Configurer les rôles
Configurer via Logto Console
Définir le type de rôle
Dans Logto, il existe deux types de Rôles basés sur l'entité à laquelle ils peuvent être appliqués : "Rôle utilisateur" ou "Rôle d'application machine à machine".
- Rôle utilisateur : Le rôle utilisateur est un type de rôle uniquement attribuable aux utilisateurs. Il peut inclure des Permissions de vos propres Ressources API.
- Rôle machine à machine : Le rôle M2M est un type de rôle uniquement attribuable aux applications machine à machine. Il peut inclure à la fois vos propres Permissions API et les Permissions de Logto Management API. Le rôle machine à machine est généralement utilisé pour protéger votre Authentification machine à machine. Comme l'accès à Logto Management API ou à vos propres Ressources API.
Après avoir créé un rôle, vous ne pouvez pas modifier son type.
Créer et définir un nouveau rôle
Un rôle est un groupe de Permissions. Accédez à Console > Roles, et vous verrez une liste des rôles que vous avez définis.
- Gardez à l'esprit que bien qu'il soit techniquement possible de créer un rôle sans Permissions ou utilisateurs assignés, il n'est pas recommandé de créer trop de rôles vides. Cela perturbera l'harmonie de la gestion des rôles et rendra le système de Contrôle d’accès basé sur les rôles (RBAC) inefficace.
- Les Permissions sont regroupées par API dans le sélecteur, vous permettant de les ajouter en bloc ou de les sélectionner individuellement.
Le Contrôle d’accès basé sur les rôles (RBAC) est utilisé dans toute l'infrastructure Logto, tant au niveau système/utilisateur qu'au niveau de l'Organisation. Ce chapitre se concentre sur le RBAC au niveau système/utilisateur. Si vous avez besoin de mettre en œuvre le RBAC au niveau de l'Organisation, consultez le modèle d'organisation.
Voir ou mettre à jour un rôle
Vous pouvez également modifier le nom et la description du rôle, et inspecter et gérer les Permissions et utilisateurs assignés au rôle à tout moment.
La suppression du rôle éliminera toutes les Permissions liées pour les utilisateurs concernés et supprimera la connexion entre les rôles, les utilisateurs ou les applications, et les Permissions.
Gérer les utilisateurs ou les applications machine à machine dans les rôles
Selon le type de rôle que vous choisissez, vous pourrez attribuer ou supprimer des utilisateurs ou des applications machine à machine sur la page de détails du rôle.
Cliquez sur l'onglet "Utilisateurs" ou "Applications machine à machine" pour voir les utilisateurs ou applications assignés au rôle. Pour continuer à ajouter des utilisateur(s) ou application(s) au rôle, cliquez sur le bouton "Attribuer des utilisateurs" ou "Attribuer des applications" dans le coin supérieur droit.
Gérer les permissions dans les rôles
Si vous avez besoin de modifier les capacités d'un rôle, vous pouvez facilement le faire en attribuant ou en supprimant des Permissions.
Si une Permission est supprimée, les utilisateurs ou applications avec ce rôle perdront l'accès accordé par cette Permission.
Gérer les rôles attribués à une application machine à machine ou un utilisateur
Vous pouvez trouver un onglet "Rôles" sur la page de détails d'un utilisateur ou d'une application. Cliquez sur l'onglet pour voir et gérer les rôles attribués à l'utilisateur ou aux applications machine à machine.
Si la configuration dans Logto Cloud ne vous suffit pas, vous pouvez utiliser Management API pour effectuer cette tâche de gestion de manière programmatique.
Configurer via Logto Management API
Gérez en utilisant Logto Management API. Effectuez un appel au point de terminaison relatif. Consultez cette référence.
| méthode | chemin | description |
|---|---|---|
| GET | /api/roles | Obtenez des rôles avec des filtres et une pagination. |
| POST | /api/roles | Créez un nouveau rôle avec les données fournies. |
| GET | /api/roles/{Id} | Obtenez les détails du rôle par ID. |
| DELETE | /api/roles/{Id} | Supprimez un rôle avec l'ID donné. |
| PATCH | /api/roles/{Id} | Mettez à jour les détails du rôle. Cette méthode effectue une mise à jour partielle. |
| GET | /api/roles/{Id}/users | Obtenez les utilisateurs qui ont le rôle attribué avec pagination. |
| POST | /api/roles/{Id}/users | Attribuez un rôle à une liste d'utilisateurs. Le rôle doit avoir le type User. |
| DELETE | /api/roles/{Id}/users/{userId} | Supprimez un rôle d'un utilisateur avec l'ID donné. |
| GET | /api/roles/{Id}/applications | Obtenez les applications qui ont le rôle attribué avec pagination. |
| POST | /api/roles/{Id}/applications | Attribuez un rôle à une liste d'applications. Le rôle doit avoir le type Application. |
| DELETE | /api/roles/{Id}/applications/{applicationId} | Supprimez le rôle d'une application avec l'ID donné. |
| GET | /api/roles/{Id}/scopes | Obtenez les Portées de Ressource API (Permissions) liées à un rôle. |
| POST | /api/roles/{Id}/scopes | Liez une liste de Portées de Ressource API (Permissions) à un rôle. Les Portées liées originales seront conservées. |
| DELETE | /api/roles/{Id}/scopes/{scopeId} | Dissociez une Portée de Ressource API (Permission) d'un rôle avec l'ID donné. |
Rôles par défaut
Les rôles par défaut sont les rôles automatiquement attribués lorsque les utilisateurs sont créés, soit pour l'auto-inscription, soit créés via Management API. Vous pouvez activer ce basculement en allant dans rôles-détail du rôle-général.