Zarządzanie użytkownikami, rolami i uprawnieniami

Edge for Private Cloud w wersji 4.16.09

W witrynie z dokumentacją Apigee znajdziesz obszerne informacje o zarządzaniu rolami użytkowników uprawnień. Użytkownikami można zarządzać zarówno za pomocą interfejsu użytkownika Edge, jak i interfejsu Management API. role uprawnieniami można zarządzać tylko za pomocą interfejsu API zarządzania.

Informacje o użytkownikach i tworzeniu użytkowników znajdziesz w tych artykułach:

Wiele operacji związanych z zarządzaniem użytkownikami wymaga uprawnień administratora systemu uprawnień. W opartej na chmurze instalacji Edge Apigee działa w roli systemu . W Edge dla instalacji Private Cloud administrator systemu musi wykonaj te zadania w sposób opisany poniżej.

Dodawanie użytkownika

Użytkownika możesz utworzyć za pomocą interfejsu Edge API, interfejsu Edge lub poleceń Edge. Ten W tej sekcji opisaliśmy, jak używać interfejsu Edge API i poleceń Edge. Aby uzyskać informacje na temat tworzenia użytkowników w Interfejs Edge znajdziesz w sekcji Tworzenie użytkowników na całym świecie.

Po utworzeniu użytkownika w organizacji musisz przypisać mu rolę. Role określać uprawnienia dostępu użytkownika w Edge.

Aby utworzyć użytkownika za pomocą interfejsu Edge API, użyj tego polecenia:

curl -H "Content-Type:application/xml" -u <sysAdminEmail>:<passwd> \
-X POST http://<ms_IP>:8080/v1/users \
-d '<User> \
   <FirstName>New</FirstName> \
   <LastName>User</LastName> \
   <Password>newUserPWord</Password> \
   <EmailId>foo@bar.com</EmailId> \
</User>'

Konto użytkownika możesz też utworzyć za pomocą tego polecenia Edge:

> /<inst_root>/apigee/apigee-service/bin/apigee-service apigee-provision create-user -f configFile

Gdy configFile zawiera informacje niezbędne do utworzenia użytkownik:

APIGEE_ADMINPW=sysAdminPW    # If omitted, you will be prompted.
USER_NAME=foo@bar.com
FIRST_NAME=New
LAST_NAME=User
USER_PWD="newUserPWord"
ORG_NAME=myorg  

Za pomocą tego wywołania można wyświetlić informacje na temat użytkownika:

curl -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/users/foo@bar.com

Przypisanie użytkownika do roli w organizacja

Zanim nowy użytkownik będzie mógł wykonać cokolwiek, musi mieć przypisaną rolę w organizacji. Ty może przypisać użytkownikowi różne role, takie jak: orgadmin, businessuser, opsadmin, user, lub do roli niestandardowej zdefiniowanej w Twojej organizacji.

Przypisanie użytkownika do roli w organizacji powoduje automatyczne dodanie go do Twojej organizacji. Przypisz użytkownika do wielu organizacji, przypisując mu rolę w każdej z nich Twojej organizacji.

Aby przypisać użytkownikowi rolę w organizacji, użyj tego polecenia:

curl -X POST -H "Content-Type:application/x-www-form-urlencoded" /
http://<ms_IP>:8080/v1/o/<org_name>/userroles/<role>/users?id=foo@bar.com /
-u <sysAdminEmail>:<passwd> 

Role użytkownika możesz wyświetlić za pomocą tego polecenia:

curl -u <sysAdminEmail>:<passwd> /
http://<ms_IP>:8080/v1/users/foo@bar.com/userroles

Aby usunąć użytkownika z organizacji, odbierz mu wszystkie role w tej organizacji. Aby odebrać rolę użytkownikowi, użyj tego polecenia:

curl -X DELETE -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/o/<org_name>/userroles/<role>/users/foo@bar.com

Dodawanie administratora systemu

Administrator systemu może:

  • Utwórz organizacje
  • Dodawanie routerów, procesorów wiadomości i innych komponentów do instalacji Edge
  • Konfigurowanie TLS/SSL
  • Tworzenie dodatkowych administratorów systemu
  • Wykonywanie wszystkich zadań administracyjnych na Edge

O ile tylko jeden użytkownik jest domyślnym użytkownikiem zadań administracyjnych, może być więcej niż administratora systemu. Każdy użytkownik z rolą sysadmin ma pełne uprawnienia do wszystkich i zasobami Google Cloud.

