Edge for Private Cloud v. 4.17.09
O site de documentação da Apigee tem muitas informações sobre como gerenciar papéis de usuários e permissões. Os usuários podem ser gerenciados usando a interface do usuário do Edge e a API Management; funções e as permissões só podem ser gerenciadas com a API Management.
Para informações sobre usuários e como criar usuários, consulte:
Muitas das operações realizadas para gerenciar usuários exigem que o administrador do sistema para conceder privilégios de acesso. Em uma instalação baseada na nuvem do Edge, a Apigee desempenha o papel de sistema administrador. Em uma borda para a instalação da nuvem privada, o administrador do sistema precisa realizar essas tarefas conforme descrito abaixo.
Adicionar um usuário
Você pode criar um usuário usando a API Edge, a interface do usuário do Edge ou os comandos do Edge. Isso seção descreve como usar a API e os comandos do Edge. Para informações sobre como criar usuários no interface do Edge, consulte Como criar usuários globais.
Depois de criar o usuário em uma organização, atribua um papel a ele. Funções determinar os direitos de acesso do usuário no Edge.
Use o seguinte comando para criar um usuário com a API Edge:
curl -H "Content-Type:application/xml" -u <sysAdminEmail>:<passwd> \ -X POST http://<ms_IP>:8080/v1/users \ -d '<User> \ <FirstName>New</FirstName> \ <LastName>User</LastName> \ <Password>newUserPWord</Password> \ <EmailId>foo@bar.com</EmailId> \ </User>'
Ou use o seguinte comando do Edge para criar um usuário:
> /opt/apigee/apigee-service/bin/apigee-service apigee-provision create-user -f configFile
Onde configFile contém as informações necessárias para criar o usuário:
APIGEE_ADMINPW=sysAdminPW # If omitted, you will be prompted. USER_NAME=foo@bar.com FIRST_NAME=New LAST_NAME=User USER_PWD="newUserPWord" ORG_NAME=myorg
Você pode usar essa chamada para ver informações sobre o usuário:
curl -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/users/foo@bar.com
Atribuir o usuário a uma função em um organização
Antes que um novo usuário possa fazer qualquer coisa, ele precisa ser atribuído a uma função em uma organização. Você pode atribuir o usuário a diferentes funções, incluindo: orgadmin, usuário comercial, opsadmin, usuário, ou a uma função personalizada definida no organização.
Ao atribuir um usuário a uma função em uma organização, ele é adicionado automaticamente à organização. Atribuir um usuário a várias organizações usando uma função em cada uma organização.
Use o seguinte comando para atribuir o usuário a um papel em uma organização:
curl -X POST -H "Content-Type:application/x-www-form-urlencoded" / http://<ms_IP>:8080/v1/o/<org_name>/userroles/<role>/users?id=foo@bar.com / -u <sysAdminEmail>:<passwd>
Essa chamada exibe todas as funções atribuídas ao usuário. Se você quiser adicionar o usuário, mas exibir apenas o novo papel, use a seguinte chamada:
curl -X POST -H "Content-Type: application/xml" / http://<ms_IP>:8080/v1/o/<org_name>/users/foo@bar.com/userroles / -d '<Roles><Role name="role"/></Roles>' / -u <sysAdminEmail>:<passwd>
É possível visualizar os papéis do usuário usando o seguinte comando:
curl -u <sysAdminEmail>:<passwd> / http://<ms_IP>:8080/v1/users/foo@bar.com/userroles
Para remover um usuário de uma organização, remova todos os papéis dessa organização. Use o seguinte comando para remover o papel de um usuário:
curl -X DELETE -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/o/<org_name>/userroles/<role>/users/foo@bar.com
Como adicionar um administrador do sistema
Um administrador do sistema pode:
- Criar organizações
- Adicionar roteadores, processadores de mensagens e outros componentes a uma instalação do Edge
- Configurar TLS/SSL
- Criar administradores adicionais do sistema
- Executar todas as tarefas administrativas do Edge
Embora somente um usuário seja o usuário padrão para tarefas administrativas, pode haver mais de um administrador de sistema. Qualquer usuário que seja membro do papel sysadmin tem permissão total para todos do Google Cloud.
Você pode criar o usuário para o administrador do sistema na interface ou na API do Edge. No entanto, você precisa usar a API Edge para atribuir ao usuário o papel de sysadmin. Atribuir um usuário ao sysadmin não pode ser executado interface do Edge.
Para adicionar um administrador do sistema:
- Crie um usuário na API ou interface do Edge.
- Adicionar usuário a sysadmin
função:
curl -u <sysAdminEmail>:<passwd>
-X POSTAGEM http://<ms_IP>:8080/v1/userroles/sysadmin/users \
-d "id=foo@bar.com" - Verifique se o novo usuário tem a função sysadmin:
curl -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/userroles/sysadmin/users
Retorna o endereço de e-mail do usuário:
[ " foo@bar.com " ] - Verificar as permissões do novo usuário:
curl -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/users/foo@bar.com/permissions
Retorna:
{
"resourcePermission" : [ {
"caminho" : "/",
"permissões" : [ "get", "put", "delete" ]
} ]
} - Depois de adicionar o novo administrador do sistema, você pode adicionar o usuário a qualquer organização.
