Edge for Private Cloud v. 4.16.09
O site de documentação da Apigee tem muitas informações sobre como gerenciar papéis de usuários e permissões. Os usuários podem ser gerenciados usando a interface do usuário do Edge e a API Management; funções e as permissões só podem ser gerenciadas com a API Management.
Para informações sobre usuários e como criar usuários, consulte:
Muitas das operações realizadas para gerenciar usuários exigem que o administrador do sistema para conceder privilégios de acesso. Em uma instalação baseada na nuvem do Edge, a Apigee desempenha o papel de sistema administrador. Em uma borda para a instalação da nuvem privada, o administrador do sistema precisa realizar essas tarefas conforme descrito abaixo.
Adicionar um usuário
Você pode criar um usuário usando a API Edge, a interface do usuário do Edge ou os comandos do Edge. Isso seção descreve como usar a API e os comandos do Edge. Para informações sobre como criar usuários no interface do Edge, consulte Como criar usuários globais.
Depois de criar o usuário em uma organização, atribua um papel a ele. Funções determinar os direitos de acesso do usuário no Edge.
Use o seguinte comando para criar um usuário com a API Edge:
curl -H "Content-Type:application/xml" -u <sysAdminEmail>:<passwd> \ -X POST http://<ms_IP>:8080/v1/users \ -d '<User> \ <FirstName>New</FirstName> \ <LastName>User</LastName> \ <Password>newUserPWord</Password> \ <EmailId>foo@bar.com</EmailId> \ </User>'
Ou use o seguinte comando do Edge para criar um usuário:
> /<inst_root>/apigee/apigee-service/bin/apigee-service apigee-provision create-user -f configFile
Onde configFile contém as informações necessárias para criar o usuário:
APIGEE_ADMINPW=sysAdminPW # If omitted, you will be prompted. USER_NAME=foo@bar.com FIRST_NAME=New LAST_NAME=User USER_PWD="newUserPWord" ORG_NAME=myorg
Você pode usar essa chamada para ver informações sobre o usuário:
curl -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/users/foo@bar.com
Atribuir o usuário a uma função em um organização
Antes que um novo usuário possa fazer qualquer coisa, ele precisa ser atribuído a uma função em uma organização. Você pode atribuir o usuário a diferentes funções, incluindo: orgadmin, usuário comercial, opsadmin, usuário, ou a uma função personalizada definida no organização.
Ao atribuir um usuário a uma função em uma organização, ele é adicionado automaticamente à organização. Atribuir um usuário a várias organizações usando uma função em cada uma organização.
Use o seguinte comando para atribuir o usuário a um papel em uma organização:
curl -X POST -H "Content-Type:application/x-www-form-urlencoded" / http://<ms_IP>:8080/v1/o/<org_name>/userroles/<role>/users?id=foo@bar.com / -u <sysAdminEmail>:<passwd>
É possível visualizar os papéis do usuário usando o seguinte comando:
curl -u <sysAdminEmail>:<passwd> / http://<ms_IP>:8080/v1/users/foo@bar.com/userroles
Para remover um usuário de uma organização, remova todos os papéis dessa organização. Use o seguinte comando para remover o papel de um usuário:
curl -X DELETE -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/o/<org_name>/userroles/<role>/users/foo@bar.com
Como adicionar um administrador do sistema
Um administrador do sistema pode:
- Criar organizações
- Adicionar roteadores, processadores de mensagens e outros componentes a uma instalação do Edge
- Configurar TLS/SSL
- Criar administradores adicionais do sistema
- Executar todas as tarefas administrativas do Edge
Embora somente um usuário seja o usuário padrão para tarefas administrativas, pode haver mais de um administrador de sistema. Qualquer usuário que seja membro do papel sysadmin tem permissão total para todos do Google Cloud.
Você pode criar o usuário para o administrador do sistema na interface ou na API do Edge. No entanto, você precisa usar a API Edge para atribuir ao usuário o papel de sysadmin. Atribuir um usuário ao sysadmin não pode ser executado interface do Edge.
Para adicionar um administrador do sistema:
- Crie um usuário na API ou interface do Edge.
- Adicionar usuário a sysadmin
função:
curl -u <sysAdminEmail>:<passwd>
-X POSTAGEM http://<ms_IP>:8080/v1/userroles/sysadmin/users \
-d "id=foo@bar.com" - Verifique se o novo usuário tem a função sysadmin:
curl -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/userroles/sysadmin/users
Retorna o endereço de e-mail do usuário:
[ " foo@bar.com " ] - Verificar as permissões do novo usuário:
curl -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/users/foo@bar.com/permissions
Retorna:
{
"resourcePermission" : [ {
"caminho" : "/",
"permissões" : [ "get", "put", "delete" ]
} ]
} - Depois de adicionar o novo administrador do sistema, você pode adicionar o usuário a qualquer organização.
Observação: o novo usuário administrador do sistema não poderá fazer login na interface do Edge até que você adicione o usuário a pelo menos uma organização. - Se mais tarde você quiser remover o usuário da função de administrador do sistema, use o
seguinte API:
curl -X DELETE -u <sysadminEmail:pword>
http://<ms_IP>:8080/v1/userroles/sysadmin/users/foo@bar.com
Essa chamada só remove o usuário da função, mas não exclui o usuário.
Especificar o domínio de e-mail de um sistema administrador
Como um nível extra de segurança, você pode especificar o domínio de e-mail necessário de um sistema Edge administrador. Ao adicionar um administrador do sistema, se o endereço de e-mail do usuário não estiver na domínio especificado, a adição do usuário ao papel sysadmin falhará.
Por padrão, o domínio obrigatório está vazio, o que significa que você pode adicionar qualquer endereço de e-mail ao sysadmin.
Para definir o domínio do e-mail:
- Abra em um editor management-server.properties:
vi /<inst_root>/apigee/customer/application/management-server.properties
Crie esse arquivo se ele não existir. - Defina conf_security_rbac.global.roles.allowed.domains.
à lista separada por vírgulas de domínios permitidos. Por exemplo:
conf_security_rbac.global.roles.allowed.domains=myCo.com,yourCo.com - Salve as alterações.
- Reinicie o Edge Management Server:
/<inst_root>/apigee/apigee-service/bin/apigee-service reinicialização do Edge-management-server
Se você tentar adicionar um usuário ao papel sysadmin e o endereço de e-mail do usuário não for em um dos domínios especificados, a adição falhará.
Como excluir um usuário
É possível criar um usuário usando a API Edge ou a interface do Edge. No entanto, só é possível excluir um usuário usando a API.
Para ver a lista de usuários atuais, incluindo o endereço de e-mail, use o seguinte comando cURL:
curl -u <sysAdminEmail>:<passwd> http://<ms-IP>:8080/v1/users
Use o comando cURL a seguir para excluir um usuário:
curl -u <sysAdminEmail>:<passwd> -X DELETE http://<ms-IP>:8080/v1/users/<userEmail>