Gérer les utilisateurs, les rôles et les autorisations

Edge for Private Cloud v. 4.16.09

Le site de documentation Apigee contient de nombreuses informations sur la gestion des rôles utilisateur et des autorisations. Les utilisateurs peuvent être gérés à la fois avec l'interface utilisateur Edge et l'API Management. Les rôles et les autorisations ne peuvent être gérés qu'avec l'API Management.

Pour en savoir plus sur les utilisateurs et leur création, consultez les pages suivantes:

• À propos des utilisateurs du monde entier
• Créer des utilisateurs mondiaux

La plupart des opérations de gestion des utilisateurs nécessitent des droits d'administrateur système. Dans une installation Edge d'un service cloud, Apigee joue le rôle d'administrateur système. Dans un périphérique pour l'installation du cloud privé, votre administrateur système doit effectuer ces tâches comme décrit ci-dessous.

Ajouter un utilisateur

Vous pouvez créer un utilisateur à l'aide de l'API Edge, de l'interface utilisateur Edge ou des commandes Edge. Cette section explique comment utiliser l'API Edge et les commandes Edge. Pour en savoir plus sur la création d'utilisateurs dans l'interface utilisateur Edge, consultez la section Créer des utilisateurs globaux.

Après avoir créé l'utilisateur dans une organisation, vous devez lui attribuer un rôle. Les rôles déterminent les droits d'accès de l'utilisateur sur Edge.

Exécutez la commande suivante pour créer un utilisateur avec l'API Edge:

curl -H "Content-Type:application/xml" -u <sysAdminEmail>:<passwd> \
-X POST http://<ms_IP>:8080/v1/users \
-d '<User> \
   <FirstName>New</FirstName> \
   <LastName>User</LastName> \
   <Password>newUserPWord</Password> \
   <EmailId>foo@bar.com</EmailId> \
</User>'

Ou utilisez la commande Edge suivante pour créer un utilisateur:

> /<inst_root>/apigee/apigee-service/bin/apigee-service apigee-provision create-user -f configFile

Où configFile contient les informations nécessaires pour créer l'utilisateur:

APIGEE_ADMINPW=sysAdminPW    # If omitted, you will be prompted.
USER_NAME=foo@bar.com
FIRST_NAME=New
LAST_NAME=User
USER_PWD="newUserPWord"
ORG_NAME=myorg  

Vous pouvez ensuite utiliser cet appel pour afficher des informations sur l'utilisateur:

curl -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/users/foo@bar.com

Attribuer un rôle à l'utilisateur dans une organisation

Avant qu'un nouvel utilisateur puisse faire quelque chose, il doit être attribué à un rôle dans une organisation. Vous pouvez attribuer l'utilisateur à différents rôles, y compris orgadmin, businessuser, opsadmin ou user, ou à un rôle personnalisé défini dans l'organisation.

L'attribution d'un rôle à un utilisateur dans une organisation ajoute automatiquement cet utilisateur à l'organisation. Attribuez un utilisateur à plusieurs organisations en les attribuant à un rôle dans chaque organisation.

Utilisez la commande suivante pour attribuer un rôle à l'utilisateur dans une organisation:

curl -X POST -H "Content-Type:application/x-www-form-urlencoded" /
http://<ms_IP>:8080/v1/o/<org_name>/userroles/<role>/users?id=foo@bar.com /
-u <sysAdminEmail>:<passwd> 

Vous pouvez afficher les rôles de l'utilisateur à l'aide de la commande suivante:

curl -u <sysAdminEmail>:<passwd> /
http://<ms_IP>:8080/v1/users/foo@bar.com/userroles

Pour supprimer un utilisateur d'une organisation, supprimez tous les rôles de cette organisation à l'utilisateur. Utilisez la commande suivante pour supprimer un rôle d'un utilisateur:

curl -X DELETE -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/o/<org_name>/userroles/<role>/users/foo@bar.com

Ajouter un administrateur système

Un administrateur système peut:

• Créer des organisations
• Ajouter des routeurs, des processeurs de message et d'autres composants à une installation Edge
• configurer TLS/SSL ;
• créer des administrateurs système supplémentaires ;
• Exécuter toutes les tâches administratives Edge

Bien qu'un seul utilisateur soit l'utilisateur par défaut pour les tâches administratives, il peut y avoir plusieurs administrateurs système. Tout utilisateur doté du rôle sysadmin dispose de toutes les autorisations sur toutes les ressources.

