API Connect 用户角色

IBM® API Connect 解决方案提供基础架构、工具和设施，允许用户创建、管理和发布应用程序接口。通过用户角色以及分配给这些角色的许可权来控制在 API Connect 用户界面中执行任务的能力。

此处描述的角色是缺省 API Connect 角色。在 API Manager 用户界面中，可以创建定制角色; 有关更多信息，请参阅: 创建定制角色。

以下部分描述了每个 API Connect 用户界面的角色和许可权:

云管理器用户界面中的用户角色和权限。
API 管理器用户界面中的用户角色和权限。
Developer Portal UI 中的用户角色。

角色如下

成员角色赋予任何没有其他角色的入网用户，是只允许用户登录的最低角色。
所有者和管理员角色拥有所有权限，且无法修改。
自定义角色可以在管理员组织和提供商组织中创建，但不能在消费者组织中创建。

注意：在云管理器和 API 管理器中，"所有者 "角色拥有完全访问权限，而 "成员 "角色只有读取权限。所有者和成员角色都不能编辑或删除。所有其他角色，包括自定义角色，都可以删除。如果成员的角色已被移除，用户的成员资格仍保留在 API Connect 中，这样您就可以在将来为该成员添加角色。

Cloud Manager UI 中的用户角色和许可权

下表描述了基本产品中配置的 Cloud Manager UI 用户许可权。可以按照“表 2”中的指示来编辑某些角色，并且可以创建定制角色。有关如何为管理组织 (Cloud Manager 用户) 创建定制角色的指示信息，请参阅在管理组织中创建角色。

表 1. Cloud Manager UI 许可权
许可权	操作	描述
云设置	视图	查看云管理器 > 设置菜单中的所有项目，包括角色和默认角色
云设置	管理	管理云管理器 > 设置菜单中的所有项目，包括角色和默认角色
提供者组织	视图	在云管理器 > 提供商机构菜单中查看提供商机构列表
提供者组织	管理	从云管理器 > 提供商组织菜单添加、编辑和删除提供商组织和邀请所有者
分析	视图	在云管理器用户界面中查看分析，包括创建、更新、复制、删除、共享和取消共享已保存的查询
审计	视图	查看审计事件
设置	视图	在云管理器 > 设置 > 角色菜单中查看角色
设置	管理	在云管理器 > 设置 > 角色菜单中管理角色，其中包括配置治理
成员	视图	在云管理器 > 成员中的成员列表中查看成员
成员	管理	从云管理器 > 成员菜单添加和邀请成员注意：默认情况下，拥有 “成员 > 管理” 权限的用户可以为自己或其他用户分配任何角色和任何权限，而不管他们自己拥有什么权限。但是，您可以应用限制，以便用户要分配角色，他们自己必须至少具有应用于该角色的所有许可权。要应用该限制，请完成以下步骤: 作为云管理组织的成员从工具箱 CLI 登录到管理服务器; 有关详细信息，请参阅登录到管理服务器。请输入以下命令（终止连字符表示此命令从命令行接受输入）： `apic cloud-settings:update --server mgmt_endpoint_url -` 其中 `mgmt_endpoint_url` 是平台 API 端点 URL。输入以下数据，后接新的一行： `restrict_member_manage_permission: true` 按 `CTRL D` 以终止输入。
拓扑	视图	查看云管理器 > 拓扑菜单中的项目
拓扑	管理	添加、编辑和删除云管理器 > 拓扑菜单中的项目
合作	视图	查看参与部分的所有项目，包括规则、任务、目的地和参与配置。有了这项权限，您就可以监控警报条件、查看通知设置并跟踪整个系统的参与活动。
合作	管理	查看和修改参与部分的所有项目，包括创建、更新和删除规则、任务、目的地和参与配置。有了这项权限，您就可以配置警报条件、设置通知渠道并管理整个参与工作流程。

下表列出了各种 Cloud Manager UI 角色和分配给它们的权限。

表 2. Cloud Manager UI 角色
角色	操作	提供访问	描述
管理员	查看和管理	所有菜单	管理“管理员组织”
所有者	查看和管理	所有菜单	拥有并管理“管理员组织”
成员	视图	组织	最低角色。成员角色会自动分配给任何没有角色的用户。它允许他们登录，但不能访问任何菜单。
组织管理器	查看和管理	组织和提供方组织	管理提供商组织。
拓扑管理员	视图	组织结构、拓扑结构和设置	管理云拓扑。该角色只能管理拓扑和设置
查看者	视图	所有菜单	查看管理员组织

