TL;DR
Rol Tabanlı Erişim Kontrolü (RBAC), bireysel kullanıcılar yerine rollere izinler atayan bir güvenlik modelidir. Bu, API ekip yönetimini ölçeklenebilir ve denetlenebilir hale getirir. API işbirliği için uygun bir RBAC sistemi üç seviyeli izin hiyerarşisi (Kuruluş → Ekip → Proje), ayrıntılı kontrol için özel rol oluşturma ve SSO ve SCIM gibi kurumsal entegrasyonlar sunmalıdır. Apidog, üç seviyede 12 yerleşik rol ve kurumsal ekipler için özel proje rolleriyle kapsamlı bir RBAC çerçevesi sunar; bu da API varlıklarınızı kimlerin görüntüleyebileceği, düzenleyebileceği, test edebileceği veya yönetebileceği üzerinde hassas kontrol sağlar.
API Ekipleri İçin RBAC Neden Önemlidir?
API geliştirme birden fazla paydaşı içerir: uç noktaları yazan geliştiriciler, testleri yürüten QA mühendisleri, spesifikasyonları inceleyen ürün yöneticileri, dokümantasyon oluşturan teknik yazarlar ve erişim günlüklerini denetleyen güvenlik ekipleri. Yapılandırılmış erişim kontrolü olmadan kaos ortaya çıkar.
Gerçek dünya sorunu: Acemi bir geliştirici yanlışlıkla bir üretim API spesifikasyonunu değiştirir. Bir yüklenici görmemesi gereken hassas ödeme uç noktalarına erişim kazanır. Eski bir çalışanın kimlik bilgileri ayrıldıktan aylar sonra bile aktif kalır. Bunlar varsayımsal senaryolar değil; uygun RBAC olmadan API'leri yöneten kuruluşlarda her gün yaşanıyor.
Bir API Güvenlik Raporu, API güvenlik olaylarının %61'inin yetkisiz erişim veya aşırı izinler içerdiğini ortaya koymuştur. Temel neden? Ekiplerin API varlıklarıyla kimin ne yapabileceği üzerinde ayrıntılı kontrole sahip olmaması.
RBAC bunu aşağıdaki yollarla çözer:
- İzinleri bireylere değil rollere atar — Biri katıldığında veya ayrıldığında, 50 ayrı izni değil, rol atamasını güncellersiniz.
- En az ayrıcalıklı erişimi zorlar — Her rol en az gerekli izinleri alır.
- Denetim izleri oluşturur — Her eylem bir role eşlenir, bu da uyumluluk raporlamayı kolaylaştırır.
- Ekip büyümesini ölçeklendirir — Her hesabı yapılandırmak yerine rolleri atayarak 100 yeni ekip üyesi ekleyin.
Apidog'un RBAC sistemi, özellikle API geliştirme iş akışları için tasarlanmış üç katmanlı bir izin modeli ile bu zorlukları ele alır. Nasıl çalıştığını inceleyelim.
Üç Seviyeli İzin Hiyerarşisi
Etkin API işbirliği RBAC, sadece "bu projeye erişebilir" değil, birden fazla seviyede izinler gerektirir. Apidog, gerçek kuruluşların çalışmalarını nasıl yapılandırdığını yansıtan üç seviyeli bir hiyerarşi uygular:
| Seviye | Kapsam | Neyi Kontrol Eder |
|---|---|---|
| Kuruluş | Şirket genelinde | Faturalandırma, SSO, üye yönetimi, özel rol tanımları |
| Ekip | Departman/iş birimi | Ekip üyeliği, proje oluşturma, ekip kaynakları |
| Proje | Bireysel API | Uç noktalar, testler, dokümantasyon, ortamlar, dallar |
Neden üç seviye önemlidir: Ödeme, Kimlik ve Analiz olmak üzere üç ekibi olan bir fintech şirketini düşünün. Her ekip birden fazla API projesini yönetir. Ödeme ekibindeki bir geliştirici Ödeme API'lerine erişebilmeli ancak Kimlik veya Analiz projelerine erişememeli. Bir kuruluş yöneticisinin tüm ekipler için SSO'yu yapılandırması gerekir, ancak her API uç noktasını düzenlemesi gerekmez. Bir QA mühendisinin API spesifikasyonlarını değiştirmeden belirli projelerde testler çalıştırması gerekir.
Bu hiyerarşik yaklaşım iki yaygın hatayı önler:
- Aşırı yetkilendirme: Ayrıntılı kontrol çok karmaşık olduğu için herkese yönetici erişimi vermek
- İzin boşlukları: Ekip düzeyinde izinler oluşturmak ancak proje düzeyinde ayrıntıları unutmak
Her seviyenin rollerini ve yeteneklerini inceleyelim.
