Edge pour Private Cloud version 4.16.09
Le site de documentation d'Apigee contient des informations détaillées sur la gestion des rôles utilisateur autorisations. Les utilisateurs peuvent être gérés à l'aide de l'interface utilisateur Edge et de l'API de gestion. rôles et les autorisations ne peuvent être gérées qu'avec l'API Management.
Pour en savoir plus sur les utilisateurs et leur création, consultez les pages suivantes:
La plupart des opérations que vous effectuez pour gérer les utilisateurs nécessitent un administrateur système de droits. Dans une installation d'Edge basée sur le cloud, Apigee joue le rôle de système administrateur. Dans une installation Edge pour Private Cloud, votre administrateur système doit d'effectuer ces tâches comme décrit ci-dessous.
Ajouter un utilisateur
Vous pouvez créer un utilisateur à l'aide de l'API Edge, de l'interface utilisateur Edge ou des commandes Edge. Ce explique comment utiliser l'API Edge et les commandes Edge. Pour savoir comment créer des utilisateurs dans le Edge d'interface utilisateur, voir Création à l'échelle mondiale.
Après avoir créé l'utilisateur dans une organisation, vous devez lui attribuer un rôle. Rôles déterminer les droits d'accès de l'utilisateur sur Edge.
Utilisez la commande suivante pour créer un utilisateur avec l'API Edge:
curl -H "Content-Type:application/xml" -u <sysAdminEmail>:<passwd> \ -X POST http://<ms_IP>:8080/v1/users \ -d '<User> \ <FirstName>New</FirstName> \ <LastName>User</LastName> \ <Password>newUserPWord</Password> \ <EmailId>foo@bar.com</EmailId> \ </User>'
Vous pouvez également utiliser la commande Edge suivante pour créer un utilisateur:
> /<inst_root>/apigee/apigee-service/bin/apigee-service apigee-provision create-user -f configFile
Où configFile contient les informations nécessaires à la création du utilisateur:
APIGEE_ADMINPW=sysAdminPW # If omitted, you will be prompted. USER_NAME=foo@bar.com FIRST_NAME=New LAST_NAME=User USER_PWD="newUserPWord" ORG_NAME=myorg
Vous pouvez ensuite utiliser cet appel pour afficher des informations sur l'utilisateur:
curl -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/users/foo@bar.com
L'attribution de l'utilisateur à un rôle organisation
Pour qu'un nouvel utilisateur puisse effectuer une action, un rôle doit lui être attribué au sein d'une organisation. Toi attribuer différents rôles à l'utilisateur, y compris orgadmin, businessuser, opsadmin, user ou un rôle personnalisé défini dans le organisation.
Lorsque vous attribuez un rôle à un utilisateur dans une organisation, il est automatiquement ajouté organisation. Affectez un utilisateur à plusieurs organisations en l'associant à un rôle dans chacune d'elles. organisation.
Utilisez la commande suivante pour attribuer un rôle à l'utilisateur dans une organisation:
curl -X POST -H "Content-Type:application/x-www-form-urlencoded" / http://<ms_IP>:8080/v1/o/<org_name>/userroles/<role>/users?id=foo@bar.com / -u <sysAdminEmail>:<passwd>
Vous pouvez afficher les rôles de l'utilisateur à l'aide de la commande suivante:
curl -u <sysAdminEmail>:<passwd> / http://<ms_IP>:8080/v1/users/foo@bar.com/userroles
Pour supprimer un utilisateur d'une entreprise, supprimez tous les rôles de cette organisation pour cet utilisateur. Exécutez la commande suivante pour supprimer un rôle attribué à un utilisateur:
curl -X DELETE -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/o/<org_name>/userroles/<role>/users/foo@bar.com
Ajouter un administrateur système
Un administrateur système peut:
- Créer des organisations
- Ajouter des routeurs, des processeurs de messages et d'autres composants à une installation Edge
- configurer TLS/SSL ;
- créer des administrateurs système supplémentaires ;
- Effectuer toutes les tâches d'administration Edge
Bien qu'un seul utilisateur soit désigné par défaut pour les tâches administratives, il peut y avoir plus de un administrateur système. Tout utilisateur ayant le rôle sysadmin dispose de autorisations complètes ressources.
