管理用户访问权限
云基础架构上的Adobe Commerce项目使用基于角色的访问。 在项目级别有两个可用的角色:
- 项目管理员 — 写入对所有项目环境的访问权限,并可管理用户、推送代码和更新项目设置。
- 项目查看器 — 对所有项目环境的仅查看访问权限。
项目查看者不能在任何环境中执行任务;但是,您可以授予项目查看者对特定环境类型的写入权限。
环境级访问基于环境类型:生产、暂存和开发。 向用户 查看器 授予 开发 环境的权限意味着他们可以查看项目中的 所有 开发环境。 下表说明了授予各个权限级别的功能:
您可以使用magento-cloud
CLI或Cloud Console添加用户和分配角色。
先决条件:
使用CLI管理用户
使用magento-cloud
CLI管理用户并与自动化系统集成:
magento-cloud user:add
— 添加用户到项目magento-cloud user:delete
— 删除用户magento-cloud user:list [users]
列出项目用户magento-cloud user:role
— 查看或更改用户角色magento-cloud user:update
— 更新项目中的用户角色
以下示例使用magento-cloud
CLI添加用户、配置角色、修改项目分配以及分配用户角色。
要添加用户并分配角色:
-
使用
magento-cloud
CLI添加用户。code language-bash magento-cloud user:add
note important IMPORTANT 用户必须具有Adobe ID;请参阅先决条件。 -
按照提示操作:指定用户电子邮件地址,设置项目和环境类型角色,并添加用户。
示例提示
code language-none Enter the user's email address: alice@example.com Email address: alice@example.com The user's project role can be admin (a) or viewer (v). Project role (default: viewer) [a/v]: viewer The user's environment type role(s) can be admin (a), viewer (v), contributor (c) or none (n). Role on type development (default: none) [a/v/c/n]: none Role on type production (default: none) [a/v/c/n]: admin Role on type staging (default: none) [a/v/c/n]: admin Adding the user alice@example.com to (project_id): Project role: viewer Role on type production: admin Role on type staging: admin Are you sure you want to add this user? [Y/n] y Adding the user to the project
添加用户后,Adobe会向指定地址发送一封电子邮件,说明如何访问云基础架构上的Adobe Commerce。
查看用户的项目角色
magento-cloud user:get alice@example.com
示例响应:
Current role(s) of User (alice@example.com) on Production (project_id):
Project role: admin
将用户添加到多个环境
要在Production
环境中将用户添加为viewer
,并在Integration
环境中将用户添加为contributor
,请执行以下操作:
magento-cloud user:add alice@example.com -r production:v -r integration:c
更新用户环境权限
要在Production
环境中将用户环境权限更新为admin
,请执行以下操作:
magento-cloud user:update alice@example.com -r production:a
从Cloud Console管理用户
您可以使用Cloud Console添加权限并使用 编辑 功能修改现有用户的权限。
在项目中添加用户
-
登录到Cloud Console。
-
从 所有项目 列表中选择一个项目。
-
在项目仪表板上,单击右上角的配置图标。
-
在 项目设置 下,单击 Access。
-
在 访问 视图中,单击 Add。
-
完成 Add User 表单:
-
输入用户电子邮件地址。
-
