Edge for Private Cloud w wersji 4.16.09
W witrynie z dokumentacją Apigee znajdziesz obszerne informacje o zarządzaniu rolami użytkowników uprawnień. Użytkownikami można zarządzać zarówno za pomocą interfejsu użytkownika Edge, jak i interfejsu Management API. role uprawnieniami można zarządzać tylko za pomocą interfejsu API zarządzania.
Informacje o użytkownikach i tworzeniu użytkowników znajdziesz w tych artykułach:
Wiele operacji związanych z zarządzaniem użytkownikami wymaga uprawnień administratora systemu uprawnień. W opartej na chmurze instalacji Edge Apigee działa w roli systemu . W Edge dla instalacji Private Cloud administrator systemu musi wykonaj te zadania w sposób opisany poniżej.
Dodawanie użytkownika
Użytkownika możesz utworzyć za pomocą interfejsu Edge API, interfejsu Edge lub poleceń Edge. Ten W tej sekcji opisaliśmy, jak używać interfejsu Edge API i poleceń Edge. Aby uzyskać informacje na temat tworzenia użytkowników w Interfejs Edge znajdziesz w sekcji Tworzenie użytkowników na całym świecie.
Po utworzeniu użytkownika w organizacji musisz przypisać mu rolę. Role określać uprawnienia dostępu użytkownika w Edge.
Aby utworzyć użytkownika za pomocą interfejsu Edge API, użyj tego polecenia:
curl -H "Content-Type:application/xml" -u <sysAdminEmail>:<passwd> \ -X POST http://<ms_IP>:8080/v1/users \ -d '<User> \ <FirstName>New</FirstName> \ <LastName>User</LastName> \ <Password>newUserPWord</Password> \ <EmailId>foo@bar.com</EmailId> \ </User>'
Konto użytkownika możesz też utworzyć za pomocą tego polecenia Edge:
> /<inst_root>/apigee/apigee-service/bin/apigee-service apigee-provision create-user -f configFile
Gdy configFile zawiera informacje niezbędne do utworzenia użytkownik:
APIGEE_ADMINPW=sysAdminPW # If omitted, you will be prompted. USER_NAME=foo@bar.com FIRST_NAME=New LAST_NAME=User USER_PWD="newUserPWord" ORG_NAME=myorg
Za pomocą tego wywołania można wyświetlić informacje na temat użytkownika:
curl -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/users/foo@bar.com
Przypisanie użytkownika do roli w organizacja
Zanim nowy użytkownik będzie mógł wykonać cokolwiek, musi mieć przypisaną rolę w organizacji. Ty może przypisać użytkownikowi różne role, takie jak: orgadmin, businessuser, opsadmin, user, lub do roli niestandardowej zdefiniowanej w Twojej organizacji.
Przypisanie użytkownika do roli w organizacji powoduje automatyczne dodanie go do Twojej organizacji. Przypisz użytkownika do wielu organizacji, przypisując mu rolę w każdej z nich Twojej organizacji.
Aby przypisać użytkownikowi rolę w organizacji, użyj tego polecenia:
curl -X POST -H "Content-Type:application/x-www-form-urlencoded" / http://<ms_IP>:8080/v1/o/<org_name>/userroles/<role>/users?id=foo@bar.com / -u <sysAdminEmail>:<passwd>
Role użytkownika możesz wyświetlić za pomocą tego polecenia:
curl -u <sysAdminEmail>:<passwd> / http://<ms_IP>:8080/v1/users/foo@bar.com/userroles
Aby usunąć użytkownika z organizacji, odbierz mu wszystkie role w tej organizacji. Aby odebrać rolę użytkownikowi, użyj tego polecenia:
curl -X DELETE -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/o/<org_name>/userroles/<role>/users/foo@bar.com
Dodawanie administratora systemu
Administrator systemu może:
- Utwórz organizacje
- Dodawanie routerów, procesorów wiadomości i innych komponentów do instalacji Edge
- Konfigurowanie TLS/SSL
- Tworzenie dodatkowych administratorów systemu
- Wykonywanie wszystkich zadań administracyjnych na Edge
O ile tylko jeden użytkownik jest domyślnym użytkownikiem zadań administracyjnych, może być więcej niż administratora systemu. Każdy użytkownik z rolą sysadmin ma pełne uprawnienia do wszystkich i zasobami Google Cloud.
