Edge for Private Cloud w wersji 4.17.01
W witrynie z dokumentacją Apigee znajdziesz obszerne informacje o zarządzaniu rolami użytkowników uprawnień. Użytkownikami można zarządzać zarówno za pomocą interfejsu użytkownika Edge, jak i interfejsu Management API. role uprawnieniami można zarządzać tylko za pomocą interfejsu API zarządzania.
Informacje o użytkownikach i tworzeniu użytkowników znajdziesz w tych artykułach:
Wiele operacji związanych z zarządzaniem użytkownikami wymaga uprawnień administratora systemu uprawnień. W opartej na chmurze instalacji Edge Apigee działa w roli systemu . W Edge dla instalacji Private Cloud administrator systemu musi wykonaj te zadania w sposób opisany poniżej.
Dodawanie użytkownika
Użytkownika możesz utworzyć za pomocą interfejsu Edge API, interfejsu Edge lub poleceń Edge. Ten W tej sekcji opisaliśmy, jak używać interfejsu Edge API i poleceń Edge. Aby uzyskać informacje na temat tworzenia użytkowników w Interfejs Edge znajdziesz w sekcji Tworzenie użytkowników na całym świecie.
Po utworzeniu użytkownika w organizacji musisz przypisać mu rolę. Role określać uprawnienia dostępu użytkownika w Edge.
Aby utworzyć użytkownika za pomocą interfejsu Edge API, użyj tego polecenia:
curl -H "Content-Type:application/xml" -u <sysAdminEmail>:<passwd> \ -X POST http://<ms_IP>:8080/v1/users \ -d '<User> \ <FirstName>New</FirstName> \ <LastName>User</LastName> \ <Password>newUserPWord</Password> \ <EmailId>foo@bar.com</EmailId> \ </User>'
Konto użytkownika możesz też utworzyć za pomocą tego polecenia Edge:
> /opt/apigee/apigee-service/bin/apigee-service apigee-provision create-user -f configFile
Gdy configFile zawiera informacje niezbędne do utworzenia użytkownik:
APIGEE_ADMINPW=sysAdminPW # If omitted, you will be prompted. USER_NAME=foo@bar.com FIRST_NAME=New LAST_NAME=User USER_PWD="newUserPWord" ORG_NAME=myorg
Za pomocą tego wywołania można wyświetlić informacje na temat użytkownika:
curl -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/users/foo@bar.com
Przypisanie użytkownika do roli w organizacja
Zanim nowy użytkownik będzie mógł wykonać cokolwiek, musi mieć przypisaną rolę w organizacji. Ty użytkownika i można przypisać mu różne role, takie jak: orgadmin, businessuser, opsadmin, user, lub do roli niestandardowej zdefiniowanej w Twojej organizacji.
Przypisanie użytkownika do roli w organizacji powoduje automatyczne dodanie go do Twojej organizacji. Przypisz użytkownika do wielu organizacji, przypisując mu rolę w każdej z nich Twojej organizacji.
