Gestione di utenti, ruoli e autorizzazioni

Edge per Private Cloud v. 4.16.09

Il sito della documentazione di Apigee contiene informazioni complete sulla gestione dei ruoli e delle autorizzazioni utente. Gli utenti possono essere gestiti sia utilizzando l'interfaccia utente Edge che l'API di gestione, mentre i ruoli e le autorizzazioni possono essere gestiti solo con l'API di gestione.

Per informazioni sugli utenti e sulla creazione di utenti, consulta:

• Informazioni sugli utenti globali
• Creazione di utenti globali

Molte delle operazioni eseguite per gestire gli utenti richiedono privilegi di amministratore di sistema. In un'installazione basata su cloud di Edge, Apigee funziona nel ruolo di amministratore di sistema. In un'installazione Edge per il cloud privato, l'amministratore di sistema deve eseguire queste attività come descritto di seguito.

Aggiunta di un utente

Puoi creare un utente utilizzando l'API Edge, l'UI di Edge o i comandi Edge. Questa sezione descrive come utilizzare l'API Edge e i comandi Edge. Per informazioni sulla creazione di utenti nella UI di Edge, consulta Creazione di utenti globali.

Dopo aver creato l'utente in un'organizzazione, devi assegnargli un ruolo. I ruoli determinano i diritti di accesso dell'utente su Edge.

Utilizza il comando seguente per creare un utente con l'API Edge:

curl -H "Content-Type:application/xml" -u <sysAdminEmail>:<passwd> \
-X POST http://<ms_IP>:8080/v1/users \
-d '<User> \
   <FirstName>New</FirstName> \
   <LastName>User</LastName> \
   <Password>newUserPWord</Password> \
   <EmailId>foo@bar.com</EmailId> \
</User>'

In alternativa, utilizza il seguente comando Edge per creare un utente:

> /<inst_root>/apigee/apigee-service/bin/apigee-service apigee-provision create-user -f configFile

Dove configFile contiene le informazioni necessarie per creare l'utente:

APIGEE_ADMINPW=sysAdminPW    # If omitted, you will be prompted.
USER_NAME=foo@bar.com
FIRST_NAME=New
LAST_NAME=User
USER_PWD="newUserPWord"
ORG_NAME=myorg  

Puoi quindi utilizzare questa chiamata per visualizzare le informazioni sull'utente:

curl -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/users/foo@bar.com

Assegnazione dell'utente a un ruolo in un'organizzazione

Prima che un nuovo utente possa fare qualsiasi cosa, deve essere assegnato a un ruolo in un'organizzazione. Puoi assegnare all'utente diversi ruoli, tra cui: orgadmin, businessuser, opsadmin, user oppure a un ruolo personalizzato definito nell'organizzazione.

Se assegni un utente a un ruolo in un'organizzazione, l'utente verrà aggiunto automaticamente all'organizzazione. Assegna un utente a più organizzazioni assegnando un ruolo in ciascuna organizzazione.

Utilizza il comando seguente per assegnare l'utente a un ruolo in un'organizzazione:

curl -X POST -H "Content-Type:application/x-www-form-urlencoded" /
http://<ms_IP>:8080/v1/o/<org_name>/userroles/<role>/users?id=foo@bar.com /
-u <sysAdminEmail>:<passwd> 

Puoi visualizzare i ruoli dell'utente utilizzando il seguente comando:

curl -u <sysAdminEmail>:<passwd> /
http://<ms_IP>:8080/v1/users/foo@bar.com/userroles

Per rimuovere un utente da un'organizzazione, rimuovi dall'utente tutti i ruoli all'interno dell'organizzazione. Utilizza questo comando per rimuovere un ruolo da un utente:

curl -X DELETE -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/o/<org_name>/userroles/<role>/users/foo@bar.com

Aggiunta di un amministratore di sistema

Un amministratore di sistema può:

• Crea organizzazioni
• Aggiunta di router, processori di messaggi e altri componenti a un'installazione Edge
• Configura TLS/SSL
• Crea altri amministratori di sistema
• Esegui tutte le attività amministrative perimetrali

Sebbene un solo utente sia l'utente predefinito per le attività amministrative, ci possono essere più amministratori di sistema. Qualsiasi utente che è membro del ruolo sysadmin ha autorizzazioni complete per tutte le risorse.