Kuruluş Düzeyinde Roller ve İzinler
Kuruluş rolleri şirket genelindeki ayarları kontrol eder; faturalandırma, kimlik sağlayıcı entegrasyonları, üye yönetimi ve kaynak yönetişimi. Bu roller, kuruluş çatısı altındaki tüm ekipleri ve projeleri etkiler.
Yerleşik Kuruluş Rolleri
| Rol | Açıklama | Ana Yetenekler |
|---|---|---|
| Kuruluş Sahibi | Kuruluş yaratıcısı, en yüksek yetki | Kuruluşu yeniden adlandırma/aktarma/kapatma, tam yönetici yetkileri |
| Kuruluş Yöneticisi | Kuruluş yönetimi | Üyeleri, ekipleri, SSO'yu, özel rolleri, kuruluş kaynaklarını yönetir |
| Kuruluş Üyesi | Temel katılımcı | Ekiplere katılır, projelere katılır (ekip/proje izinlerine göre) |
| Faturalandırma Yöneticisi | Yalnızca finans yöneticisi | Abonelikleri ve faturalandırmayı yönetir (bağımsız rol, diğerleriyle birleşebilir) |
İzin Matrisi: Kuruluş Ayarları
| Özellik | Kuruluş Sahibi | Kuruluş Yöneticisi | Kuruluş Üyesi | Faturalandırma Yöneticisi |
|---|---|---|---|---|
| Kuruluş ayarlarına erişim | ✅ | ✅ | ❌ | ❌ |
| Kuruluşu yeniden adlandır | ✅ | ✅ | ❌ | ❌ |
| Kuruluş sahipliğini aktar | ✅ | ❌ | ❌ | ❌ |
| Kuruluşu kapat | ✅ | ❌ | ❌ | ❌ |
İzin Matrisi: Ekip Yönetimi
| Özellik | Kuruluş Sahibi | Kuruluş Yöneticisi | Kuruluş Üyesi | Faturalandırma Yöneticisi |
|---|---|---|---|---|
| Yeni ekip oluştur | ✅ | ✅ | ❌ | ❌ |
| Ekibi kuruluşa aktar | ✅ | ✅ | ❌ | ❌ |
| Ekibi kuruluştan aktar | ✅ | ✅ | ❌ | ❌ |
İzin Matrisi: Üye Yönetimi
| Özellik | Kuruluş Sahibi | Kuruluş Yöneticisi | Kuruluş Üyesi | Faturalandırma Yöneticisi |
|---|---|---|---|---|
| Üye davet et | ✅ | ✅ | ❌ | ❌ |
| Üyenin kuruluş rolünü değiştir | ✅ | ✅ | ❌ | ❌ |
| Üyeleri kaldır | ✅ | ✅ | ❌ | ❌ |
Kuruluş Üyesi rolü kasıtlı olarak sınırlıdır — bu bir "pasif alıcı" rolüdür. Üyeler, ekip ve proje düzeyindeki izinlere göre ekiplere katılabilir ve projelere katılabilir, ancak kuruluş ayarlarını yönetemezler. Bu tasarım, işbirliğini mümkün kılarken yanlışlıkla kuruluş genelinde yapılan değişiklikleri önler.
Faturalandırma Yöneticisi benzersizdir: Bu rol bağımsızdır ve diğerleriyle birleşebilir. Bir kullanıcı hem Kuruluş Üyesi hem de Faturalandırma Yöneticisi olabilir. Faturalandırma Yöneticileri kuruluş ayarlarına erişemez, üyeleri yönetemez veya SSO'yu yapılandıramazlar; yalnızca abonelikleri ve faturalandırmayı yönetirler.
Ekip Düzeyinde Roller ve İzinler
Ekip rolleri departman düzeyindeki işlemleri kontrol eder; ekip üyelerini yönetme, projeler oluşturma ve ekip kaynaklarını yapılandırma. Bir ekip genellikle bir iş birimini, ürün hattını veya işlevsel bir grubu temsil eder (örn. Mobil Ekip, Arka Uç Ekibi, QA Ekibi).
