Nutzer, Rollen und Berechtigungen verwalten

Edge for Private Cloud Version 4.16.05

Die Apigee-Dokumentationswebsite enthält ausführliche Informationen zur Verwaltung von Nutzerrollen und Berechtigungen. Benutzer können sowohl mit der Edge-Benutzeroberfläche als auch mit der Management API verwaltet werden. Rollen und Berechtigungen können nur mit der Management API verwaltet werden.

Informationen zu Nutzern und zum Erstellen von Nutzern finden Sie unter:

Viele der Vorgänge zur Nutzerverwaltung erfordern einen Systemadministrator. Berechtigungen. In einer cloudbasierten Installation von Edge übernimmt Apigee die Rolle eines Systems Administrator. In einem Edge für die Private Cloud-Installation muss Ihr Systemadministrator und führen Sie diese Aufgaben wie unten beschrieben aus.

Nutzer hinzufügen

Sie können einen Nutzer entweder mit der Edge API, der Edge-Benutzeroberfläche oder mit Edge-Befehlen erstellen. In diesem Abschnitt wird beschrieben, wie Sie die Edge API und Edge-Befehle verwenden. Informationen zum Erstellen von Nutzern finden Sie in der Edge-Benutzeroberfläche, siehe Erstellen Nutzer weltweit.

Nachdem Sie den Nutzer in einer Organisation erstellt haben, müssen Sie ihm eine Rolle zuweisen. Rollen die Zugriffsrechte des Benutzers in Edge zu bestimmen.

Verwenden Sie den folgenden Befehl, um einen Nutzer mit der Edge API zu erstellen:

curl -H "Content-Type:application/xml" -u <sysAdminEmail>:<passwd> \
-X POST http://<ms_IP>:8080/v1/users \
-d '<User> \
   <FirstName>New</FirstName> \
   <LastName>User</LastName> \
   <Password>newUserPWord</Password> \
   <EmailId>foo@bar.com</EmailId> \
</User>'

Oder verwenden Sie den folgenden Edge-Befehl, um einen Benutzer zu erstellen:

> /<inst_root>/apigee/apigee-service/bin/apigee-service apigee-provision create-user -f configFile

Die Datei configFile enthält die Informationen, die zum Erstellen des Nutzers erforderlich sind:

APIGEE_ADMINPW=sysAdminPW    # If omitted, you will be prompted.
USER_NAME=foo@bar.com
FIRST_NAME=New
LAST_NAME=User
USER_PWD="newUserPWord"
ORG_NAME=myorg  

Anschließend können Sie mit diesem Aufruf Informationen über den Nutzer abrufen:

curl -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/users/foo@bar.com

Dem Nutzer eine Rolle in einer Organisation

Bevor ein neuer Nutzer etwas tun kann, muss er einer Rolle in einer Organisation zugewiesen werden. Ich können dem Nutzer verschiedene Rollen zuweisen, darunter orgadmin, businessuser, opsadmin, user oder einer im Unternehmen.

Wenn Sie einem Nutzer eine Rolle in einer Organisation zuweisen, wird er automatisch der Organisation hinzugefügt. Sie können einen Nutzer mehreren Organisationen zuweisen, indem Sie ihm in jeder Organisation eine Rolle zuweisen Unternehmen.

Verwenden Sie den folgenden Befehl, um dem Nutzer eine Rolle in einer Organisation zuzuweisen:

curl -X POST -H "Content-Type:application/x-www-form-urlencoded" /
http://<ms_IP>:8080/v1/o/<org_name>/userroles/<role>/users?id=foo@bar.com /
-u <sysAdminEmail>:<passwd> 

Sie können die Rollen des Nutzers mit dem folgenden Befehl anzeigen:

curl -u <sysAdminEmail>:<passwd> /
http://<ms_IP>:8080/v1/users/foo@bar.com/userroles

Wenn Sie einen Nutzer aus einer Organisation entfernen möchten, entfernen Sie alle Rollen in dieser Organisation für den Nutzer. Verwenden Sie den folgenden Befehl, um eine Rolle von einem Nutzer zu entfernen:

curl -X DELETE -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/o/<org_name>/userroles/<role>/users/foo@bar.com

Systemadministrator hinzufügen

Ein Systemadministrator kann Folgendes tun:

  • Organisationen erstellen
  • Fügen Sie einer Edge-Installation Router, Message Processor und andere Komponenten hinzu
  • TLS/SSL konfigurieren
  • Zusätzliche Systemadministratoren erstellen
  • Alle Edge-Verwaltungsaufgaben ausführen

Auch wenn nur ein einziger Nutzer der Standardnutzer für Verwaltungsaufgaben ist, kann es durchaus mehr als einem Systemadministrator. Jeder Nutzer mit der Rolle sysadmin hat uneingeschränkte Berechtigungen für alle Ressourcen.