Puoi creare l'utente per l'amministratore di sistema nella UI o nell'API Edge. Tuttavia, devi utilizzare l'API Edge per assegnare all'utente il ruolo di sysadmin. Non è possibile assegnare un utente al ruolo sysadmin nella UI di Edge.

Per aggiungere un amministratore di sistema:

1. Crea un utente nella UI o nell'API Edge.
2. Aggiungi utente al ruolo sysadmin:
   curl -u <sysAdminEmail>:<passwd> \
   -X POST http://<ms_IP>:8080/v1/userroles/sysadmin/users \
   -d 'id=foo@bar.com'
3. Assicurati che il nuovo utente abbia il ruolo sysadmin:
   curl -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/userroles/sysadmin/users
   
   Restituisce l'indirizzo email dell'utente:
   [ " foo@bar.com " ]
4. Controlla le autorizzazioni del nuovo utente:
   curl -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/users/foo@bar.com/permissions
   
   Restituzione:
   {
   "resourcePermission" : [ {
   "path" : "/",
   } "permissions" : ["delete" ]", "
   "
   
5. Dopo aver aggiunto il nuovo amministratore di sistema, puoi aggiungere l'utente a qualsiasi organizzazione.
   Nota: il nuovo utente amministratore di sistema non può accedere alla UI di Edge finché non aggiungi l'utente ad almeno un'organizzazione.
6. Se in un secondo momento vorrai rimuovere l'utente dal ruolo di amministratore di sistema, puoi utilizzare la seguente API:
   curl -X DELETE -u <sysadminEmail:pword>
   http://<ms_IP>:8080/v1/userroles/sysadmin/users/foo@bar.com
   
   Tieni presente che questa chiamata rimuove solo l'utente dal ruolo, non elimina l'utente dal ruolo

Specifica del dominio email di un amministratore di sistema

Come ulteriore livello di sicurezza, puoi specificare il dominio email richiesto di un amministratore di sistema Edge. Durante l'aggiunta di un amministratore di sistema, se l'indirizzo email dell'utente non fa parte del dominio specificato, l'aggiunta dell'utente al ruolo sysadmin non va a buon fine.

Per impostazione predefinita, il dominio obbligatorio è vuoto, il che significa che puoi aggiungere qualsiasi indirizzo email al ruolo sysadmin.

Per impostare il dominio email:

1. Apri in un editor management-server.properties:
   vi /<inst_root>/apigee/customer/application/management-server.properties
   
   Se questo file non esiste, crealo.
2. Imposta la proprietà conf_security_rbac.global.roles.allowed.domains sull'elenco separato da virgole dei domini consentiti. Ad esempio:
   conf_security_rbac.global.roles.allowed.domains=myCo.com,yourCo.com
3. Salva le modifiche.
4. Riavvia il server di gestione perimetrale:
   /<inst_root>/apigee/apigee-service/bin/apigee-service edge-management-server reboot
   
   Se ora tenti di aggiungere un utente al ruolo sysadmin e l'indirizzo email dell'utente non è in uno dei domini specificati, l'aggiunta non va a buon fine.

Eliminazione di un utente

Puoi creare un utente utilizzando l'API Edge o l'UI Edge. Tuttavia, puoi eliminare un utente solo utilizzando l'API.

Per visualizzare l'elenco degli utenti correnti, incluso l'indirizzo email, utilizza il seguente comando cURL:

curl -u <sysAdminEmail>:<passwd> http://<ms-IP>:8080/v1/users

Utilizza il seguente comando cURL per eliminare un utente:

curl -u <sysAdminEmail>:<passwd> -X DELETE http://<ms-IP>:8080/v1/users/<userEmail>