إدارة المستخدمين والأدوار والأذونات

Edge for Private Cloud، الإصدار 4.16.09

يحتوي موقع وثائق Apigee على معلومات شاملة حول إدارة أدوار المستخدمين الأذونات. يمكن إدارة المستخدمين باستخدام كل من واجهة مستخدم Edge و Management API. الأدوار يمكن إدارة هذه الأذونات باستخدام Management API فقط.

وللحصول على معلومات عن المستخدمين وإنشاء المستخدمين، يُرجى الاطّلاع على:

يتطلب العديد من العمليات التي تجريها لإدارة المستخدمين وجود مشرف في النظام الامتيازات. عند تثبيت Edge على السحابة الإلكترونية، تعمل Apigee في دور النظام المشرف. في متصفّح Edge الخاص بتثبيت Private Cloud، على مشرف النظام تؤدي هذه المهام كما هو موضح أدناه.

إضافة مستخدم

يمكنك إنشاء مستخدم إما باستخدام واجهة برمجة تطبيقات Edge أو واجهة مستخدم Edge أو أوامر Edge. هذا النمط كيفية استخدام أوامر واجهة برمجة تطبيقات Edge وEdge. للحصول على معلومات حول إنشاء مستخدمين في واجهة مستخدم Edge، راجع إنشاء للمستخدمين في جميع أنحاء العالم

بعد إنشاء المستخدم في إحدى المؤسسات، عليك تعيين دور للمستخدم. الأدوار تحديد حقوق وصول المستخدم إلى Edge.

استخدم الأمر التالي لإنشاء مستخدم باستخدام Edge API:

curl -H "Content-Type:application/xml" -u <sysAdminEmail>:<passwd> \
-X POST http://<ms_IP>:8080/v1/users \
-d '<User> \
   <FirstName>New</FirstName> \
   <LastName>User</LastName> \
   <Password>newUserPWord</Password> \
   <EmailId>foo@bar.com</EmailId> \
</User>'

أو استخدم أمر Edge التالي لإنشاء مستخدم:

> /<inst_root>/apigee/apigee-service/bin/apigee-service apigee-provision create-user -f configFile

حيث يحتوي configFile على المعلومات اللازمة لإنشاء المستخدم:

APIGEE_ADMINPW=sysAdminPW    # If omitted, you will be prompted.
USER_NAME=foo@bar.com
FIRST_NAME=New
LAST_NAME=User
USER_PWD="newUserPWord"
ORG_NAME=myorg  

يمكنك بعد ذلك استخدام هذه المكالمة لعرض معلومات حول المستخدم:

curl -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/users/foo@bar.com

تعيين مستخدم إلى دور في مؤسسة

قبل أن يتمكن المستخدم الجديد من فعل أي شيء، يجب أن يتم إسناده إلى دور في إحدى المؤسسات. إِنْتَ تعيين أدوار مختلفة للمستخدم، بما في ذلك: orgadmin أو businessuser أو opsadmin أو user أو إلى دور مخصَّص تم تحديده في التنظيم.

يؤدي تعيين مستخدم لدور في إحدى المؤسسات إلى إضافة هذا المستخدم تلقائيًا إلى التنظيم. يمكنك تعيين مستخدم إلى عدة مؤسسات من خلال تعيين دور له في كل مؤسسة. التنظيم.

استخدِم الأمر التالي لتعيين دور للمستخدم في إحدى المؤسسات:

curl -X POST -H "Content-Type:application/x-www-form-urlencoded" /
http://<ms_IP>:8080/v1/o/<org_name>/userroles/<role>/users?id=foo@bar.com /
-u <sysAdminEmail>:<passwd> 

يمكنك الاطّلاع على أدوار المستخدم باستخدام الأمر التالي:

curl -u <sysAdminEmail>:<passwd> /
http://<ms_IP>:8080/v1/users/foo@bar.com/userroles

لإزالة مستخدم من مؤسسة، أزِل جميع الأدوار في هذه المؤسسة من ذلك المستخدم. استخدِم الأمر التالي لإزالة دور من مستخدم:

curl -X DELETE -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/o/<org_name>/userroles/<role>/users/foo@bar.com

إضافة مشرف نظام

يمكن لمشرف النظام إجراء ما يلي:

  • إنشاء مؤسسات
  • إضافة أجهزة التوجيه ومعالجات الرسائل والمكونات الأخرى إلى تثبيت Edge
  • تهيئة بروتوكول أمان طبقة النقل (TLS)/طبقة المقابس الآمنة
  • إنشاء مشرفي نظام إضافيين
  • تنفيذ جميع المهام الإدارية في Edge

في حين أن مستخدمًا واحدًا فقط هو المستخدم الافتراضي للمهام الإدارية، يمكن أن يكون هناك أكثر من مشرف نظام واحد. يتمتع أي مستخدم عضو في دور sysadmin بأذونات كاملة لجميع الموارد.

