Edge for Private Cloud v. 4.17.09
El sitio de documentación de Apigee contiene mucha información sobre cómo administrar los roles de los usuarios y permisos. Los usuarios se pueden administrar con la IU de Edge y la API de Management. roles y los permisos solo se pueden administrar con la API de Management.
Para obtener información sobre los usuarios y cómo crearlos, consulta:
Muchas de las operaciones que realizas para administrar usuarios requieren un administrador del sistema privilegios. En una instalación de Edge basada en la nube, Apigee funciona en el rol de sistema administrador. En una instancia de Edge para la instalación de la nube privada, el administrador del sistema realizar estas tareas como se describe a continuación.
Agrega un usuario
Para crear un usuario, puedes usar la API de Edge, la IU de Edge o los comandos de Edge. Esta se describe cómo usar la API de Edge y los comandos de Edge. Para obtener información sobre cómo crear usuarios en la IU de Edge, consulta Crea contenido usuarios globales.
Después de crear el usuario en una organización, debes asignarle un rol. Funciones determinar los derechos de acceso del usuario en Edge.
Usa el siguiente comando para crear un usuario con la API de Edge:
curl -H "Content-Type:application/xml" -u <sysAdminEmail>:<passwd> \ -X POST http://<ms_IP>:8080/v1/users \ -d '<User> \ <FirstName>New</FirstName> \ <LastName>User</LastName> \ <Password>newUserPWord</Password> \ <EmailId>foo@bar.com</EmailId> \ </User>'
También puedes usar el siguiente comando de Edge para crear un usuario:
> /opt/apigee/apigee-service/bin/apigee-service apigee-provision create-user -f configFile
El configFile contiene la información necesaria para crear la usuario:
APIGEE_ADMINPW=sysAdminPW # If omitted, you will be prompted. USER_NAME=foo@bar.com FIRST_NAME=New LAST_NAME=User USER_PWD="newUserPWord" ORG_NAME=myorg
Luego, puedes usar esta llamada para ver la información del usuario:
curl -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/users/foo@bar.com
Asignar al usuario un rol en una organización
Antes de que un usuario nuevo pueda realizar una acción, se lo debe asignar a un rol en una organización. Tú puede asignar al usuario diferentes roles, como orgadmin, businessuser, opsadmin y user, o a un rol personalizado definido en la organización.
Cuando asignas un usuario a un rol en una organización, automáticamente se agrega al organización. Asignar un usuario a varias organizaciones con un rol en cada una organización.
Usa el siguiente comando para asignar al usuario un rol en una organización:
curl -X POST -H "Content-Type:application/x-www-form-urlencoded" / http://<ms_IP>:8080/v1/o/<org_name>/userroles/<role>/users?id=foo@bar.com / -u <sysAdminEmail>:<passwd>
Esta llamada muestra todos los roles asignados al usuario. Si deseas agregar al usuario, pero mostrar solo el rol nuevo, usa la siguiente llamada:
curl -X POST -H "Content-Type: application/xml" / http://<ms_IP>:8080/v1/o/<org_name>/users/foo@bar.com/userroles / -d '<Roles><Role name="role"/></Roles>' / -u <sysAdminEmail>:<passwd>
Puedes ver los roles del usuario con el siguiente comando:
curl -u <sysAdminEmail>:<passwd> / http://<ms_IP>:8080/v1/users/foo@bar.com/userroles
Para quitar a un usuario de una organización, quita todas las funciones de esa organización del usuario. Usa el siguiente comando para quitarle un rol a un usuario:
curl -X DELETE -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/o/<org_name>/userroles/<role>/users/foo@bar.com
Cómo agregar un administrador del sistema
Un administrador del sistema puede hacer lo siguiente:
- Crear organizaciones
- Agrega routers, procesadores de mensajes y otros componentes a una instalación de Edge
- Configurar TLS/SSL
- Cómo crear administradores de sistema adicionales
- Realizar todas las tareas administrativas de Edge
Si bien solo un usuario es el predeterminado para las tareas administrativas, puede haber más un administrador del sistema. Cualquier usuario que sea miembro del rol sysadmin tiene permisos completos para todos de Google Cloud.
Puedes crear el usuario para el administrador del sistema en la IU o la API de Edge. Sin embargo, Debes usar la API de Edge para asignar al usuario el rol de sysadmin. La asignación de un usuario al sysadmin no se puede realizar en la IU de Edge.
Para agregar un administrador del sistema, sigue estos pasos:
- Crear un usuario en la IU o API de Edge
- Agregar usuario a sysadmin
rol:
curl -u <sysAdminEmail>:<passwd>
-X PUBLICACIÓN http://<ms_IP>:8080/v1/userroles/sysadmin/users \
-d 'id=foo@bar.com' - Asegúrate de que el usuario nuevo tenga el rol de administrador del sistema:
curl -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/userroles/sysadmin/users
Muestra la dirección de correo electrónico del usuario:
[ " foo@bar.com ] - Verificar los permisos del usuario nuevo:
curl -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/users/foo@bar.com/permissions
Muestra:
{
“resourcePermission” : [ {
"ruta" : “/”,
"permisos" : [ "get", "put", "delete" ]
} ]
} - Después de agregar al nuevo administrador del sistema, puedes agregar al usuario a cualquier organización.
