Edge for Private Cloud เวอร์ชัน 4.16.05
เว็บไซต์เอกสารประกอบของ Apigee มีข้อมูลมากมายเกี่ยวกับการจัดการบทบาทและสิทธิ์ของผู้ใช้ ผู้ใช้สามารถจัดการผู้ใช้ได้โดยใช้ทั้ง Edge UI และ Management API บทบาทและ จะจัดการได้ด้วย Management API เท่านั้น
ดูข้อมูลเกี่ยวกับผู้ใช้และการสร้างผู้ใช้ได้ที่
การดำเนินการหลายอย่างที่คุณดำเนินการเพื่อจัดการผู้ใช้จำเป็นต้องใช้ผู้ดูแลระบบ สิทธิ์ สำหรับการติดตั้ง Edge ในระบบคลาวด์ Apigee จะทำหน้าที่ในบทบาทของระบบ ผู้ดูแลระบบ ใน Edge สำหรับการติดตั้ง Private Cloud ผู้ดูแลระบบจะต้อง ดำเนินการเหล่านี้ได้ตามที่อธิบายไว้ด้านล่าง
การเพิ่มผู้ใช้
คุณสร้างผู้ใช้ได้โดยใช้ Edge API, คำสั่ง Edge UI หรือ Edge ส่วนนี้จะอธิบายวิธีใช้ Edge API และคำสั่ง Edge สำหรับข้อมูลเกี่ยวกับการสร้างผู้ใช้ใน Edge UI โปรดดูการสร้าง ผู้ใช้ทั่วโลก
หลังจากสร้างผู้ใช้ในองค์กรแล้ว คุณต้องมอบหมายบทบาทให้กับผู้ใช้ บทบาท กำหนดสิทธิ์การเข้าถึงของผู้ใช้ใน Edge
ใช้คำสั่งต่อไปนี้เพื่อสร้างผู้ใช้ด้วย Edge API
curl -H "Content-Type:application/xml" -u <sysAdminEmail>:<passwd> \ -X POST http://<ms_IP>:8080/v1/users \ -d '<User> \ <FirstName>New</FirstName> \ <LastName>User</LastName> \ <Password>newUserPWord</Password> \ <EmailId>foo@bar.com</EmailId> \ </User>'
หรือใช้คำสั่ง Edge ต่อไปนี้เพื่อสร้างผู้ใช้
> /<inst_root>/apigee/apigee-service/bin/apigee-service apigee-provision create-user -f configFile
โดยที่ configFile มีข้อมูลที่จำเป็นต่อการสร้าง ผู้ใช้:
APIGEE_ADMINPW=sysAdminPW # If omitted, you will be prompted. USER_NAME=foo@bar.com FIRST_NAME=New LAST_NAME=User USER_PWD="newUserPWord" ORG_NAME=myorg
จากนั้นคุณจะใช้การเรียกนี้เพื่อดูข้อมูลเกี่ยวกับผู้ใช้ได้
curl -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/users/foo@bar.com
การมอบหมายบทบาทให้กับผู้ใช้ใน องค์กร
ก่อนที่ผู้ใช้ใหม่จะดำเนินการใดๆ ได้ ผู้ใช้จะต้องได้รับมอบหมายบทบาทในองค์กร คุณ มอบหมายบทบาทต่างๆ ให้กับผู้ใช้ ซึ่งได้แก่ orgadmin, businessuser, opsadmin, user หรือบทบาทที่กำหนดเองที่ระบุไว้ในส่วน องค์กร
การมอบหมายบทบาทในองค์กรให้กับผู้ใช้จะเป็นการเพิ่มผู้ใช้รายนั้นลงในส่วน องค์กร มอบหมายผู้ใช้ให้กับหลายองค์กรโดยมอบหมายผู้ใช้ให้อยู่ในบทบาทในองค์กรแต่ละแห่ง
ใช้คำสั่งต่อไปนี้เพื่อมอบหมายบทบาทในองค์กรให้กับผู้ใช้
curl -X POST -H "Content-Type:application/x-www-form-urlencoded" / http://<ms_IP>:8080/v1/o/<org_name>/userroles/<role>/users?id=foo@bar.com / -u <sysAdminEmail>:<passwd>
คุณจะดูบทบาทของผู้ใช้ได้โดยใช้คำสั่งต่อไปนี้
curl -u <sysAdminEmail>:<passwd> / http://<ms_IP>:8080/v1/users/foo@bar.com/userroles
หากต้องการนำผู้ใช้ออกจากองค์กร ให้นำบทบาททั้งหมดในองค์กรนั้นออกจากผู้ใช้ ใช้คำสั่งต่อไปนี้เพื่อนำบทบาทออกจากผู้ใช้
curl -X DELETE -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/o/<org_name>/userroles/<role>/users/foo@bar.com
การเพิ่มผู้ดูแลระบบ
ผู้ดูแลระบบสามารถทำสิ่งต่อไปนี้
- สร้างองค์กร
- เพิ่มเราเตอร์, Message Processor และคอมโพเนนต์อื่นๆ ในการติดตั้ง Edge
