Questa pagina è stata tradotta dall'API Cloud Translation.

Gestione di utenti, ruoli e autorizzazioni

Edge per Private Cloud v. 4.16.09

Il sito della documentazione di Apigee contiene molte informazioni sulla gestione dei ruoli utente autorizzazioni aggiuntive. Gli utenti possono essere gestiti utilizzando sia la UI Edge sia l'API di gestione. ruoli le autorizzazioni possono essere gestite solo con l'API di gestione.

Per informazioni sugli utenti e sulla loro creazione, consulta:

Molte delle operazioni eseguite per gestire gli utenti richiedono un amministratore di sistema privilegiati. In un'installazione basata su cloud di Edge, Apigee funziona nel ruolo di sistema amministratore. In un'installazione Edge per il cloud privato, l'amministratore di sistema deve eseguire queste attività come descritto di seguito.

Aggiunta di un utente

Puoi creare un utente utilizzando l'API Edge, la UI Edge o i comandi Edge. Questo che descrive l'utilizzo dell'API Edge e dei comandi Edge. Per informazioni sulla creazione di utenti nel UI Edge; consulta la sezione sulla creazione di un di utenti globali.

Dopo aver creato l'utente in un'organizzazione, devi assegnargli un ruolo. Ruoli per determinare i diritti di accesso dell'utente su Edge.

Utilizza il comando seguente per creare un utente con l'API Edge:

curl -H "Content-Type:application/xml" -u <sysAdminEmail>:<passwd> \
-X POST http://<ms_IP>:8080/v1/users \
-d '<User> \
   <FirstName>New</FirstName> \
   <LastName>User</LastName> \
   <Password>newUserPWord</Password> \
   <EmailId>foo@bar.com</EmailId> \
</User>'

In alternativa, utilizza il seguente comando Edge per creare un utente:

> /<inst_root>/apigee/apigee-service/bin/apigee-service apigee-provision create-user -f configFile

Dove il configFile contiene le informazioni necessarie per creare il utente:

APIGEE_ADMINPW=sysAdminPW    # If omitted, you will be prompted.
USER_NAME=foo@bar.com
FIRST_NAME=New
LAST_NAME=User
USER_PWD="newUserPWord"
ORG_NAME=myorg

Puoi quindi utilizzare questa chiamata per visualizzare le informazioni sull'utente:

curl -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/users/foo@bar.com

L'assegnazione dell'utente a un ruolo in una organizzazione

Prima di poter eseguire qualsiasi azione, un nuovo utente deve essere assegnato a un ruolo in un'organizzazione. Tu può assegnare all'utente ruoli diversi, tra cui: orgadmin, businessuser, opsadmin, user o a un ruolo personalizzato definito nel dell'organizzazione.

Quando viene assegnato un ruolo a un utente in un'organizzazione, l'utente viene automaticamente aggiunto al dell'organizzazione. Assegnare un utente a più organizzazioni assegnandogli un ruolo in ciascuna dell'organizzazione.

Utilizza il comando seguente per assegnare l'utente a un ruolo in un'organizzazione:

curl -X POST -H "Content-Type:application/x-www-form-urlencoded" /
http://<ms_IP>:8080/v1/o/<org_name>/userroles/<role>/users?id=foo@bar.com /
-u <sysAdminEmail>:<passwd>

Puoi visualizzare i ruoli dell'utente utilizzando il seguente comando:

curl -u <sysAdminEmail>:<passwd> /
http://<ms_IP>:8080/v1/users/foo@bar.com/userroles

Per rimuovere un utente da un'organizzazione, rimuovi dall'utente tutti i ruoli al suo interno. Utilizza il seguente comando per rimuovere un ruolo da un utente:

curl -X DELETE -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/o/<org_name>/userroles/<role>/users/foo@bar.com

Aggiunta di un amministratore di sistema

Un amministratore di sistema può:

Crea organizzazioni
Aggiungere router, processori di messaggi e altri componenti a un'installazione Edge
Configura TLS/SSL
Crea altri amministratori di sistema
Esegui tutte le attività amministrative di Edge

Anche se un solo utente è l'utente predefinito per le attività amministrative, possono esserci più di un solo amministratore di sistema. Qualsiasi utente membro del ruolo sysadmin dispone di autorizzazioni complete per tutti Google Cloud.

