การจัดการผู้ใช้ บทบาท และสิทธิ์

Edge สำหรับ Private Cloud เวอร์ชัน 4.16.05

เว็บไซต์เอกสารของ Apigee มีข้อมูลโดยละเอียดเกี่ยวกับการจัดการบทบาทและสิทธิ์ของผู้ใช้ คุณจัดการผู้ใช้ได้โดยใช้ทั้ง Edge UI และ Management API โดยบทบาทและสิทธิ์จะจัดการได้ด้วย Management API เท่านั้น

สำหรับข้อมูลเกี่ยวกับผู้ใช้และการสร้างผู้ใช้ โปรดดูที่

• เกี่ยวกับผู้ใช้ทั่วโลก
• การสร้างผู้ใช้ทั่วโลก

การดำเนินการหลายอย่างที่คุณทำเพื่อจัดการผู้ใช้ต้องใช้สิทธิ์ของผู้ดูแลระบบ Apigee ในการติดตั้ง Cloud บน Cloud นั้น Apigee ในบทบาทของผู้ดูแลระบบ ในการติดตั้ง Edge สำหรับ Private Cloud ผู้ดูแลระบบต้องทำงานเหล่านี้ตามที่อธิบายไว้ด้านล่าง

การเพิ่มผู้ใช้

คุณจะสร้างผู้ใช้ได้โดยใช้คำสั่ง Edge API, Edge UI หรือ Edge หัวข้อนี้จะอธิบายวิธีใช้คำสั่ง Edge API และ Edge ดูข้อมูลเกี่ยวกับการสร้างผู้ใช้ใน Edge UI ได้ที่การสร้างผู้ใช้ส่วนกลาง

หลังจากสร้างผู้ใช้ในองค์กรแล้ว คุณต้องมอบหมายบทบาทให้กับผู้ใช้ บทบาทจะกำหนดสิทธิ์การเข้าถึงของผู้ใช้ใน Edge

ใช้คำสั่งต่อไปนี้เพื่อสร้างผู้ใช้ด้วย Edge API

curl -H "Content-Type:application/xml" -u <sysAdminEmail>:<passwd> \
-X POST http://<ms_IP>:8080/v1/users \
-d '<User> \
   <FirstName>New</FirstName> \
   <LastName>User</LastName> \
   <Password>newUserPWord</Password> \
   <EmailId>foo@bar.com</EmailId> \
</User>'

หรือใช้คำสั่ง Edge ต่อไปนี้เพื่อสร้างผู้ใช้

> /<inst_root>/apigee/apigee-service/bin/apigee-service apigee-provision create-user -f configFile

ตำแหน่งที่ configFile มีข้อมูลที่จำเป็นในการสร้างผู้ใช้

APIGEE_ADMINPW=sysAdminPW    # If omitted, you will be prompted.
USER_NAME=foo@bar.com
FIRST_NAME=New
LAST_NAME=User
USER_PWD="newUserPWord"
ORG_NAME=myorg  

จากนั้นคุณสามารถใช้การโทรนี้เพื่อดูข้อมูลเกี่ยวกับผู้ใช้ได้โดยทำดังนี้

curl -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/users/foo@bar.com

การมอบหมายบทบาทในองค์กรให้แก่ผู้ใช้

ผู้ใช้ต้องได้รับมอบหมายบทบาทในองค์กรก่อน จึงจะดำเนินการใดๆ ได้ คุณมอบหมายบทบาทต่างๆ ให้กับผู้ใช้ได้ เช่น orgadmin, businessuser, opsadmin, user หรือบทบาทที่กำหนดเองที่กำหนดในองค์กร

การมอบหมายบทบาทในองค์กรให้กับผู้ใช้จะเพิ่มผู้ใช้รายนั้นไปยังองค์กรโดยอัตโนมัติ มอบหมายผู้ใช้ให้กับหลายองค์กรโดยการมอบหมายบทบาทในแต่ละองค์กร

ใช้คำสั่งต่อไปนี้เพื่อมอบหมายบทบาทในองค์กรให้แก่ผู้ใช้

curl -X POST -H "Content-Type:application/x-www-form-urlencoded" /
http://<ms_IP>:8080/v1/o/<org_name>/userroles/<role>/users?id=foo@bar.com /
-u <sysAdminEmail>:<passwd> 

คุณสามารถดูบทบาทของผู้ใช้โดยใช้คำสั่งต่อไปนี้

curl -u <sysAdminEmail>:<passwd> /
http://<ms_IP>:8080/v1/users/foo@bar.com/userroles

หากต้องการนำผู้ใช้ออกจากองค์กร ให้นำบทบาททั้งหมดในองค์กรนั้นออกจากผู้ใช้ ใช้คำสั่งต่อไปนี้เพื่อนำบทบาทออกจากผู้ใช้

curl -X DELETE -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/o/<org_name>/userroles/<role>/users/foo@bar.com

การเพิ่มผู้ดูแลระบบ

ผู้ดูแลระบบสามารถทำสิ่งต่อไปนี้

• สร้างองค์กร
• เพิ่มเราเตอร์ ตัวประมวลผลข้อความ และคอมโพเนนต์อื่นๆ ลงในการติดตั้ง Edge
• กำหนดค่า TLS/SSL
• สร้างผู้ดูแลระบบเพิ่มเติม
• ทำงานดูแลระบบ Edge ทั้งหมด

