Rollen konfigurieren
Über Logto-Konsole konfigurieren
Rollentyp definieren
In Logto gibt es zwei Rollentypen, basierend auf der Entität, auf die sie angewendet werden können: "Benutzerrolle" oder "Maschine-zu-Maschine-App-Rolle".
- Benutzerrolle: Eine Benutzerrolle ist ein Rollentyp, der nur Benutzern zugewiesen werden kann. Sie kann Berechtigungen aus deinen eigenen API-Ressourcen enthalten.
- Maschine-zu-Maschine-Rolle: Eine M2M-Rolle ist ein Rollentyp, der nur Maschine-zu-Maschine-Apps zugewiesen werden kann. Sie kann sowohl deine eigenen API-Berechtigungen als auch Logto Management API-Berechtigungen enthalten. Die Maschine-zu-Maschine-Rolle wird normalerweise verwendet, um deine Maschine-zu-Maschine-Authentifizierung zu schützen, wie z. B. den Zugriff auf die Logto Management API oder deine eigenen API-Ressourcen.
Nach der Erstellung einer Rolle kannst du ihren Typ nicht mehr ändern.
Eine neue Rolle erstellen und definieren
Eine Rolle ist eine Gruppe von Berechtigungen. Navigiere zu Konsole > Rollen, und du siehst eine Liste der von dir definierten Rollen.
- Beachte, dass es technisch möglich ist, eine Rolle ohne zugewiesene Berechtigungen oder Benutzer zu erstellen, es wird jedoch nicht empfohlen, zu viele leere Rollen zu erstellen. Dies würde die Harmonie des Rollenmanagements stören und das RBAC-System unwirksam machen.
- Berechtigungen sind im Selektor nach API gruppiert, sodass du sie in großen Mengen hinzufügen oder einzeln auswählen kannst.
Rollenbasierte Zugangskontrolle (RBAC) wird in der gesamten Logto-Infrastruktur verwendet, sowohl auf System-/Benutzerebene als auch auf Organisationsebene. Dieses Kapitel konzentriert sich auf RBAC auf System-/Benutzerebene. Wenn du RBAC auf Organisationsebene implementieren musst, siehe die Organisationstemplate.
Eine Rolle anzeigen oder aktualisieren
Du kannst jederzeit den Rollennamen und die Beschreibung bearbeiten sowie die Berechtigungen und Benutzer, die der Rolle zugewiesen sind, überprüfen und verwalten.
Das Löschen der Rolle entfernt alle damit verknüpften Berechtigungen für die betroffenen Benutzer und löscht die Verbindung zwischen Rollen, Benutzern oder Apps und Berechtigungen.
Benutzer oder Maschine-zu-Maschine-Apps in Rollen verwalten
Abhängig vom gewählten Rollentyp kannst du Benutzer oder Maschine-zu-Maschine-Anwendungen auf der Rollendetailseite zuweisen oder entfernen.
Klicke auf die Registerkarte "Benutzer" oder "Maschine-zu-Maschine-Apps", um die der Rolle zugewiesenen Benutzer oder Apps anzuzeigen. Um weiterhin Benutzer oder Apps zur Rolle hinzuzufügen, klicke auf die Schaltfläche "Benutzer zuweisen" oder "Anwendungen zuweisen" in der oberen rechten Ecke.
Berechtigungen in Rollen verwalten
Wenn du die Fähigkeiten einer Rolle ändern musst, kannst du dies einfach tun, indem du Berechtigungen zuweist oder entfernst.
Wenn eine Berechtigung gelöscht wird, verlieren Benutzer oder Apps mit dieser Rolle den durch diese Berechtigung gewährten Zugriff.
Rollen verwalten, die einer Maschine-zu-Maschine-App oder einem Benutzer zugewiesen sind
Du findest eine Registerkarte "Rollen" auf der Detailseite eines Benutzers oder einer App. Klicke auf die Registerkarte, um die der Benutzer oder Maschine-zu-Maschine-Apps zugewiesenen Rollen anzuzeigen und zu verwalten.
Wenn die Konfiguration in Logto Cloud für dich nicht ausreicht, kannst du die Management API nutzen, um diese Verwaltungsaufgabe programmatisch durchzuführen.
Über Logto Management API konfigurieren
Verwalte mit der Logto Management API. Führe einen Aufruf zum entsprechenden Endpunkt aus. Sieh dir diese Referenz an.
| Methode | Pfad | Beschreibung |
|---|---|---|
| GET | /api/roles | Rollen mit Filtern und Paginierung abrufen. |
| POST | /api/roles | Eine neue Rolle mit den angegebenen Daten erstellen. |
| GET | /api/roles/{Id} | Rollendetails nach ID abrufen. |
| DELETE | /api/roles/{Id} | Eine Rolle mit der angegebenen ID löschen. |
| PATCH | /api/roles/{Id} | Rollendetails aktualisieren. Diese Methode führt ein partielles Update durch. |
| GET | /api/roles/{Id}/users | Benutzer abrufen, denen die Rolle mit Paginierung zugewiesen ist. |
| POST | /api/roles/{Id}/users | Eine Rolle einer Liste von Benutzern zuweisen. Die Rolle muss den Typ User haben. |
| DELETE | /api/roles/{Id}/users/{userId} | Eine Rolle von einem Benutzer mit der angegebenen ID entfernen. |
| GET | /api/roles/{Id}/applications | Anwendungen abrufen, denen die Rolle mit Paginierung zugewiesen ist. |
| POST | /api/roles/{Id}/applications | Eine Rolle einer Liste von Anwendungen zuweisen. Die Rolle muss den Typ Application haben. |
| DELETE | /api/roles/{Id}/applications/{applicationId} | Die Rolle von einer Anwendung mit der angegebenen ID entfernen. |
| GET | /api/roles/{Id}/scopes | API-Ressourcen-Berechtigungen (Scopes) abrufen, die mit einer Rolle verknüpft sind. |
| POST | /api/roles/{Id}/scopes | Eine Liste von API-Ressourcen-Berechtigungen (Scopes) mit einer Rolle verknüpfen. Die ursprünglich verknüpften Scopes bleiben erhalten. |
| DELETE | /api/roles/{Id}/scopes/{scopeId} | Eine API-Ressourcen-Berechtigung (Scope) von einer Rolle mit der angegebenen ID entknüpfen. |
Standardrollen
Standardrollen sind die automatisch zugewiesenen Rollen, wenn die Benutzer erstellt werden, entweder für die Selbstregistrierung oder durch die Management API. Du kannst diesen Schalter aktivieren, indem du zur Registerkarte „Allgemein“ auf der Detailseite unter Konsole > Rollen gehst.