Edge cho Private Cloud phiên bản 4.16.05
Trang web tài liệu về Apigee có nhiều thông tin về cách quản lý vai trò của người dùng và quyền truy cập. Bạn có thể quản lý người dùng bằng cả giao diện người dùng Edge và API Quản lý; vai trò và bạn chỉ có thể quản lý quyền bằng API Quản lý.
Để biết thông tin về người dùng và cách tạo người dùng, hãy xem:
Nhiều thao tác mà bạn thực hiện để quản lý người dùng yêu cầu đặc quyền quản trị hệ thống. Trong quá trình cài đặt Edge trên đám mây, Apigee hoạt động với vai trò hệ thống Google Cloud. Trong một Edge để cài đặt Đám mây riêng tư, quản trị viên hệ thống của bạn phải thực hiện các tác vụ này như được mô tả dưới đây.
Thêm người dùng
Bạn có thể tạo người dùng bằng cách sử dụng các lệnh của Edge API, Giao diện người dùng Edge hoặc Edge. Chiến dịch này mô tả cách sử dụng API Edge và các lệnh của Edge. Để biết thông tin về cách tạo người dùng trong Giao diện người dùng Edge, hãy xem phần Tạo người dùng trên toàn cầu.
Sau khi tạo người dùng trong tổ chức, bạn phải chỉ định vai trò cho người dùng đó. Vai trò xác định quyền truy cập của người dùng trên Edge.
Sử dụng lệnh sau để tạo người dùng bằng API Edge:
curl -H "Content-Type:application/xml" -u <sysAdminEmail>:<passwd> \ -X POST http://<ms_IP>:8080/v1/users \ -d '<User> \ <FirstName>New</FirstName> \ <LastName>User</LastName> \ <Password>newUserPWord</Password> \ <EmailId>foo@bar.com</EmailId> \ </User>'
Bạn cũng có thể sử dụng lệnh Edge sau đây để tạo người dùng:
> /<inst_root>/apigee/apigee-service/bin/apigee-service apigee-provision create-user -f configFile
Trong đó configFile chứa thông tin cần thiết để tạo người dùng:
APIGEE_ADMINPW=sysAdminPW # If omitted, you will be prompted. USER_NAME=foo@bar.com FIRST_NAME=New LAST_NAME=User USER_PWD="newUserPWord" ORG_NAME=myorg
Sau đó, bạn có thể sử dụng lệnh gọi này để xem thông tin về người dùng:
curl -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/users/foo@bar.com
Chỉ định người dùng vào một vai trò trong tổ chức
Trước khi người dùng mới có thể làm bất cứ việc gì, họ phải được chỉ định cho một vai trò trong tổ chức. Bạn có thể chỉ định người dùng cho các vai trò khác nhau, bao gồm: quản trị viên tổ chức, người dùng doanh nghiệp, quản trị viên hoạt động, người dùng hoặc cho vai trò tuỳ chỉnh được xác định trong tổ chức.
Việc chỉ định một người dùng cho một vai trò trong tổ chức sẽ tự động thêm người dùng đó vào tổ chức. Chỉ định một người dùng cho nhiều tổ chức bằng cách chỉ định vai trò cho họ trong mỗi tổ chức tổ chức.
Sử dụng lệnh sau để chỉ định người dùng vào một vai trò trong tổ chức:
curl -X POST -H "Content-Type:application/x-www-form-urlencoded" / http://<ms_IP>:8080/v1/o/<org_name>/userroles/<role>/users?id=foo@bar.com / -u <sysAdminEmail>:<passwd>
Bạn có thể xem vai trò của người dùng bằng cách sử dụng lệnh sau:
curl -u <sysAdminEmail>:<passwd> / http://<ms_IP>:8080/v1/users/foo@bar.com/userroles
Để xoá người dùng khỏi một tổ chức, hãy xoá tất cả vai trò trong tổ chức đó khỏi người dùng. Sử dụng lệnh sau để xoá vai trò khỏi người dùng:
curl -X DELETE -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/o/<org_name>/userroles/<role>/users/foo@bar.com
Thêm quản trị viên hệ thống
Quản trị viên hệ thống có thể:
- Tạo tổ chức
- Thêm Bộ định tuyến, Bộ xử lý thư và các thành phần khác vào bản cài đặt Edge
- Định cấu hình TLS/SSL
- Tạo thêm quản trị viên hệ thống
- Thực hiện tất cả các thao tác quản trị trên Edge
Mặc dù chỉ có một người dùng là người dùng mặc định cho các tác vụ quản trị, nhưng có thể có nhiều hơn một quản trị viên hệ thống. Bất kỳ người dùng nào là thành viên của vai trò sysadmin đều có toàn quyền đối với tất cả của chúng tôi.
