Zarządzanie użytkownikami, rolami i uprawnieniami

Edge for Private Cloud, wer. 4.17.01

W witrynie Apigee znajdziesz wiele informacji o zarządzaniu rolami i uprawnieniami użytkowników. Użytkownikami można zarządzać zarówno za pomocą interfejsu Edge, jak i interfejsu API zarządzania. Rolami i uprawnieniami można zarządzać tylko za pomocą interfejsu Management API.

Informacje na temat użytkowników i tworzenia ich:

• Użytkownicy globalni
• Tworzenie użytkowników globalnych

Wiele operacji służących do zarządzania użytkownikami wymaga uprawnień administratora systemu. W instalacji Edge w chmurze Apigee działa jako administrator systemu. Twój administrator systemu musi wykonać te czynności na stronie Edge na potrzeby instalacji chmury prywatnej.

Dodawanie użytkownika

Użytkownika możesz utworzyć za pomocą Edge API, UI Edge lub Edge. Z tej sekcji dowiesz się, jak używać poleceń Edge API i Edge. Informacje na temat tworzenia użytkowników w interfejsie Edge znajdziesz w artykule Tworzenie użytkowników globalnych.

Po utworzeniu użytkownika w organizacji musisz przypisać mu rolę. Role określają prawa dostępu użytkownika na urządzeniu Edge.

Aby utworzyć użytkownika za pomocą Edge API, użyj tego polecenia:

curl -H "Content-Type:application/xml" -u <sysAdminEmail>:<passwd> \
-X POST http://<ms_IP>:8080/v1/users \
-d '<User> \
   <FirstName>New</FirstName> \
   <LastName>User</LastName> \
   <Password>newUserPWord</Password> \
   <EmailId>foo@bar.com</EmailId> \
</User>'

Możesz też utworzyć konto użytkownika za pomocą tego polecenia Edge:

> /opt/apigee/apigee-service/bin/apigee-service apigee-provision create-user -f configFile

Gdzie configFile zawiera informacje niezbędne do utworzenia użytkownika:

APIGEE_ADMINPW=sysAdminPW    # If omitted, you will be prompted.
USER_NAME=foo@bar.com
FIRST_NAME=New
LAST_NAME=User
USER_PWD="newUserPWord"
ORG_NAME=myorg  

Następnie możesz wyświetlić informacje o użytkowniku, używając:

curl -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/users/foo@bar.com

Przypisywanie użytkownikowi roli w organizacji

Zanim nowy użytkownik będzie mógł coś zrobić, musi mieć przypisaną rolę w organizacji. Możesz przypisać użytkownikowi różne role, na przykład orgadmin, businessuser, opsadmin, user lub rolę niestandardową zdefiniowaną w organizacji.

Jeśli przypiszesz użytkownikowi rolę w organizacji, automatycznie doda go do tej organizacji. Przypisz użytkownika do wielu organizacji, przypisując mu rolę w każdej organizacji.

Za pomocą tego polecenia możesz przypisać użytkownikowi rolę w organizacji:

curl -X POST -H "Content-Type:application/x-www-form-urlencoded" /
http://<ms_IP>:8080/v1/o/<org_name>/userroles/<role>/users?id=foo@bar.com /
-u <sysAdminEmail>:<passwd> 

To wywołanie wyświetla wszystkie role przypisane użytkownikowi. Jeśli chcesz dodać użytkownika, ale wyświetlać tylko nową rolę, użyj tego wywołania:

curl -X POST -H "Content-Type: application/xml" /
http://<ms_IP>:8080/v1/o/<org_name>/users/foo@bar.com/userroles /
-d '<Roles><Role name="role"/></Roles>' /
-u <sysAdminEmail>:<passwd>

Role użytkownika możesz wyświetlić za pomocą tego polecenia:

curl -u <sysAdminEmail>:<passwd> /
http://<ms_IP>:8080/v1/users/foo@bar.com/userroles

Aby usunąć użytkownika z organizacji, usuń z niego wszystkie role w tej organizacji. Aby usunąć rolę z konta użytkownika, użyj tego polecenia:

curl -X DELETE -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/o/<org_name>/userroles/<role>/users/foo@bar.com

Dodawanie administratora systemu

Administrator systemu może:

• Utwórz organizacje
• Dodawanie routerów, podmiotów przetwarzających wiadomości i innych komponentów do instalacji Edge
• Skonfiguruj TLS/SSL
• Utwórz dodatkowych administratorów systemu
• Wykonywanie wszystkich zadań administracyjnych Edge

Tylko 1 użytkownik jest domyślnym użytkownikiem zadań administracyjnych, ale więcej niż 1 administrator systemu może mieć więcej niż 1 użytkownik. Każdy użytkownik, który ma rolę sysadmin, ma pełne uprawnienia do wszystkich zasobów.

Możesz utworzyć użytkownika dla administratora systemu w interfejsie użytkownika Edge lub API. Musisz jednak przypisać użytkownikom rolę sysadmin za pomocą interfejsu Edge API. Nie można przypisać użytkownika do roli sysadmin w interfejsie Edge.

