Quản lý người dùng, vai trò và quyền

Edge for Private Cloud phiên bản 4.16.05

Trang web tài liệu về Apigee có nhiều thông tin về cách quản lý vai trò và quyền của người dùng. Bạn có thể quản lý người dùng bằng cả giao diện người dùng Edge và API Quản lý; chỉ có thể quản lý các vai trò và quyền bằng API Quản lý.

Để biết thông tin về người dùng và cách tạo người dùng, hãy xem:

• Giới thiệu về người dùng toàn cầu
• Tạo người dùng toàn cầu

Nhiều thao tác bạn thực hiện để quản lý người dùng yêu cầu đặc quyền của quản trị viên hệ thống. Trong một bản cài đặt Edge trên đám mây, Apigee hoạt động trong vai trò quản trị viên hệ thống. Trong một Edge dành cho quá trình cài đặt Đám mây riêng tư, quản trị viên hệ thống của bạn phải thực hiện những tác vụ này như mô tả dưới đây.

Thêm người dùng

Bạn có thể tạo người dùng bằng cách sử dụng API Edge, Giao diện người dùng Edge hoặc lệnh Edge. Phần này mô tả cách sử dụng API Edge và các lệnh Edge. Để biết thông tin về cách tạo người dùng trong giao diện người dùng Edge, hãy xem phần Tạo người dùng chung.

Sau khi bạn tạo người dùng trong tổ chức, bạn phải chỉ định vai trò cho người dùng đó. Các vai trò xác định quyền truy cập của người dùng trên Edge.

Sử dụng lệnh sau để tạo người dùng bằng Edge API:

curl -H "Content-Type:application/xml" -u <sysAdminEmail>:<passwd> \
-X POST http://<ms_IP>:8080/v1/users \
-d '<User> \
   <FirstName>New</FirstName> \
   <LastName>User</LastName> \
   <Password>newUserPWord</Password> \
   <EmailId>foo@bar.com</EmailId> \
</User>'

Bạn cũng có thể sử dụng lệnh Edge sau đây để tạo người dùng:

> /<inst_root>/apigee/apigee-service/bin/apigee-service apigee-provision create-user -f configFile

Trong đó configFile chứa thông tin cần thiết để tạo người dùng:

APIGEE_ADMINPW=sysAdminPW    # If omitted, you will be prompted.
USER_NAME=foo@bar.com
FIRST_NAME=New
LAST_NAME=User
USER_PWD="newUserPWord"
ORG_NAME=myorg  

Sau đó, bạn có thể sử dụng lệnh gọi này để xem thông tin về người dùng:

curl -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/users/foo@bar.com

Chỉ định người dùng cho một vai trò trong tổ chức

Trước khi người dùng mới có thể làm bất cứ điều gì, họ phải được chỉ định vai trò trong tổ chức. Bạn có thể chỉ định người dùng cho các vai trò khác nhau, bao gồm: orgadmin, businessuser, opsadmin, người dùng hoặc cho một vai trò tuỳ chỉnh được xác định trong tổ chức.

Việc chỉ định một người dùng cho một vai trò trong tổ chức sẽ tự động thêm người dùng đó vào tổ chức. Chỉ định một người dùng cho nhiều tổ chức bằng cách chỉ định họ vào một vai trò trong từng tổ chức.

Sử dụng lệnh sau để chỉ định người dùng cho một vai trò trong tổ chức:

curl -X POST -H "Content-Type:application/x-www-form-urlencoded" /
http://<ms_IP>:8080/v1/o/<org_name>/userroles/<role>/users?id=foo@bar.com /
-u <sysAdminEmail>:<passwd> 

Bạn có thể xem vai trò của người dùng bằng cách dùng lệnh sau:

curl -u <sysAdminEmail>:<passwd> /
http://<ms_IP>:8080/v1/users/foo@bar.com/userroles

Để xoá người dùng khỏi một tổ chức, hãy xoá tất cả vai trò trong tổ chức đó khỏi người dùng đó. Hãy sử dụng lệnh sau để xoá một vai trò của người dùng:

curl -X DELETE -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/o/<org_name>/userroles/<role>/users/foo@bar.com

Thêm quản trị viên hệ thống

Quản trị viên hệ thống có thể:

• Tạo tổ chức
• Thêm Bộ định tuyến, Bộ xử lý tin nhắn và các thành phần khác vào một bản cài đặt Edge
• Định cấu hình TLS/SSL
• Tạo thêm quản trị viên hệ thống
• Thực hiện tất cả các tác vụ quản trị trong Edge

Mặc dù chỉ có một người dùng là người dùng mặc định cho các nhiệm vụ quản trị, nhưng có thể có nhiều quản trị viên hệ thống. Bất kỳ người dùng nào có vai trò sysadmin đều có toàn quyền đối với tất cả tài nguyên.

