Private Cloud v. 4.16.05 專用 Edge
Apigee 說明文件網站提供豐富的使用者角色管理資訊 授予其要求的權限。可透過 Edge UI 和 Management API 管理使用者。角色和 權限只能透過 Management API 管理。
如要瞭解使用者及建立使用者,請參閱:
您為管理使用者執行的多數作業是由系統管理員執行 權限。在以雲端為基礎的 Edge 安裝過程中,Apigee 扮演系統的角色 管理員。在使用 Edge 安裝的 Edge 中,您的系統管理員必須 來執行這些工作
新增使用者
您可以使用 Edge API、Edge UI 或 Edge 指令建立使用者。這個 一節說明如何使用 Edge API 和 Edge 指令。如要瞭解如何在 Edge UI,請參閱建立 全球使用者。
在機構中建立使用者後,您必須為使用者指派角色。角色會決定使用者在 Edge 上的存取權。
使用下列指令,透過 Edge API 建立使用者:
curl -H "Content-Type:application/xml" -u <sysAdminEmail>:<passwd> \ -X POST http://<ms_IP>:8080/v1/users \ -d '<User> \ <FirstName>New</FirstName> \ <LastName>User</LastName> \ <Password>newUserPWord</Password> \ <EmailId>foo@bar.com</EmailId> \ </User>'
或使用以下 Edge 指令建立使用者:
> /<inst_root>/apigee/apigee-service/bin/apigee-service apigee-provision create-user -f configFile
configFile 中含有建立 使用者:
APIGEE_ADMINPW=sysAdminPW # If omitted, you will be prompted. USER_NAME=foo@bar.com FIRST_NAME=New LAST_NAME=User USER_PWD="newUserPWord" ORG_NAME=myorg
這樣您就能透過這項呼叫查看使用者的相關資訊:
curl -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/users/foo@bar.com
在 機構組織
新使用者必須先獲派機構中的角色,才能執行任何操作。個人中心 可以為使用者指派不同角色,包括:orgadmin、businessuser、opsadmin、user,或是 並根據貴機構的使命 價值觀和目標進行調整
為使用者指派機構中的角色時,系統會自動將該使用者加入 並根據貴機構的使命 價值觀和目標進行調整將使用者指派給多個機構時,每個機構都會獲派角色 並根據貴機構的使命 價值觀和目標進行調整
使用下列指令,將使用者指派至機構中的角色:
curl -X POST -H "Content-Type:application/x-www-form-urlencoded" / http://<ms_IP>:8080/v1/o/<org_name>/userroles/<role>/users?id=foo@bar.com / -u <sysAdminEmail>:<passwd>
您可以使用下列指令查看使用者的角色:
curl -u <sysAdminEmail>:<passwd> / http://<ms_IP>:8080/v1/users/foo@bar.com/userroles
如要從機構組織中移除使用者,請從該使用者中移除該機構中的所有角色。 使用以下指令移除使用者的角色:
curl -X DELETE -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/o/<org_name>/userroles/<role>/users/foo@bar.com
新增系統管理員
系統管理員可以執行下列操作:
- 建立機構
- 將路由器、訊息處理器和其他元件加入 Edge 安裝項目
- 設定 TLS/SSL
- 建立其他系統管理員
- 執行所有 Edge 管理工作
雖然管理工作的預設使用者只有單一使用者,但 第一位系統管理員凡是屬於 sysadmin 角色的使用者,都擁有全部 再複習一下,機構節點 是所有 Google Cloud Platform 資源的根節點
您可以在 Edge UI 或 API 中為系統管理員建立使用者。不過 您必須使用 Edge API,為使用者指派 sysadmin 的角色。將使用者指派給 sysadmin 角色無法在 Edge UI
如何新增系統管理員:
- 在 Edge UI 或 API 中建立使用者。
- 將使用者新增至 sysadmin
角色:
curl -u <sysAdminEmail>:<passwd>
-X POST http://<ms_IP>:8080/v1/userroles/sysadmin/users \
-d 'id=foo@bar.com' - 確認新使用者屬於 sysadmin 角色:
curl -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/userroles/sysadmin/users
傳回使用者的電子郵件地址:
[ ]foo@bar.com] - 檢查新使用者的權限:
curl -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/users/foo@bar.com/permissions
回傳次數:
{
"resourcePermission": [ {
「路徑」:「/」、
「權限」: [ "get"、"put"、"刪除"]
} ]
敬上 } - 新增系統管理員後,您就能將使用者新增至任何機構。
注意:您必須等新系統管理員使用者才能登入 Edge UI 將使用者新增至至少一個機構。 - 如果您之後想將該使用者從系統管理員角色中移除,可以使用
以下 API:
curl -X DELETE -u <sysadminEmail:pword>
http://<ms_IP>:8080/v1/userroles/sysadmin/users/foo@bar.com
請注意,這項呼叫只會將使用者從角色中移除,不會刪除使用者。
指定系統的電子郵件網域 管理員
為提高安全性,您可以指定 Edge 系統所需的電子郵件網域 管理員。新增系統管理員時,如果使用者的電子郵件地址不在指定的網域中,則無法將使用者新增至 sysadmin 角色。
根據預設,必要的網域是空的。也就是說,您可以將任何電子郵件地址加到 sysadmin 角色。
如何設定電子郵件網域:
- 在編輯器的 management-server.properties 中開啟:
vi /<inst_root>/apigee/customer/application/management-server.properties
如果這個檔案不存在,請建立該檔案。 - 將 conf_security_rbac.global.roles.allowed.domains 屬性設為以半形逗號分隔的許可網域清單。例如:
conf_security_rbac.global.roles.allowed.domains=myCo.com,您的 Co.com - 儲存變更。
- 重新啟動 Edge Management Server:
/<inst_root>/apigee/apigee-service/bin/apigee-service Edge-management-server restart
如果您現在嘗試將使用者新增至 sysadmin 角色,但他的電子郵件地址並未 時,新增失敗。
刪除使用者
您可以使用 Edge API 或 Edge UI 建立使用者。不過,您只能 來刪除使用者
如要查看目前使用者清單 (包括電子郵件地址),請使用下列 cURL 指令:
curl -u <sysAdminEmail>:<passwd> http://<ms-IP>:8080/v1/users
使用下列 cURL 指令刪除使用者:
curl -u <sysAdminEmail>:<passwd> -X DELETE http://<ms-IP>:8080/v1/users/<userEmail>