El sitio de documentación de Apigee contiene mucha información sobre cómo administrar los roles de los usuarios y permisos. Los usuarios se pueden administrar con la IU perimetral y la API de Management. roles y los permisos solo se pueden administrar con la API de Management.
Para obtener información sobre los usuarios y cómo crearlos, consulta los siguientes recursos:
Muchas de las operaciones que realizas para administrar usuarios requieren privilegios de administrador del sistema. En una instalación de Edge basada en la nube, Apigee funciona como administrador del sistema. En una instalación de Edge para la nube privada, el administrador del sistema debe realizar estas tareas como se describe a continuación.
Agrega un usuario
Para crear un usuario, puedes usar la API de Edge, la IU de Edge o los comandos de Edge. Esta se describe cómo usar la API de Edge y los comandos de Edge. Para obtener información sobre cómo crear usuarios en la IU de Edge, consulta Crea contenido usuarios globales.
Después de crear el usuario en una organización, debes asignarle un rol. Funciones determinar los derechos de acceso del usuario en Edge.
Usa el siguiente comando para crear un usuario con la API de Edge:
curl -H "Content-Type:application/xml" \
-u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD -X POST http://ms_IP:8080/v1/users \
-d '<User> \
<FirstName>New</FirstName> \
<LastName>User</LastName> \
<Password>NEW_USER_PASSWORD</Password> \
<EmailId>foo@bar.com</EmailId> \
</User>'
O usa el siguiente comando de Edge para crear un usuario:
/opt/apigee/apigee-service/bin/apigee-service apigee-provision create-user -f configFile
Donde configFile crea el usuario, como se muestra en el siguiente ejemplo:
APIGEE_ADMINPW=SYS_ADMIN_PASSWORD # If omitted, you will be prompted. USER_NAME=foo@bar.com FIRST_NAME=New LAST_NAME=User USER_PWD="NEW_USER_PASSWORD" ORG_NAME=myorg
Luego, puedes usar esta llamada para ver la información del usuario:
curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/users/foo@bar.com
Asignar al usuario un rol en una organización
Antes de que un usuario nuevo pueda hacer algo, se le debe asignar un rol en una organización. Puedes asignar al usuario a diferentes roles, como orgadmin, businessuser, opsadmin, user o a un rol personalizado definido en la organización.
Cuando asignas un usuario a un rol en una organización, automáticamente se agrega al para que se adapten a las necesidades de tu organización. Asignar un usuario a varias organizaciones asignándole un rol en cada una de ellas
Usa el siguiente comando para asignar al usuario a un rol en una organización:
curl -X POST -H "Content-Type:application/x-www-form-urlencoded" \ http://ms_IP:8080/v1/o/org_name/userroles/role/users?id=foo@bar.com \ -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD
Esta llamada muestra todos los roles asignados al usuario. Si deseas agregar al usuario, pero solo mostrar el rol nuevo, usa la siguiente llamada:
curl -X POST -H "Content-Type: application/xml" \ http://ms_IP:8080/v1/o/org_name/users/foo@bar.com/userroles \ -d '<Roles><Role name="role"/><Roles>' \ -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD
Puedes ver los roles del usuario con el siguiente comando:
curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/users/foo@bar.com/userroles
Para quitar a un usuario de una organización, quita todas las funciones de esa organización del usuario. Usa el siguiente comando para quitar un rol de un usuario:
curl -X DELETE -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD \ http://ms_IP:8080/v1/o/org_name/userroles/role/users/foo@bar.com
Cómo agregar un administrador del sistema
Un administrador del sistema puede hacer lo siguiente:
- Crear organizaciones
- Agrega routers, procesadores de mensajes y otros componentes a una instalación de Edge
- Configurar TLS/SSL
- Crea administradores del sistema adicionales
- Realizar todas las tareas administrativas de Edge
Si bien solo un usuario es el usuario predeterminado para las tareas administrativas, puede haber más de un administrador del sistema. Cualquier usuario que sea miembro del rol "administrador del sistema" tiene permisos completos para todos los recursos.
Puedes crear el usuario para el administrador del sistema en la IU o la API de Edge. Sin embargo, Debes usar la API de Edge para asignar al usuario el rol de “administrador del sistema”. La asignación de un usuario al “administrador del sistema” no se puede realizar en la IU de Edge.
Para agregar un administrador del sistema, sigue estos pasos:
- Crea un usuario en la IU o API de Edge.
- Agrega el usuario al rol "sysadmin":
curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD \ -X POST http://ms_IP:8080/v1/userroles/sysadmin/users -d 'id=foo@bar.com'
- Asegúrate de que el usuario nuevo tenga el rol de "administrador del sistema":
curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/userroles/sysadmin/users
Muestra la dirección de correo electrónico del usuario:
[ " foo@bar.com " ]
- Verifica los permisos de un usuario nuevo:
curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/users/foo@bar.com/permissions
Se muestra lo siguiente:
{ "resourcePermission" : [ { "path" : "/", "permissions" : [ "get", "put", "delete" ] } ] } - Después de agregar al nuevo administrador del sistema, puedes agregar al usuario a cualquier organización.
