Configurar roles
Configurar a través de Logto Console
Definir tipo de rol
En Logto, hay dos tipos de roles según la entidad a la que se puede aplicar: "Rol de usuario" o "Rol de aplicación máquina a máquina".
- Rol de usuario: El rol de usuario es un tipo de rol que solo se puede asignar a usuarios. Puede incluir permisos de tus propios recursos de API.
- Rol de máquina a máquina: El rol M2M es un tipo de rol que solo se puede asignar a aplicaciones máquina a máquina. Puede incluir tanto tus propios permisos de API como permisos de Logto Management API. El rol de máquina a máquina se utiliza generalmente para proteger tu autenticación máquina a máquina. Como acceder a Logto Management API o a tus propios recursos de API.
Después de crear un rol, no puedes modificar su tipo.
Crear y definir un nuevo rol
Un rol es un grupo de permisos. Navega a Console > Roles, y verás una lista de roles que has definido.
- Ten en cuenta que, aunque técnicamente es posible crear un rol sin permisos o usuarios asignados, no se recomienda crear demasiados roles vacíos. Esto interrumpirá la armonía de la gestión de roles y hará que el sistema RBAC sea ineficaz.
- Los permisos se agrupan por API en el selector, lo que te permite agregarlos en bloque o seleccionarlos individualmente.
El control de acceso basado en roles (RBAC) se utiliza en toda la infraestructura de Logto, tanto a nivel de sistema/usuario como a nivel de organización. Este capítulo se centra en el RBAC a nivel de sistema/usuario. Si necesitas implementar RBAC a nivel de organización, consulta la plantilla de organización.
Ver o actualizar un rol
También puedes editar el nombre y la descripción del rol, e inspeccionar y gestionar los permisos y usuarios asignados al rol en cualquier momento.
Eliminar el rol eliminará todos los permisos vinculados a él para los usuarios afectados y eliminará la conexión entre roles, usuarios o aplicaciones y permisos.
Gestionar usuarios o aplicaciones máquina a máquina en roles
Dependiendo del tipo de rol que elijas, podrás asignar o eliminar usuarios o aplicaciones máquina a máquina en la página de detalles del rol.
Haz clic en la pestaña "Usuarios" o "Aplicaciones máquina a máquina" para ver los usuarios o aplicaciones asignados al rol. Para continuar agregando usuario(s) o aplicación(es) al rol, haz clic en el botón "Asignar usuarios" o "Asignar aplicaciones" en la esquina superior derecha.
Gestionar permisos en roles
Si necesitas cambiar las capacidades de un rol, puedes hacerlo fácilmente asignando o eliminando permisos.
Si se elimina un permiso, los usuarios o aplicaciones con este rol perderán el acceso otorgado por este permiso.
Gestionar roles asignados a una aplicación máquina a máquina o usuario
Puedes encontrar una pestaña "Roles" en la página de detalles de un usuario o una aplicación. Haz clic en la pestaña para ver y gestionar los roles asignados al usuario o aplicaciones máquina a máquina.
Si la configuración en Logto Cloud no es suficiente para ti, puedes utilizar Management API para realizar esta tarea de gestión de manera programática.
Configurar a través de Logto Management API
Gestiona usando Logto Management API. Realiza una llamada al punto final relativo. Consulta esta referencia.
| método | ruta | descripción |
|---|---|---|
| GET | /api/roles | Obtener roles con filtros y paginación. |
| POST | /api/roles | Crear un nuevo rol con los datos proporcionados. |
| GET | /api/roles/{Id} | Obtener detalles del rol por ID. |
| DELETE | /api/roles/{Id} | Eliminar un rol con el ID proporcionado. |
| PATCH | /api/roles/{Id} | Actualizar detalles del rol. Este método realiza una actualización parcial. |
| GET | /api/roles/{Id}/users | Obtener usuarios que tienen el rol asignado con paginación. |
| POST | /api/roles/{Id}/users | Asignar un rol a una lista de usuarios. El rol debe tener el tipo User. |
| DELETE | /api/roles/{Id}/users/{userId} | Eliminar un rol de un usuario con el ID proporcionado. |
| GET | /api/roles/{Id}/applications | Obtener aplicaciones que tienen el rol asignado con paginación. |
| POST | /api/roles/{Id}/applications | Asignar un rol a una lista de aplicaciones. El rol debe tener el tipo Application. |
| DELETE | /api/roles/{Id}/applications/{applicationId} | Eliminar el rol de una aplicación con el ID proporcionado. |
| GET | /api/roles/{Id}/scopes | Obtener alcances de recursos de API (permisos) vinculados con un rol. |
| POST | /api/roles/{Id}/scopes | Vincular una lista de alcances de recursos de API (permisos) a un rol. Los alcances vinculados originales se mantendrán. |
| DELETE | /api/roles/{Id}/scopes/{scopeId} | Desvincular un alcance de recurso de API (permiso) de un rol con el ID proporcionado. |
Roles predeterminados
Los roles predeterminados son los roles asignados automáticamente cuando se crean los usuarios, ya sea para el auto-registro o creados a través de Management API. Puedes habilitar este interruptor yendo a roles-detalle del rol-general.