يمكنك إنشاء المستخدم لمشرف النظام إما في واجهة مستخدم Edge أو واجهة برمجة التطبيقات. ومع ذلك، يجب عليك استخدام واجهة برمجة تطبيقات Edge لتعيين دور sysadmin للمستخدم. إن تعيين مستخدم لا يمكن تنفيذ دور sysadmin في واجهة مستخدم Edge.

لإضافة مشرف نظام:

  1. أنشئ مستخدمًا في واجهة مستخدم Edge أو واجهة برمجة التطبيقات.
  2. إضافة مستخدم إلى sysadmin الدور:
    الضفيرة -u &lt;sysAdminEmail&gt;:&lt;passwd&gt; \
    -X POST http://<ms_IP>:8080/v1/userroles/sysadmin/users \
    -d 'id=foo@bar.com'
  3. تأكَّد من أن المستخدم الجديد لديه دور مسؤول إدارة النظم:
    تجعّد -u &lt;sysAdminEmail&gt;:&lt;passwd&gt; http://&lt;ms_IP&gt;:8080/v1/userroles/sysadmin/users

    عرض عنوان البريد الإلكتروني للمستخدم:
    [ " foo@bar.com " ]
  4. التحقّق من أذونات المستخدم الجديد:
    تجعّد -u &lt;sysAdminEmail&gt;:&lt;passwd&gt; http://&lt;ms_IP&gt;:8080/v1/users/foo@bar.com/permissions

    المرتجعات:
    {
    "resourcePermission" : [ {
    "المسار" : "/",
    "الأذونات" : [ "get", "put", "delete" ]
    } ]
    }
  5. بعد إضافة مشرف النظام الجديد، يمكنك إضافة المستخدم إلى أي مؤسسات.
    ملاحظة: لا يمكن لمستخدم مشرف النظام الجديد تسجيل الدخول إلى واجهة مستخدم Edge حتى إضافة المستخدم إلى مؤسسة واحدة على الأقل.
  6. إذا كنت تريد لاحقًا إزالة حساب المستخدم من دور مشرف النظام، يمكنك استخدام واجهة برمجة التطبيقات التالية:
    curl -X DELETE -u &lt;sysadminEmail:pword&gt;
    http://&lt;ms_IP&gt;:8080/v1/userroles/sysadmin/users/foo@bar.com


    تجدر الإشارة إلى أنّ هذا الاستدعاء يؤدي إلى إزالة المستخدم من الدور فقط، ولا يؤدي إلى حذفه.

تحديد نطاق البريد الإلكتروني للنظام مسؤول الإدارة

لمزيد من الأمان، يمكنك تحديد نطاق البريد الإلكتروني المطلوب لنظام Edge. المشرف. عند إضافة مشرف نظام، إذا لم يكن عنوان البريد الإلكتروني للمستخدم في ملف نطاق محدَّد، ثم تخفق إضافة المستخدم إلى دور sysadmin.

بشكل افتراضي، يكون النطاق المطلوب فارغًا، مما يعني أنه يمكنك إضافة أي عنوان بريد إلكتروني إلى sysadmin

لإعداد نطاق البريد الإلكتروني:

  1. فتح في محرِّر management-server.properties:
    في /&lt;inst_root&gt;/apigee/customer/application/management-server.properties

    إذا لم يكن هذا الملف متوفّرًا، أنشئه.
  2. ضبط conf_security_rbac.global.roles.allowed.domains إلى قائمة النطاقات المسموح بها المفصولة بفواصل. مثال:
    conf_security_rbac.global.roles.allowed.domains=myCo.com,yourCo.com
  3. احفظ التغييرات.
  4. أعِد تشغيل خادم إدارة Edge:
    /&lt;inst_root&gt;/apigee/apigee-service/bin/apigee-service إعادة تشغيل خادم إدارة الحافة

    إذا حاولت الآن إضافة مستخدم إلى دور مسؤول إدارة النظم، ولم يكن عنوان البريد الإلكتروني لهذا المستخدم في أحد النطاقات المحددة، فشل الإضافة.

حذف مستخدم

يمكنك إنشاء مستخدم إما باستخدام واجهة برمجة تطبيقات Edge أو واجهة مستخدم Edge. ومع ذلك، يمكنك فقط حذف مستخدم باستخدام واجهة برمجة التطبيقات.

للاطّلاع على قائمة المستخدمين الحاليين، بما في ذلك عنوان البريد الإلكتروني، استخدِم الأمر cURL التالي:

curl -u <sysAdminEmail>:<passwd> http://<ms-IP>:8080/v1/users

استخدِم أمر cURL التالي لحذف مستخدم:

curl -u <sysAdminEmail>:<passwd> -X DELETE http://<ms-IP>:8080/v1/users/<userEmail>