Kullanıcıları, Rolleri ve İzinleri Yönetme

Edge for Private Cloud v. 4.16.09

Apigee belgeleri sitesinde kullanıcı rollerini ve izinlerini yönetme hakkında kapsamlı bilgiler bulunur. Kullanıcılar hem Edge kullanıcı arayüzü hem de Management API kullanılarak yönetilebilir. Roller ve izinler yalnızca Management API ile yönetilebilir.

Kullanıcılar ve kullanıcı oluşturma hakkında bilgi için aşağıdaki makalelere bakın:

Kullanıcıları yönetmek için gerçekleştirdiğiniz işlemlerin çoğu sistem yöneticisi ayrıcalıkları gerektirir. Edge'in bulut tabanlı kurulumunda Apigee, sistem yöneticisi rolünü üstlenir. Private Cloud yüklemesi için bir Edge'de sistem yöneticinizin bu görevleri aşağıda açıklanan şekilde gerçekleştirmesi gerekir.

Kullanıcı ekleme

Edge API'yi, Edge kullanıcı arayüzünü veya Edge komutlarını kullanarak kullanıcı oluşturabilirsiniz. Bu bölümde, Edge API ve Edge komutlarının nasıl kullanılacağı açıklanmaktadır. Edge kullanıcı arayüzünde kullanıcı oluşturma hakkında bilgi edinmek için Genel kullanıcılar oluşturma bölümüne bakın.

Kullanıcıyı bir kuruluşta oluşturduktan sonra kullanıcıya bir rol atamanız gerekir. Roller, kullanıcının Edge'deki erişim haklarını belirler.

Edge API ile kullanıcı oluşturmak için aşağıdaki komutu kullanın:

curl -H "Content-Type:application/xml" -u <sysAdminEmail>:<passwd> \
-X POST http://<ms_IP>:8080/v1/users \
-d '<User> \
   <FirstName>New</FirstName> \
   <LastName>User</LastName> \
   <Password>newUserPWord</Password> \
   <EmailId>foo@bar.com</EmailId> \
</User>'

Kullanıcı oluşturmak için aşağıdaki Edge komutunu da kullanabilirsiniz:

> /<inst_root>/apigee/apigee-service/bin/apigee-service apigee-provision create-user -f configFile

configFile, kullanıcıyı oluşturmak için gerekli bilgileri içerir:

APIGEE_ADMINPW=sysAdminPW    # If omitted, you will be prompted.
USER_NAME=foo@bar.com
FIRST_NAME=New
LAST_NAME=User
USER_PWD="newUserPWord"
ORG_NAME=myorg  

Ardından, kullanıcıyla ilgili bilgileri görüntülemek için bu çağrıyı kullanabilirsiniz:

curl -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/users/foo@bar.com

Kullanıcıyı kuruluştaki bir role atama

Yeni bir kullanıcının herhangi bir işlem yapabilmesi için öncelikle kuruluştaki bir role atanması gerekir. Kullanıcıyı orgadmin, businessuser, opsadmin ve user gibi farklı rollere veya kuruluşta tanımlanan özel bir role atayabilirsiniz.

Bir kullanıcının kuruluştaki bir role atanması, bu kullanıcıyı otomatik olarak kuruluşa ekler. Bir kullanıcıyı birden fazla kuruluşa atamak için bu kullanıcıları her kuruluşta bir role atayın.

Kullanıcıyı kuruluş içindeki bir role atamak için aşağıdaki komutu kullanın:

curl -X POST -H "Content-Type:application/x-www-form-urlencoded" /
http://<ms_IP>:8080/v1/o/<org_name>/userroles/<role>/users?id=foo@bar.com /
-u <sysAdminEmail>:<passwd> 

Aşağıdaki komutu kullanarak kullanıcının rollerini görüntüleyebilirsiniz:

curl -u <sysAdminEmail>:<passwd> /
http://<ms_IP>:8080/v1/users/foo@bar.com/userroles

Bir kullanıcıyı kuruluştan kaldırmak için söz konusu kuruluştaki tüm rolleri kullanıcıdan kaldırın. Bir kullanıcının rolünü kaldırmak için aşağıdaki komutu kullanın:

curl -X DELETE -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/o/<org_name>/userroles/<role>/users/foo@bar.com

Sistem yöneticisi ekleme

Sistem yöneticisi şunları yapabilir:

  • Kuruluş oluşturma
  • Bir Edge kurulumuna Yönlendiriciler, Mesaj İşleyiciler ve diğer bileşenleri ekleme
  • TLS/SSL'yi yapılandırın
  • Ek sistem yöneticileri oluşturun
  • Tüm Edge yönetim görevlerini gerçekleştirin

Yönetim görevleri için varsayılan kullanıcı yalnızca tek bir kullanıcı olsa da birden fazla sistem yöneticisi olabilir. sysadmin rolünün üyesi olan tüm kullanıcılar tüm kaynaklar için tam izinlere sahiptir.