Aby przypisać użytkownikowi rolę w organizacji, użyj tego polecenia:
curl -X POST -H "Content-Type:application/x-www-form-urlencoded" / http://<ms_IP>:8080/v1/o/<org_name>/userroles/<role>/users?id=foo@bar.com / -u <sysAdminEmail>:<passwd>
W tym wywołaniu wyświetlane są wszystkie role przypisane do użytkownika. Jeśli chcesz dodać użytkownika, ale wyświetl tylko nową rolę, użyj tego wywołania:
curl -X POST -H "Content-Type: application/xml" / http://<ms_IP>:8080/v1/o/<org_name>/users/foo@bar.com/userroles / -d '<Roles><Role name="role"/></Roles>' / -u <sysAdminEmail>:<passwd>
Role użytkownika możesz wyświetlić za pomocą tego polecenia:
curl -u <sysAdminEmail>:<passwd> / http://<ms_IP>:8080/v1/users/foo@bar.com/userroles
Aby usunąć użytkownika z organizacji, odbierz mu wszystkie role w tej organizacji. Aby odebrać rolę użytkownikowi, użyj tego polecenia:
curl -X DELETE -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/o/<org_name>/userroles/<role>/users/foo@bar.com
Dodawanie administratora systemu
Administrator systemu może:
- Utwórz organizacje
- Dodawanie routerów, procesorów wiadomości i innych komponentów do instalacji Edge
- Konfigurowanie TLS/SSL
- Tworzenie dodatkowych administratorów systemu
- Wykonywanie wszystkich zadań administracyjnych na Edge
O ile tylko jeden użytkownik jest domyślnym użytkownikiem zadań administracyjnych, może być więcej niż administratora systemu. Każdy użytkownik z rolą sysadmin ma pełne uprawnienia do wszystkich i zasobami Google Cloud.
Możesz utworzyć użytkownika dla administratora systemu w interfejsie Edge lub API. Pamiętaj jednak: musisz użyć interfejsu Edge API, aby przypisać użytkownikowi rolę sysadmin. Przypisanie użytkownika do Roli sysadmin nie można wykonać w w interfejsie Edge.
Aby dodać administratora systemu:
- Utwórz użytkownika w interfejsie użytkownika lub interfejsie API Edge.
- Dodaj użytkownika do sysadmin
rola:
curl -u <sysAdminEmail>:<passwd>
-X POST http://<ms_IP>:8080/v1/userroles/sysadmin/users \
-d 'id=foo@bar.com' - Sprawdź, czy nowy użytkownik jest w roli sysadmin:
curl -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/userroles/sysadmin/users
Zwraca adres e-mail użytkownika:
[ " foo@bar.com " ] - Sprawdź uprawnienia nowego użytkownika:
curl -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/users/foo@bar.com/permissions
Zwroty:
{
„resourcePermission” : [ {
„ścieżka” : "/",
„permissions” : [ "get", "put", "delete" ]
} ]
} - Po dodaniu nowego administratora systemu możesz dodać użytkownika do dowolnej organizacji.
Uwaga: nowy administrator systemu nie może zalogować się w interfejsie Edge dodaj użytkownika do co najmniej 1 organizacji. - Jeśli później zechcesz odebrać użytkownikowi rolę administratora systemu, możesz użyć
ten interfejs API:
curl -X USUŃ -u <sysadminEmail:pword>
http://<ms_IP>:8080/v1/userroles/sysadmin/users/foo@bar.com
Pamiętaj, że to wywołanie jedynie usuwa użytkownika z roli, a nie go nie usuwa.
Zmiana domyślnego administratora systemu użytkownik
Podczas instalowania Edge podajesz adres e-mail administratora systemu. Krawędź tworzy użytkownika o tym adresie e-mail i ustawia go jako system domyślny . Później możesz dodać kolejnych administratorów systemu w sposób opisany powyżej.
W tej sekcji opisano, jak zmienić domyślnego administratora systemu na innego użytkownika, i jak zmienić adres e-mail konta użytkownika w bieżącym systemie domyślnym. .
Aby zobaczyć listę użytkowników obecnie skonfigurowanych jako administratorzy systemu, użyj następującego interfejsu API zadzwoń:
curl -u sysAdminEmail:passwd http://<ms_IP>:8080/v1/userroles/sysadmin/users
Aby określić obecnego domyślnego administratora systemu, wyświetl plik /opt/apigee/customer/defaults.sh. zawiera następujący wiersz z adresem e-mail bieżącego systemu domyślnego administrator:
ADMIN_EMAIL=foo@bar.com
Aby zmienić domyślnego administratora systemu na innego użytkownika:
- Utwórz nowego administratora systemu w sposób opisany powyżej lub upewnij się, że konto użytkownika nowy administrator systemu jest już skonfigurowany jako administrator systemu.