Vous pouvez créer l'utilisateur de l'administrateur système dans l'interface utilisateur ou l'API Edge. Cependant, vous devez utiliser l'API Edge pour attribuer le rôle sysadmin à l'utilisateur. L'attribution d'un rôle sysadmin à un utilisateur ne peut pas être effectuée dans l'interface utilisateur Edge.

Pour ajouter un administrateur système, procédez comme suit:

1. Créez un utilisateur dans l'interface utilisateur ou l'API Edge.
2. Ajoutez l'utilisateur au rôle sysadmin:
   curl -u <sysAdminEmail>:<passwd> \
   -X POST http://<ms_IP>:8080/v1/userroles/sysadmin/users \
   -d 'id=foo@bar.com'
3. Assurez-vous que le nouvel utilisateur possède le rôle sysadmin:
   curl -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/userroles/sysadmin/users
   
   Renvoie l'adresse e-mail de l'utilisateur:
   [ " foo@bar.com " ]
4. Vérifier les autorisations du nouvel utilisateur:
   curl -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/users/foo@bar.com/permissions
   
   Renvoie:
   {
   "resourcePermission" : [ {
   "path" : "/",
   "permissions" : ["get", ]", }}
   
   
5. Après avoir ajouté l'administrateur système, vous pouvez ajouter l'utilisateur à toutes les organisations.
   Remarque: Le nouvel administrateur système ne peut pas se connecter à l'interface utilisateur Edge tant que vous n'avez pas ajouté l'utilisateur à au moins une organisation.
6. Si vous souhaitez par la suite retirer l'utilisateur du rôle d'administrateur système, vous pouvez utiliser l'API suivante:
   curl -X DELETE -u <sysadminEmail:pword>
   http://<ms_IP>:8080/v1/userroles/sysadmin/users/foo@bar.com
   
   Notez que cet appel supprime uniquement le rôle de l'utilisateur.

Spécifier le domaine de messagerie d'un administrateur système

Pour plus de sécurité, vous pouvez spécifier le domaine de messagerie requis pour un administrateur système Edge. Lors de l'ajout d'un administrateur système, si l'adresse e-mail de l'utilisateur ne se trouve pas dans le domaine spécifié, l'ajout de l'utilisateur au rôle sysadmin échoue.

Par défaut, le domaine requis est vide. Vous pouvez donc ajouter n'importe quelle adresse e-mail au rôle sysadmin.

Pour définir le domaine de messagerie:

1. Ouvrez un éditeur management-server.properties:
   vi /<inst_root>/apigee/customer/application/management-server.properties
   
   Si ce fichier n'existe pas, créez-le.
2. Définissez la propriété conf_security_rbac.global.roles.allowed.domains sur la liste des domaines autorisés séparés par une virgule. Exemple:
   conf_security_rbac.global.roles.allowed.domains=myCo.com,yourCo.com
3. Enregistrez les modifications
4. Redémarrez le serveur de gestion Edge:
   /<inst_root>/apigee/apigee-service/bin/apigee-service Edge-management-server restart
   
   Si vous tentez maintenant d'ajouter un utilisateur au rôle sysadmin et que l'adresse e-mail de l'utilisateur ne se trouve pas dans l'un des domaines spécifiés, l'ajout échoue.

Supprimer un compte utilisateur

Vous pouvez créer un utilisateur à l'aide de l'API Edge ou de l'interface utilisateur Edge. Toutefois, vous ne pouvez supprimer un utilisateur qu'à l'aide de l'API.

Pour afficher la liste des utilisateurs actuels, y compris leur adresse e-mail, utilisez la commande cURL suivante:

curl -u <sysAdminEmail>:<passwd> http://<ms-IP>:8080/v1/users

Utilisez la commande cURL suivante pour supprimer un utilisateur:

curl -u <sysAdminEmail>:<passwd> -X DELETE http://<ms-IP>:8080/v1/users/<userEmail>