Yerleşik Ekip Rolleri
| Rol | Açıklama | Ana Yetenekler |
|---|---|---|
| Ekip Sahibi | Ekip yaratıcısı, tam ekip kontrolü | Ekibi aktar/kapat, tüm ekip ayarlarını yönet |
| Ekip Yöneticisi | Ekip yönetimi | Üye davet et, roller ata, proje oluştur/sil, ekip kaynaklarını yönet |
| Ekip Üyesi | Ekip katılımcısı | Üye detaylarını görüntüle, projelere katıl (proje izinlerine göre) |
| Misafir | Harici işbirlikçi | Ekip yönetimi erişimi yok, sadece proje erişimi |
İzin Matrisi: Ekip Yönetimi
| İzin | Ekip Sahibi | Ekip Yöneticisi | Ekip Üyesi | Misafir |
|---|---|---|---|---|
| Ekip Üyesi detaylarını görüntüle | ✅ | ✅ | ✅ | ❌ |
| Ekip Üyelerini Davet Et | ✅ | ✅ | ❌ | ❌ |
| Ekip Üyesi Rollerini Ata/Kaldır | ✅ | ✅ | ❌ | ❌ |
| Proje Rollerini Görüntüle | ✅ | ✅ | ❌ | ❌ |
| Proje Rolleri Ekle/Düzenle/Sil | ✅ | ✅ | ❌ | ❌ |
İzin Matrisi: Ekip Ayarları
| İzin | Ekip Sahibi | Ekip Yöneticisi | Ekip Üyesi | Misafir |
|---|---|---|---|---|
| Ekip Adını Düzenle | ✅ | ✅ | ❌ | ❌ |
| Ekibi Aktar | ✅ | ❌ | ❌ | ❌ |
| Ekibi Kapat | ✅ | ❌ | ❌ | ❌ |
İzin Matrisi: Proje Operasyonları
| İzin | Ekip Sahibi | Ekip Yöneticisi | Ekip Üyesi | Misafir |
|---|---|---|---|---|
| Yeni Projeler Oluştur | ✅ | ✅ | ❌ | ❌ |
| Bir Projeyi Kopyala | ✅ | ✅ | ❌ | ❌ |
| Bir Projeyi Sil/Aktar | ✅ | ✅ | ❌ | ❌ |
| Proje Adını Düzenle | ✅ | ✅ | ❌ | ❌ |
Misafir rolü, harici işbirliği için güçlüdür. Danışmanlar, yükleniciler veya departmanlar arası işbirlikçiler, sadece belirli projelere erişimi olan Misafirler olarak bir ekibe katılabilirler; ekip yönetimi özelliklerine veya diğer ekip projelerine değil. Bu, harici kullanıcıların ilgisiz iş alanlarını görmesini engeller.
Proje Düzeyinde Roller ve İzinler
Proje rolleri API düzeyindeki işlemleri kontrol eder: uç noktaları düzenleme, testler çalıştırma, ortamları yönetme, dokümantasyon yayınlama. Günlük API çalışmalarının gerçekleştiği yer burasıdır.
Yerleşik Proje Rolleri
| Rol | Açıklama | Kullanım Durumu |
|---|---|---|
| Yönetici | Tam proje kontrolü | Proje lideri, API sahibi |
| Editör | İçeriği değiştir | Geliştiriciler, QA mühendisleri |
| Salt Okunur | Yalnızca görüntüle ve çalıştır | Ürün yöneticileri, paydaşlar, gözden geçirenler |
| Yasaklı | Erişim yok | Kısıtlı kullanıcılar, hassas projeler |
İzin Kategorileri
Proje izinleri sekiz ana kategoriyi kapsar:
- Dal Yönetimi — Sprint dalları, birleştirme istekleri, korumalı dallar, API versiyonları
- Uç Nokta Yönetimi — Uç noktalar, durumlar, şemalar, bileşenler, istekler, çöp kutusu işlemleri
- Otomatik Testler — Test senaryoları, performans testleri, zamanlanmış görevler, test raporları
- Ortam Yönetimi — Genel değişkenler, parametreler, ortamlar, Kasa Sırları (Vault Secrets)
- Dokümantasyon Paylaşımı — Hızlı paylaşım, dokümantasyon siteleri yayınlama
- Proje Ayarları — Temel ayarlar, üye yönetimi, özellik ayarları, bildirimler
- İstek Geçmişi — Yerel ve paylaşılan istek geçmişi
- İçe/Dışa Aktarma — Veri içe aktarma, zamanlanmış içe aktarma, dışa aktarma işlemleri
Önemli İzin Vurguları
| İzin | Yönetici | Editör | Salt okunur | Yasaklı |
|---|---|---|---|---|
| Uç noktaları Görüntüle, Çalıştır | ✅ | ✅ | ✅ | ❌ |
| Uç noktaları Ekle, Sil, Değiştir | ✅ | ✅ | ❌ | ❌ |
| Fonksiyonel Testleri Çalıştır | ✅ | ✅ | ✅ | ❌ |
| Test Senaryoları Ekle, Sil, Değiştir | ✅ | ✅ | ❌ | ❌ |
| Ortam Değişkenlerini Görüntüle, Düzenle | ✅ | ✅ | ✅ | ❌ |
| Ortamlar Ekle, Sil, Değiştir | ✅ | ✅ | ❌ | ❌ |
| Kasa Sırlarına Erişim | ✅ | ✅ | ❌ | ❌ |
| Belge Siteleri Ayarlarını Yayınla | ✅ | ❌ | ❌ | ❌ |
| Projeyi Klonla | ✅ | ❌ | ❌ | ❌ |
| Proje Üyelerini Yönet | ✅ | ❌ | ❌ | ❌ |
"Yasaklı" rolü güvenlik için kritiktir. Bir ekip üyesi belirli bir projeye erişmemesi gerektiğinde (örneğin hassas bir ödeme API'si), onları ekipten çıkarmak yerine Yasaklı olarak atayın. Ekip üyesi olarak kalırlar ancak o projeye sıfır erişimleri olur.
