管理使用者存取權

雲端基礎結構上的Adobe Commerce專案使用角色型存取。 專案層級有兩個可用的角色:

  • 專案管理員 — 寫入所有專案環境的存取權,並可管理使用者、推送代碼和更新專案設定。
  • 專案檢視器 — 所有專案環境的僅限檢視存取權。

專案檢視器無法在任何環境中執行任務;不過,您可以授予專案檢視器特定環境型別的寫入許可權。

環境層級的存取取決於環境型別:生產、測試和開發。 授與使用者​ 檢視器 ​對​ 開發 ​環境的許可權,表示他們可以檢視專案中的​ 所有 ​開發環境。 下表釐清授予各個許可權層級的功能:

許可權層級
存取
SSH存取
管理員
執行管理員工作,例如變更設定、推播程式碼、執行工作及分支管理,包括合併父環境
參與者
推送程式碼並分支環境;無法變更設定或執行動作
檢視器
對環境型別的僅限檢視存取權
無存取權
無法存取環境型別

您可以使用magento-cloud CLI或Cloud Console新增使用者並指派角色。

recommendation-more-help

必要條件:

  • 已註冊Adobe ID的使用者。 使用者必須註冊Adobe帳戶,然後初始化其雲端帳戶,您才能將其新增至雲端專案。
  • 已指派​ 管理員 ​角色的使用者無法管理具有magento-cloud CLI的使用者。 只有被授與​ 帳戶擁有者 ​角色的使用者才能管理使用者。

使用CLI管理使用者

使用magento-cloud CLI管理使用者並與自動化系統整合:

  • magento-cloud user:add — 將使用者新增至專案
  • magento-cloud user:delete — 刪除使用者
  • magento-cloud user:list [users] — 列出專案使用者
  • magento-cloud user:role — 檢視或變更使用者角色
  • magento-cloud user:update — 更新專案上的使用者角色

下列範例使用magento-cloud CLI來新增使用者、設定角色、修改專案指派及指派使用者角色。

若要新增使用者並指派角色

  1. 使用magento-cloud CLI來新增使用者。

    code language-bash
    magento-cloud user:add
    
    note important
    IMPORTANT
    使用者必須有Adobe ID;請參閱必要條件
  2. 按照提示操作:指定使用者電子郵件地址、設定專案和環境型別角色,並新增使用者。

    範例提示

    code language-none
    Enter the user's email address: alice@example.com
    
    Email address: alice@example.com
    
    The user's project role can be admin (a) or viewer (v).
    
    Project role (default: viewer) [a/v]: viewer
    
    The user's environment type role(s) can be admin (a), viewer (v), contributor (c) or none (n).
    
    Role on type development (default: none) [a/v/c/n]: none
    Role on type production (default: none) [a/v/c/n]: admin
    Role on type staging (default: none) [a/v/c/n]: admin
    
    Adding the user alice@example.com to (project_id):
    Project role: viewer
      Role on type production: admin
      Role on type staging: admin
    
    Are you sure you want to add this user? [Y/n] y
    Adding the user to the project
    

    新增使用者後,Adobe會傳送電子郵件至指定地址,附上存取雲端基礎結構專案上Adobe Commerce的說明。

檢視使用者的專案角色

magento-cloud user:get alice@example.com

範例回應:

Current role(s) of User (alice@example.com) on Production (project_id):
  Project role: admin

新增使用者至多個環境

若要在Production環境中將使用者新增為viewer,並在Integration環境中將使用者新增為contributor

magento-cloud user:add alice@example.com -r production:v -r integration:c

更新使用者環境許可權

若要在Production環境上將使用者環境許可權更新為admin

magento-cloud user:update alice@example.com -r production:a

從Cloud Console管理使用者

您可以使用Cloud Console來新增許可權,並使用​ 編輯 ​功能來修改現有使用者的許可權。

IMPORTANT
使用者必須有Adobe ID;請參閱必要條件

將使用者新增至專案

  1. 登入Cloud Console

  2. 從​ 所有專案 ​清單中選取專案。

  3. 在「專案」控制面板上,按一下右上方的設定圖示。

  4. 在​ 專案設定 ​下,按一下​ Access

  5. 在​ 存取 ​檢視中,按一下​ Add

  6. 完成​ Add User ​表單:

    • 輸入使用者電子郵件地址。

    • Project admin — 授予所有設定和環境型別的管理員許可權。

    • Environment types and permissions — 將存取權和特定許可權層級授與特定環境型別。 無存取權管理員 (變更設定、執行動作、合併程式碼)、參與者 (推播程式碼)或​ 檢視器 (僅供檢視)。

    note tip
    TIP
    只有​ 專案管理員 ​可以在任何環境中管理使用者。 若要授與使用者對​ 存取權 ​標籤的存取權,其他​ 專案管理員 ​或​ 帳戶擁有者 ​必須將該使用者指派為​ 專案管理員 ​角色。
  7. 按一下​ Add User

    note important
    IMPORTANT
    新增使用者不會自動觸發部署。
  8. 新增使用者後,重新部署所有環境以套用變更。 新增使用者不會自動觸發部署。 重新部署是確保使用者可以使用SSH存取環境或執行管理員工作的重要步驟。

