Quản lý người dùng, vai trò và quyền

Edge for Private Cloud phiên bản 4.17.09

Trang web tài liệu về Apigee có nhiều thông tin về cách quản lý vai trò và quyền của người dùng. Bạn có thể quản lý người dùng bằng cả giao diện người dùng Edge và API Quản lý; chỉ có thể quản lý các vai trò và quyền bằng API Quản lý.

Để biết thông tin về người dùng và cách tạo người dùng, hãy xem:

Nhiều thao tác bạn thực hiện để quản lý người dùng yêu cầu đặc quyền của quản trị viên hệ thống. Trong một bản cài đặt Edge trên đám mây, Apigee hoạt động trong vai trò quản trị viên hệ thống. Trong một Edge dành cho quá trình cài đặt Đám mây riêng tư, quản trị viên hệ thống của bạn phải thực hiện những tác vụ này như mô tả dưới đây.

Thêm người dùng

Bạn có thể tạo người dùng bằng cách sử dụng API Edge, Giao diện người dùng Edge hoặc lệnh Edge. Phần này mô tả cách sử dụng API Edge và các lệnh Edge. Để biết thông tin về cách tạo người dùng trong giao diện người dùng Edge, hãy xem phần Tạo người dùng chung.

Sau khi bạn tạo người dùng trong tổ chức, bạn phải chỉ định vai trò cho người dùng đó. Các vai trò xác định quyền truy cập của người dùng trên Edge.

Sử dụng lệnh sau để tạo người dùng bằng Edge API:

curl -H "Content-Type:application/xml" -u <sysAdminEmail>:<passwd> \
-X POST http://<ms_IP>:8080/v1/users \
-d '<User> \
   <FirstName>New</FirstName> \
   <LastName>User</LastName> \
   <Password>newUserPWord</Password> \
   <EmailId>foo@bar.com</EmailId> \
</User>'

Bạn cũng có thể sử dụng lệnh Edge sau đây để tạo người dùng:

> /opt/apigee/apigee-service/bin/apigee-service apigee-provision create-user -f configFile

Trong đó configFile chứa thông tin cần thiết để tạo người dùng:

APIGEE_ADMINPW=sysAdminPW    # If omitted, you will be prompted.
USER_NAME=foo@bar.com
FIRST_NAME=New
LAST_NAME=User
USER_PWD="newUserPWord"
ORG_NAME=myorg  

Sau đó, bạn có thể sử dụng lệnh gọi này để xem thông tin về người dùng:

curl -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/users/foo@bar.com

Chỉ định người dùng cho một vai trò trong tổ chức

Trước khi người dùng mới có thể làm bất cứ điều gì, họ phải được chỉ định vai trò trong tổ chức. Bạn có thể chỉ định người dùng cho các vai trò khác nhau, bao gồm: orgadmin, businessuser, opsadmin, người dùng hoặc cho một vai trò tuỳ chỉnh được xác định trong tổ chức.

Việc chỉ định một người dùng cho một vai trò trong tổ chức sẽ tự động thêm người dùng đó vào tổ chức. Chỉ định một người dùng cho nhiều tổ chức bằng cách chỉ định họ vào một vai trò trong từng tổ chức.

Sử dụng lệnh sau để chỉ định người dùng cho một vai trò trong tổ chức:

curl -X POST -H "Content-Type:application/x-www-form-urlencoded" /
http://<ms_IP>:8080/v1/o/<org_name>/userroles/<role>/users?id=foo@bar.com /
-u <sysAdminEmail>:<passwd> 

Lệnh gọi này sẽ hiển thị tất cả vai trò được chỉ định cho người dùng. Nếu bạn muốn thêm người dùng nhưng chỉ hiển thị vai trò mới, hãy sử dụng lệnh gọi sau:

curl -X POST -H "Content-Type: application/xml" /
http://<ms_IP>:8080/v1/o/<org_name>/users/foo@bar.com/userroles /
-d '<Roles><Role name="role"/></Roles>' /
-u <sysAdminEmail>:<passwd>

Bạn có thể xem vai trò của người dùng bằng cách dùng lệnh sau:

curl -u <sysAdminEmail>:<passwd> /
http://<ms_IP>:8080/v1/users/foo@bar.com/userroles

Để xoá người dùng khỏi một tổ chức, hãy xoá tất cả vai trò trong tổ chức đó khỏi người dùng đó. Hãy sử dụng lệnh sau để xoá một vai trò của người dùng:

curl -X DELETE -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/o/<org_name>/userroles/<role>/users/foo@bar.com

Thêm quản trị viên hệ thống

Quản trị viên hệ thống có thể:

  • Tạo tổ chức
  • Thêm Bộ định tuyến, Bộ xử lý tin nhắn và các thành phần khác vào một bản cài đặt Edge
  • Định cấu hình TLS/SSL
  • Tạo thêm quản trị viên hệ thống
  • Thực hiện tất cả các tác vụ quản trị trong Edge

Mặc dù chỉ có một người dùng là người dùng mặc định cho các nhiệm vụ quản trị, nhưng có thể có nhiều quản trị viên hệ thống. Bất kỳ người dùng nào có vai trò sysadmin đều có toàn quyền đối với tất cả tài nguyên.

Bạn có thể tạo người dùng cho quản trị viên hệ thống trong giao diện người dùng hoặc API Edge. Tuy nhiên, bạn phải sử dụng Edge API để chỉ định người dùng vào vai trò sysadmin. Bạn không thể chỉ định người dùng cho vai trò sysadmin trong giao diện người dùng Edge.

