Gérer les utilisateurs, les rôles et les autorisations

Edge pour Private Cloud version 4.17.05

Le site de documentation d'Apigee contient des informations détaillées sur la gestion des rôles utilisateur autorisations. Les utilisateurs peuvent être gérés à l'aide de l'interface utilisateur Edge et de l'API de gestion. rôles et les autorisations ne peuvent être gérées qu'avec l'API Management.

Pour en savoir plus sur les utilisateurs et leur création, consultez les pages suivantes:

La plupart des opérations que vous effectuez pour gérer les utilisateurs nécessitent un administrateur système de droits. Dans une installation d'Edge basée sur le cloud, Apigee joue le rôle de système administrateur. Dans une installation Edge pour Private Cloud, votre administrateur système doit d'effectuer ces tâches comme décrit ci-dessous.

Ajouter un utilisateur

Vous pouvez créer un utilisateur à l'aide de l'API Edge, de l'interface utilisateur Edge ou des commandes Edge. Ce explique comment utiliser l'API Edge et les commandes Edge. Pour savoir comment créer des utilisateurs dans le Edge d'interface utilisateur, voir Création à l'échelle mondiale.

Après avoir créé l'utilisateur dans une organisation, vous devez lui attribuer un rôle. Rôles déterminer les droits d'accès de l'utilisateur sur Edge.

Utilisez la commande suivante pour créer un utilisateur avec l'API Edge:

curl -H "Content-Type:application/xml" -u <sysAdminEmail>:<passwd> \
-X POST http://<ms_IP>:8080/v1/users \
-d '<User> \
   <FirstName>New</FirstName> \
   <LastName>User</LastName> \
   <Password>newUserPWord</Password> \
   <EmailId>foo@bar.com</EmailId> \
</User>'

Vous pouvez également utiliser la commande Edge suivante pour créer un utilisateur:

> /opt/apigee/apigee-service/bin/apigee-service apigee-provision create-user -f configFile

configFile contient les informations nécessaires à la création du utilisateur:

APIGEE_ADMINPW=sysAdminPW    # If omitted, you will be prompted.
USER_NAME=foo@bar.com
FIRST_NAME=New
LAST_NAME=User
USER_PWD="newUserPWord"
ORG_NAME=myorg  

Vous pouvez ensuite utiliser cet appel pour afficher des informations sur l'utilisateur:

curl -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/users/foo@bar.com

L'attribution de l'utilisateur à un rôle organisation

Pour qu'un nouvel utilisateur puisse effectuer une action, un rôle doit lui être attribué au sein d'une organisation. Toi attribuer différents rôles à l'utilisateur, y compris orgadmin, businessuser, opsadmin, user ou un rôle personnalisé défini dans le organisation.

Lorsque vous attribuez un rôle à un utilisateur dans une organisation, il est automatiquement ajouté organisation. Affectez un utilisateur à plusieurs organisations en l'associant à un rôle dans chacune d'elles. organisation.

Utilisez la commande suivante pour attribuer un rôle à l'utilisateur dans une organisation:

curl -X POST -H "Content-Type:application/x-www-form-urlencoded" /
http://<ms_IP>:8080/v1/o/<org_name>/userroles/<role>/users?id=foo@bar.com /
-u <sysAdminEmail>:<passwd> 

Cet appel affiche tous les rôles attribués à l'utilisateur. Si vous souhaitez ajouter l'utilisateur, n'afficher que le nouveau rôle, utilisez l'appel suivant:

curl -X POST -H "Content-Type: application/xml" /
http://<ms_IP>:8080/v1/o/<org_name>/users/foo@bar.com/userroles /
-d '<Roles><Role name="role"/></Roles>' /
-u <sysAdminEmail>:<passwd>

Vous pouvez afficher les rôles de l'utilisateur à l'aide de la commande suivante:

curl -u <sysAdminEmail>:<passwd> /
http://<ms_IP>:8080/v1/users/foo@bar.com/userroles

Pour supprimer un utilisateur d'une entreprise, supprimez tous les rôles de cette organisation pour cet utilisateur. Exécutez la commande suivante pour supprimer un rôle attribué à un utilisateur:

curl -X DELETE -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/o/<org_name>/userroles/<role>/users/foo@bar.com

Ajouter un administrateur système

Un administrateur système peut:

  • Créer des organisations
  • Ajouter des routeurs, des processeurs de messages et d'autres composants à une installation Edge
  • configurer TLS/SSL ;
  • créer des administrateurs système supplémentaires ;
  • Effectuer toutes les tâches d'administration Edge

Bien qu'un seul utilisateur soit désigné par défaut pour les tâches administratives, il peut y avoir plus de un administrateur système. Tout utilisateur ayant le rôle sysadmin dispose de autorisations complètes ressources.