Nota: El nuevo usuario administrador del sistema no puede acceder a la IU de Edge hasta que agregar al usuario a una organización como mínimo. - Si más adelante deseas quitar al usuario del rol de administrador del sistema, puedes usar el
siguiente API:
curl -X DELETE -u <sysadminEmail:pword>
http://<ms_IP>:8080/v1/userroles/sysadmin/users/foo@bar.com
Ten en cuenta que esta llamada solo quita al usuario del rol, no lo borra.
Cambia el administrador del sistema predeterminado usuario
Cuando instales Edge, deberás especificar la dirección de correo electrónico del administrador del sistema. Perimetrales Se crea un usuario con esa dirección de correo electrónico y se establece como el usuario predeterminado del sistema. administrador. Luego, puedes agregar administradores del sistema adicionales como se describió anteriormente.
En esta sección, se describe cómo cambiar el administrador del sistema predeterminado para que sea un usuario diferente. y cómo cambiar la dirección de correo electrónico de la cuenta de usuario para el sistema predeterminado actual administrador.
Para ver la lista de usuarios configurados actualmente como administradores del sistema, usa la siguiente API Llamada:
curl -u sysAdminEmail:passwd http://<ms_IP>:8080/v1/userroles/sysadmin/users
Para determinar el administrador del sistema predeterminado actual, consulte el archivo /opt/apigee/customer/defaults.sh. El contiene la siguiente línea que muestra la dirección de correo electrónico del sistema predeterminado actual administrador:
ADMIN_EMAIL=foo@bar.com
Para cambiar el administrador del sistema predeterminado y que sea un usuario diferente, haz lo siguiente:
- Crea un nuevo administrador del sistema como se describió anteriormente o asegúrate de que la cuenta de usuario del el nuevo administrador del sistema ya está configurado como administrador del sistema.
- Edita /opt/apigee/customer/defaults.sh como configura ADMIN_EMAIL como del nuevo administrador del sistema.
- Edita el archivo de configuración silencioso que usaste para instalar la IU de Edge y establece lo siguiente
propiedades:
ADMIN_EMAIL=emailAddressOfNewSysAdmin
APIGEE_ADMINPW=pwOfNewSysAdmin
SMTPHOST=smtp.gmail.com
SMTPPORT=465
SMTPUSER=foo@gmail.com
SMTPPASSWORD=bar
SMTPSSL=y
Ten en cuenta que debes incluir las propiedades de SMTP, ya que todas las propiedades de la IU son restablecer. - Vuelve a configurar la IU de Edge:
> /opt/apigee/apigee-service/bin/apigee-service parada de Edge-UI
> Configuración de /opt/apigee/apigee-service/bin/apigee-service Edge-ui configFile
> /opt/apigee/apigee-service/bin/apigee-service Edge-ui start
Si solo quieres cambiar la dirección de correo electrónico de la cuenta de usuario por el valor predeterminado actual administrador del sistema, actualiza la cuenta de usuario para establecer la nueva dirección de correo electrónico y, luego, cambia la dirección de correo electrónico del administrador del sistema predeterminada:
- Actualiza la cuenta de usuario del usuario administrador del sistema predeterminado actual con un nuevo correo electrónico
dirección:
> curl -H content-type:application/json -X PUT /
-u currentSysAdminEmail:passwd /
http://<ms_IP>:8080/v1/users/currentSysAdminEmail /
-d '{"emailId": "newSysAdminEmail", "lastName": "admin", "firstName": "admin"}' - Repite los pasos 2, 3 y 4 del procedimiento anterior para actualizar el archivo /opt/apigee/customer/defaults.sh. y actualizar la IU de Edge.
Especificación del dominio de correo electrónico de un sistema administrador
Como un nivel de seguridad adicional, puedes especificar el dominio de correo electrónico requerido de un sistema perimetral administrador. Al agregar un administrador del sistema, si la dirección de correo electrónico del usuario no se encuentra en dominio especificado y, luego, no se puede agregar el usuario a la función sysadmin.
De forma predeterminada, el dominio obligatorio está vacío, lo que significa que puedes agregar cualquier dirección de correo electrónico al sysadmin.
Para configurar el dominio de correo electrónico, sigue estos pasos:
- Ábrelo en un editor management-server.properties:
vi /opt/apigee/customer/application/management-server.properties
Si este archivo no existe, créalo. - Configura conf_security_rbac.global.roles.allowed.domains
a la lista separada por comas de dominios permitidos. Por ejemplo:
conf_security_rbac.global.roles.allowed.domains=myCo.com,yourCo.com - Guarda los cambios.
- Reinicia el servidor de administración perimetral:
/opt/apigee/apigee-service/bin/apigee-service reinicio del servidor de administración perimetral
Si ahora intentas agregar un usuario al rol sysadmin y la dirección de correo electrónico del usuario no es en uno de los dominios especificados, la adición falla.
Borra un usuario
Para crear un usuario, puedes usar la API o la IU de Edge. Sin embargo, solo puedes borrar un usuario con la API.
Para ver la lista de usuarios actuales, incluida la dirección de correo electrónico, usa el siguiente comando cURL:
curl -u <sysAdminEmail>:<passwd> http://<ms-IP>:8080/v1/users
Usa el siguiente comando de cURL para borrar un usuario:
curl -u <sysAdminEmail>:<passwd> -X DELETE http://<ms-IP>:8080/v1/users/<userEmail>