成员、角色和权限
了解哪些角色有哪些权限,以及如何邀请和移除组织成员
一个 GraphOS 组织可以拥有任何数量的成员,每个成员都可以被指派一个 角色,这定义了他们在组织中的能力。
组织范围内的成员角色
每个组织成员都有以下角色之一
| 名称 | 描述 | 支持 计划类型 |
|---|---|---|
| 组织管理员 | 对整个组织,包括其成员、图表和配置,有管理访问权限。 | 所有 |
| 图表管理员 | 对组织的图表有管理访问权限,但不能访问成员或组织级别的配置。适用于被认为是图表管理员的设计师。 | 企业专用 |
| 贡献者 | 可以向图表推送新的(schema),但不能配置图表设置或集成。适用于有权限更改图表的后端开发人员。不能推送schema更改或为受保护版本报告指标。 | 企业专用 |
| 文档记录者 | 拥有观察者角色的所有权限,以及编辑图README、描述和类似非操作元数据的能力。 | 企业专用 |
| 观察者 | 只能查看组织的图表数据,如schema和指标。也可以在探索器中执行查询。适用于没有权限更改图表的后端开发人员。 | 企业专用 |
| 消费者 | 仅具有对组织的API.schema的只读访问权限,但没有超级图或子图schema,或指标。还可以在探索器中执行查询。适用于构建针对图的服务端的应用程序开发者。此角色对所有计划类型均可用。对于按用户收费的计划,消费者不计入计费用户。 | 所有 |
| 计费管理器 | 具有对组织级配置和计费的管理访问权限。还可以删除成员(但不能邀请他们)。没有访问图的权限。了解更多。此角色适用于所有付费计划类型。对于按用户计费的计划,计费管理器不计入计费用户。 | 所有付费计划类型 |
只有具有组织管理员角色的成员才能将角色分配给其他成员。您可以从用户设置页面,或从组织成员标签中查看您在特定组织中的角色。
特定于图的成员角色
您可以为单个图覆盖成员的组织的全局角色。例如,如果成员在您的组织中具有观察者角色,您可以为需要额外访问权限的图分配给他们编辑者角色。
ⓘ 注意
成员的特定于图的角色必须比他们在组织的全局角色具有更多权限。
具有图管理员或组织管理员角色的成员可以从图的设置页面权限标签分配特定于图的角色。
隐藏的图
如果图被隐藏,那么只有具有明确覆盖(以及组织管理员)的用户才能看到该图。
图管理员覆盖
图管理员和组织管理员角色对特定图具有完全相同的权限,因此您可以授予图管理员覆盖,但不能授予(等效的)组织管理员覆盖。
创建图时的默认设置
当组织的编辑者创建一个新的图时,他们将自动被授予对应图的图管理员角色。
角色权限
组织管理权限
| 操作 | 组织管理员 | 图表管理员 | 贡献者 | 观察者/文档者 | 消费者 |
|---|---|---|---|---|---|
| 管理组织配置(名称、头像等) | ✓ | ||||
| 删除组织 | ✓ | ||||
| 查看和编辑计费信息 | ✓ | ||||
| 邀请成员 | ✓ | ||||
| 删除成员 | ✓ | ||||
| 导出 审计日志(仅企业版) | ✓ | ||||
| 管理有权访问图的用户 | ✓ | ✓ |
图管理权限
| 操作 | 组织管理员 | 图表管理员 | 贡献者 | 观察者/文档者 | 消费者 |
|---|---|---|---|---|---|
| 查看和管理图API密钥 | ✓ | ✓ | |||
| 管理图集成(Slack、Datadog等) | ✓ | ✓ | |||
| 删除和重命名图 | ✓ | ✓ | |||
| 创建图 | ✓ | ✓ | ✓ | ||
| 创建新变体 | ✓ | ✓ | 仅支持非受保护变体 | ||
| 将模式推送到图 | ✓ | ✓ | 仅支持非受保护变体 | ||
| 管理探索者设置(URL等) | ✓ | ✓ | 仅支持非受保护变体 | ||
| 报告图使用指标 1 | ✓ | ✓ | 仅支持非受保护变体 | ||
| 查看联邦图中子图的模式 | ✓ | ✓ | ✓ | ✓ | |
| 查看图使用指标和跟踪 2 | ✓ | ✓ | ✓ | ✓ | |
| 编辑变体README | ✓ | ✓ | ✓ | 仅文档者使用 | |
| 使用探索者查询图 | ✓ | ✓ | ✓ | ✓ | ✓ |
| 查看图模式和变更日志 | ✓ | ✓ | ✓ | ✓ | ✓ |
ⓘ 注意
当你 从GraphOS Router或Apollo Server报告指标时,你应该使用一个 图形API密钥。对于非受保护 变体,图形API密钥角色必须是贡献者、组织管理员或图形管理员。对于受保护变体,只有组织和图形管理员角色可以报告指标。
目前,图使用指标和跟踪通过Studio网络应用不对消费者显示,但它们在API层没有被阻止。我们打算从消费者中删除这项功能,但在此期间,你应该理解消费者并没有完全被阻止访问这些指标和跟踪。
模式检查权限
了解更多关于模式检查。
| 操作 | 组织管理员 | 图表管理员 | 贡献者 | 观察者/文档者 | 消费者 |
|---|---|---|---|---|---|
| 修改模式检查配置 | ✓ | ✓ | |||
| 覆盖标记检查 标记的检查 | ✓ | ✓ | |||
| 运行模式检查 | ✓ | ✓ | ✓ | ✓ |
模式提案权限
此功能仅适用于 GraphOS企业计划.
