Edge для частного облака v. 4.16.09
На сайте документации Apigee содержится обширная информация по управлению ролями и разрешениями пользователей. Пользователями можно управлять с помощью пользовательского интерфейса Edge и API управления; ролями и разрешениями можно управлять только с помощью Management API.
Информацию о пользователях и создании пользователей см.:
Многие операции, выполняемые для управления пользователями, требуют прав системного администратора. В облачной установке Edge Apigee выступает в роли системного администратора. При установке Edge для частного облака ваш системный администратор должен выполнить эти задачи, как описано ниже.
Добавление пользователя
Вы можете создать пользователя с помощью Edge API, пользовательского интерфейса Edge или команд Edge. В этом разделе описывается, как использовать Edge API и команды Edge. Информацию о создании пользователей в пользовательском интерфейсе Edge см. в разделе Создание глобальных пользователей .
После создания пользователя в организации необходимо назначить ему роль. Роли определяют права доступа пользователя в Edge.
Используйте следующую команду, чтобы создать пользователя с помощью Edge API:
curl -H "Content-Type:application/xml" -u <sysAdminEmail>:<passwd> \ -X POST http://<ms_IP>:8080/v1/users \ -d '<User> \ <FirstName>New</FirstName> \ <LastName>User</LastName> \ <Password>newUserPWord</Password> \ <EmailId>foo@bar.com</EmailId> \ </User>'
Или используйте следующую команду Edge для создания пользователя:
> /<inst_root>/apigee/apigee-service/bin/apigee-service apigee-provision create-user -f configFile
Где файл конфигурации содержит информацию, необходимую для создания пользователя:
APIGEE_ADMINPW=sysAdminPW # If omitted, you will be prompted. USER_NAME=foo@bar.com FIRST_NAME=New LAST_NAME=User USER_PWD="newUserPWord" ORG_NAME=myorg
Затем вы можете использовать этот вызов для просмотра информации о пользователе:
curl -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/users/foo@bar.com
Назначение пользователю роли в организации
Прежде чем новый пользователь сможет что-либо сделать, ему необходимо назначить роль в организации. Вы можете назначить пользователю различные роли, в том числе: orgadmin , businessuser , opsadmin , user или настраиваемую роль, определенную в организации.
Назначение пользователю роли в организации автоматически добавляет этого пользователя в организацию. Назначьте пользователя нескольким организациям, назначив ему роль в каждой организации.
Используйте следующую команду, чтобы назначить пользователю роль в организации:
curl -X POST -H "Content-Type:application/x-www-form-urlencoded" / http://<ms_IP>:8080/v1/o/<org_name>/userroles/<role>/users?id=foo@bar.com / -u <sysAdminEmail>:<passwd>
Посмотреть роли пользователя можно с помощью следующей команды:
curl -u <sysAdminEmail>:<passwd> / http://<ms_IP>:8080/v1/users/foo@bar.com/userroles
Чтобы удалить пользователя из организации, удалите у него все роли в этой организации. Используйте следующую команду, чтобы удалить роль у пользователя:
curl -X DELETE -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/o/<org_name>/userroles/<role>/users/foo@bar.com
Добавление системного администратора
Системный администратор может:
- Создание организаций
- Добавьте маршрутизаторы, процессоры сообщений и другие компоненты в пограничную установку.
- Настроить TLS/SSL
- Создайте дополнительных системных администраторов
- Выполняйте все административные задачи Edge
Хотя только один пользователь является пользователем по умолчанию для административных задач, системных администраторов может быть несколько. Любой пользователь, являющийся членом роли системного администратора , имеет полные права доступа ко всем ресурсам.
Вы можете создать пользователя для системного администратора либо в пользовательском интерфейсе Edge, либо в API. Однако вам необходимо использовать Edge API, чтобы назначить пользователю роль системного администратора . Назначить пользователю роль системного администратора невозможно в пользовательском интерфейсе Edge.
Чтобы добавить системного администратора:
- Создайте пользователя в пользовательском интерфейсе или API Edge.
- Добавьте пользователя в роль сисадмина :
Curl -u <sysAdminEmail>:<пароль> \
-X POST http://<ms_IP>:8080/v1/userroles/sysadmin/users \
-d 'id=foo@bar.com' - Убедитесь, что новый пользователь имеет роль системного администратора:
Curl -u <sysAdminEmail>:<пароль> http://<ms_IP>:8080/v1/userroles/sysadmin/users
Возвращает адрес электронной почты пользователя:
[ " foo@bar.com " ] - Проверьте права нового пользователя:
Curl -u <sysAdminEmail>:<пароль> http://<ms_IP>:8080/v1/users/foo@bar.com/permissions
Возврат:
{
"resourcePermission" : [ {
"путь" : "/",
«разрешения»: [ «получить», «поместить», «удалить»]
} ]
} - После добавления нового системного администратора вы можете добавить пользователя в любую организацию.
Примечание . Новый системный администратор не сможет войти в пользовательский интерфейс Edge, пока вы не добавите пользователя хотя бы в одну организацию. - Если позже вы захотите удалить пользователя из роли системного администратора, вы можете использовать следующий API:
curl -X DELETE -u <электронная почта системного администратора:пароль>
http://<ms_IP>:8080/v1/userroles/sysadmin/users/foo@bar.com
Обратите внимание, что этот вызов только удаляет пользователя из роли, но не удаляет пользователя.
Указание домена электронной почты системного администратора
В качестве дополнительного уровня безопасности вы можете указать необходимый домен электронной почты системного администратора Edge. Если при добавлении системного администратора адрес электронной почты пользователя не находится в указанном домене, добавление пользователя к роли системного администратора не выполняется.
По умолчанию требуемый домен пуст, то есть вы можете добавить любой адрес электронной почты к роли системного администратора .
Чтобы установить домен электронной почты:
- Откройте в редакторе Management-server.properties :
vi /<inst_root>/apigee/customer/application/management-server.properties
Если этот файл не существует, создайте его. - Установите для свойства conf_security_rbac.global.roles.allowed.domains список разрешенных доменов, разделенный запятыми. Например:
conf_security_rbac.global.roles.allowed.domains=myCo.com,yourCo.com - Сохраните изменения.
- Перезапустите пограничный сервер управления:
/<inst_root>/apigee/apigee-service/bin/apigee-service перезапуск сервера Edge-Management-Server
Если теперь вы попытаетесь добавить пользователя к роли системного администратора, а адрес электронной почты пользователя не находится ни в одном из указанных доменов, добавление завершится неудачно.
Удаление пользователя
Вы можете создать пользователя с помощью Edge API или Edge UI. Однако удалить пользователя можно только с помощью API.
Чтобы просмотреть список текущих пользователей, включая адрес электронной почты, используйте следующую команду cURL:
curl -u <sysAdminEmail>:<passwd> http://<ms-IP>:8080/v1/users
Используйте следующую команду cURL, чтобы удалить пользователя:
curl -u <sysAdminEmail>:<passwd> -X DELETE http://<ms-IP>:8080/v1/users/<userEmail>