Edge for Private Cloud v. 4.16.09
El sitio de documentación de Apigee contiene mucha información sobre cómo administrar los roles de los usuarios y permisos. Los usuarios se pueden administrar con la IU perimetral y la API de Management. roles y los permisos solo se pueden administrar con la API de Management.
Para obtener información sobre los usuarios y cómo crearlos, consulta lo siguiente:
Muchas de las operaciones que realizas para administrar usuarios requieren un administrador del sistema privilegios. En una instalación de Edge basada en la nube, Apigee funciona en el rol de sistema administrador. En una instancia de Edge para la instalación de la nube privada, el administrador del sistema realizar estas tareas como se describe a continuación.
Agrega un usuario
Para crear un usuario, puedes usar la API de Edge, la IU de Edge o los comandos de Edge. Esta se describe cómo usar la API de Edge y los comandos de Edge. Para obtener información sobre cómo crear usuarios en la IU de Edge, consulta Crea contenido usuarios globales.
Después de crear el usuario en una organización, debes asignarle un rol. Funciones determinar los derechos de acceso del usuario en Edge.
Usa el siguiente comando para crear un usuario con la API de Edge:
curl -H "Content-Type:application/xml" -u <sysAdminEmail>:<passwd> \ -X POST http://<ms_IP>:8080/v1/users \ -d '<User> \ <FirstName>New</FirstName> \ <LastName>User</LastName> \ <Password>newUserPWord</Password> \ <EmailId>foo@bar.com</EmailId> \ </User>'
También puedes usar el siguiente comando de Edge para crear un usuario:
> /<inst_root>/apigee/apigee-service/bin/apigee-service apigee-provision create-user -f configFile
Cuando configFile contenga la información necesaria para crear la usuario:
APIGEE_ADMINPW=sysAdminPW # If omitted, you will be prompted. USER_NAME=foo@bar.com FIRST_NAME=New LAST_NAME=User USER_PWD="newUserPWord" ORG_NAME=myorg
Luego, puedes usar esta llamada para ver la información del usuario:
curl -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/users/foo@bar.com
Asignar al usuario un rol en una organización
Antes de que un usuario nuevo pueda realizar una acción, se lo debe asignar a un rol en una organización. Tú puede asignar al usuario diferentes roles, como orgadmin, businessuser, opsadmin y user, o a un rol personalizado definido en la organización.
Cuando asignas un usuario a un rol en una organización, automáticamente se agrega al organización. Asignar un usuario a varias organizaciones con un rol en cada una organización.
Usa el siguiente comando para asignar al usuario un rol en una organización:
curl -X POST -H "Content-Type:application/x-www-form-urlencoded" / http://<ms_IP>:8080/v1/o/<org_name>/userroles/<role>/users?id=foo@bar.com / -u <sysAdminEmail>:<passwd>
Puedes ver los roles del usuario con el siguiente comando:
curl -u <sysAdminEmail>:<passwd> / http://<ms_IP>:8080/v1/users/foo@bar.com/userroles
Para quitar a un usuario de una organización, quita todas las funciones de esa organización del usuario. Usa el siguiente comando para quitarle un rol a un usuario:
curl -X DELETE -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/o/<org_name>/userroles/<role>/users/foo@bar.com
Cómo agregar un administrador del sistema
Un administrador del sistema puede hacer lo siguiente:
- Crear organizaciones
- Agrega routers, procesadores de mensajes y otros componentes a una instalación de Edge
- Configurar TLS/SSL
- Cómo crear administradores de sistema adicionales
- Realizar todas las tareas administrativas de Edge
Si bien solo un usuario es el predeterminado para las tareas administrativas, puede haber más un administrador del sistema. Cualquier usuario que sea miembro del rol sysadmin tiene permisos completos para todos de Google Cloud.
Puedes crear el usuario para el administrador del sistema en la IU o la API de Edge. Sin embargo, Debes usar la API de Edge para asignar al usuario el rol de sysadmin. La asignación de un usuario al sysadmin no se puede realizar en la IU de Edge.
Para agregar un administrador del sistema, sigue estos pasos:
- Crear un usuario en la IU o API de Edge
- Agregar usuario a sysadmin
rol:
curl -u <sysAdminEmail>:<passwd>
-X PUBLICACIÓN http://<ms_IP>:8080/v1/userroles/sysadmin/users \
-d 'id=foo@bar.com' - Asegúrate de que el usuario nuevo tenga el rol de administrador del sistema:
curl -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/userroles/sysadmin/users
Muestra la dirección de correo electrónico del usuario:
[ " foo@bar.com ] - Verificar los permisos del usuario nuevo:
curl -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/users/foo@bar.com/permissions
Muestra:
{
“resourcePermission” : [ {
"ruta" : “/”,
"permisos" : [ "get", "put", "delete" ]
} ]
} - Después de agregar al nuevo administrador del sistema, puedes agregar al usuario a cualquier organización.
Nota: El nuevo usuario administrador del sistema no puede acceder a la IU de Edge hasta que agregar al usuario a una organización como mínimo. - Si más adelante deseas quitar al usuario del rol de administrador del sistema, puedes usar el
siguiente API:
curl -X DELETE -u <sysadminEmail:pword>
http://<ms_IP>:8080/v1/userroles/sysadmin/users/foo@bar.com
Ten en cuenta que esta llamada solo quita al usuario del rol, no lo borra.
Especificación del dominio de correo electrónico de un sistema administrador
Como un nivel de seguridad adicional, puedes especificar el dominio de correo electrónico requerido de un sistema perimetral administrador. Al agregar un administrador del sistema, si la dirección de correo electrónico del usuario no se encuentra en dominio especificado y, luego, no se puede agregar el usuario a la función sysadmin.
De forma predeterminada, el dominio obligatorio está vacío, lo que significa que puedes agregar cualquier dirección de correo electrónico al sysadmin.
Para configurar el dominio de correo electrónico, sigue estos pasos:
- Ábrelo en un editor management-server.properties:
vi /<inst_root>/apigee/customer/application/management-server.properties
Si este archivo no existe, créalo. - Configura conf_security_rbac.global.roles.allowed.domains
a la lista separada por comas de dominios permitidos. Por ejemplo:
conf_security_rbac.global.roles.allowed.domains=myCo.com,yourCo.com - Guarda los cambios.
- Reinicia el servidor de administración perimetral:
/<inst_root>/apigee/apigee-service/bin/apigee-service reinicio del servidor de administración perimetral
Si ahora intentas agregar un usuario al rol sysadmin y la dirección de correo electrónico del usuario no es en uno de los dominios especificados, la adición falla.
Borra un usuario
Para crear un usuario, puedes usar la API o la IU de Edge. Sin embargo, solo puedes borrar un usuario con la API.
Para ver la lista de usuarios actuales, incluida la dirección de correo electrónico, usa el siguiente comando cURL:
curl -u <sysAdminEmail>:<passwd> http://<ms-IP>:8080/v1/users
Usa el siguiente comando de cURL para borrar un usuario:
curl -u <sysAdminEmail>:<passwd> -X DELETE http://<ms-IP>:8080/v1/users/<userEmail>