Puoi creare l'utente per l'amministratore di sistema nella UI o nell'API Edge. Tuttavia, devi utilizzare l'API Edge per assegnare all'utente il ruolo sysadmin. L'assegnazione di un utente Impossibile eseguire il ruolo sysadmin in l'UI di Edge.

Per aggiungere un amministratore di sistema:

Crea un utente nella UI o nell'API Edge.
Aggiungi utente a sysadmin ruolo:
curl -u <sysAdminEmail>:<passwd>
-X POST http://<IP_ms>:8080/v1/userroles/sysadmin/users \
-d 'id=foo@bar.com'
Assicurati che il nuovo utente abbia il ruolo sysadmin:
curl -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/userroles/sysadmin/users

Restituisce l'indirizzo email dell'utente:
[ " foo@bar.com " ]
Controlla le autorizzazioni del nuovo utente:
curl -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/users/foo@bar.com/permissions

Resi:
{
"resourcePermission" : [ {
"percorso" : "/",
"autorizzazioni" : [ "get", "put", "delete" ]
} ]
}
Dopo aver aggiunto il nuovo amministratore di sistema, puoi aggiungere l'utente a qualsiasi organizzazione.
Nota: il nuovo utente amministratore di sistema non può accedere alla UI Edge finché non aggiungere l'utente ad almeno un'organizzazione.
Se in seguito vorrai rimuovere l'utente dal ruolo di amministratore di sistema, puoi utilizzare API seguente:
curl -X ELIMINA -u <sysadminEmail:pword>
http://<ms_IP>:8080/v1/userroles/sysadmin/users/foo@bar.com

Tieni presente che questa chiamata rimuove solo l'utente dal ruolo, non lo elimina.

Specificare il dominio email di un sistema amministratore

Come ulteriore livello di sicurezza, puoi specificare il dominio email richiesto di un sistema periferico amministratore. Quando aggiungi un amministratore di sistema, se l'indirizzo email dell'utente non è nel dominio specificato, l'aggiunta dell'utente al ruolo sysadmin non va a buon fine.

Per impostazione predefinita, il dominio richiesto è vuoto, il che significa che puoi aggiungere qualsiasi indirizzo email al sysadmin.

Per impostare il dominio email:

Apri in un editor management-server.properties:
vi /<inst_root>/apigee/customer/application/management-server.properties

Se il file non esiste, crealo.
Imposta il valore di conf_security_rbac.global.roles.allowed.domains all'elenco separato da virgole dei domini consentiti. Ad esempio:
conf_security_rbac.global.roles.allowed.domains=myCo.com,yourCo.com
Salva le modifiche.
Riavvia Edge Management Server:
/<inst_root>/apigee/apigee-service/bin/apigee-service riavvio di edge-management-server

Se ora tenti di aggiungere un utente al ruolo sysadmin e l'indirizzo email dell'utente non è in uno dei domini specificati, l'aggiunta non riesce.

Eliminazione di un utente

Puoi creare un utente utilizzando l'API Edge o la UI Edge. Tuttavia, puoi solo eliminare un utente utilizzando l'API.

Per visualizzare l'elenco degli utenti correnti, incluso l'indirizzo email, utilizza il seguente comando cURL:

curl -u <sysAdminEmail>:<passwd> http://<ms-IP>:8080/v1/users

Utilizza il seguente comando cURL per eliminare un utente:

curl -u <sysAdminEmail>:<passwd> -X DELETE http://<ms-IP>:8080/v1/users/<userEmail>