Project admin — 向所有设置和环境类型授予管理员权限。
-
Environment types and permissions — 向特定环境类型授予访问权和特定权限级别。 无访问权限、管理员(更改设置、执行操作、合并代码)、参与者(推送代码)或 查看器(仅查看)。
note tip TIP 只有 项目管理员 可以在任何环境中管理用户。 要授予用户访问 访问 选项卡的权限,其他 项目管理员 或 帐户所有者 必须为该用户分配 项目管理员 角色。 -
-
单击 Add User。
note important IMPORTANT 添加用户不会自动触发部署。 -
添加用户后,重新部署所有环境以应用更改。 添加用户不会自动触发部署。 重新部署是确保用户可以使用SSH访问环境或执行管理员任务的重要步骤。
添加用户后,Adobe会向指定地址发送一封电子邮件,说明如何访问云基础架构上的Adobe Commerce。
用户身份验证要求
为了提高安全性,Adobe提供了项目级别的多因素身份验证(MFA)实施,以要求在云基础架构项目源代码和环境上对Adobe Commerce的SSH访问需要双重身份验证(TFA)。 请参阅为SSH启用MFA。
在云基础架构项目上的Adobe Commerce上启用MFA强制执行后,所有对该项目中的环境具有SSH访问权限的用户都必须在其云基础架构帐户上的Adobe Commerce上启用TFA。 对于自动化进程,您可以创建计算机用户和API令牌,以通过命令行进行身份验证。
将用户添加到云项目后,请要求用户查看其帐户安全设置并根据需要添加以下安全配置:
为云帐户启用TFA
云基础架构上的Adobe Commerce支持使用以下任意应用程序进行TFA:
有关安装验证器应用程序和启用TFA的说明,请参阅Cloud Console中的 帐户设置 页。
要在您的用户帐户上启用TFA:
-
登录到您的帐户。
-
在右上角帐户菜单中,单击 My Profile。
-
在 安全性 选项卡上,单击 Set up application。
-
如果您的移动设备上没有经过批准的验证器应用程序,请使用链接说明安装该应用程序。
-
将您的Adobe Commerce on cloud infrastructure帐户添加到验证器应用程序。
-
在移动设备上,打开验证器应用程序。 然后,将设置代码添加到应用程序中。
-
在 TFA set up - Application 页面的 Application verification code 字段中键入移动设备中的TFA代码。
-
单击 Verify and save。
如果代码有效,Adobe会向帐户电子邮件地址发送通知,确认帐户现在具有TFA。
-
-
可选。 启用 受信任的浏览器 设置以将浏览器中的身份验证代码缓存30天。
此配置减少了项目登录期间的身份验证挑战。
-
单击 保存 或 跳过。
-
保存恢复代码。
-
在 TFA设置 — 恢复 代码页面上,复制并保存恢复代码,以便在无法访问移动设备或身份验证应用程序时登录到Adobe Commerce上的云基础架构项目。
-
将恢复代码复制到其他位置,或者在您无法访问设备或身份验证应用程序时将其写下。
-
单击 保存 以将代码保存到您的帐户,以便您可从帐户安全设置查看和管理这些代码。
note warning WARNING 如果您无法访问具有TFA的帐户,并且没有恢复代码列表,则必须联系项目管理员,或提交Adobe Commerce支持票证以重置TFA应用程序。
-
-
完成TFA设置后,单击 保存 以更新您的帐户。
-
通过TFA验证当前会话。
- 注销您的帐户。
- 使用您的用户名和密码登录。
- 出现提示时,从移动设备上的验证器应用程序输入
accounts.magento.cloud
条目的TFA代码。
管理TFA配置和恢复代码
您可以从 我的个人资料 页面上的 安全性 部分管理Adobe Commerce on cloud infrastructure帐户的TFA配置。
-
登录到您的帐户。
-
在右上角帐户菜单中,单击 My Profile。
-
在 我的个人资料 页面上,单击 Security 选项卡。
-
使用可用链接更新云基础架构帐户上Adobe Commerce的TFA设置:
- 禁用TFA
- 重置验证程序应用程序
- 添加或删除受信任的浏览器
- 查看或刷新您帐户上的TFA恢复代码
创建API令牌
可以将API令牌交换为OAuth 2访问令牌,然后该令牌可用于验证请求。
在已启用MFA强制的项目中,您必须具有API令牌才能为计算机用户和自动化流程启用SSH访问。
要创建API令牌:
-
登录到您的帐户。
-
在右上角帐户菜单中,单击 My Profile。
-
在 我的个人资料 页面上,单击 API tokens 选项卡。
-
单击 Create API token 并输入名称,例如,指定与计算机用户或使用API令牌的自动化进程匹配的名称。
-
单击 Create API token。