Mengelola Pengguna, Peran, dan Izin

Edge for Private Cloud v. 4.17.09

Situs dokumentasi Apigee memiliki informasi lengkap tentang cara mengelola peran pengguna dan izin akses. Pengguna dapat dikelola menggunakan UI Edge dan Management API; peran dan izin hanya dapat dikelola dengan Management API.

Untuk informasi tentang pengguna dan membuat pengguna, lihat:

Banyak operasi yang Anda lakukan untuk mengelola pengguna memerlukan administrator sistem hak istimewa pengguna. Di penginstalan Edge berbasis Cloud, Apigee berfungsi dalam peran sistem Google Workspace for Education. Di Edge untuk penginstalan Private Cloud, administrator sistem Anda harus melakukan tugas ini seperti yang dijelaskan di bawah ini.

Menambahkan pengguna

Anda dapat membuat pengguna dengan menggunakan Edge API, UI Edge, atau perintah Edge. Ini menjelaskan cara menggunakan perintah Edge API dan Edge. Untuk informasi tentang cara membuat pengguna di UI Edge, lihat Membuat pengguna global.

Setelah membuat pengguna di organisasi, Anda harus menetapkan peran kepada pengguna tersebut. Peran menentukan hak akses pengguna di Edge.

Gunakan perintah berikut untuk membuat pengguna dengan Edge API:

curl -H "Content-Type:application/xml" -u <sysAdminEmail>:<passwd> \
-X POST http://<ms_IP>:8080/v1/users \
-d '<User> \
   <FirstName>New</FirstName> \
   <LastName>User</LastName> \
   <Password>newUserPWord</Password> \
   <EmailId>foo@bar.com</EmailId> \
</User>'

Atau gunakan perintah Edge berikut untuk membuat pengguna:

> /opt/apigee/apigee-service/bin/apigee-service apigee-provision create-user -f configFile

Jika configFile berisi informasi yang diperlukan untuk membuat pengguna:

APIGEE_ADMINPW=sysAdminPW    # If omitted, you will be prompted.
USER_NAME=foo@bar.com
FIRST_NAME=New
LAST_NAME=User
USER_PWD="newUserPWord"
ORG_NAME=myorg  

Anda kemudian dapat menggunakan panggilan ini untuk melihat informasi tentang pengguna tersebut:

curl -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/users/foo@bar.com

Menetapkan pengguna ke peran pada organisasi

Sebelum pengguna baru dapat melakukan apa pun, dia harus ditugaskan ke sebuah peran dalam sebuah organisasi. Anda dapat menetapkan pengguna ke berbagai peran, termasuk: orgadmin, businessuser, opsadmin, user, atau peran khusus yang ditentukan di organisasi/pengaturan.

Menetapkan pengguna ke peran dalam organisasi akan menambahkan pengguna tersebut secara otomatis ke organisasi/pengaturan. Menetapkan pengguna ke beberapa organisasi dengan menetapkan perannya di setiap organisasi organisasi/pengaturan.

Gunakan perintah berikut untuk menetapkan pengguna ke sebuah peran di organisasi:

curl -X POST -H "Content-Type:application/x-www-form-urlencoded" /
http://<ms_IP>:8080/v1/o/<org_name>/userroles/<role>/users?id=foo@bar.com /
-u <sysAdminEmail>:<passwd> 

Panggilan ini menampilkan semua peran yang ditetapkan kepada pengguna. Jika Anda ingin menambahkan pengguna, tapi hanya menampilkan peran baru, gunakan panggilan berikut:

curl -X POST -H "Content-Type: application/xml" /
http://<ms_IP>:8080/v1/o/<org_name>/users/foo@bar.com/userroles /
-d '<Roles><Role name="role"/></Roles>' /
-u <sysAdminEmail>:<passwd>

Anda dapat melihat peran pengguna menggunakan perintah berikut:

curl -u <sysAdminEmail>:<passwd> /
http://<ms_IP>:8080/v1/users/foo@bar.com/userroles