新增使用者後,Adobe會傳送電子郵件至指定地址,附上存取雲端基礎結構專案上Adobe Commerce的說明。

使用者驗證需求

為了增加安全性,Adobe提供專案層級的多重驗證(MFA)強制要求,以要求對雲端基礎結構專案原始碼和環境上的Adobe Commerce進行SSH存取的雙重驗證(TFA)。 請參閱啟用SSH的MFA

在雲端基礎結構專案的Adobe Commerce上啟用MFA強制執行時,該專案中擁有環境SSH存取權的所有使用者,必須在雲端基礎結構帳戶上的Adobe Commerce上啟用TFA。 對於自動化程式,您可以從命令列建立電腦使用者和API權杖以進行驗證。

將使用者新增至雲端專案後,請要求使用者檢閱其帳戶安全性設定,並視需要新增下列安全性設定:

  • 啟用TFA — 設定雙因素驗證,以符合安全性與法規遵循標準。 使用MFA強制執行設定的專案需要使用SSH存取專案的帳戶上的TFA。

  • 啟用SSH金鑰 — 需要在雲端基礎結構原始程式碼存放庫上存取Adobe Commerce的使用者,必須在他們的帳戶上啟用SSH金鑰。 請參閱安全連線

  • 建立API權杖 — 使用者必須產生用於環境SSH存取的API權杖。 您需要Token才能啟用自動化程式的驗證工作流程。

    在啟用MFA強制的專案上,您必須使用API權杖來驗證來自自動化帳戶的SSH存取請求。 代號可讓自動化程式略過需要TFA的驗證工作流程。

為雲端帳戶啟用TFA

雲端基礎結構上的Adobe Commerce支援使用下列任何應用程式的TFA:

在Cloud Console的​ 帳戶設定 ​頁面上提供安裝驗證器應用程式及啟用TFA的說明。

若要在您的使用者帳戶上啟用TFA

  1. 登入您的帳戶

  2. 在右上角帳戶功能表中,按一下​ My Profile

  3. 在​ 安全性 ​標籤上,按一下​ Set up application

  4. 如果您的行動裝置上沒有核准的驗證器應用程式,請使用連結的指示來安裝。

  5. 將雲端基礎結構帳戶上的Adobe Commerce新增到驗證器應用程式。

    • 在您的行動裝置上,開啟驗證器應用程式。 然後,將安裝程式碼新增至應用程式。

    • TFA set up - Application 頁面的​ Application verification code ​欄位中,輸入行動裝置的TFA代碼。

    • 按一下​ Verify and save

      如果代碼有效,Adobe會傳送通知至帳戶電子郵件地址,確認帳戶現在具有TFA。

  6. 選填。 啟用​ 信任的瀏覽器 ​設定,將驗證碼在瀏覽器中快取30天。

    此設定可減少專案登入期間的驗證難題數量。

  7. 按一下​ 儲存 ​或​ 略過

  8. 儲存復原始碼。

    • 在​ TFA設定 — 復原 ​程式碼頁面上,複製並儲存復原程式碼,以便在無法存取行動裝置或驗證應用程式時,可以登入雲端基礎結構專案上的Adobe Commerce。

    • 將復原始碼複製到其他位置,或寫下代碼,以防您失去對裝置或驗證應用程式的存取權。

    • 按一下[儲存]​ ​將程式碼儲存至您的帳戶,以便您可從帳戶安全性設定檢視和管理程式碼。

      note warning
      WARNING
      如果您無法存取具有TFA的帳戶,且沒有復原始碼清單,則必須連絡專案管理員,或提交Adobe Commerce支援票證以重設TFA應用程式。
  9. 完成TFA設定後,按一下[儲存] 以更新您的帳戶。

  10. 使用TFA驗證您目前的工作階段。

    • 登出您的帳戶。
    • 使用您的使用者名稱和密碼登入。
    • 出現提示時,從行動裝置上的驗證器應用程式輸入accounts.magento.cloud專案的TFA代碼。

管理TFA設定和復原程式碼

您可以從​ 我的設定檔 ​頁面上的​ 安全性 ​區段,管理雲端基礎結構帳戶上Adobe Commerce的TFA設定。

  1. 登入您的帳戶

  2. 在右上角帳戶功能表中,按一下​ My Profile

  3. 在​ 我的設定檔 ​頁面上,按一下「Security」標籤。

  4. 使用可用連結更新雲端基礎結構帳戶上Adobe Commerce的TFA設定:

    • 停用TFA
    • 重設驗證器應用程式
    • 新增或移除信任的瀏覽器
    • 檢視或重新整理您帳戶上的TFA復原始碼

建立API權杖

API權杖可以交換為OAuth 2存取權杖,然後使用它來驗證請求。

在已啟用MFA強制的專案中,您必須擁有API權杖,才能為電腦使用者和自動化程式啟用SSH存取。

IMPORTANT
您帳戶的Protect API Token值。 請勿在程式碼範例、熒幕擷取或不安全的使用者端 — 伺服器通訊中公開值。 此外,請勿公開儲存在公共存放庫的原始程式碼中的值。

若要建立API權杖

  1. 登入您的帳戶

  2. 在右上角帳戶功能表中,按一下​ My Profile

  3. 在​ 我的設定檔 ​頁面上,按一下「API tokens」標籤。

  4. 按一下​ Create API token ​並輸入名稱,例如,指定符合電腦使用者或使用API權杖的自動化程式的名稱。

    API權杖

  5. 按一下​ Create API token

05f2f56e-ac5d-4931-8cdb-764e60e16f26