Sistem yöneticisi için kullanıcıyı Edge kullanıcı arayüzünde veya API'de oluşturabilirsiniz. Ancak kullanıcıyı sysadmin rolüne atamak için Edge API'yi kullanmanız gerekir. sysadmin rolüne kullanıcı atanamaz. Bu işlem, Edge kullanıcı arayüzünden yapılamaz.

Sistem yöneticisi eklemek için:

  1. Edge kullanıcı arayüzünde veya API'de kullanıcı oluşturun.
  2. Kullanıcıyı sysadmin rolüne ekleyin:
    curl -u <sysAdminEmail>:<passwd> \
    -X POST http://<ms_IP>:8080/v1/userroles/sysadmin/users \
    -d 'id=foo@bar.com'
  3. Yeni kullanıcının sysadmin rolünde olduğundan emin olun:
    curl -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/userroles/sysadmin/users

    Kullanıcının e-posta adresini döndürür:
    [ " foo@bar.com " ]
  4. Yeni kullanıcının izinlerini kontrol edin:
    curl -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/users/foo@bar.com/permissions

    Döndürülür:
    {
    "resourcePermission" : [ {
    "path" : "/",
    ] "get" }, [
    ] "izinler" } : [
  5. Yeni sistem yöneticisini ekledikten sonra, kullanıcıyı istediğiniz kuruluşlara ekleyebilirsiniz.
    Not: Yeni sistem yöneticisi kullanıcısı, kullanıcıyı en az bir kuruluşa eklemediğiniz sürece Edge kullanıcı arayüzüne giriş yapamaz.
  6. Kullanıcıyı daha sonra sistem yöneticisi rolünden kaldırmak isterseniz aşağıdaki API'yi kullanabilirsiniz:
    curl -X DELETE -u <sysadminEmail:pword>
    http://<ms_IP>:8080/v1/userroles/sysadmin/users/foo@bar.com


    Bu çağrının yalnızca kullanıcıyı rolden kaldıracağını, rolden kaldırmayacağını unutmayın.

Sistem yöneticisinin e-posta alan adını belirtme

Ek bir güvenlik düzeyi olarak, Edge sistem yöneticisinin gerekli e-posta alanını belirtebilirsiniz. Bir sistem yöneticisi eklenirken, kullanıcının e-posta adresi belirtilen alanda değilse kullanıcının sysadmin rolüne eklenmesi başarısız olur.

Varsayılan olarak, gerekli alan boştur. Yani sysadmin rolüne herhangi bir e-posta adresi ekleyebilirsiniz.

E-posta alan adını ayarlamak için:

  1. Bir düzenleyicide management-server.properties açın:
    vi /<inst_root>/Apigee/customer/application/management-server.properties

    Bu dosya mevcut değilse oluşturun.
  2. conf_security_rbac.global.roles.allowed.domains özelliğini, izin verilen alanların virgülle ayrılmış listesine ayarlayın. Örneğin:
    conf_security_rbac.global.roles.allowed.domains=myCo.com,yourCo.com
  3. Değişikliklerinizi kaydedin.
  4. Uç Yönetim Sunucusu'nu yeniden başlatın:
    /<inst_root>/../..//Apigee-service/bin/Apigee-service Edge-management-server yeniden başlatma

    Şimdi sysadmin rolüne bir kullanıcı eklemeye çalışırsanız ve kullanıcının e-posta adresi belirtilen alan adlarından birinde değilse ekleme işlemi başarısız olur.

Kullanıcı silme

Edge API'yi veya Edge kullanıcı arayüzünü kullanarak kullanıcı oluşturabilirsiniz. Ancak kullanıcıları silmek için yalnızca API'yi kullanabilirsiniz.

Mevcut kullanıcıların listesini (e-posta adresleri dahil) görmek için aşağıdaki cURL komutunu kullanın:

curl -u <sysAdminEmail>:<passwd> http://<ms-IP>:8080/v1/users

Bir kullanıcıyı silmek için aşağıdaki cURL komutunu kullanın:

curl -u <sysAdminEmail>:<passwd> -X DELETE http://<ms-IP>:8080/v1/users/<userEmail>