你可以通过注册免费的 企业试用.
下表显示了默认 模式提案设置。你可以配置哪些角色可以创建、编辑和批准提案。
| 操作 | 组织管理员 | 图表管理员 | 贡献者 | 观察者/文档者 | 消费者 |
|---|---|---|---|---|---|
| 更改提案状态 | ✓ | ✓ | |||
| 创建提案 | ✓ | ✓ | ✓ | ✓ | |
| 编辑提案 | ✓ | ✓ | ✓ | ✓ | |
| 添加审阅者 | ✓ | ✓ | ✓ | ✓ | |
| 查看提案 | ✓ | ✓ | ✓ | ✓ | ✓ |
| 发表评论 | ✓ | ✓ | ✓ | ✓ | ✓ |
| 批准提案 | ✓ | ✓ | ✓ | ✓ | ✓ |
合同权限
此功能仅适用于 GraphOS企业计划.
你可以通过注册免费的 企业试用.
了解更多关于合同。
| 操作 | 组织管理员 | 图表管理员 | 贡献者 | 观察者/文档者 | 消费者 |
|---|---|---|---|---|---|
| 创建和修改合同以及合同变体 | ✓ | ✓ | |||
| 查看现有合同 | ✓ | ✓ | ✓ |
账单管理员
具有账单管理员角色的成员无法看到或管理其组织中的图,但他们可以:
- 从组织中移除成员
- 查看和编辑计费信息(包括更改计费计划)
- 管理组织配置(名称、头像等)
值得注意的是,计费管理员无法邀请新成员加入组织或更新角色。
Graph API密钥角色
每个graph API密钥都有一个相应的成员角色。此角色可以是以下之一:Graph Admin(默认),Contributor,Documenter,Observer或Consumer。图形API密钥仅提供对关联图形的访问权限。它不提供对与组织或用户相关联的操作的访问权限。
一个名为 Persistence Query Publisher的额外角色仅供graph API密钥使用,而非组织成员。此角色仅适用于企业组织中的图形API密钥。具有此角色的密钥可以运行rover persisted-queries publish命令将操作发布到持久查询列表。该角色不提供对该图形的其他读取或写入访问权限。
此角色适用于客户端开发团队部署过程的使用。如果您的graph使用了持久查询,一些客户端团队可能需要将它们的operations发布到您的graph's持久查询列表,但不应能够查看您视图的schema、变更日志或使用其他Consumer级别的功能。
否则,图形API密钥的权限与具有相同角色的用户相当。例如,您可以使用Consumer密钥检索图形的schema,您可以使用Graph Admin密钥管理集成。
一些操作未列在上述表格中,因为它们仅由graph API密钥支持,而不是图形组织中的用户个人的API密钥。这些主要是由您的GraphQL服务器执行的操作,例如使用情况报告(跟踪和性能指标)。
ⓘ 注意
2021年1月之前,图形密钥没有角色。在那之前创建的密钥(显示为旧版管理员密钥)可以执行以下操作:
- 创建新的变体s
- 运行 模式检查
- 查看和管理 图形API密钥s
- 将模式推送到一个 图形
- 查看联邦图中 子图 的模式
- 查看 图形 模式和变更日志
- 修改 模式检查 配置
邀请成员
组织管理员 可以通过组织“成员”标签从您的组织电子邮件地址中邀请个人成员,通过 GraphOS Studio。组织管理员还可以从组织的“设置”标签创建一个持久 邀请链接,可用于邀请任意数量的成员。使用任何一种方法,组织管理员都可以指定新成员的角色。
ⓘ 注意
- 如果您的组织使用身份提供程序(IdP)进行单点登录(SSO),您应该在您的IdP中配置访问,而不是通过邀请。例如,使用Okta,您需要 分配成员到您的 GraphOS Studio集成,以授予他们访问权限。如果您已配置成员在您的IdP中访问,他们可以在没有邀请链接的情况下访问GraphOS Studio。
- 不要公开共享邀请链接。 任何持有链接的人都可以加入您的组织。如果邀请链接遭到泄露,管理员可以从“设置”标签替换或关闭它。
移除成员
组织管理员 和 计费管理员 都可以从 GraphOS Studio的组织“成员”标签中移除成员。