Vous pouvez créer l'utilisateur pour l'administrateur système dans l'interface utilisateur ou l'API Edge. Toutefois, vous devez utiliser l'API Edge pour attribuer à l'utilisateur le rôle sysadmin. Attribution d'un utilisateur le rôle sysadmin ne peut pas être effectué dans l'interface utilisateur Edge.
Pour ajouter un administrateur système:
- Créez un utilisateur dans l'interface utilisateur ou l'API Edge.
- Ajouter l'utilisateur à sysadmin
rôle:
curl -u <sysAdminEmail>:<passwd>
-X POST http://<ms_IP>:8080/v1/userroles/sysadmin/users \
-d 'id=foo@bar.com' - Assurez-vous que le nouvel utilisateur a le rôle d'administrateur système:
curl -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/userroles/sysadmin/users
Renvoie l'adresse e-mail de l'utilisateur:
foo@bar.com " ] - Vérifiez les autorisations du nouvel utilisateur:
curl -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/users/foo@bar.com/permissions
Renvoie:
{
"resourcePermission" : [ {
"chemin d'accès" : "/",
"autorisations" : [ "get", "put", "delete" ]
} ]
} - Une fois le nouvel administrateur système ajouté, vous pouvez ajouter l'utilisateur à n'importe quelle organisation.
Remarque: le nouvel administrateur système ne peut pas se connecter à l'interface utilisateur Edge tant que vous ajouter l'utilisateur à au moins une organisation. - Si, par la suite, vous souhaitez retirer à l'utilisateur le rôle d'administrateur système, vous pouvez utiliser le
API suivante:
curl -X DELETE -u <sysadminEmail:pword>
http://<ms_IP>:8080/v1/userroles/sysadmin/users/foo@bar.com
Notez que cet appel ne supprime que l'utilisateur du rôle. Il ne le supprime pas.
Spécifier le domaine de messagerie d'un système administrateur
Pour renforcer la sécurité, vous pouvez spécifier le domaine de messagerie requis pour un système Edge administrateur. Lors de l'ajout d'un administrateur système, si l'adresse e-mail de l'utilisateur ne figure pas dans le le domaine spécifié, l'ajout de l'utilisateur au rôle sysadmin échoue.
Par défaut, le domaine requis est vide, ce qui signifie que vous pouvez ajouter n'importe quelle adresse e-mail au sysadmin.
Pour définir le domaine de messagerie:
- Ouvrez le fichier management-server.properties dans un éditeur:
vi /<inst_root>/apigee/customer/application/management-server.properties
Si ce fichier n'existe pas, créez-le. - Définissez conf_security_rbac.global.roles.allowed.domains
à la liste des domaines autorisés séparés par une virgule. Exemple:
conf_security_rbac.global.roles.allowed.domains=myCo.com,yourCo.com - Enregistrez les modifications.
- Redémarrez le serveur de gestion Edge:
/<inst_root>/apigee/apigee-service/bin/apigee-service redémarrage du serveur de gestion en périphérie
Si vous essayez maintenant d'ajouter un utilisateur au rôle d'administrateur système et que l'adresse e-mail de l'utilisateur n'est pas dans l'un des domaines spécifiés, l'ajout échoue.
Supprimer un compte utilisateur
Vous pouvez créer un utilisateur à l'aide de l'API Edge ou de l'interface utilisateur Edge. Toutefois, vous ne pouvez supprimer un utilisateur à l'aide de l'API.
Pour afficher la liste des utilisateurs actuels, y compris leur adresse e-mail, utilisez la commande cURL suivante:
curl -u <sysAdminEmail>:<passwd> http://<ms-IP>:8080/v1/users
Exécutez la commande cURL suivante pour supprimer un utilisateur:
curl -u <sysAdminEmail>:<passwd> -X DELETE http://<ms-IP>:8080/v1/users/<userEmail>