Vous pouvez créer l'utilisateur pour l'administrateur système dans l'interface utilisateur ou l'API Edge. Toutefois, vous devez utiliser l'API Edge pour attribuer à l'utilisateur le rôle sysadmin. Attribution d'un utilisateur le rôle sysadmin ne peut pas être effectué dans l'interface utilisateur Edge.

Pour ajouter un administrateur système:

  1. Créez un utilisateur dans l'interface utilisateur ou l'API Edge.
  2. Ajouter l'utilisateur à sysadmin rôle:
    curl -u &lt;sysAdminEmail&gt;:&lt;passwd&gt;
    -X POST http://<ms_IP>:8080/v1/userroles/sysadmin/users \
    -d 'id=foo@bar.com'
  3. Assurez-vous que le nouvel utilisateur a le rôle d'administrateur système:
    curl -u &lt;sysAdminEmail&gt;:&lt;passwd&gt; http://&lt;ms_IP&gt;:8080/v1/userroles/sysadmin/users

    Renvoie l'adresse e-mail de l'utilisateur:
    foo@bar.com " ]
  4. Vérifiez les autorisations du nouvel utilisateur:
    curl -u &lt;sysAdminEmail&gt;:&lt;passwd&gt; http://&lt;ms_IP&gt;:8080/v1/users/foo@bar.com/permissions

    Renvoie:
    {
    "resourcePermission" : [ {
    "chemin d'accès" : "/",
    "autorisations" : [ "get", "put", "delete" ]
    } ]
    }
  5. Une fois le nouvel administrateur système ajouté, vous pouvez ajouter l'utilisateur à n'importe quelle organisation.
    Remarque: le nouvel administrateur système ne peut pas se connecter à l'interface utilisateur Edge tant que vous ajouter l'utilisateur à au moins une organisation.
  6. Si, par la suite, vous souhaitez retirer à l'utilisateur le rôle d'administrateur système, vous pouvez utiliser le API suivante:
    curl -X DELETE -u &lt;sysadminEmail:pword&gt;
    http://&lt;ms_IP&gt;:8080/v1/userroles/sysadmin/users/foo@bar.com


    Notez que cet appel ne supprime que l'utilisateur du rôle. Il ne le supprime pas.

Changement de l'administrateur système par défaut utilisateur

Lorsque vous installez Edge, vous spécifiez l'adresse e-mail de l'administrateur système. Périphérie crée un utilisateur avec cette adresse e-mail et définit cet utilisateur comme système par défaut administrateur. Vous pouvez ensuite ajouter d'autres administrateurs système comme décrit ci-dessus.

Cette section explique comment changer l’administrateur système par défaut en un autre utilisateur, et comment modifier l'adresse e-mail du compte d'utilisateur pour le système par défaut actuel administrateur.

Pour afficher la liste des utilisateurs actuellement configurés en tant qu'administrateurs système, utilisez l'API suivante : appel:

curl -u sysAdminEmail:passwd http://<ms_IP>:8080/v1/userroles/sysadmin/users

Pour déterminer l'administrateur système par défaut actuel, affichez le fichier /opt/apigee/customer/defaults.sh. La contient la ligne suivante indiquant l'adresse e-mail du système par défaut actuel administrateur:

ADMIN_EMAIL=foo@bar.com

Pour remplacer l'administrateur système par défaut par un autre utilisateur:

  1. Créez un administrateur système comme décrit ci-dessus ou assurez-vous que le compte d'utilisateur le nouvel administrateur système est déjà configuré en tant qu'administrateur système.
  2. Remplacez /opt/apigee/customer/defaults.sh par définir ADMIN_EMAIL sur l'adresse e-mail du nouvel administrateur système.
  3. Modifiez le fichier de configuration silencieuse que vous avez utilisé pour installer l'interface utilisateur Edge pour définir les éléments suivants propriétés:
    ADMIN_EMAIL=emailAddressOfNewSysAdmin
    APIGEE_ADMINPW=pwOfNewSysAdmin

    SMTPHOST=smtp.gmail.com
    SMTPPORT=465
    SMTPUSER=foo@gmail.com
    SMTPPASSWORD=bar
    SMTPSSL=y
    Notez que vous devez inclure les propriétés SMTP, car toutes les propriétés de l'interface utilisateur sont réinitialisés.
  4. Reconfigurez l'interface utilisateur Edge:
    &gt; /opt/apigee/apigee-service/bin/apigee-service arrêt Edge UI
    &gt; /opt/apigee/apigee-service/bin/apigee-service configuration -f de l'interface utilisateur périphérique configFile
    &gt; /opt/apigee/apigee-service/bin/apigee-service démarrage de l'interface utilisateur périphérique

Si vous souhaitez simplement modifier l'adresse e-mail du compte d'utilisateur pour l'adresse par défaut actuelle, administrateur système, vous mettez d'abord à jour le compte utilisateur pour définir la nouvelle adresse e-mail, puis vous modifiez l'adresse e-mail de l'administrateur système par défaut:

  1. Mettez à jour le compte utilisateur de l'administrateur système par défaut actuel avec une nouvelle adresse e-mail adresse:
    &gt; curl -H content-type:application/json -X PUT /
    -u currentSysAdminEmail:passwd /
    http://<ms_IP>:8080/v1/users/currentSysAdminEmail /
    -d &#39;{&quot;emailId&quot;: &quot;newSysAdminEmail&quot;, &quot;lastName&quot;: &quot;admin&quot;, &quot;firstName&quot;: "admin"}'
  2. Répétez les étapes 2, 3 et 4 de la procédure précédente pour mettre à jour le fichier /opt/apigee/customer/defaults.sh. et mettre à jour l'interface utilisateur Edge.

Spécifier le domaine de messagerie d'un système administrateur

Pour renforcer la sécurité, vous pouvez spécifier le domaine de messagerie requis pour un système Edge administrateur. Lors de l'ajout d'un administrateur système, si l'adresse e-mail de l'utilisateur ne figure pas dans le le domaine spécifié, l'ajout de l'utilisateur au rôle sysadmin échoue.

Par défaut, le domaine requis est vide, ce qui signifie que vous pouvez ajouter n'importe quelle adresse e-mail au sysadmin.

Pour définir le domaine de messagerie:

  1. Ouvrez le fichier management-server.properties dans un éditeur:
    vi /opt/apigee/customer/application/management-server.properties

    Si ce fichier n'existe pas, créez-le.
  2. Définissez conf_security_rbac.global.roles.allowed.domains à la liste des domaines autorisés séparés par une virgule. Exemple:
    conf_security_rbac.global.roles.allowed.domains=myCo.com,yourCo.com
  3. Enregistrez les modifications.
  4. Redémarrez le serveur de gestion Edge:
    /opt/apigee/apigee-service/bin/apigee-service redémarrage du serveur de gestion en périphérie

    Si vous essayez maintenant d'ajouter un utilisateur au rôle d'administrateur système et que l'adresse e-mail de l'utilisateur n'est pas dans l'un des domaines spécifiés, l'ajout échoue.

Supprimer un compte utilisateur

Vous pouvez créer un utilisateur à l'aide de l'API Edge ou de l'interface utilisateur Edge. Toutefois, vous ne pouvez supprimer un utilisateur à l'aide de l'API.

Pour afficher la liste des utilisateurs actuels, y compris leur adresse e-mail, utilisez la commande cURL suivante:

curl -u <sysAdminEmail>:<passwd> http://<ms-IP>:8080/v1/users

Exécutez la commande cURL suivante pour supprimer un utilisateur:

curl -u <sysAdminEmail>:<passwd> -X DELETE http://<ms-IP>:8080/v1/users/<userEmail>