Como gerenciar usuários, funções e permissões

Edge for Private Cloud v. 4.16.05

O site de documentação da Apigee tem muitas informações sobre como gerenciar papéis de usuários e permissões. Os usuários podem ser gerenciados usando a interface do usuário do Edge e a API Management; funções e as permissões só podem ser gerenciadas com a API Management.

Para informações sobre usuários e como criar usuários, consulte:

• Sobre global usuários
• Como criar usuários globais

Muitas das operações realizadas para gerenciar usuários exigem que o administrador do sistema para conceder privilégios de acesso. Em uma instalação baseada na nuvem do Edge, a Apigee desempenha o papel de sistema administrador. Em uma borda para a instalação da nuvem privada, o administrador do sistema precisa realizar essas tarefas conforme descrito abaixo.

Adicionar um usuário

Você pode criar um usuário usando a API Edge, a interface do usuário do Edge ou os comandos do Edge. Esta seção descreve como usar a API Edge e os comandos do Edge. Para informações sobre como criar usuários no interface do Edge, consulte Como criar usuários globais.

Depois de criar o usuário em uma organização, atribua um papel a ele. Funções determinar os direitos de acesso do usuário no Edge.

Use o seguinte comando para criar um usuário com a API Edge:

curl -H "Content-Type:application/xml" -u <sysAdminEmail>:<passwd> \
-X POST http://<ms_IP>:8080/v1/users \
-d '<User> \
   <FirstName>New</FirstName> \
   <LastName>User</LastName> \
   <Password>newUserPWord</Password> \
   <EmailId>foo@bar.com</EmailId> \
</User>'

Ou use o seguinte comando do Edge para criar um usuário:

> /<inst_root>/apigee/apigee-service/bin/apigee-service apigee-provision create-user -f configFile

Em que o configFile contém as informações necessárias para criar o usuário:

APIGEE_ADMINPW=sysAdminPW    # If omitted, you will be prompted.
USER_NAME=foo@bar.com
FIRST_NAME=New
LAST_NAME=User
USER_PWD="newUserPWord"
ORG_NAME=myorg  

Você pode usar essa chamada para ver informações sobre o usuário:

curl -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/users/foo@bar.com

Atribuir o usuário a uma função em um organização

Antes que um novo usuário possa fazer qualquer coisa, ele precisa ser atribuído a uma função em uma organização. É possível atribuir o usuário a diferentes papéis, incluindo orgadmin, businessuser, opsadmin, user ou um papel personalizado definido na organização.

Ao atribuir um usuário a uma função em uma organização, ele é adicionado automaticamente à organização. Atribuir um usuário a várias organizações usando uma função em cada uma organização.

Use o seguinte comando para atribuir o usuário a um papel em uma organização:

curl -X POST -H "Content-Type:application/x-www-form-urlencoded" /
http://<ms_IP>:8080/v1/o/<org_name>/userroles/<role>/users?id=foo@bar.com /
-u <sysAdminEmail>:<passwd> 

É possível visualizar os papéis do usuário usando o seguinte comando:

curl -u <sysAdminEmail>:<passwd> /
http://<ms_IP>:8080/v1/users/foo@bar.com/userroles

Para remover um usuário de uma organização, remova todos os papéis dessa organização. Use o seguinte comando para remover um papel de um usuário:

curl -X DELETE -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/o/<org_name>/userroles/<role>/users/foo@bar.com

Como adicionar um administrador do sistema

Um administrador do sistema pode:

• Criar organizações
• Adicionar roteadores, processadores de mensagens e outros componentes a uma instalação do Edge
• Configurar TLS/SSL
• Criar administradores adicionais do sistema
• Realizar todas as tarefas administrativas do Edge

Embora apenas um usuário seja o padrão para tarefas administrativas, pode haver mais de um administrador do sistema. Qualquer usuário que seja membro do papel sysadmin tem permissão total para todos do Google Cloud.

Você pode criar o usuário para o administrador do sistema na interface ou na API do Edge. No entanto, você precisa usar a API Edge para atribuir ao usuário o papel de sysadmin. Atribuir um usuário ao sysadmin não pode ser executado interface do Edge.

Para adicionar um administrador do sistema:

1. Crie um usuário na interface ou API Edge.
2. Adicionar usuário a sysadmin função:
   curl -u <sysAdminEmail>:<passwd>
   -X POSTAGEM http://<ms_IP>:8080/v1/userroles/sysadmin/users \
   -d "id=foo@bar.com"
3. Verifique se o novo usuário tem a função sysadmin:
   curl -u &lt;sysAdminEmail&gt;:&lt;passwd&gt; http://&lt;ms_IP&gt;:8080/v1/userroles/sysadmin/users
   
   Retorna o endereço de e-mail do usuário:
   [ " foo@bar.com " ]
4. Verifique as permissões do novo usuário:
   curl -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/users/foo@bar.com/permissions
   
   Retorna:
   {
   "resourcePermission" : [ {
   "path" : "/",
   "permissions" : [ "get", "put", "delete" ]
   } ]
   }
5. Depois de adicionar o novo administrador do sistema, você pode adicionar o usuário a qualquer organização.
   Observação: o novo usuário administrador do sistema não poderá fazer login na interface do Edge até que você adicione o usuário a pelo menos uma organização.
6. Se mais tarde você quiser remover o usuário da função de administrador do sistema, use o seguinte API:
   curl -X DELETE -u &lt;sysadminEmail:pword&gt;
   http://&lt;ms_IP&gt;:8080/v1/userroles/sysadmin/users/foo@bar.com
   
   Essa chamada apenas remove o usuário da função, não exclui o usuário.

Especificar o domínio de e-mail de um sistema administrador

Como um nível extra de segurança, você pode especificar o domínio de e-mail necessário de um sistema Edge administrador. Ao adicionar um administrador do sistema, se o endereço de e-mail do usuário não estiver na domínio especificado, a adição do usuário ao papel sysadmin falhará.

Por padrão, o domínio obrigatório está vazio, o que significa que você pode adicionar qualquer endereço de e-mail à função sysadmin.

Para definir o domínio do e-mail:

1. Abra em um editor management-server.properties:
   vi /<inst_root>/apigee/customer/application/management-server.properties
   
   Se esse arquivo não existir, crie-o.
2. Defina conf_security_rbac.global.roles.allowed.domains. à lista separada por vírgulas de domínios permitidos. Por exemplo:
   conf_security_rbac.global.roles.allowed.domains=myCo.com,yourCo.com
3. Salve as alterações.
4. Reinicie o servidor de gerenciamento de borda:
   /<inst_root>/apigee/apigee-service/bin/apigee-service edge-management-server restart
   
   Se você tentar adicionar um usuário ao papel de administrador do sistema e o endereço de e-mail do usuário não estiver em um dos domínios especificados, a adição vai falhar.

Como excluir um usuário

É possível criar um usuário usando a API Edge ou a interface do Edge. No entanto, só é possível excluir um usuário usando a API.

Para ver a lista de usuários atuais, incluindo o endereço de e-mail, use o seguinte comando cURL:

curl -u <sysAdminEmail>:<passwd> http://<ms-IP>:8080/v1/users

Use o comando cURL a seguir para excluir um usuário:

curl -u <sysAdminEmail>:<passwd> -X DELETE http://<ms-IP>:8080/v1/users/<userEmail>