- Si más adelante deseas quitar al usuario del rol de administrador del sistema, puedes usar el
siguiente API:
curl -X DELETE -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD \ http://ms_IP:8080/v1/userroles/sysadmin/users/foo@bar.com
Ten en cuenta que esta llamada solo quita al usuario del rol, no lo borra.
Cambia el usuario predeterminado del administrador del sistema
Cuando instalas Edge, debes especificar la dirección de correo electrónico del administrador del sistema. Edge crea un usuario con esa dirección de correo electrónico y lo establece como el administrador predeterminado del sistema. Más adelante, puedes agregar administradores del sistema adicionales como se describió anteriormente.
En esta sección, se describe cómo cambiar el administrador del sistema predeterminado a un usuario diferente y cómo cambiar la dirección de correo electrónico de la cuenta de usuario del administrador del sistema predeterminado actual.
Para ver la lista de usuarios configurados actualmente como administradores del sistema, usa la siguiente API Llamada:
curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/userroles/sysadmin/users
Para determinar el administrador del sistema predeterminado actual, consulta el
/opt/apigee/customer/defaults.sh. El archivo contiene la siguiente línea que muestra la dirección de correo electrónico del administrador del sistema predeterminado actual:
ADMIN_EMAIL=foo@bar.com
Para cambiar el administrador del sistema predeterminado y que sea un usuario diferente, haz lo siguiente:
- Crea un nuevo administrador del sistema como se describió anteriormente o asegúrate de que la cuenta de usuario del nuevo administrador del sistema ya esté configurada como administrador del sistema.
- Edita
/opt/apigee/customer/defaults.shpara establecerADMIN_EMAILen la dirección de correo electrónico del nuevo administrador del sistema. - Edita el archivo de configuración silencioso que usaste para instalar la IU de Edge y establece las siguientes propiedades:
ADMIN_EMAIL=NEW_SYS_ADMIN_EMAIL APIGEE_ADMINPW=NEW_SYS_ADMIN_PASSWORD SMTPHOST=smtp.gmail.com SMTPPORT=465 SMTPUSER=foo@gmail.com SMTPPASSWORD=bar SMTPSSL=y
Ten en cuenta que debes incluir las propiedades de SMTP, ya que todas las propiedades de la IU restablecer.
- Reconfigura la IU de Edge:
/opt/apigee/apigee-service/bin/apigee-service edge-ui stop
/opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile/opt/apigee/apigee-service/bin/apigee-service edge-ui start
Si solo quieres cambiar la dirección de correo electrónico de la cuenta de usuario por el valor predeterminado actual administrador del sistema, actualiza la cuenta de usuario para establecer la nueva dirección de correo electrónico y, luego, cambia la dirección de correo electrónico del administrador del sistema predeterminada:
- Actualiza la cuenta de usuario del usuario administrador del sistema predeterminado actual con un nuevo correo electrónico
dirección:
curl -H content-type:application/json -X PUT -u CURRENT_SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD \ http://ms_IP:8080/v1/users/CURRENT_SYS_ADMIN_EMAIL \ -d '{"emailId": "NEW_SYS_ADMIN_EMAIL", "lastName": "admin", "firstName": "admin"}' - Repite los pasos 2, 3 y 4 del procedimiento anterior para actualizar el archivo
/opt/apigee/customer/defaults.shy la IU de Edge.
Especificación del dominio de correo electrónico de un sistema administrador
Como nivel adicional de seguridad, puedes especificar el dominio de correo electrónico requerido de un administrador del sistema de Edge. Al agregar un administrador del sistema, si la dirección de correo electrónico del usuario no se encuentra en el dominio especificado y, luego, agregar el usuario al “administrador del sistema” falla.
De forma predeterminada, el dominio requerido está vacío, lo que significa que puedes agregar cualquier dirección de correo electrónico al rol "administrador del sistema".
Para configurar el dominio de correo electrónico, sigue estos pasos:
- Abre el archivo
management-server.propertiesen un editor:vi /opt/apigee/customer/application/management-server.properties
Si este archivo no existe, créalo.
- Establece el
conf_security_rbac.global.roles.allowed.domains. a la lista separada por comas de dominios permitidos. Por ejemplo:conf_security_rbac.global.roles.allowed.domains=myCo.com,yourCo.com
. - Guarda los cambios.
- Reinicia el servidor de administración de Edge:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
Si ahora intentas agregar un usuario al rol "administrador del sistema" y la dirección de correo electrónico del usuario no está en uno de los dominios especificados, la adición fallará.
Borra un usuario
Puedes crear un usuario con la API de Edge o la IU de Edge. Sin embargo, solo puedes borrar un usuario con la API.
Para ver la lista de usuarios actuales, incluida la dirección de correo electrónico, usa el siguiente comando curl:
curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms-IP:8080/v1/users
Usa el siguiente comando de curl para borrar un usuario:
curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD -X DELETE http://ms_IP:8080/v1/users/USER_EMAIL