Ayrıntılı Kontrol için Özel Roller
Yerleşik roller çoğu senaryoyu kapsasa da, kurumsal ekipler genellikle standart kategorilere uymayan ince ayarlı izinlere ihtiyaç duyar. Apidog'un Kurumsal planı, ayrıntılı izin kontrolüne sahip özel proje rollerini destekler.
Özel Rolleri Ne Zaman İhtiyaç Duyarsınız?
- QA Mühendisi rolü: Testleri çalıştırabilir ve test senaryolarını değiştirebilir ancak API spesifikasyonlarını düzenleyemez.
- Teknik Yazar rolü: Dokümantasyonu düzenleyebilir ancak uç noktaları veya ortamları değiştiremez.
- Güvenlik Denetçisi rolü: Salt okunur erişim ve Kasa Sırlarını görüntüleme yeteneği ancak hiçbir şeyi değiştiremez.
- Stajyer rolü: Uç noktaları görüntüleyebilir ve istekleri çalıştırabilir ancak hiçbir şeyi silemez.
Özel Proje Rolleri Oluşturma
Ekip → Üyeler → Roller ve İzinler veya Kuruluş → Üyeler → Roller ve İzinler'e gidin, ardından özel bir rol oluşturmak için + Ekle'ye tıklayın.
İzinleri sekiz kategoriye göre yapılandırabilirsiniz:
| Kategori | Ayrıntılı Kontroller |
|---|---|
| Dal Yönetimi | Dalları görüntüle, dalları birleştir, birleştirme istekleri gönder, korumalı dalları değiştir |
| Uç Nokta Yönetimi | Görüntüle/çalıştır, ekle/değiştir/sil, kod oluştur, durumları, şemaları, bileşenleri, istekleri yönet |
| Otomatik Testler | Fonksiyonel testleri çalıştır, performans testlerini çalıştır, senaryoları değiştir, zamanlanmış görevleri yönet, raporları sil |
| Ortam Yönetimi | Mevcut değerleri görüntüle/düzenle, ekle/değiştir/sil, Kasa Sırlarını yönet |
| Dokümantasyon | Hızlı paylaşımı görüntüle, hızlı paylaşımı değiştir, belge sitelerini önizle, yayınlama ayarları |
| Proje Ayarları | Ayarları görüntüle, ayarları değiştir, üyeleri yönet, bildirimleri yapılandır, içe/dışa aktarmayı yönet |
| İstek Geçmişi | Yerel geçmişi görüntüle, geçmişi paylaş, paylaşılan geçmişi görüntüle, paylaşılan geçmişi sil |
Özel Rol En İyi Uygulamaları
- Bir kopyayla başlayın — Sıfırdan başlamak yerine mevcut bir rolü (Editör, Salt okunur) kopyalayın ve değiştirin
- "Tüm İzinler" onay kutularını kullanın — Bir modül için "Tüm İzinler"i işaretlemek, o modüle gelecekte eklenecek izinleri otomatik olarak verir
- Dağıtmadan önce test edin — Bir test projesi oluşturun, özel rolü atayın ve izinlerin beklendiği gibi çalıştığını doğrulayın
- Özel rolleri belgeleyin — Bir rol adlandırma kuralı oluşturun ve her özel rolün ne yapabileceğini belgeleyin
- Üç ayda bir gözden geçirin — Özel rollerin hala ekip ihtiyaçlarına uygun olduğundan emin olmak için periyodik olarak gözden geçirilmesi gerekir
Kurumsal Güvenlik Özellikleri
RBAC temeldir, ancak kurumsal API programları ek güvenlik yeteneklerine ihtiyaç duyar. Apidog, RBAC ile birlikte çalışan kurumsal düzeyde güvenlik özelliklerini entegre eder.