Bạn có thể tạo người dùng cho quản trị viên hệ thống trong giao diện người dùng hoặc API Edge. Tuy nhiên, bạn phải sử dụng Edge API để chỉ định người dùng vào vai trò sysadmin. Bạn không thể chỉ định người dùng cho vai trò sysadmin trong giao diện người dùng Edge.

Cách thêm quản trị viên hệ thống:

1. Tạo người dùng trong API hoặc giao diện người dùng Edge.
2. Thêm người dùng vào vai trò sysadmin:
   curl -u <sysadminEmail>:<passwd> \
   -X POST http://<ms_IP>:8080/v1/userroles/sysadmin/users \
   -d 'id=foo@bar.com'
3. Đảm bảo người dùng mới có vai trò sysadmin:
   curl -u <sysadminEmail>:<passwd> http://<ms_IP>:8080/v1/userroles/sysadmin/users
   
   Trả về địa chỉ email của người dùng:
   [ " foo@bar.com " ]
4. Kiểm tra quyền của người dùng mới:
   curl -u <sysadminEmail>:<passwd> http://<ms_IP>:8080/v1/users/foo@bar.com/permissions
   
   Trả về:
   {
   "resourcePermission" : [ {
   "path" : "/",
   "permissions" ] : [ "delete" ] [ "put}"
   
   
5. Sau khi thêm quản trị viên hệ thống mới, bạn có thể thêm người dùng đó vào bất kỳ tổ chức nào.
   Lưu ý: Người dùng mới là quản trị viên hệ thống không thể đăng nhập vào giao diện người dùng Edge cho đến khi bạn thêm người dùng đó vào ít nhất một tổ chức.
6. Nếu sau này bạn muốn xoá người dùng này khỏi vai trò quản trị viên hệ thống, bạn có thể sử dụng API sau:
   curl -X DELETE -u <sysadminEmail:pword>
   http://<ms_IP>:8080/v1/userroles/sysadmin/users/foo@bar.com
   
   Lưu ý rằng lệnh gọi này chỉ loại bỏ người dùng khỏi vai trò. Lệnh gọi này không xoá người dùng khỏi vai trò.

Chỉ định miền email của quản trị viên hệ thống

Để tăng cường bảo mật, bạn có thể chỉ định miền email cần thiết của quản trị viên hệ thống Edge. Khi thêm quản trị viên hệ thống, nếu địa chỉ email của người dùng không nằm trong miền đã chỉ định, thì không thêm được người dùng đó vào vai trò sysadmin.

Theo mặc định, miền bắt buộc sẽ trống, nghĩa là bạn có thể thêm bất kỳ địa chỉ email nào vào vai trò sysadmin.

Cách đặt miền email:

1. Mở trong trình chỉnh sửa management-server.properties:
   vi /<inst_root>/apigee/customer/application/management-server.properties
   
   Nếu tệp này không tồn tại, hãy tạo tệp.
2. Đặt thuộc tính conf_security_rbac.global.roles.allowed.domains thành danh sách các miền được phép phân tách bằng dấu phẩy. Ví dụ:
   conf_security_rbac.global.roles.allowed.domains=myCo.com,yourCo.com
3. Lưu các thay đổi.
4. Khởi động lại Máy chủ Quản lý Edge:
   /<inst_root>/apigee/apigee-service/bin/apigee-service Edge-management-server restart
   
   Nếu bạn hiện đã cố gắng thêm người dùng vào vai trò quản trị viên hệ thống và địa chỉ email của người dùng đó không thuộc một trong các miền đã chỉ định, thì quá trình thêm sẽ không thành công.

Xoá người dùng

Bạn có thể tạo người dùng bằng cách sử dụng Edge API hoặc Giao diện người dùng Edge. Tuy nhiên, bạn chỉ có thể xoá người dùng bằng cách sử dụng API.

Để xem danh sách người dùng hiện tại, bao gồm cả địa chỉ email, hãy sử dụng lệnh cURL sau:

curl -u <sysAdminEmail>:<passwd> http://<ms-IP>:8080/v1/users

Sử dụng lệnh cURL sau để xoá người dùng:

curl -u <sysAdminEmail>:<passwd> -X DELETE http://<ms-IP>:8080/v1/users/<userEmail>