API Manager UI 中的用户角色和许可权

下表描述了 API 管理器用户界面中可用的权限。

拥有角色权限的用户可以更改权限分配并创建自定义角色。有关详细信息，请参阅 " 管理 API "部分中的创建自定义角色。

表 3. 组织许可权
许可权	操作	描述
应用程序核准	视图	查看将开发应用程序升级为生产应用程序的申请批准情况
应用程序核准	管理	批准或拒绝将开发应用程序升级为生产应用程序的请求
预订	视图	在开发人员门户网站上查看消费者组织创建的应用计划订阅
预订	管理	管理消费者组织在开发者门户中创建的应用计划订阅注：管理权限包括将订阅迁移到另一个计划的功能。
预订-核准	视图	查看应用程序计划预订核准
预订-核准	管理	批准或拒绝应用程序计划订阅
Consumer-Onboard-Approval	视图	查看消费者入职审批
Consumer-Onboard-Approval	管理	批准或拒绝消费者入职审批
API 分析	视图	查看分析数据并访问已保存的分析查询
API 分析	管理	创建、更新、复制、删除和共享已保存的分析查询，包括查看权限
子代	视图	在提供商组织层面查看目录，在目录层面查看空间
	创建	在提供商组织级别创建目录，在目录级别创建空间
	管理	在提供商组织层面管理目录，在目录层面管理空间注意：管理任务包括删除目录或空间，或转移目录或空间的所有权。
草稿 API	视图	查看草稿 API
草稿 API	编辑	编辑应用程序接口和应用程序接口测试草案、查看产品草案和应用程序接口测试
API-Agent	全部	使用会话式 API 代理
治理-执行-批准	视图	查看 "管理执行审批任务 "部分的所有项目。有了这个权限，你就可以查看作为管理执行流程的一部分创建的、需要目录管理员批准的所有任务
治理-执行-批准	管理	查看和修改 "管理执行审批任务 "部分的所有项目。使用此权限，您可以查看和更新作为管理执行流程的一部分创建的、需要目录管理员批准的所有任务（批准或拒绝）
产品	视图	查看产品
	登台	登台产品
	管理	管理产品
产品核准	查看和管理	查看和管理产品，包括查看产品生命周期的变化，以及执行以下操作：阶段管理发布取代替换不推荐淘汰
使用者组织 (Consumer organization)	视图	查看消费者组织和开发者
使用者组织 (Consumer organization)	管理	管理消费者组织和开发人员
应用程序	视图	查看生产和开发应用程序
应用程序	管理	管理生产和开发应用程序注：拥有此权限的成员还可以申请将开发应用程序升级为生产应用程序。此请求将触发一个需要由具有“应用程序核准管理”许可权的成员核准的任务。
应用程序开发	管理	查看和管理开发应用程序
审计	视图	查看审计事件
设置	视图	查看组织的配置设置，包括角色、TLS 配置文件和用户注册表。查看目录或空间的配置设置，包括策略和 OpenAPI 扩展。
设置	管理	管理组织的配置设置，包括角色、TLS 配置文件、用户注册、治理、API 测试和发现。管理目录或空间的配置设置，包括策略和 OpenAPI 扩展。
成员	视图	查看组织成员
成员	管理	管理组织成员注意：默认情况下，拥有 “成员 > 管理” 权限的用户可以为自己或其他用户分配任何角色和任何权限，而不管他们自己拥有什么权限。但是，您可以应用限制，以便用户要分配角色，他们自己必须至少具有应用于该角色的所有许可权。要应用该限制，请完成以下步骤: 作为云管理组织的成员从工具箱 CLI 登录到管理服务器; 有关详细信息，请参阅登录到管理服务器。请输入以下命令（终止连字符表示此命令从命令行接受输入）： `apic cloud-settings:update --server mgmt_endpoint_url -` 其中 `mgmt_endpoint_url` 是平台 API 端点 URL。输入以下数据，后接新的一行： `restrict_member_manage_permission: true` 按 `CTRL D` 以终止输入。
合作	视图	查看参与部分的所有项目，包括规则、任务、目的地和参与配置。有了这项权限，您就可以监控警报条件、查看通知设置并跟踪整个系统的参与活动。
合作	管理	查看和修改参与部分的所有项目，包括创建、更新和删除规则、任务、目的地和参与配置。有了这项权限，您就可以配置警报条件、设置通知渠道并管理整个参与工作流程。
草稿产品	视图	查看草稿 API 和产品
草稿产品	编辑	查看草稿 API 和编辑草稿产品