Untuk menghapus pengguna dari organisasi, hapus semua peran di organisasi tersebut dari pengguna. Gunakan perintah berikut untuk menghapus peran dari pengguna:

curl -X DELETE -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/o/<org_name>/userroles/<role>/users/foo@bar.com

Menambahkan administrator sistem

Administrator sistem dapat:

  • Buat organisasi
  • Menambahkan Router, Prosesor Pesan, dan komponen lainnya ke penginstalan Edge
  • Mengonfigurasi TLS/SSL
  • Membuat administrator sistem tambahan
  • Melakukan semua tugas administratif Edge

Meskipun hanya satu pengguna yang merupakan pengguna {i>default<i} untuk tugas administratif, bisa ada lebih dari seorang administrator sistem. Setiap pengguna yang merupakan anggota peran sysadmin memiliki izin penuh untuk Google Cloud Platform.

Anda dapat membuat pengguna untuk administrator sistem di UI atau API Edge. Namun, Anda harus menggunakan Edge API untuk menetapkan pengguna ke peran sysadmin. Menetapkan pengguna ke Peran sysadmin tidak bisa dilakukan di UI Edge.

Untuk menambahkan administrator sistem:

  1. Buat pengguna di UI atau API Edge.
  2. Tambahkan pengguna ke sysadmin peran:
    curl -u &lt;sysAdminEmail&gt;:&lt;passwd&gt;
    -X POSTINGAN http://<ms_IP>:8080/v1/userroles/sysadmin/users \
    -d 'id=foo@bar.com'
  3. Pastikan pengguna baru dalam peran sysadmin:
    curl -u &lt;sysAdminEmail&gt;:&lt;passwd&gt; http://&lt;ms_IP&gt;:8080/v1/userroles/sysadmin/users

    Menampilkan alamat email pengguna:
    [ " foo@bar.com " ]
  4. Periksa izin pengguna baru:
    curl -u &lt;sysAdminEmail&gt;:&lt;passwd&gt; http://&lt;ms_IP&gt;:8080/v1/users/foo@bar.com/permissions

    Pengembalian:
    {
    "resourcePermission" : [ {
    "jalur" : "/",
    "izin" : [ "get", "put", "delete" ]
    }
    ] }
  5. Setelah menambahkan administrator sistem baru, Anda dapat menambahkan pengguna ke organisasi apa pun.
    Catatan: Pengguna administrator sistem yang baru tidak bisa masuk ke UI Edge sampai Anda menambahkan pengguna ke setidaknya satu organisasi.
  6. Jika nanti Anda ingin menghapus pengguna dari peran administrator sistem, Anda dapat menggunakan API berikut:
    curl -X DELETE -u &lt;sysadminEmail:pword&gt;
    http://&lt;ms_IP&gt;:8080/v1/userroles/sysadmin/users/foo@bar.com


    Perhatikan bahwa panggilan ini hanya menghapus pengguna dari peran, tidak menghapus pengguna.

Mengubah administrator sistem default nama

Pada saat menginstal Edge, Anda menentukan alamat email administrator sistem. Tepi membuat pengguna dengan alamat email tersebut, dan menetapkan pengguna tersebut menjadi sistem default Google Workspace for Education. Anda nanti dapat menambahkan administrator sistem tambahan seperti yang dijelaskan di atas.

Bagian ini menjelaskan cara mengubah administrator sistem {i>default<i} menjadi pengguna yang berbeda, dan cara mengubah alamat email akun pengguna untuk sistem {i>default<i} saat ini Google Workspace for Education.