งานการดูแลระบบจะมีผู้ใช้เริ่มต้นได้เพียงคนเดียว แต่ก็อาจมีผู้ดูแลระบบได้มากกว่า 1 คน ผู้ใช้ที่เป็นสมาชิกของบทบาทผู้ดูแลระบบจะมีสิทธิ์โดยสมบูรณ์ในทรัพยากรทั้งหมด

คุณสร้างผู้ใช้สำหรับผู้ดูแลระบบได้ใน Edge UI หรือ API แต่คุณจะต้องใช้ Edge API เพื่อมอบหมายบทบาทผู้ดูแลระบบให้กับผู้ใช้ กำหนดบทบาท sysadmin ให้กับผู้ใช้ใน UI ของ Edge ไม่ได้

ในการเพิ่มผู้ดูแลระบบ ให้ทำดังนี้

1. สร้างผู้ใช้ใน Edge UI หรือ API
2. เพิ่มผู้ใช้ใน sysadmin บทบาท:
   curl -u <sysAdminEmail>:<passwd> \
   -X POST http://<ms_IP>:8080/v1/userroles/sysadmin/users \
   -d 'id=foo@bar.com'
3. โปรดตรวจสอบว่าผู้ใช้ใหม่อยู่ในบทบาท sysadmin:
   curl -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/userroles/sysadmin/users
   
   แสดงผลอีเมลของผู้ใช้:
   [ " foo@bar.com " ]
4. ตรวจสอบสิทธิ์ของผู้ใช้ใหม่:
   curl -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/users/foo@bar.com/permissions
   
   การส่งคืน:
   {
   "resourcePermission" : [ {
   "path" : "get/",
   "putpermissions" }, "get/",
   "put" }
   
5. หลังจากเพิ่มผู้ดูแลระบบคนใหม่แล้ว คุณจะเพิ่มผู้ใช้รายดังกล่าวในองค์กรใดก็ได้
   หมายเหตุ: ผู้ดูแลระบบคนใหม่จะเข้าสู่ระบบ Edge UI ไม่ได้จนกว่าคุณจะเพิ่มผู้ใช้ดังกล่าวไปยังองค์กรอย่างน้อย 1 แห่ง
6. หากต้องการนําผู้ใช้ออกจากบทบาทผู้ดูแลระบบระบบในภายหลัง ให้ใช้ API ต่อไปนี้
   curl -X DELETE -u <sysadminEmail:pword>
   http://<ms_IP>:8080/v1/userroles/sysadmin/users/foo@bar.com
   
   โปรดทราบว่าการโทรนี้จะไม่ได้เป็นการลบผู้ใช้ออกจากบทบาทเท่านั้น

การระบุโดเมนอีเมลของ ผู้ดูแลระบบ

คุณจะเพิ่มโดเมนอีเมลของผู้ดูแลระบบ Edge ได้เพื่อเพิ่มความปลอดภัยอีกระดับ เมื่อเพิ่มผู้ดูแลระบบ หากอีเมลของผู้ใช้ไม่ได้อยู่ในโดเมนที่ระบุ การเพิ่มผู้ใช้ในบทบาทผู้ดูแลระบบจะไม่สำเร็จ

โดเมนที่จำเป็นจะว่างเปล่าโดยค่าเริ่มต้น ซึ่งหมายความว่าคุณจะเพิ่มอีเมลใดก็ได้ให้กับบทบาทผู้ดูแลระบบ

ในการตั้งค่าโดเมนอีเมล ให้ทำดังนี้

1. เปิดในเครื่องมือแก้ไข management-server.properties:
   vi /<inst_root>/apigee/customer/application/management-server.properties
   
   หากไม่มีไฟล์นี้ ให้สร้างขึ้นมา
2. ตั้งค่าพร็อพเพอร์ตี้ conf_security_rbac.global.roles.allowed.domains เป็นรายการโดเมนที่อนุญาตซึ่งคั่นด้วยคอมมา ตัวอย่างเช่น
   conf_security_rbac.global.roles.allowed.domains=myCo.com,yourCo.com
3. บันทึกการเปลี่ยนแปลง
4. รีสตาร์ท Edge Management Server:
   /<inst_root>/apigee/apigee-service/bin/apigee-service edge-management-serverบ้างไหม
   
   หากตอนนี้พยายามเพิ่มผู้ใช้ในบทบาท sysadmin และอีเมลของผู้ใช้ไม่ได้อยู่ในโดเมนที่ระบุ คุณจะเพิ่มไม่สำเร็จ

การลบผู้ใช้

คุณจะสร้างผู้ใช้ได้โดยใช้ Edge API หรือ Edge UI แต่คุณจะลบผู้ใช้ได้โดยใช้ API เท่านั้น

หากต้องการดูรายชื่อผู้ใช้ปัจจุบัน รวมถึงอีเมล ให้ใช้คำสั่ง cURL ต่อไปนี้

curl -u <sysAdminEmail>:<passwd> http://<ms-IP>:8080/v1/users

ใช้คำสั่ง cURL ต่อไปนี้เพื่อลบผู้ใช้

curl -u <sysAdminEmail>:<passwd> -X DELETE http://<ms-IP>:8080/v1/users/<userEmail>