ניהול משתמשים, תפקידים והרשאות

Edge for Private Cloud גרסה 4.16.09

אתר התיעוד של Apigee כולל מידע מקיף על ניהול תפקידי משתמשים הרשאות. ניתן לנהל את המשתמשים גם באמצעות ממשק המשתמש של Edge וגם באמצעות ה-Management API. תפקידים את ההרשאות ניתן לנהל רק באמצעות Management API.

למידע על משתמשים ויצירת משתמשים, ראו:

• מידע על המדיניות הגלובלית משתמשים
• יצירת גלובלית משתמשים

הרבה מהפעולות שמבצעים לניהול משתמשים מחייבות מנהל מערכת הרשאות. בהתקנה מבוססת ענן של Edge, Apigee פועלת בתפקיד של המערכת מנהל מערכת. ב-Edge להתקנת ענן פרטי, מנהל המערכת לבצע את המשימות האלה כפי שמתואר בהמשך.

הוספת משתמש

אפשר ליצור משתמשים באמצעות ה-API של Edge, ממשק המשתמש של Edge או הפקודות של Edge. הזה נסביר איך להשתמש בפקודות של Edge API ו-Edge. לקבלת מידע על יצירת משתמשים בממשק המשתמש של Edge, אפשר לעיין במאמר יצירה משתמשים גלובליים.

אחרי שיוצרים את המשתמש בארגון, צריך להקצות לו תפקיד. תפקידים קביעת זכויות הגישה של המשתמש ב-Edge.

כדי ליצור משתמש באמצעות Edge API, משתמשים בפקודה הבאה:

curl -H "Content-Type:application/xml" -u <sysAdminEmail>:<passwd> \
-X POST http://<ms_IP>:8080/v1/users \
-d '<User> \
   <FirstName>New</FirstName> \
   <LastName>User</LastName> \
   <Password>newUserPWord</Password> \
   <EmailId>foo@bar.com</EmailId> \
</User>'

או משתמשים בפקודה הבאה ב-Edge כדי ליצור משתמש:

> /<inst_root>/apigee/apigee-service/bin/apigee-service apigee-provision create-user -f configFile

כאשר ה-configFile מכיל את המידע הדרוש כדי ליצור את המקטע user:

APIGEE_ADMINPW=sysAdminPW    # If omitted, you will be prompted.
USER_NAME=foo@bar.com
FIRST_NAME=New
LAST_NAME=User
USER_PWD="newUserPWord"
ORG_NAME=myorg  

לאחר מכן אפשר להשתמש בשיחה כדי להציג מידע על המשתמש:

curl -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/users/foo@bar.com

להקצות למשתמש תפקיד ארגון

כדי שמשתמש חדש יכול לבצע פעולה כלשהי, צריך להקצות לו תפקיד בארגון. שלך יכולים להקצות למשתמש תפקידים שונים, כולל: orgadmin, businessuser, opsadmin, user או תפקיד מותאם אישית שמוגדר ב של הארגון.

הקצאת משתמש לתפקיד בארגון מוסיפה אותו באופן אוטומטי של הארגון. להקצות משתמש לכמה ארגונים על ידי הקצאה של תפקיד בכל אחד מהם של הארגון.

כדי להקצות את המשתמש לתפקיד בארגון, משתמשים בפקודה הבאה:

curl -X POST -H "Content-Type:application/x-www-form-urlencoded" /
http://<ms_IP>:8080/v1/o/<org_name>/userroles/<role>/users?id=foo@bar.com /
-u <sysAdminEmail>:<passwd> 

כדי לראות את התפקידים של המשתמשים, משתמשים בפקודה הבאה:

curl -u <sysAdminEmail>:<passwd> /
http://<ms_IP>:8080/v1/users/foo@bar.com/userroles

כדי להסיר משתמש מארגון, צריך להסיר מהמשתמש את כל התפקידים בארגון. כדי להסיר תפקיד ממשתמש, משתמשים בפקודה הבאה:

curl -X DELETE -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/o/<org_name>/userroles/<role>/users/foo@bar.com

הוספת מנהל מערכת

אדמינים יכולים:

• יצירת ארגונים
• הוספת נתבים, מעבדי הודעות ורכיבים אחרים להתקנת Edge
• הגדרת TLS/SSL
• יצירת אדמינים נוספים
• ביצוע כל משימות הניהול של Edge

רק משתמש אחד הוא משתמש ברירת המחדל למשימות ניהול, אבל יכולות להיות מנהל מערכת אחד. לכל משתמש בתפקיד sysadmin יש הרשאות מלאות לכל המשתמשים המשאבים.