Observação: o novo usuário administrador do sistema não poderá fazer login na interface do Edge até que você adicione o usuário a pelo menos uma organização. - Se mais tarde você quiser remover o usuário da função de administrador do sistema, use o
seguinte API:
curl -X DELETE -u <sysadminEmail:pword>
http://<ms_IP>:8080/v1/userroles/sysadmin/users/foo@bar.com
Essa chamada só remove o usuário da função, mas não exclui o usuário.
Como alterar o administrador padrão do sistema usuário
Ao instalar o Edge, você especifica o endereço de e-mail do administrador do sistema. Borda cria um usuário com esse endereço de e-mail e define esse usuário como o sistema padrão administrador. Posteriormente, você poderá adicionar outros administradores de sistema conforme descrito acima.
Esta seção descreve como alterar o administrador do sistema padrão para um usuário diferente, e como alterar o endereço de e-mail da conta de usuário para o sistema padrão atual administrador.
Para conferir a lista de usuários atualmente configurados como administradores de sistema, use a API a seguir ligue para:
curl -u sysAdminEmail:passwd http://<ms_IP>:8080/v1/userroles/sysadmin/users
Para determinar o administrador padrão do sistema atual, consulte o arquivo /opt/apigee/customer/defaults.sh. A contém a seguinte linha mostrando o endereço de e-mail do sistema padrão atual administrador:
ADMIN_EMAIL=foo@bar.com
Para alterar o administrador de sistema padrão para um usuário diferente:
- Crie um novo administrador do sistema conforme descrito acima ou certifique-se de que a conta de usuário do o novo administrador de sistema já está configurado como um administrador de sistema.
- Edite /opt/apigee/customer/defaults.sh para defina ADMIN_EMAIL como o e o endereço de e-mail do novo administrador do sistema.
- Edite o arquivo de configuração silenciosa usado para instalar a interface do Edge para definir o seguinte:
propriedades:
ADMIN_EMAIL=emailAddressOfNewSysAdmin
APIGEE_ADMINPW=pwOfNewSysAdmin
SMTPHOST=smtp.gmail.com
SMTPPORT=465
SMTPUSER=foo@gmail.com
SMTPPASSWORD=bar
SMTPSSL=y
É necessário incluir as propriedades do SMTP porque todas as propriedades na interface do usuário são redefinido. - Reconfigure a interface do Edge:
> /opt/apigee/apigee-service/bin/apigee-service parada de interface do usuário do Edge
> /opt/apigee/apigee-service/bin/apigee-service perímetro-ui configuração -f configFile
> /opt/apigee/apigee-service/bin/apigee-service Edge-ui start
Se você quiser apenas alterar o endereço de e-mail da conta de usuário para o padrão atual administrador do sistema, primeiro atualize a conta do usuário para definir o novo endereço de e-mail e, em seguida, altere o endereço de e-mail padrão do administrador do sistema:
- Atualizar a conta de usuário do usuário administrador do sistema padrão atual com um novo e-mail
endereço:
> curl -H content-type:application/json -X PUT /
-u currentSysAdminEmail:passwd /
http://<ms_IP>:8080/v1/users/currentSysAdminEmail /
-d '{"emailId": "newSysAdminEmail", "lastName": "admin", "firstName": "admin"}" - Repita as etapas 2, 3 e 4 do procedimento anterior para atualizar o arquivo /opt/apigee/customer/defaults.sh e atualizar a interface do Edge.
Especificar o domínio de e-mail de um sistema administrador
Como um nível extra de segurança, você pode especificar o domínio de e-mail necessário de um sistema Edge administrador. Ao adicionar um administrador do sistema, se o endereço de e-mail do usuário não estiver na domínio especificado, a adição do usuário ao papel sysadmin falhará.
Por padrão, o domínio obrigatório está vazio, o que significa que você pode adicionar qualquer endereço de e-mail ao sysadmin.
Para definir o domínio do e-mail:
- Abra em um editor management-server.properties:
vi /opt/apigee/customer/application/management-server.properties
Crie esse arquivo se ele não existir. - Defina conf_security_rbac.global.roles.allowed.domains.
à lista separada por vírgulas de domínios permitidos. Por exemplo:
conf_security_rbac.global.roles.allowed.domains=myCo.com,yourCo.com - Salve as alterações.
- Reinicie o Edge Management Server:
/opt/apigee/apigee-service/bin/apigee-service reinicialização do Edge-management-server
Se você tentar adicionar um usuário ao papel sysadmin e o endereço de e-mail do usuário não for em um dos domínios especificados, a adição falhará.
Como excluir um usuário
É possível criar um usuário usando a API Edge ou a interface do Edge. No entanto, só é possível excluir um usuário usando a API.
Para ver a lista de usuários atuais, incluindo o endereço de e-mail, use o seguinte comando cURL:
curl -u <sysAdminEmail>:<passwd> http://<ms-IP>:8080/v1/users
Use o comando cURL a seguir para excluir um usuário:
curl -u <sysAdminEmail>:<passwd> -X DELETE http://<ms-IP>:8080/v1/users/<userEmail>