Bạn có thể tạo người dùng cho quản trị viên hệ thống trong API hoặc giao diện người dùng của Edge. Tuy nhiên, bạn phải sử dụng API Edge để chỉ định cho người dùng vai trò sysadmin. Chỉ định một người dùng cho Không thể thực hiện vai trò sysadmin (quản trị viên hệ thống) trong giao diện người dùng Edge.
Cách thêm quản trị viên hệ thống:
- Tạo người dùng trong API hoặc giao diện người dùng Edge.
- Thêm người dùng vào sysadmin
vai trò:
cong-đặn <sysAdminEmail>:<passwd>
-X POST http://<ms_IP>:8080/v1/userroles/sysadmin/users \
-d "id=foo@bar.com" - Đảm bảo người dùng mới có vai trò quản trị viên hệ thống:
curl -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/userroles/sysadmin/users
Trả về địa chỉ email của người dùng:
[ " foo@bar.com " ] - Kiểm tra quyền của người dùng mới:
curl -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/users/foo@bar.com/permissions
Trường hợp trả lại hàng:
{
"resourcePermission" : [ {
"đường dẫn" : "/",
"quyền" : [ "get", "put", "delete" ]
} ]
} - Sau khi thêm quản trị viên hệ thống mới, bạn có thể thêm người dùng vào bất kỳ tổ chức nào.
Lưu ý: Người dùng quản trị viên hệ thống mới không thể đăng nhập vào giao diện người dùng Edge cho đến khi bạn thêm người dùng đó vào ít nhất một tổ chức. - Nếu sau đó muốn xóa người dùng khỏi vai trò quản trị viên hệ thống, bạn có thể sử dụng
API sau đây:
curl -X XOÁ -u <sysadminEmail:pword>
http://<ms_IP>:8080/v1/userroles/sysadmin/users/foo@bar.com
Xin lưu ý rằng lệnh gọi này chỉ xoá người dùng khỏi vai trò chứ không xoá người dùng.
Chỉ định miền email của quản trị viên hệ thống
Để tăng cường bảo mật, bạn có thể chỉ định miền email bắt buộc của hệ thống Edge Google Cloud. Khi thêm quản trị viên hệ thống, nếu địa chỉ email của người dùng không có trong miền đã chỉ định, thì sẽ không thêm được người dùng vào vai trò sysadmin (quản trị viên hệ thống).
Theo mặc định, miền bắt buộc trống, nghĩa là bạn có thể thêm bất kỳ địa chỉ email nào vào sysadmin (quản trị viên hệ thống).
Cách đặt miền email:
- Mở trong trình chỉnh sửa management-server.properties:
vi /<inst_root>/apigee/customer/application/management-server.properties
Nếu tệp này không tồn tại, hãy tạo tệp. - Đặt conf_security_rbac.global.roles.allowed.domains
vào danh sách các miền được phép được phân tách bằng dấu phẩy. Ví dụ:
conf_security_rbac.global.roles.Allowed.domains=myCo.com,yourCo.com - Lưu các thay đổi.
- Khởi động lại Máy chủ quản lý Edge:
/<inst_root>/apigee/apigee-service/bin/apigee-service khởi động lại máy chủ quản lý cạnh
Nếu bây giờ bạn cố gắng thêm người dùng vào vai trò quản trị viên hệ thống và địa chỉ email của người dùng đó ở một trong các miền được chỉ định thì không thêm được.
Xoá người dùng
Bạn có thể tạo một người dùng bằng cách sử dụng API Edge hoặc giao diện người dùng Edge. Tuy nhiên, bạn chỉ có thể xoá người dùng bằng cách sử dụng API.
Để xem danh sách người dùng hiện tại, bao gồm cả địa chỉ email, hãy sử dụng lệnh cURL sau:
curl -u <sysAdminEmail>:<passwd> http://<ms-IP>:8080/v1/users
Sử dụng lệnh cURL sau để xoá người dùng:
curl -u <sysAdminEmail>:<passwd> -X DELETE http://<ms-IP>:8080/v1/users/<userEmail>