אפשר ליצור את המשתמש כאדמין באמצעות ממשק המשתמש של Edge או ה-API. אבל, לפעמים חייבים להשתמש ב-Edge API כדי להקצות למשתמש את התפקיד sysadmin. מקצה משתמש לא ניתן להשתמש בתפקיד sysadmin ב- לממשק המשתמש של Edge.

כדי להוסיף מנהל מערכת:

1. יוצרים משתמש בממשק המשתמש או ב-API של Edge.
2. הוספת המשתמש ל-sysadmin תפקיד:
   curl -u <sysAdminEmail>:<passwd> \
   -X POST http://<ms_IP>:8080/v1/userroles/sysadmin/users \
   -d 'id=foo@bar.com'
3. יש לוודא שהמשתמש החדש נמצא בתפקיד מערכת ניהול:
   curl -u &lt;sysAdminEmail&gt;:&lt;passwd&gt; http://&lt;ms_IP&gt;:8080/v1/userroles/sysadmin/users
   
   הפונקציה מחזירה את כתובת האימייל של המשתמש:
   [ " foo@bar.com " ]
4. בדיקת ההרשאות של המשתמש החדש:
   curl -u &lt;sysAdminEmail&gt;:&lt;passwd&gt; http://&lt;ms_IP&gt;:8080/v1/users/foo@bar.com/permissions
   
   החזרות:
   {
   הרשאת משאב : [ {
   'path' : "/",
   הרשאות : [ "get", "put", "מחיקה" ]
   } ]
   }
5. אחרי שמוסיפים את מנהל המערכת החדש, אפשר להוסיף את המשתמש לכל הארגונים.
   הערה: המשתמש של האדמין החדש לא יוכל להתחבר לממשק המשתמש של Edge עד להוסיף את המשתמש לארגון אחד לפחות.
6. אם רוצים להסיר את המשתמש מתפקיד אדמין בשלב מאוחר יותר, אפשר להשתמש ממשק ה-API הבא:
   Curl -X DELETE -u &lt;sysadminEmail:pword&gt;
   http://&lt;ms_IP&gt;:8080/v1/userroles/sysadmin/users/foo@bar.com
   
   הערה: הקריאה הזו מסירה את המשתמש רק מהתפקיד, ולא מוחקת את המשתמש.

ציון הדומיין של אימייל של מערכת אדמין

כאמצעי אבטחה נוסף, אפשר לציין את דומיין האימייל הנדרש במערכת Edge. מנהל מערכת. כשמוסיפים מנהל מערכת, אם כתובת האימייל של המשתמש לא הדומיין שצוין, הוספת המשתמש לתפקיד sysadmin תיכשל.

כברירת מחדל, הדומיין הנדרש ריק. כלומר, אפשר להוסיף כל כתובת אימייל sysadmin.

כדי להגדיר את הדומיין של האימייל:

1. פותחים בכלי עריכה management-server.properties:
   6 /&lt;inst_root&gt;/apigee/customer/application/management-server.properties
   
   אם הקובץ הזה לא קיים, יוצרים אותו.
2. מגדירים את conf_security_rbac.global.roles.allowed.domains לרשימה המופרדת בפסיקים של דומיינים מורשים. לדוגמה:
   conf_security_rbac.global.roles.allowed.domains=myCo.com,yourCo.com
3. שומרים את השינויים.
4. צריך להפעיל מחדש את שרת ניהול הקצה:
   /&lt;inst_root&gt;/apigee/apigee-service/bin/apigee-service הפעלה מחדש של שרת ניהול הקצה
   
   אם מנסים להוסיף משתמש לתפקיד ה-sysadmin, וכתובת האימייל של המשתמש לא באחד מהדומיינים שצוינו, ההוספה נכשלת.

מחיקת משתמש

אפשר ליצור משתמשים באמצעות ה-API של Edge או באמצעות ממשק המשתמש של Edge. אבל אפשר רק מוחקים משתמש באמצעות ה-API.

כדי לראות את הרשימה של המשתמשים הנוכחיים, כולל כתובות האימייל שלהם, צריך להשתמש בפקודת cURL הבאה:

curl -u <sysAdminEmail>:<passwd> http://<ms-IP>:8080/v1/users

משתמשים בפקודת cURL הבאה כדי למחוק משתמש:

curl -u <sysAdminEmail>:<passwd> -X DELETE http://<ms-IP>:8080/v1/users/<userEmail>