Aby dodać administratora systemu:

1. Utwórz użytkownika w interfejsie użytkownika Edge lub API.
2. Dodaj użytkownika do roli sysadmin:
   curl -u <sysAdminEmail>:<passwd> \
   -X POST http://<ms_IP>:8080/v1/userroles/sysadmin/users \
   -d 'id=foo@bar.com'
3. Upewnij się, że nowy użytkownik ma rolę sysadmin:
   curl -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/userroles/sysadmin/users
   
   Zwraca adres e-mail użytkownika:
   [ " foo@bar.com " ]
4. Sprawdź uprawnienia nowego użytkownika:
   curl -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/users/foo@bar.com/permissions
   
   Zwraca:
   {
   "resourcePermission" : [ {
   "path" : "/",
   "delete" : [ }
   , ""}},
   
5. Po dodaniu nowego administratora systemu możesz dodać użytkownika do dowolnej organizacji.
   Uwaga: nowy użytkownik systemu nie może zalogować się w interfejsie Edge, dopóki nie dodasz użytkownika do co najmniej 1 organizacji.
6. Jeśli później zechcesz usunąć użytkownika z roli administratora systemu, możesz użyć tego interfejsu API:
   curl -X DELETE -u <sysadminEmail:pword>
   http://<ms_IP>:8080/v1/userroles/sysadmin/users/foo@bar.com
   
   To wywołanie powoduje usunięcie użytkownika tylko z tej roli.

Zmiana domyślnego administratora systemu

W trakcie instalowania Edge musisz podać adres e-mail administratora systemu. Edge utworzy użytkownika z tym adresem e-mail i ustawi tego użytkownika jako domyślnego administratora systemu. Później możesz dodać kolejnych administratorów systemu, jak opisano powyżej.

Z tej sekcji dowiesz się, jak zmienić domyślnego administratora systemu na innego użytkownika i zmienić adres e-mail konta użytkownika, które jest obecnie administratorem.

Aby wyświetlić listę użytkowników skonfigurowanych obecnie jako administratorów systemu, użyj tego wywołania interfejsu API:

curl -u sysAdminEmail:passwd http://<ms_IP>:8080/v1/userroles/sysadmin/users

Aby określić obecnego administratora domyślnego, wyświetl plik /opt/apigee/customer/defaults.sh. Plik zawiera następujący wiersz zawierający adres e-mail obecnego domyślnego administratora systemu:

ADMIN_EMAIL=foo@bar.com

Aby zmienić domyślnego administratora systemu na innego:

1. Utwórz nowego administratora systemu w sposób opisany powyżej lub upewnij się, że konto użytkownika nowego administratora systemu jest już skonfigurowane jako administrator systemu.
2. Edytuj plik /opt/apigee/customer/defaults.sh, aby ustawić adres e-mail ADMIN_EMAIL jako adres e-mail nowego administratora systemu.
3. Edytuj plik cichej konfiguracji użytej do zainstalowania interfejsu Edge, aby ustawić te właściwości:
   ADMIN_EMAIL=emailAddressOfNewSysAdmin
   APIGEE_ADMINPW=pwOfNewSysAdmin
   SMTPHOST=smtp.gmail.com
   SMTPPORT=465
   SMTPUSER=you SMTP
   
   
   
4. Ponownie skonfiguruj interfejs Edge:
   > /opt/apigee/apigee-service/bin/apigee-service edge-ui stop
   > /opt/apigee/apigee-service/bin/apigee-service edge-uisetup -f configFile
   > /opt/apigee/apigee-service/bin/apigee-service/bin/apigee-service/bin/apigee-service/bin/edge

Jeśli po prostu chcesz zmienić adres e-mail konta użytkownika, którego jest bieżący domyślny administrator systemu, zmień najpierw konto użytkownika, aby ustawić nowy adres e-mail, a następnie zmień domyślny adres e-mail administratora systemu:

1. Zaktualizuj konto użytkownika obecnego administratora systemu, podając nowy adres e-mail:
   > curl -H content-type:application/json -X PUT /
   -u currentSysAdminEmail:passwd /
   http://<ms_IP>:8080/v1/users/currentSysAdminEmail "
   "1""""""""inne"
2. Powtórz kroki 2, 3 i 4 z poprzedniej procedury, aby zaktualizować plik /opt/apigee/customer/defaults.sh i zaktualizować interfejs Edge.

Wyznaczanie domeny e-mail administratora systemu

Jako dodatkowy poziom zabezpieczeń możesz określić wymaganą domenę poczty e-mail administratora systemu Edge. Jeśli podczas dodawania administratora systemu adres e-mail użytkownika nie należy do określonej domeny, nie udało się dodać go do roli sysadmin.

Domyślnie wymagana domena jest pusta, co oznacza, że do roli sysadmin możesz dodać dowolny adres e-mail.

Aby skonfigurować domenę e-mail:

1. Otwórz w edytorze management-server.property:
   vi /opt/apigee/customer/application/management-server.property
   
   Jeśli ten plik nie istnieje, utwórz go.
2. Ustaw właściwość conf_security_rbac.global.roles.allowed.domains na listę dozwolonych domen rozdzielonych przecinkami. Przykład:
   conf_security_rbac.global.roles.allowed.domains=myCo.com,yourCo.com
3. Zapisz zmiany.
4. Ponowne uruchamianie serwera zarządzania brzegiem:
   /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
   
   Jeśli próbujesz teraz dodać użytkownika do roli sysadmin, a adres e-mail użytkownika nie należy do żadnej z określonych domen, dodanie zakończy się niepowodzeniem.

Usuwanie konta użytkownika

Użytkownika możesz utworzyć za pomocą interfejsu Edge API lub interfejsu użytkownika Edge. Możesz jednak usunąć konto użytkownika tylko za pomocą interfejsu API.

Aby wyświetlić listę obecnych użytkowników, w tym adres e-mail, użyj tego polecenia cURL:

curl -u <sysAdminEmail>:<passwd> http://<ms-IP>:8080/v1/users

Usuń użytkownika za pomocą tego polecenia cURL:

curl -u <sysAdminEmail>:<passwd> -X DELETE http://<ms-IP>:8080/v1/users/<userEmail>