具有 "设置> 管理" 许可权的用户可以更改许可权分配，并且可以创建定制角色; 有关更多信息，请参阅管理 API部分中的创建定制角色。

表 4. 缺省 API Manager UI 角色以及分配给这些角色的缺省许可权。
角色	操作	提供访问	描述
管理员	查看和管理	所有菜单	管理 API 提供者组织
API 代理程序用户	视图	所有菜单	默认情况下，API 代理聊天用户只有查看权限。要执行 API 代理的所有操作，您需要拥有 API-Agent 权限
所有者	查看和管理	所有菜单	拥有和管理 API 提供者组织
查看者	视图	所有菜单	查看 API 提供者组织
API 管理员	查看和管理	所有菜单，但不能管理以下内容：成员、设置、拓扑、组织和子节点	管理应用程序接口的生命周期，发布应用程序接口供用户发现和使用
社区管理员	查看和管理	所有菜单，但不能管理以下内容：成员、设置、拓扑、组织、产品、产品批准和子节点	管理提供方组织与消费者组织之间的关系，提供有关应用程序接口使用情况的信息，并为消费者组织提供支持
成员	视图	组织	最低角色。成员角色会自动分配给任何没有角色的用户。它允许他们登录，但不能访问任何菜单
开发者	查看和管理	所有菜单，但不能管理以下菜单：菜单、设置、拓扑和组织。对于产品和产品批准，开发人员角色可以执行以下操作：查看、阶段、发布、取代、替换、废弃、退役和存档	API 开发人员可为其所属的提供者组织设计和开发 API 和应用程序。注意：当开发者角色分配给提供商组织级别的用户时，允许创建产品和 API，以及将产品暂存和发布到目录或空间，但分配给仅为提供商组织内目录或空间成员的用户时，则不允许。目录或空间中的开发人员可以管理暂存或发布到目录或空间中的产品。

注：所有者和管理员拥有使用 API Agent 的全部权限。更多信息，请参阅 API Agent 用户角色。

Developer Portal UI 中的用户角色

下表描述了与使用 API 和应用程序相关的各种 Developer Portal UI 角色。

表 5. Developer Portal UI 角色
角色	操作	提供访问	描述
所有者	查看和管理	组织成员	拥有并管理消费者组织。可以查看或管理在组织内创建的应用程序计划订阅。管理权限包括将订阅迁移到另一个计划。
	查看和管理	组织设置
	视图	组织视图
	视图	使用者产品
	查看和管理生产或开发应用程序	消费者应用
	管理开发应用程序	使用者组织
	查看和管理生产或开发应用程序	使用者预订
	视图	消费者应用分析
管理员	查看和管理	组织成员	管理消费者组织。可以查看或管理在组织内创建的应用程序计划订阅。管理权限包括将订阅迁移到另一个计划的功能。
	查看和管理	组织设置
	视图	组织
	视图	使用者产品
	查看和管理生产或开发应用程序	消费者应用
	管理开发应用程序	使用者组织
	查看和管理	使用者预订
	查看应用程序分析	消费者应用分析
查看者	视图	组织成员	消费者组织的观众
	视图	组织设置
	视图	组织
	视图	使用者产品
	查看应用程序	消费者应用
	查看生产应用程序	消费品生产应用
	查看应用程序分析	消费者应用分析
开发者	视图	组织成员	在消费者组织内构建和管理应用程序。可以查看或管理在组织内创建的应用计划订阅。管理权限包括将订阅迁移到另一个计划。
	视图	组织设置
	视图	组织
	视图	使用者产品
	查看和管理生产或开发应用程序	消费者应用
	管理开发应用程序	使用者组织
	查看和管理	使用者预订
	查看应用程序分析	消费者应用分析
成员	视图	组织	消费者组织成员

注意：系统会自动创建一个名为 admin 的用户，该用户拥有开发人员门户网站的全部管理员权限。此 admin 用户可查看产品和 API，但是无权使用 API。管理员用户的电子邮件地址是与开发人员门户相关联的提供商组织的所有者的电子邮件地址。