Zarządzanie użytkownikami, rolami i uprawnieniami

Edge for Private Cloud wer. 4.16.09

Na stronie z dokumentacją Apigee znajdziesz obszerne informacje o zarządzaniu rolami i uprawnieniami użytkowników. Użytkownikami można zarządzać zarówno za pomocą interfejsu Edge, jak i interfejsu Management API. Rolami i uprawnieniami można zarządzać tylko za pomocą interfejsu Management API.

Informacje o użytkownikach i ich tworzeniu znajdziesz w tych artykułach:

• Informacje o użytkownikach globalnych
• Tworzenie użytkowników globalnych

Wiele operacji związanych z zarządzaniem użytkownikami wymaga uprawnień administratora systemu. W instalacji Edge w chmurze Apigee pełni rolę administratora systemu. W przypadku instalacji Edge dla chmury prywatnej administrator systemu musi wykonać te zadania w sposób opisany poniżej.

Dodawanie użytkownika

Użytkownika możesz utworzyć przy użyciu interfejsu Edge API, interfejsu Edge lub poleceń Edge. W tej sekcji dowiesz się, jak korzystać z poleceń Edge API i Edge. Informacje o tworzeniu użytkowników w interfejsie użytkownika Edge znajdziesz w artykule o tworzeniu użytkowników globalnych.

Po utworzeniu użytkownika w organizacji musisz przypisać mu rolę. Role określają uprawnienia dostępu użytkownika w Edge.

Aby utworzyć użytkownika za pomocą interfejsu Edge API, użyj tego polecenia:

curl -H "Content-Type:application/xml" -u <sysAdminEmail>:<passwd> \
-X POST http://<ms_IP>:8080/v1/users \
-d '<User> \
   <FirstName>New</FirstName> \
   <LastName>User</LastName> \
   <Password>newUserPWord</Password> \
   <EmailId>foo@bar.com</EmailId> \
</User>'

Możesz też utworzyć użytkownika za pomocą tego polecenia Edge:

> /<inst_root>/apigee/apigee-service/bin/apigee-service apigee-provision create-user -f configFile

Gdzie configFile zawiera informacje niezbędne do utworzenia użytkownika:

APIGEE_ADMINPW=sysAdminPW    # If omitted, you will be prompted.
USER_NAME=foo@bar.com
FIRST_NAME=New
LAST_NAME=User
USER_PWD="newUserPWord"
ORG_NAME=myorg  

Następnie możesz użyć tego połączenia, aby wyświetlić informacje o użytkowniku:

curl -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/users/foo@bar.com

Przypisanie użytkownikowi roli w organizacji

Zanim nowy użytkownik będzie mógł cokolwiek zrobić, musi mieć przypisaną rolę w organizacji. Możesz przypisać użytkownikowi różne role, w tym: orgadmin, businessuser, opsadmin, user albo rolę niestandardową zdefiniowaną w organizacji.

Przypisanie użytkownikowi roli w organizacji powoduje automatyczne dodanie go do organizacji. Przypisz użytkownika do wielu organizacji, przypisując mu rolę w każdej z nich.

Za pomocą tego polecenia przypisz użytkownikowi rolę w organizacji:

curl -X POST -H "Content-Type:application/x-www-form-urlencoded" /
http://<ms_IP>:8080/v1/o/<org_name>/userroles/<role>/users?id=foo@bar.com /
-u <sysAdminEmail>:<passwd> 

Role użytkownika możesz wyświetlić, używając tego polecenia:

curl -u <sysAdminEmail>:<passwd> /
http://<ms_IP>:8080/v1/users/foo@bar.com/userroles

Aby usunąć użytkownika z organizacji, odbierz mu wszystkie role w tej organizacji. Aby usunąć rolę z konta użytkownika, użyj tego polecenia:

curl -X DELETE -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/o/<org_name>/userroles/<role>/users/foo@bar.com

Dodawanie administratora systemu

Administrator systemu może:

• Utwórz organizacje
• Dodawanie routerów, procesorów wiadomości i innych komponentów do instalacji brzegowej
• Konfigurowanie TLS/SSL
• Utwórz dodatkowych administratorów systemu
• Wykonywanie wszystkich zadań administracyjnych Edge

Domyślnym użytkownikiem do wykonywania zadań administracyjnych może być tylko 1 użytkownik, ale może nim być więcej niż 1 administrator systemu. Każdy użytkownik z rolą sysadmin ma pełne uprawnienia do wszystkich zasobów.