Możesz utworzyć użytkownika dla administratora systemu w interfejsie Edge lub API. Pamiętaj jednak: musisz użyć interfejsu Edge API, aby przypisać użytkownikowi rolę sysadmin. Przypisanie użytkownika do roli sysadmin nie można wykonać w w interfejsie Edge.
Aby dodać administratora systemu:
- Utwórz użytkownika w interfejsie użytkownika lub interfejsie API Edge.
- Dodaj użytkownika do sysadmin
rola:
curl -u <sysAdminEmail>:<passwd>
-X POST http://<ms_IP>:8080/v1/userroles/sysadmin/users \
-d 'id=foo@bar.com' - Sprawdź, czy nowy użytkownik jest w roli sysadmin:
curl -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/userroles/sysadmin/users
Zwraca adres e-mail użytkownika:
[ " foo@bar.com " ] - Sprawdź uprawnienia nowego użytkownika:
curl -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/users/foo@bar.com/permissions
Zwroty:
{
„resourcePermission” : [ {
„ścieżka” : "/",
„permissions” : [ "get", "put", "delete" ]
} ]
} - Po dodaniu nowego administratora systemu możesz dodać użytkownika do dowolnej organizacji.
Uwaga: nowy administrator systemu nie może zalogować się w interfejsie Edge dodaj użytkownika do co najmniej 1 organizacji. - Jeśli później zechcesz odebrać użytkownikowi rolę administratora systemu, możesz użyć
ten interfejs API:
curl -X USUŃ -u <sysadminEmail:pword>
http://<ms_IP>:8080/v1/userroles/sysadmin/users/foo@bar.com
Pamiętaj, że to wywołanie jedynie usuwa użytkownika z roli, a nie go nie usuwa.
Określanie domeny e-mail systemu administrator
Aby zwiększyć bezpieczeństwo, możesz określić wymaganą domenę poczty e-mail w systemie Edge . Podczas dodawania administratora systemu, jeśli adres e-mail użytkownika nie znajduje się w w określonej domenie, dodanie użytkownika do roli sysadmin się nie uda.
Domyślnie wymagana domena jest pusta, co oznacza, że do domeny można dodać dowolny adres e-mail sysadmin.
Aby ustawić domenę e-mail:
- Otwórz w edytorze management-server.properties:
vi /<inst_root>/apigee/customer/application/management-server.properties
Jeśli ten plik nie istnieje, utwórz go. - Ustaw conf_security_rbac.global.roles.allowed.domains
na rozdzielaną przecinkami listę dozwolonych domen. Przykład:
conf_security_rbac.global.roles.allowed.domains=myCo.com,yourCo.com - Zapisz zmiany.
- Ponownie uruchom serwer zarządzania brzegiem:
/<inst_root>/apigee/apigee-service/bin/apigee-service ponowne uruchomienie serwera zarządzania brzegiem
Jeśli spróbujesz dodać użytkownika do roli sysadmin, a jego adres e-mail nie jest w jednej ze wskazanych domen, dodawanie kończy się niepowodzeniem.
Usuwanie konta użytkownika
Użytkownika możesz utworzyć za pomocą interfejsu Edge API lub interfejsu Edge. Możesz jednak tylko usunąć użytkownika za pomocą interfejsu API.
Aby wyświetlić listę bieżących użytkowników wraz z adresami e-mail, użyj następującego polecenia cURL:
curl -u <sysAdminEmail>:<passwd> http://<ms-IP>:8080/v1/users
Aby usunąć użytkownika, użyj tego polecenia cURL:
curl -u <sysAdminEmail>:<passwd> -X DELETE http://<ms-IP>:8080/v1/users/<userEmail>