Tek Oturum Açma (SSO)
SAML 2.0 ile SSO, aşağıdaki gibi kimlik sağlayıcılar aracılığıyla merkezi kimlik doğrulamayı sağlar:
- Microsoft Entra ID (Azure Active Directory)
- Okta
- Google Workspace
- OneLogin
- Özel SAML 2.0 sağlayıcıları
SSO'nun RBAC için önemi:
- Yerel parola risklerini ortadan kaldırır — Zayıf parola yok, parola paylaşımı yok, unutulmuş kimlik bilgileri yok
- Kimlik yönetimini merkezileştirir — İK kullanıcıları tek bir yerden ekler/kaldırır; değişiklikler Apidog'a senkronize edilir
- Çok faktörlü kimlik doğrulamayı zorlar — IdP düzeyindeki MFA, Apidog erişimine uygulanır
- İşe alımı basitleştirir — Yeni çalışanlar kurumsal kimlik bilgileriyle giriş yapar, ayrı hesap oluşturmaya gerek yoktur
SCIM Sağlama
SCIM (System for Cross-domain Identity Management - Alanlar Arası Kimlik Yönetimi Sistemi), kullanıcı sağlama işlemini otomatikleştirir:
| Yetenek | Ne Yapar |
|---|---|
| Kullanıcı ekle | IdP bir kullanıcı oluşturduğunda, otomatik olarak Apidog kuruluşuna eklenirler |
| Kullanıcıları kaldır | IdP bir kullanıcıyı sildiğinde, Apidog'dan kaldırılırlar—kalıcı erişim olmaz |
| Hesapları bağla | SSO kimlikleri mevcut Apidog hesaplarına otomatik olarak bağlanır |
SCIM avantajları:
- Anında devre dışı bırakma — Eski çalışanlar erişimi günler içinde değil, dakikalar içinde kaybeder
- Yönetici yükünü azaltma — Manuel davet/kaldırma iş akışları yok
- Uyumluluk uyumu — Denetim izleri, erişimin tam olarak ne zaman verildiğini/kaldırıldığını gösterir
- Hata ortadan kaldırma — Unutulmuş hesaplar veya manuel hatalar yok
Ekiplere Grup Eşlemesi
Apidog, SAML grup eşlemesini destekler; IdP grupları otomatik olarak Apidog ekiplerine eşlenir:
- IdP'nizde grup iddialarını yapılandırın (örn. Azure AD grupları)
- Her IdP grubunu bir Apidog ekibine eşleyin
- Her grup için ekip rol izinlerini ayarlayın
Örnek: Azure AD grubu "API Geliştiricileri", Apidog "Backend Ekibi"ne Ekip Üyesi rolüyle eşlenir. Azure AD grubu "API Yöneticileri", "Platform Ekibi"ne Ekip Yöneticisi rolüyle eşlenir.
Çalışanlar SSO aracılığıyla giriş yaptığında, otomatik olarak doğru ekiplere uygun izinlerle katılırlar; manuel atama gerekmez.
Kasa Sırları
Kasa Sırları (Vault Secrets), merkezi kimlik bilgisi yönetimi sağlar:
| Özellik | Güvenlik Faydası |
|---|---|
| Şifreli depolama | API anahtarları, parolalar, belirteçler ortam dosyalarında değil, şifreli olarak depolanır |
| Referans tabanlı erişim | Kullanıcılar sırları isimle referans alır, gerçek değerleri asla görmez |
| Rol tabanlı görünürlük | Yalnızca Yöneticiler ve Editörler Kasa Sırlarını ekleyebilir/değiştirebilir |
| Denetim izi | Her sır erişimi uyumluluk için günlüğe kaydedilir |
Kasa Sırları vs. yerel ortam dosyaları:
| Yaklaşım | Güvenlik Riski |
|---|---|
| Yerel ortam dosyaları | Proje erişimi olan herkes tarafından görülebilen sırlar, potansiyel olarak Git aracılığıyla paylaşılabilir |
| Kasa Sırları | Merkezi, şifreli, rol kontrollü, denetimli |
Apidog'da RBAC Nasıl Kurulur
Tipik bir API ekibi için eksiksiz bir RBAC yapısını nasıl kuracağımıza bir göz atalım.
