份验证应用程序时登录到Adobe Commerce上的云基础架构项目。

    • 将恢复代码复制到其他位置,或者在您无法访问设备或身份验证应用程序时将其写下。

    • 单击​ 保存 ​以将代码保存到您的帐户,以便您可从帐户安全设置查看和管理这些代码。

      note warning
      WARNING
      如果您无法访问具有TFA的帐户,并且没有恢复代码列表,则必须联系项目管理员,或提交Adobe Commerce支持票证以重置TFA应用程序。
  9. 完成TFA设置后,单击​ 保存 ​以更新您的帐户。

  10. 通过TFA验证当前会话。

    • 注销您的帐户。
    • 使用您的用户名和密码登录。
    • 出现提示时,从移动设备上的验证器应用程序输入accounts.magento.cloud条目的TFA代码。

管理TFA配置和恢复代码

您可以从​ 我的个人资料 ​页面上的​ 安全性 ​部分管理Adobe Commerce on cloud infrastructure帐户的TFA配置。

  1. 登录到您的帐户

  2. 在右上角帐户菜单中,单击​ My Profile

  3. 在​ 我的个人资料 ​页面上,单击​ Security ​选项卡。

  4. 使用可用链接更新云基础架构帐户上Adobe Commerce的TFA设置:

    • 禁用TFA
    • 重置验证程序应用程序
    • 添加或删除受信任的浏览器
    • 查看或刷新您帐户上的TFA恢复代码

创建API令牌

可以将API令牌交换为OAuth 2访问令牌,然后该令牌可用于验证请求。

在已启用MFA强制的项目中,您必须具有API令牌才能为计算机用户和自动化流程启用SSH访问。

IMPORTANT
您的帐户的Protect API令牌值。 不要在代码示例、屏幕捕获或不安全的客户端 — 服务器通信中公开值。 此外,不要公开存储在公共存储库中的源代码中的值。

要创建API令牌

  1. 登录到您的帐户

  2. 在右上角帐户菜单中,单击​ My Profile

  3. 在​ 我的个人资料 ​页面上,单击​ API tokens ​选项卡。

  4. 单击​ Create API token ​并输入名称,例如,指定与计算机用户或使用API令牌的自动化进程匹配的名称。

    API令牌

  5. 单击​ Create API token

05f2f56e-ac5d-4931-8cdb-764e60e16f26