Untuk melihat daftar pengguna yang saat ini dikonfigurasi sebagai administrator sistem, gunakan API berikut hubungi:

curl -u sysAdminEmail:passwd http://<ms_IP>:8080/v1/userroles/sysadmin/users

Untuk menentukan administrator sistem default saat ini, lihat file /opt/apigee/customer/defaults.sh. Tujuan file berisi baris berikut yang menunjukkan alamat email sistem {i>default<i} saat ini administrator:

ADMIN_EMAIL=foo@bar.com

Untuk mengubah administrator sistem default menjadi pengguna lain:

  1. Buat administrator sistem baru seperti dijelaskan di atas, atau pastikan bahwa akun pengguna administrator sistem yang baru sudah dikonfigurasi sebagai administrator sistem.
  2. Edit /opt/apigee/customer/defaults.sh untuk tetapkan ADMIN_EMAIL ke alamat email administrator sistem baru.
  3. Edit file konfigurasi senyap yang Anda gunakan untuk menginstal UI Edge untuk mengatur hal berikut properti:
    ADMIN_EMAIL=emailAddressOfNewSysAdmin
    APIGEE_ADMINPW=pwOfNewSysAdmin

    SMTPHOST=smtp.gmail.com
    SMTPPORT=465
    SMTPUSER=foo@gmail.com
    SMTPPASSWORD=bar
    SMTPSSL=y
    Perhatikan, Anda harus menyertakan properti SMTP karena semua properti di UI {i>reset<i}.
  4. Konfigurasi ulang UI Edge:
    &gt; /opt/apigee/apigee-service/bin/apigee-service perhentian edge-ui
    &gt; /opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
    &gt; /opt/apigee/apigee-service/bin/apigee-service edge-ui start

Jika Anda hanya ingin mengubah alamat email akun pengguna untuk {i>default<i} saat ini administrator sistem, perbarui dulu akun pengguna untuk mengatur alamat email baru, lalu ubah alamat email administrator sistem {i>default<i}:

  1. Perbarui akun pengguna dari pengguna administrator sistem default saat ini dengan email baru alamat:
    &gt; curl -H content-type:application/json -X PUT /
    -u currentSysAdminEmail:passwd /
    http://<ms_IP>:8080/v1/users/currentSysAdminEmail /
    -d &#39;{&quot;emailId&quot;: &quot;newSysAdminEmail&quot;, &quot;lastName&quot;: &quot;admin&quot;, &quot;firstName&quot;: "admin"}'
  2. Ulangi langkah 2, 3, dan 4 dari prosedur sebelumnya untuk mengupdate file /opt/apigee/customer/defaults.sh dan untuk memperbarui UI Edge.

Menentukan domain email suatu sistem administrator

Sebagai tingkat keamanan tambahan, Anda dapat menentukan domain email yang diperlukan dari sistem Edge Google Workspace for Education. Saat menambahkan administrator sistem, jika alamat email pengguna tidak ada di domain yang ditentukan, lalu menambahkan pengguna ke peran sysadmin akan gagal.

Secara default, domain yang diperlukan kosong, artinya Anda dapat menambahkan alamat email apa pun ke sysadmin.

Untuk menetapkan domain email:

  1. Buka di editor management-server.properties:
    vi /opt/apigee/customer/application/management-server.properties

    Jika file ini tidak ada, buatlah.
  2. Tetapkan parameter conf_security_rbac.global.roles.allowed.domains ke daftar yang dipisahkan koma dari domain yang diizinkan. Contoh:
    conf_security_rbac.global.roles.allowed.domains=myCo.com,yourCo.com
  3. Simpan perubahan.
  4. Mulai ulang Server Pengelolaan Edge:
    /opt/apigee/apigee-service/bin/apigee-service mulai ulang server pengelolaan edge

    Jika sekarang Anda mencoba menambahkan pengguna ke peran {i>sysadmin<i}, dan alamat email pengguna di salah satu domain yang ditentukan, penambahannya gagal.

Menghapus pengguna

Anda dapat membuat pengguna dengan menggunakan Edge API atau UI Edge. Namun, Anda hanya dapat menghapus pengguna menggunakan API.

Untuk melihat daftar pengguna saat ini, termasuk alamat email, gunakan perintah cURL berikut:

curl -u <sysAdminEmail>:<passwd> http://<ms-IP>:8080/v1/users

Gunakan perintah cURL berikut untuk menghapus pengguna:

curl -u <sysAdminEmail>:<passwd> -X DELETE http://<ms-IP>:8080/v1/users/<userEmail>