Adım 1: Ekip Yapınızı Tanımlayın
Rolleri yapılandırmadan önce kuruluşunuzu eşleyin:
Organizasyon: Şirketiniz
├── Ekip: Ödemeler
│ ├── Proje: Ödeme Ağ Geçidi API'si
│ ├── Proje: Sahtekarlık Tespit API'si
│ └── Proje: Faturalandırma Hizmeti API'si
├── Ekip: Kimlik
│ ├── Proje: Kimlik Doğrulama Hizmeti API'si
│ └── Proje: Kullanıcı Yönetimi API'si
└── Ekip: Analiz
├── Proje: Metrikler API'si
└── Proje: Raporlama API'siAdım 2: Kuruluş Rollerini Yapılandırın
- Kuruluş Sahibi (1 kişi): CEO, CTO veya Platform Lideri
- Kuruluş Yöneticileri (2-3 kişi): Mühendislik yöneticileri, Güvenlik liderleri
- Kuruluş Üyeleri (diğer herkes): Geliştiriciler, QA, PM'ler, yazarlar
Adım 3: Ekip Rollerini Yapılandırın
Her ekip için:
| Ekip | Ekip Sahibi | Ekip Yöneticisi | Ekip Üyeleri |
|---|---|---|---|
| Ödemeler | Ödemeler Lideri | Ödemeler Yöneticisi | 5 geliştirici, 2 QA |
| Kimlik | Kimlik Lideri | Kimlik Yöneticisi | 3 geliştirici, 1 QA |
| Analiz | Analiz Lideri | Analiz Yöneticisi | 2 geliştirici |
Adım 4: Proje Rollerini Yapılandırın
Her proje için, sorumluluklara göre roller atayın:
| Kişi | Ödeme Ağ Geçidi API'si | Sahtekarlık Tespit API'si | Kimlik Doğrulama Hizmeti API'si |
|---|---|---|---|
| Kıdemli Geliştirici A | Yönetici | Editör | Yasaklı |
| Kıdemli Geliştirici B | Editör | Yönetici | Yasaklı |
| Acemi Geliştirici C | Editör | Salt okunur | Yasaklı |
| QA Mühendisi | Editör | Editör | Yasaklı |
| Ürün Yöneticisi | Salt okunur | Salt okunur | Yasaklı |
| Yüklenici | Editör | Yasaklı | Yasaklı |
Adım 5: Önceden Yapılandırılmış Rollerle Üye Davet Etme
Kullanıcıları davet ederken rolleri hemen ayarlayabilirsiniz:
- Ekip daveti — Ekip rolü + varsayılan proje rolü ile ekibe davet et
- Proje daveti — Proje rolü ile belirli bir projeye davet et + otomatik olarak ekibe Üye olarak eklenir
Harici işbirlikçiler için: Görünürlüğü yalnızca davet edilen projeyle kısıtlamak için Diğer Projeler = Yasaklı ile proje düzeyinde davet kullanın.
Adım 6: SSO ve SCIM'i Yapılandırın (Kurumsal)
- Kuruluş Ayarlarında SAML SSO'yu kurun
- IdP panosundan SCIM belirtecini yapılandırın
- IdP gruplarını Apidog ekiplerine eşleyin
- Yayınlamadan önce bir pilot grupla test edin
API İşbirliği Güvenliği için En İyi Uygulamalar
1. En Az Ayrıcalık Prensibini Uygulayın
Minimum izinlerle başlayın, gerektiğinde ekleyin:
- Yeni ekip üyeleri: Salt okunur → gösterilen ihtiyaca göre artırın
- Yükleniciler: Çoğu proje için Yasaklı → yalnızca atanmış projeler için Editör
- QA mühendisleri: Testler için Editör, spesifikasyonlar için Salt okunur
2. Geliştirme ve Üretim Erişimini Ayırın
Geliştirme/hazırlık/üretim için ayrı projeler veya dallar oluşturun:
| Ortam | Geliştirici Erişimi | QA Erişimi | Yönetici Erişimi |
|---|---|---|---|
| Geliştirme | Editör | Editör | Yönetici |
| Hazırlık | Salt okunur | Editör | Yönetici |
| Üretim | Yasaklı | Salt okunur | Yönetici |
3. Uzmanlaşmış Fonksiyonlar için Özel Roller Kullanın
İşleri uzmanlaşmışken insanları genel rollere zorlamayın:
- Güvenlik ekibi: Salt okunur + Kasa Sırlarına erişim
- Teknik yazarlar: Dokümantasyon için Editör, uç noktalar için Salt okunur
- Performans mühendisleri: Testler için Editör, spesifikasyonlar için Salt okunur
4. İzinleri Üç Ayda Bir Gözden Geçirin
RBAC "kur ve unut" değildir. Üç aylık gözden geçirmeler planlayın:
- Birikmiş izinleri (rol sürünmesi) kontrol edin
- Yüklenici erişiminin proje kapsamını aşmadığını doğrulayın
- Yeni özellikler veya değişen sorumluluklar için özel rolleri güncelleyin
- Ayrılan çalışanların erişimini SCIM aracılığıyla anında kaldırın
5. Rol Tanımlarını Belgeleyin
Açık bir belge oluşturarak şunları gösterin:
- Her rol ne yapabilir ve ne yapamaz
- Her role kim sahip olmalı
- Rol değişiklikleri nasıl istenir
- Erişim anlaşmazlıkları için eskalasyon yolları
6. Denetim Günlüğünü Etkinleştirin
Kurumsal planlar, aşağıdakileri izleyen denetim günlüklerini içerir:
- Kim neye erişti
- Ne zaman erişti
- Ne tür eylemler gerçekleştirdi
- Rol atamaları ve değişiklikleri
Denetim günlüklerini şunlar için kullanın:
- Uyumluluk raporlaması
- Güvenlik olayı araştırması
- İzin optimizasyonu analizi
RBAC Karşılaştırması: Apidog vs Diğer Araçlar
Apidog'un RBAC'si diğer API işbirliği platformlarıyla nasıl karşılaştırılır?