Użytkownika dla administratora systemu możesz utworzyć w interfejsie użytkownika Edge lub interfejsie API. Musisz jednak przypisać użytkownikowi rolę sysadmin za pomocą interfejsu Edge API. W interfejsie użytkownika Edge nie można przypisać użytkownika do roli sysadmin.

Aby dodać administratora systemu:

1. Utwórz użytkownika w interfejsie użytkownika Edge lub interfejsie API Edge.
2. Dodaj użytkownika do roli sysadmin:
   curl -u <sysAdminEmail>:<passwd> \
   -X POST http://<ms_IP>:8080/v1/userroles/sysadmin/users \
   -d 'id=foo@bar.com'
3. Sprawdź, czy nowy użytkownik ma przypisaną rolę sysadmin:
   curl -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/userroles/sysadmin/users
   
   Zwraca adres e-mail użytkownika:
   [ " foo@bar.com " ]
4. Sprawdź uprawnienia nowego użytkownika:
   curl -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/users/foo@bar.com/permissions
   
   Zwraca:
   {
   "resourcePermission" : [ {
   "path" : "/",
   "permissions" : [ "
   "permissions" ]
   
5. Po dodaniu nowego administratora systemu możesz dodać użytkownika do dowolnej organizacji.
   Uwaga: nowy administrator systemu nie będzie mógł zalogować się w interfejsie użytkownika Edge, dopóki nie dodasz go do co najmniej 1 organizacji.
6. Jeśli później zechcesz odebrać użytkownikowi rolę administratora systemu, możesz użyć tego interfejsu API:
   curl -X DELETE -u <sysadminEmail:pword>
   http://<ms_IP>:8080/v1/userroles/sysadmin/users/foo@bar.com
   
   Pamiętaj, że to wywołanie nie powoduje jedynie usunięcia użytkownika z roli.

Określanie domeny e-mail administratora systemu

W ramach dodatkowego poziomu bezpieczeństwa możesz określić wymaganą domenę poczty e-mail administratora systemu Edge. Jeśli podczas dodawania administratora systemu adres e-mail użytkownika nie należy do określonej domeny, dodanie go do roli sysadmin zakończy się niepowodzeniem.

Domyślnie wymagana domena jest pusta, co oznacza, że do roli sysadmin możesz dodać dowolny adres e-mail.

Aby ustawić domenę e-mail:

1. Otwórz w edytorze management-server.properties:
   vi /<inst_root>/apigee/customer/application/management-server.properties
   
   Jeśli ten plik nie istnieje, utwórz go.
2. Ustaw rozdzieloną przecinkami listę dozwolonych domen we właściwości conf_security_rbac.global.roles.allowed.domains. Na przykład:
   conf_security_rbac.global.roles.allowed.domains=myCo.com,yourCo.com
3. Zapisz zmiany.
4. Ponownie uruchom serwer zarządzania brzegowymi:
   /<inst_root>/apigee/apigee-service/bin/apigee-service restart serwera Edge
   
   Jeśli teraz próbujesz dodać użytkownika do roli sysadmin, a jego adres e-mail nie znajduje się w żadnej ze wskazanych domen, dodanie się nie uda.

Usuwanie konta użytkownika

Użytkownika możesz utworzyć przy użyciu interfejsu Edge API lub Edge. Konto użytkownika można jednak usunąć tylko przy użyciu interfejsu API.

Aby zobaczyć listę bieżących użytkowników wraz z adresami e-mail, użyj tego polecenia cURL:

curl -u <sysAdminEmail>:<passwd> http://<ms-IP>:8080/v1/users

Aby usunąć użytkownika, użyj tego polecenia cURL:

curl -u <sysAdminEmail>:<passwd> -X DELETE http://<ms-IP>:8080/v1/users/<userEmail>