Możesz utworzyć użytkownika dla administratora systemu w interfejsie Edge lub API. Pamiętaj jednak: musisz użyć interfejsu Edge API, aby przypisać użytkownikowi rolę sysadmin. Przypisanie użytkownika do roli sysadmin nie można wykonać w w interfejsie Edge.

Aby dodać administratora systemu:

  1. Utwórz użytkownika w interfejsie użytkownika lub interfejsie API Edge.
  2. Dodaj użytkownika do sysadmin rola:
    curl -u &lt;sysAdminEmail&gt;:&lt;passwd&gt;
    -X POST http://<ms_IP>:8080/v1/userroles/sysadmin/users \
    -d 'id=foo@bar.com'
  3. Sprawdź, czy nowy użytkownik jest w roli sysadmin:
    curl -u &lt;sysAdminEmail&gt;:&lt;passwd&gt; http://&lt;ms_IP&gt;:8080/v1/userroles/sysadmin/users

    Zwraca adres e-mail użytkownika:
    [ " foo@bar.com " ]
  4. Sprawdź uprawnienia nowego użytkownika:
    curl -u &lt;sysAdminEmail&gt;:&lt;passwd&gt; http://&lt;ms_IP&gt;:8080/v1/users/foo@bar.com/permissions

    Zwroty:
    {
    „resourcePermission” : [ {
    „ścieżka” : "/",
    „permissions” : [ "get", "put", "delete" ]
    } ]
    }
  5. Po dodaniu nowego administratora systemu możesz dodać użytkownika do dowolnej organizacji.
    Uwaga: nowy administrator systemu nie może zalogować się w interfejsie Edge dodaj użytkownika do co najmniej 1 organizacji.
  6. Jeśli później zechcesz odebrać użytkownikowi rolę administratora systemu, możesz użyć ten interfejs API:
    curl -X USUŃ -u &lt;sysadminEmail:pword&gt;
    http://&lt;ms_IP&gt;:8080/v1/userroles/sysadmin/users/foo@bar.com


    Pamiętaj, że to wywołanie jedynie usuwa użytkownika z roli, a nie go nie usuwa.

Określanie domeny e-mail systemu administrator

Aby zwiększyć bezpieczeństwo, możesz określić wymaganą domenę poczty e-mail w systemie Edge . Podczas dodawania administratora systemu, jeśli adres e-mail użytkownika nie znajduje się w w określonej domenie, dodanie użytkownika do roli sysadmin się nie uda.

Domyślnie wymagana domena jest pusta, co oznacza, że do domeny można dodać dowolny adres e-mail sysadmin.

Aby ustawić domenę e-mail:

  1. Otwórz w edytorze management-server.properties:
    vi /&lt;inst_root&gt;/apigee/customer/application/management-server.properties

    Jeśli ten plik nie istnieje, utwórz go.
  2. Ustaw conf_security_rbac.global.roles.allowed.domains na rozdzielaną przecinkami listę dozwolonych domen. Przykład:
    conf_security_rbac.global.roles.allowed.domains=myCo.com,yourCo.com
  3. Zapisz zmiany.
  4. Ponownie uruchom serwer zarządzania brzegiem:
    /&lt;inst_root&gt;/apigee/apigee-service/bin/apigee-service ponowne uruchomienie serwera zarządzania brzegiem

    Jeśli spróbujesz dodać użytkownika do roli sysadmin, a jego adres e-mail nie jest w jednej ze wskazanych domen, dodawanie kończy się niepowodzeniem.

Usuwanie konta użytkownika

Użytkownika możesz utworzyć za pomocą interfejsu Edge API lub interfejsu Edge. Możesz jednak tylko usunąć użytkownika za pomocą interfejsu API.

Aby wyświetlić listę bieżących użytkowników wraz z adresami e-mail, użyj następującego polecenia cURL:

curl -u <sysAdminEmail>:<passwd> http://<ms-IP>:8080/v1/users

Aby usunąć użytkownika, użyj tego polecenia cURL:

curl -u <sysAdminEmail>:<passwd> -X DELETE http://<ms-IP>:8080/v1/users/<userEmail>