| Özellik | Apidog | Postman | SwaggerHub | Bruno |
|---|---|---|---|---|
| İzin Seviyeleri | 3 (Kuruluş/Ekip/Proje) | 2 (Kuruluş/Ekip) | 2 (Kuruluş/Çalışma Alanı) | 1 (Git tabanlı) |
| Yerleşik Roller | 12 rol | 5 rol | 4 rol | Yok (Git izinleri) |
| Özel Roller | ✅ (Kurumsal) | ✅ (Kurumsal) | ✅ (Kurumsal) | ❌ |
| SSO/SAML | ✅ | ✅ | ✅ | ❌ |
| SCIM Sağlama | ✅ | ✅ | ❌ | ❌ |
| Grup Eşlemesi | ✅ | ✅ | ✅ | ❌ |
| Kasa Sırları | ✅ | ✅ (Kurumsal) | ❌ | ❌ |
| Proje İzolasyonu | ✅ (Yasaklı rolü) | Sınırlı | Sınırlı | Git tabanlı |
| Harici İşbirlikçi Kontrolü | ✅ (Misafir + Yasaklı) | Sınırlı | Sınırlı | Git erişim kontrolü |
Apidog avantajları:
- Üç seviyeli hiyerarşi — Postman/SwaggerHub'ın iki seviyesinden daha ayrıntılı
- Yasaklı rolü — Ekipler içinde açıkça erişim engelleme kontrolü
- Misafir rolü — Kontrollü görünürlüğe sahip harici işbirlikçiler
- SCIM entegrasyonu — Otomatik sağlama/devre dışı bırakma
- Birleşik platform — RBAC; tasarım, test, dokümantasyon, alay (mocking) işlemlerini tek bir araçta kapsar
Apidog RBAC ne zaman idealdir:
- Birden fazla API ekibi olan büyük kuruluşlar
- Kurumsal uyumluluk gereksinimleri (SSO, SCIM, denetlenebilirlik)
- Çapraz fonksiyonel ekipler (geliştirici, QA, PM, güvenlik, yazarlar)
- Kontrollü erişim gerektiren harici işbirlikçiler
- Katı erişim sınırları gerektiren hassas API'ler
Sonuç
Rol Tabanlı Erişim Kontrolü, API işbirliğini kaostan yönetişime dönüştürür. RBAC olmadan, ekip büyümesi izin karmaşıklığı, güvenlik riskleri ve uyumluluk sorunları anlamına gelir. Uygun RBAC ile güvenle ölçeklenirsiniz; kontrolü kaybetmeden ekip üyeleri, yükleniciler ve paydaşlar eklersiniz.
Ana çıkarımlar:
- Üç seviyeli hiyerarşi (Kuruluş → Ekip → Proje), gerçek ekiplerin çalışma şekliyle eşleşir
- 12 yerleşik rol, özel yapılandırmaya gerek kalmadan standart senaryoları kapsar
- Özel proje rolleri, uzmanlaşmış ihtiyaçlar için ince ayarlı izinler sağlar
- SSO ve SCIM, kurumsal kimlik yönetimiyle entegre olur
- Kasa Sırları, kimlik bilgisi yönetimini rol tabanlı erişimle merkezileştirir
- Yasaklı rolü, hassas projeler için açıkça erişim engelleme kontrolü sağlar
- Grup eşlemesi, IdP gruplarına göre ekip atamasını otomatikleştirir
Apidog'un RBAC sistemi, beş kişilik bir başlangıç şirketi veya bin kişilik bir kurumsal firma olun, yedi prensibin tamamını uygulamanız için size araçlar sunar.
SSS: API Ekipleri için Rol Tabanlı Erişim Kontrolü
API geliştirmede Rol Tabanlı Erişim Kontrolü (RBAC) nedir?
API geliştirmede RBAC, erişim haklarının bireysel kullanıcılara değil, rollere atandığı bir izin modelidir. Kullanıcılar rolleri (Yönetici, Editör, Salt okunur gibi) alır ve bu roller, hangi API kaynaklarını görüntüleyebileceklerini, değiştirebileceklerini, test edebileceklerini veya yönetebileceklerini belirler. Bu, ekip yönetimini basitleştirir, çünkü birinin rolünü değiştirmek, tüm izinlerini aynı anda günceller.
