Управление пользователями, ролями и разрешениями

Edge для частного облака v. 4.16.09

На сайте документации Apigee содержится обширная информация по управлению ролями и разрешениями пользователей. Пользователями можно управлять с помощью пользовательского интерфейса Edge и API управления; ролями и разрешениями можно управлять только с помощью Management API.

Информацию о пользователях и создании пользователей см.:

• О глобальных пользователях
• Создание глобальных пользователей

Многие операции, выполняемые для управления пользователями, требуют прав системного администратора. В облачной установке Edge Apigee выступает в роли системного администратора. При установке Edge для частного облака ваш системный администратор должен выполнить эти задачи, как описано ниже.

Добавление пользователя

Вы можете создать пользователя с помощью Edge API, пользовательского интерфейса Edge или команд Edge. В этом разделе описывается, как использовать Edge API и команды Edge. Информацию о создании пользователей в пользовательском интерфейсе Edge см. в разделе Создание глобальных пользователей .

После создания пользователя в организации необходимо назначить ему роль. Роли определяют права доступа пользователя в Edge.

Используйте следующую команду, чтобы создать пользователя с помощью Edge API:

curl -H "Content-Type:application/xml" -u <sysAdminEmail>:<passwd> \
-X POST http://<ms_IP>:8080/v1/users \
-d '<User> \
   <FirstName>New</FirstName> \
   <LastName>User</LastName> \
   <Password>newUserPWord</Password> \
   <EmailId>foo@bar.com</EmailId> \
</User>'

Или используйте следующую команду Edge для создания пользователя:

> /<inst_root>/apigee/apigee-service/bin/apigee-service apigee-provision create-user -f configFile

Где файл конфигурации содержит информацию, необходимую для создания пользователя:

APIGEE_ADMINPW=sysAdminPW    # If omitted, you will be prompted.
USER_NAME=foo@bar.com
FIRST_NAME=New
LAST_NAME=User
USER_PWD="newUserPWord"
ORG_NAME=myorg  

Затем вы можете использовать этот вызов для просмотра информации о пользователе:

curl -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/users/foo@bar.com

Назначение пользователю роли в организации

Прежде чем новый пользователь сможет что-либо сделать, ему необходимо назначить роль в организации. Вы можете назначить пользователю различные роли, в том числе: orgadmin , businessuser , opsadmin , user или настраиваемую роль, определенную в организации.

Назначение пользователю роли в организации автоматически добавляет этого пользователя в организацию. Назначьте пользователя нескольким организациям, назначив ему роль в каждой организации.

Используйте следующую команду, чтобы назначить пользователю роль в организации:

curl -X POST -H "Content-Type:application/x-www-form-urlencoded" /
http://<ms_IP>:8080/v1/o/<org_name>/userroles/<role>/users?id=foo@bar.com /
-u <sysAdminEmail>:<passwd> 

Посмотреть роли пользователя можно с помощью следующей команды:

curl -u <sysAdminEmail>:<passwd> /
http://<ms_IP>:8080/v1/users/foo@bar.com/userroles

Чтобы удалить пользователя из организации, удалите у него все роли в этой организации. Используйте следующую команду, чтобы удалить роль у пользователя:

curl -X DELETE -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/o/<org_name>/userroles/<role>/users/foo@bar.com

Добавление системного администратора

Системный администратор может:

• Создание организаций
• Добавьте маршрутизаторы, процессоры сообщений и другие компоненты в пограничную установку.
• Настроить TLS/SSL
• Создайте дополнительных системных администраторов
• Выполняйте все административные задачи Edge

Хотя только один пользователь является пользователем по умолчанию для административных задач, системных администраторов может быть несколько. Любой пользователь, являющийся членом роли системного администратора , имеет полные права доступа ко всем ресурсам.

Вы можете создать пользователя для системного администратора либо в пользовательском интерфейсе Edge, либо в API. Однако вам необходимо использовать Edge API, чтобы назначить пользователю роль системного администратора . Назначить пользователю роль системного администратора невозможно в пользовательском интерфейсе Edge.

Чтобы добавить системного администратора:

1. Создайте пользователя в пользовательском интерфейсе или API Edge.
2. Добавьте пользователя в роль сисадмина :
   Curl -u <sysAdminEmail>:<пароль> \
   -X POST http://<ms_IP>:8080/v1/userroles/sysadmin/users \
   -d 'id=foo@bar.com'
3. Убедитесь, что новый пользователь имеет роль системного администратора:
   Curl -u <sysAdminEmail>:<пароль> http://<ms_IP>:8080/v1/userroles/sysadmin/users
   
   Возвращает адрес электронной почты пользователя:
   [ " foo@bar.com " ]
4. Проверьте права нового пользователя:
   Curl -u <sysAdminEmail>:<пароль> http://<ms_IP>:8080/v1/users/foo@bar.com/permissions
   
   Возврат:
   {
   "resourcePermission" : [ {
   "путь" : "/",
   «разрешения»: [ «получить», «поместить», «удалить»]
   } ]
   }
5. После добавления нового системного администратора вы можете добавить пользователя в любую организацию.
   Примечание . Новый системный администратор не сможет войти в пользовательский интерфейс Edge, пока вы не добавите пользователя хотя бы в одну организацию.
6. Если позже вы захотите удалить пользователя из роли системного администратора, вы можете использовать следующий API:
   curl -X DELETE -u <электронная почта системного администратора:пароль>
   http://<ms_IP>:8080/v1/userroles/sysadmin/users/foo@bar.com
   
   Обратите внимание, что этот вызов только удаляет пользователя из роли, но не удаляет пользователя.

Указание домена электронной почты системного администратора

В качестве дополнительного уровня безопасности вы можете указать необходимый домен электронной почты системного администратора Edge. Если при добавлении системного администратора адрес электронной почты пользователя не находится в указанном домене, добавление пользователя к роли системного администратора не выполняется.

По умолчанию требуемый домен пуст, то есть вы можете добавить любой адрес электронной почты к роли системного администратора .

Чтобы установить домен электронной почты:

1. Откройте в редакторе Management-server.properties :
   vi /<inst_root>/apigee/customer/application/management-server.properties
   
   Если этот файл не существует, создайте его.
2. Установите для свойства conf_security_rbac.global.roles.allowed.domains список разрешенных доменов, разделенный запятыми. Например:
   conf_security_rbac.global.roles.allowed.domains=myCo.com,yourCo.com
3. Сохраните изменения.
4. Перезапустите пограничный сервер управления:
   /<inst_root>/apigee/apigee-service/bin/apigee-service перезапуск сервера Edge-Management-Server
   
   Если теперь вы попытаетесь добавить пользователя к роли системного администратора, а адрес электронной почты пользователя не находится ни в одном из указанных доменов, добавление завершится неудачно.

Удаление пользователя

Вы можете создать пользователя с помощью Edge API или Edge UI. Однако удалить пользователя можно только с помощью API.

Чтобы просмотреть список текущих пользователей, включая адрес электронной почты, используйте следующую команду cURL:

curl -u <sysAdminEmail>:<passwd> http://<ms-IP>:8080/v1/users

Используйте следующую команду cURL, чтобы удалить пользователя:

curl -u <sysAdminEmail>:<passwd> -X DELETE http://<ms-IP>:8080/v1/users/<userEmail>