- กำหนดค่า TLS/SSL
- สร้างผู้ดูแลระบบเพิ่มเติม
- ทำงานการดูแลระบบ Edge ทั้งหมด
แม้ว่าจะมีผู้ใช้เพียงคนเดียวเท่านั้นที่เป็นผู้ใช้เริ่มต้นสำหรับงานดูแลระบบ แต่อาจมีมากกว่า ผู้ดูแลระบบ 1 คน ผู้ใช้ที่เป็นสมาชิกของบทบาทsysadminจะมีสิทธิ์ทั้งหมด ที่ไม่ซับซ้อน
คุณสร้างผู้ใช้สำหรับผู้ดูแลระบบได้ใน Edge UI หรือ API อย่างไรก็ตาม คุณต้องใช้ Edge API เพื่อมอบหมายบทบาท sysadmin ให้กับผู้ใช้ คุณไม่สามารถมอบหมายบทบาท sysadmin ให้กับผู้ใช้ใน UI ของ Edge
ในการเพิ่มผู้ดูแลระบบ ให้ทำดังนี้
- สร้างผู้ใช้ใน Edge UI หรือ API
- เพิ่มผู้ใช้ใน sysadmin
บทบาท:
curl -u <sysAdminEmail>:<passwd> \
-X POST http://<ms_IP>:8080/v1/userroles/sysadmin/users \
-d 'id=foo@bar.com' - ตรวจสอบว่าผู้ใช้ใหม่อยู่ในบทบาทผู้ดูแลระบบ:
curl -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/userroles/sysadmin/users
แสดงอีเมลของผู้ใช้:
[ " foo@bar.com " ] - ตรวจสอบสิทธิ์ของผู้ใช้ใหม่:
curl -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/users/foo@bar.com/permissions
การคืนสินค้า:
{
"resourcePermission" : [ {
"เส้นทาง" : "/",
"สิทธิ์" : [ "get", "put", "delete" ]
} ]
} - หลังจากเพิ่มผู้ดูแลระบบคนใหม่แล้ว คุณสามารถเพิ่มผู้ใช้ลงในองค์กรใดก็ได้
หมายเหตุ: ผู้ใช้ที่เป็นผู้ดูแลระบบคนใหม่จะเข้าสู่ระบบ Edge UI ไม่ได้จนกว่าคุณจะ เพิ่มผู้ใช้ไปยังองค์กรอย่างน้อย 1 แห่ง - หากคุณต้องการนำผู้ใช้ออกจากบทบาทผู้ดูแลระบบระบบในภายหลัง คุณสามารถใช้
API ต่อไปนี้:
curl -X ลบ -u <sysadminEmail:pword>
http://<ms_IP>:8080/v1/userroles/sysadmin/users/foo@bar.com
โปรดทราบว่าการโทรนี้จะนำผู้ใช้ออกจากบทบาทเท่านั้น ไม่ได้ลบผู้ใช้
การระบุโดเมนอีเมลของระบบ ผู้ดูแลระบบ
คุณสามารถระบุโดเมนอีเมลที่ต้องการของระบบ Edge ได้เพื่อเพิ่มระดับการรักษาความปลอดภัย ผู้ดูแลระบบ เมื่อเพิ่มผู้ดูแลระบบ หากอีเมลของผู้ใช้ไม่ได้อยู่ในโดเมนที่ระบุ ระบบจะเพิ่มผู้ใช้ไปยังบทบาท sysadmin ไม่สำเร็จ
โดเมนที่จำเป็นจะว่างเปล่าโดยค่าเริ่มต้น ซึ่งหมายความว่าคุณสามารถเพิ่มอีเมลใดๆ ลงใน sysadmin
วิธีตั้งค่าโดเมนอีเมล
- เปิดใน management-server.properties ของตัวแก้ไข:
vi /<inst_root>/apigee/customer/application/management-server.properties
หากไม่มี ให้สร้างไฟล์นี้ - ตั้งค่า conf_security_rbac.global.roles.allowed.domains
ลงในรายการโดเมนที่อนุญาตซึ่งคั่นด้วยคอมมา เช่น
conf_security_rbac.global.roles.allowed.domains=myCo.com,yourCo.com - บันทึกการเปลี่ยนแปลง
- รีสตาร์ท Edge Management Server ดังนี้
/<inst_root>/apigee/apigee-service/bin/apigee-service รีสตาร์ทเซิร์ฟเวอร์การจัดการ Edge
ถ้าคุณพยายามเพิ่มผู้ใช้ไปยังบทบาทผู้ดูแลระบบ และอีเมลของผู้ใช้ไม่ใช่ หนึ่งในโดเมนที่ระบุ การเพิ่มล้มเหลว
การลบผู้ใช้
คุณสร้างผู้ใช้ได้โดยใช้ Edge API หรือ Edge UI แต่คุณจะลบผู้ใช้ได้โดยใช้ API เท่านั้น
หากต้องการดูรายชื่อผู้ใช้ปัจจุบัน รวมถึงอีเมล ให้ใช้คําสั่ง cURL ต่อไปนี้
curl -u <sysAdminEmail>:<passwd> http://<ms-IP>:8080/v1/users
ใช้คำสั่ง cURL ต่อไปนี้เพื่อลบผู้ใช้
curl -u <sysAdminEmail>:<passwd> -X DELETE http://<ms-IP>:8080/v1/users/<userEmail>