API işbirliğinin neden üç seviyeli izinlere ihtiyacı var?
API ekipleri üç seviyede çalışır: kuruluş genelinde (faturalandırma, SSO), ekip genelinde (proje oluşturma, üye yönetimi) ve projeye özgü (uç nokta düzenleme, test yürütme). Üç seviyeli RBAC bu yapıyla eşleşir, aşırı yetkilendirmeyi (çok fazla erişim verme) ve izin boşluklarını (gerekli kontrollerin eksik olması) önler.
Kuruluş Yöneticisi ile Ekip Yöneticisi arasındaki fark nedir?
Kuruluş Yöneticileri, şirket genelindeki ayarları yönetir: üye davetleri, ekip oluşturma, SSO yapılandırması, özel rol tanımları. Ekip Yöneticileri, ekibe özgü işlemleri yönetir: ekip üyelerini davet etme, ekip içinde projeler oluşturma, ekip kaynaklarını yapılandırma. Kuruluş Yöneticilerinin daha geniş bir kapsamı varken; Ekip Yöneticilerinin odaklanmış ekip kontrolü vardır.
Yasaklı proje rolü nasıl çalışır?
Yasaklı rolü, belirli bir projeye tüm erişimi açıkça reddeder. Bir kullanıcı ekip üyesi olarak kalabilir, ancak Yasaklı projelere sıfır görünürlüğü olur. Bu, belirli ekip üyelerinin hiçbir proje içeriğini görmemesi gereken hassas API'ler (ödeme sistemleri, güvenlik hizmetleri) için kullanışlıdır.
Misafir ekip rolü ne işe yarar?
Misafir, proje erişimine ihtiyaç duyan ancak ekipleri yönetmemesi gereken harici işbirlikçiler (yükleniciler, danışmanlar, departmanlar arası görevlendirilenler) içindir. Misafirler, ekip üyesi detaylarını göremez, üye davet edemez veya ekip ayarlarına erişemez; sadece proje düzeyindeki izinlere göre projelere katılırlar.
Belirli izinlerle özel roller oluşturabilir miyim?
Evet, Apidog Kurumsal planları özel proje rollerini destekler. Dal yönetimi, uç nokta yönetimi, otomatik testler, ortam yönetimi, dokümantasyon paylaşımı, proje ayarları, istek geçmişi ve içe/dışa aktarma olmak üzere sekiz kategoride ayrıntılı izinlere sahip roller tanımlayabilirsiniz. "QA Mühendisi" (yalnızca test düzenleme) veya "Teknik Yazar" (yalnızca dokümantasyon düzenleme) gibi roller oluşturabilirsiniz.
SSO entegrasyonu RBAC ile nasıl çalışır?
SSO, kimlik sağlayıcılar (Okta, Microsoft Entra ID) aracılığıyla kimlik doğrulamasını merkezileştirir. SSO etkinleştirildiğinde, ekip üyeleri kurumsal kimlik bilgileriyle giriş yapar. SSO ayrıca IdP gruplarını Apidog ekiplerine ve rollerine eşleyebilir; grup üyeliğine göre doğru izinleri otomatik olarak atar.
SCIM sağlama nedir ve neden kullanılır?
SCIM, kullanıcı yaşam döngüsü yönetimini otomatikleştirir. Biri şirketinize katıldığında, IdP otomatik olarak Apidog hesabını sağlar. Biri ayrıldığında, SCIM erişimini anında kaldırır. Bu, manuel davet/kaldırma iş akışlarını ortadan kaldırır ve eski çalışan kimlik bilgilerinin kalıcı olmasını önler.
Kasa Sırları RBAC ile nasıl çalışır?
Kasa Sırları, şifreli kimlik bilgilerini (API anahtarları, parolalar, belirteçler) merkezi olarak depolar. Kullanıcılar, gerçek değerleri görmeden sırları isimle referans alır. RBAC, Kasa Sırlarını kimlerin ekleyebileceğini, değiştirebileceğini veya erişebileceğini kontrol eder—genellikle Yöneticiler ve Editörler. Bu, kimlik bilgilerinin ortam dosyaları veya Git depoları aracılığıyla ifşa edilmesini önler.
Yükleniciler Kuruluş Üyesi mi yoksa Misafir mi olmalı?
Yükleniciler genellikle ekip düzeyinde Misafir olmalı ve proje düzeyinde Editör veya Salt okunur olmalıdır. Görünürlüklerini yalnızca atanmış projelerle sınırlamak ve ilgisiz iş alanlarına erişimi önlemek için "Diğer Projeler = Yasaklı" seçeneğiyle proje düzeyinde davetleri kullanın.