Rollen konfigurieren
Konfiguration über die Logto-Konsole
Rollentyp definieren
In Logto gibt es zwei Arten von Rollen, basierend auf der Entität, auf die sie angewendet werden können: "Benutzerrolle" oder "Maschine-zu-Maschine-App-Rolle".
- Benutzerrolle: Eine Benutzerrolle ist eine Art von Rolle, die nur Benutzern zugewiesen werden kann. Sie kann Berechtigungen aus deinen eigenen API-Ressourcen enthalten.
- Maschine-zu-Maschine-Rolle: Eine M2M-Rolle ist eine Art von Rolle, die nur Maschine-zu-Maschine-Apps zugewiesen werden kann. Sie kann sowohl deine eigenen API-Berechtigungen als auch Logto Management API-Berechtigungen enthalten. Die Maschine-zu-Maschine-Rolle wird normalerweise verwendet, um deine Maschine-zu-Maschine-Authentifizierung zu schützen, wie z. B. den Zugriff auf die Logto Management API oder deine eigenen API-Ressourcen.
Nach der Erstellung einer Rolle kannst du ihren Typ nicht mehr ändern.
Eine neue Rolle erstellen und definieren
Eine Rolle ist eine Gruppe von Berechtigungen. Navigiere zu Konsole > Rollen, und du siehst eine Liste der von dir definierten Rollen.
- Beachte, dass es technisch möglich ist, eine Rolle ohne zugewiesene Berechtigungen oder Benutzer zu erstellen, es wird jedoch nicht empfohlen, zu viele leere Rollen zu erstellen. Dies würde die Harmonie des Rollenmanagements stören und das RBAC-System unwirksam machen.
- Berechtigungen sind im Selektor nach API gruppiert, sodass du sie in großen Mengen hinzufügen oder einzeln auswählen kannst.
Rollenbasierte Zugangskontrolle (RBAC) wird in der gesamten Logto-Infrastruktur verwendet, sowohl auf System-/Benutzerebene als auch auf Organisationsebene. Dieses Kapitel konzentriert sich auf RBAC auf System-/Benutzerebene. Wenn du RBAC auf Organisationsebene implementieren musst, siehe die Organisationstemplate.
Eine Rolle anzeigen oder aktualisieren
Du kannst jederzeit den Rollennamen und die Beschreibung bearbeiten sowie die Berechtigungen und Benutzer, die der Rolle zugewiesen sind, überprüfen und verwalten.
Das Löschen der Rolle entfernt alle damit verknüpften Berechtigungen für die betroffenen Benutzer und löscht die Verbindung zwischen Rollen, Benutzern oder Apps und Berechtigungen.
Benutzer oder Maschine-zu-Maschine-Apps in Rollen verwalten
Abhängig vom gewählten Rollentyp kannst du Benutzer oder Maschine-zu-Maschine-Anwendungen auf der Rollendetailseite zuweisen oder entfernen.
Klicke auf die Registerkarte "Benutzer" oder "Maschine-zu-Maschine-Apps", um die der Rolle zugewiesenen Benutzer oder Apps anzuzeigen. Um Benutzer oder Apps weiterhin zur Rolle hinzuzufügen, klicke auf die Schaltfläche "Benutzer zuweisen" oder "Anwendungen zuweisen" in der oberen rechten Ecke.
Berechtigungen in Rollen verwalten
Wenn du die Fähigkeiten einer Rolle ändern musst, kannst du dies einfach tun, indem du Berechtigungen zuweist oder entfernst.
Wenn eine Berechtigung gelöscht wird, verlieren Benutzer oder Apps mit dieser Rolle den durch diese Berechtigung gewährten Zugriff.
Rollen verwalten, die einer Maschine-zu-Maschine-App oder einem Benutzer zugewiesen sind
Auf der Detailseite eines Benutzers oder einer App findest du eine Registerkarte "Rollen". Klicke auf die Registerkarte, um die der Benutzer oder Maschine-zu-Maschine-Apps zugewiesenen Rollen anzuzeigen und zu verwalten.
Wenn die Konfiguration in Logto Cloud für dich nicht ausreicht, kannst du die Management API nutzen, um diese Verwaltungsaufgabe programmgesteuert durchzuführen.
Konfiguration über die Logto Management API
Verwalte mit der Logto Management API. Führe einen Aufruf zum entsprechenden Endpunkt aus. Sieh dir diese Referenz an.
| Methode | Pfad | Beschreibung |
|---|---|---|
| GET | /api/roles | Rollen mit Filtern und Paginierung abrufen. |
| POST | /api/roles | Eine neue Rolle mit den angegebenen Daten erstellen. |
| GET | /api/roles/{Id} | Rollendetails nach ID abrufen. |
| DELETE | /api/roles/{Id} | Eine Rolle mit der angegebenen ID löschen. |
| PATCH | /api/roles/{Id} | Rollendetails aktualisieren. Diese Methode führt ein partielles Update durch. |
| GET | /api/roles/{Id}/users | Benutzer abrufen, denen die Rolle mit Paginierung zugewiesen ist. |
| POST | /api/roles/{Id}/users | Eine Rolle einer Liste von Benutzern zuweisen. Die Rolle muss den Typ User haben. |
| DELETE | /api/roles/{Id}/users/{userId} | Eine Rolle von einem Benutzer mit der angegebenen ID entfernen. |
| GET | /api/roles/{Id}/applications | Anwendungen abrufen, denen die Rolle mit Paginierung zugewiesen ist. |
| POST | /api/roles/{Id}/applications | Eine Rolle einer Liste von Anwendungen zuweisen. Die Rolle muss den Typ Application haben. |
| DELETE | /api/roles/{Id}/applications/{applicationId} | Die Rolle von einer Anwendung mit der angegebenen ID entfernen. |
| GET | /api/roles/{Id}/scopes | API-Ressourcen-Berechtigungen (Scopes) abrufen, die mit einer Rolle verknüpft sind. |
| POST | /api/roles/{Id}/scopes | Eine Liste von API-Ressourcen-Berechtigungen (Scopes) mit einer Rolle verknüpfen. Die ursprünglich verknüpften Scopes bleiben erhalten. |
| DELETE | /api/roles/{Id}/scopes/{scopeId} | Eine API-Ressourcen-Berechtigung (Scope) von einer Rolle mit der angegebenen ID entknüpfen. |
Standardrollen
Standardrollen sind die automatisch zugewiesenen Rollen, wenn die Benutzer erstellt werden, entweder für die Selbstregistrierung oder erstellt über die Management API. Du kannst diesen Schalter aktivieren, indem du zu Rollen-Rolledetail-Allgemein gehst.