- Edytuj plik /opt/apigee/customer/defaults.sh na ustaw ADMIN_EMAIL na adres e-mail nowego administratora systemu.
- Edytuj plik konfiguracji cichej użyty do zainstalowania interfejsu Edge, aby ustawić następujące ustawienia:
właściwości:
ADMIN_EMAIL=emailAddressOfNewSysAdmin
APIGEE_ADMINPW=pwOfNewSysAdmin
SMTPHOST=smtp.gmail.com
SMTPPORT=465
Użytkownik SMTP=foo@gmail.com
SMTPPASSWORD=bar
SMTPSSL=y
Pamiętaj, że musisz dodać właściwości SMTP, ponieważ wszystkie właściwości w interfejsie użytkownika są . - Skonfiguruj ponownie interfejs użytkownika Edge:
> /opt/apigee/apigee-service/bin/apigee-service przystanek brzegowy interfejsu użytkownika
> /opt/apigee/apigee-service/bin/apigee-service edge-ui konfiguracja -f configFile
> /opt/apigee/apigee-service/bin/apigee-service Edge start
Jeśli chcesz tylko zmienić domyślny adres e-mail konta użytkownika administratora systemu, zaktualizuj konto użytkownika, aby ustawić nowy adres e-mail, a następnie zmień domyślny adres e-mail administratora systemu:
- Zaktualizuj konto użytkownika bieżącego domyślnego administratora systemu, podając nowy adres e-mail
adres:
> curl – H content-type:application/json -X PUT /
-u currentSysAdminEmail:passwd /
http://<ms_IP>:8080/v1/users/currentSysAdminEmail /
-d '{"emailId": "newSysAdminEmail", "lastName": "admin", "firstName": "admin"}' - Powtórz kroki 2, 3 i 4 z poprzedniej procedury, aby zaktualizować plik /opt/apigee/customer/defaults.sh oraz zaktualizowanie interfejsu Edge.
Określanie domeny e-mail systemu administrator
Aby zwiększyć bezpieczeństwo, możesz określić wymaganą domenę poczty e-mail w systemie Edge . Podczas dodawania administratora systemu, jeśli adres e-mail użytkownika nie znajduje się w w określonej domenie, dodanie użytkownika do roli sysadmin się nie uda.
Domyślnie wymagana domena jest pusta, co oznacza, że do domeny można dodać dowolny adres e-mail sysadmin.
Aby ustawić domenę e-mail:
- Otwórz w edytorze management-server.properties:
vi /opt/apigee/customer/application/management-server.properties
Jeśli ten plik nie istnieje, utwórz go. - Ustaw conf_security_rbac.global.roles.allowed.domains
na rozdzielaną przecinkami listę dozwolonych domen. Przykład:
conf_security_rbac.global.roles.allowed.domains=myCo.com,yourCo.com - Zapisz zmiany.
- Ponownie uruchom serwer zarządzania brzegiem:
/opt/apigee/apigee-service/bin/apigee-service ponowne uruchomienie serwera zarządzania brzegiem
Jeśli spróbujesz dodać użytkownika do roli sysadmin, a jego adres e-mail nie jest w jednej ze wskazanych domen, dodawanie kończy się niepowodzeniem.
Usuwanie konta użytkownika
Użytkownika możesz utworzyć za pomocą interfejsu Edge API lub interfejsu Edge. Możesz jednak tylko usunąć użytkownika za pomocą interfejsu API.
Aby wyświetlić listę bieżących użytkowników wraz z adresami e-mail, użyj następującego polecenia cURL:
curl -u <sysAdminEmail>:<passwd> http://<ms-IP>:8080/v1/users
Aby usunąć użytkownika, użyj tego polecenia cURL:
curl -u <sysAdminEmail>:<passwd> -X DELETE http://<ms-IP>:8080/v1/users/<userEmail>