Sie können den Nutzer für den Systemadministrator entweder in der Edge-Benutzeroberfläche oder in der API erstellen. Sie können jedoch Sie müssen die Edge API verwenden, um dem Nutzer die Rolle sysadmin zuzuweisen. Die Rolle sysadmin kann einem Nutzer nicht über die Edge-Benutzeroberfläche zugewiesen werden.

So fügen Sie einen Systemadministrator hinzu:

  1. Erstellen Sie einen Nutzer in der Edge-Benutzeroberfläche oder -API.
  2. Nutzer zu sysadmin hinzufügen Rolle:
    curl -u &lt;sysAdminEmail&gt;:&lt;passwd&gt;
    -X POST http://<ms_IP>:8080/v1/userroles/sysadmin/users \
    -d 'id=foo@bar.com'
  3. Der neue Nutzer muss die Rolle „Systemadministrator“ haben:
    curl -u &lt;sysAdminEmail&gt;:&lt;passwd&gt; http://&lt;ms_IP&gt;:8080/v1/userroles/sysadmin/users

    Gibt die E-Mail-Adresse des Nutzers zurück:
    [ " foo@bar.com " ]
  4. Berechtigungen des neuen Nutzers prüfen:
    curl -u &lt;sysAdminEmail&gt;:&lt;passwd&gt; http://&lt;ms_IP&gt;:8080/v1/users/foo@bar.com/permissions

    Retouren:
    {
    &quot;resourcePermission&quot; : [ {
    "path" : "/",
    „Berechtigungen“ : [ "get", "put", "delete" ]
    } ]
    }
  5. Nachdem Sie den neuen Systemadministrator hinzugefügt haben, können Sie ihn beliebigen Organisationen zuweisen.
    Hinweis: Der neue Systemadministrator kann sich erst bei der Edge-Benutzeroberfläche anmelden, wenn Sie Fügen Sie den Nutzer mindestens einer Organisation hinzu.
  6. Wenn Sie den Nutzer später aus der Rolle des Systemadministrators entfernen möchten, verwenden Sie die folgende API:
    curl -X DELETE -u &lt;sysadminEmail:pword&gt;
    http://&lt;ms_IP&gt;:8080/v1/userroles/sysadmin/users/foo@bar.com


    Beachten Sie, dass durch diesen Aufruf nur der Nutzer aus der Rolle entfernt wird. Der Nutzer wird dadurch nicht gelöscht.

E-Mail-Domain eines Systemadministrators angeben

Als zusätzliche Sicherheitsstufe können Sie die erforderliche E-Mail-Domain eines Edge-Systems angeben Administrator. Wenn Sie einen Systemadministrator hinzufügen und die E-Mail-Adresse des Nutzers nicht zur angegebenen Domain gehört, kann er nicht der Rolle sysadmin hinzugefügt werden.

Standardmäßig ist die erforderliche Domain leer. Sie können also eine beliebige E-Mail-Adresse zum sysadmin.

So legen Sie die E-Mail-Domain fest:

  1. Öffnen Sie management-server.properties in einem Editor:
    vi /&lt;inst_root&gt;/apigee/customer/application/management-server.properties

    Falls diese Datei nicht vorhanden ist, erstellen Sie sie.
  2. Legen Sie conf_security_rbac.global.roles.allowed.domains fest. der durch Kommas getrennten Liste zulässiger Domains hinzu. Beispiel:
    conf_security_rbac.global.roles.allowed.domains=myCo.com,yourCo.com
  3. Speichern Sie die Änderungen.
  4. Starten Sie den Edge-Verwaltungsserver neu:
    /&lt;inst_root&gt;/apigee/apigee-service/bin/apigee-service Edge-Management-Server-Neustart

    Wenn Sie jetzt versuchen, einen Nutzer zur Rolle „sysadmin“ hinzuzufügen, und seine E-Mail-Adresse nicht in einer der angegebenen Domains schlägt das Hinzufügen fehl.

Nutzer löschen

Sie können einen Nutzer entweder mithilfe der Edge API oder der Edge-Benutzeroberfläche erstellen. Sie können jedoch nur Nutzer mithilfe der API zu löschen.

Verwenden Sie den folgenden cURL-Befehl, um die Liste der aktuellen Nutzer einschließlich E-Mail-Adresse aufzurufen:

curl -u <sysAdminEmail>:<passwd> http://<ms-IP>:8080/v1/users

Verwenden Sie den folgenden cURL-Befehl, um einen Nutzer zu löschen:

curl -u <sysAdminEmail>:<passwd> -X DELETE http://<ms-IP>:8080/v1/users/<userEmail>