Cách thêm quản trị viên hệ thống:

  1. Tạo người dùng trong API hoặc giao diện người dùng Edge.
  2. Thêm người dùng vào vai trò sysadmin:
    curl -u <sysadminEmail>:<passwd> \
    -X POST http://<ms_IP>:8080/v1/userroles/sysadmin/users \
    -d 'id=foo@bar.com'
  3. Đảm bảo người dùng mới có vai trò sysadmin:
    curl -u <sysadminEmail>:<passwd> http://<ms_IP>:8080/v1/userroles/sysadmin/users

    Trả về địa chỉ email của người dùng:
    [ " foo@bar.com " ]
  4. Kiểm tra quyền của người dùng mới:
    curl -u <sysadminEmail>:<passwd> http://<ms_IP>:8080/v1/users/foo@bar.com/permissions

    Trả về:
    {
    "resourcePermission" : [ {
    "path" : "/",
    "permissions" ] : [ "delete" ] [ "put}"

  5. Sau khi thêm quản trị viên hệ thống mới, bạn có thể thêm người dùng đó vào bất kỳ tổ chức nào.
    Lưu ý: Người dùng mới là quản trị viên hệ thống không thể đăng nhập vào giao diện người dùng Edge cho đến khi bạn thêm người dùng đó vào ít nhất một tổ chức.
  6. Nếu sau này bạn muốn xoá người dùng này khỏi vai trò quản trị viên hệ thống, bạn có thể sử dụng API sau:
    curl -X DELETE -u <sysadminEmail:pword>
    http://<ms_IP>:8080/v1/userroles/sysadmin/users/foo@bar.com


    Lưu ý rằng lệnh gọi này chỉ loại bỏ người dùng khỏi vai trò. Lệnh gọi này không xoá người dùng khỏi vai trò.

Thay đổi người dùng mặc định của quản trị viên hệ thống

Khi cài đặt Edge, bạn chỉ định địa chỉ email của quản trị viên hệ thống. Edge tạo người dùng bằng địa chỉ email đó và đặt người dùng đó làm quản trị viên hệ thống mặc định. Sau đó, bạn có thể thêm quản trị viên hệ thống bổ sung theo mô tả ở trên.

Phần này mô tả cách thay đổi quản trị viên hệ thống mặc định thành một người dùng khác và cách thay đổi địa chỉ email của tài khoản người dùng cho quản trị viên hệ thống mặc định hiện tại.

Để xem danh sách người dùng hiện được định cấu hình làm quản trị viên hệ thống, hãy sử dụng lệnh gọi API sau:

curl -u sysAdminEmail:passwd http://<ms_IP>:8080/v1/userroles/sysadmin/users

Để xác định quản trị viên hệ thống mặc định hiện tại, hãy xem tệp /opt/apigee/customer/defaults.sh. Tệp này chứa dòng sau hiển thị địa chỉ email của quản trị viên hệ thống mặc định hiện tại:

ADMIN_EMAIL=foo@bar.com

Cách thay đổi quản trị viên hệ thống mặc định thành một người dùng khác:

  1. Tạo một quản trị viên hệ thống mới như mô tả ở trên hoặc đảm bảo rằng tài khoản người dùng của quản trị viên hệ thống mới đã được định cấu hình là quản trị viên hệ thống.
  2. Chỉnh sửa /opt/apigee/customer/defaults.sh để đặt ADMIN_EMAIL thành địa chỉ email của quản trị viên hệ thống mới.
  3. Chỉnh sửa tệp cấu hình im lặng mà bạn đã dùng để cài đặt giao diện người dùng Edge để đặt các thuộc tính sau:
    ADMIN_EMAIL=emailAddressOfNewSysAdmin
    APIGEE_ADMINPW=emailAddressOfNewSysAdmin

    SMTPHOST=smtp.gmail.com
    SMTPHOST=smtp.gmail.com
    SMTPHOST=smtp.gmail.com
  4. Định cấu hình lại giao diện người dùng Edge:
    > /opt/apigee/apigee-service/bin/apigee-service cạnh giao diện người dùng dừng
    > /opt/apigee/apigee-service/bin/apigee-service thiết lập cạnh-ui -f configFile
    > /opt/apigee/apigee-service/edge-bin/apigee start-apigee

Nếu bạn chỉ muốn thay đổi địa chỉ email của tài khoản người dùng cho quản trị viên hệ thống mặc định hiện tại, trước tiên, bạn cần cập nhật tài khoản người dùng để đặt địa chỉ email mới, sau đó thay đổi địa chỉ email mặc định của quản trị viên hệ thống:

  1. Cập nhật tài khoản người dùng của người dùng quản trị viên hệ thống mặc định hiện tại bằng địa chỉ email mới:
    > curl -H content-type:application/json -X PUT /
    -u currentSysadminEmail:passwd /
    http://<ms_IP>:8080/v1/users/currentSysadminEmail /'
    "-email
  2. Lặp lại các bước 2, 3. và 4 của quy trình trước để cập nhật tệp /opt/apigee/customer/defaults.sh và cập nhật giao diện người dùng Edge.

Chỉ định miền email của quản trị viên hệ thống

Để tăng cường bảo mật, bạn có thể chỉ định miền email cần thiết của quản trị viên hệ thống Edge. Khi thêm quản trị viên hệ thống, nếu địa chỉ email của người dùng không nằm trong miền đã chỉ định, thì không thêm được người dùng đó vào vai trò sysadmin.

Theo mặc định, miền bắt buộc sẽ trống, nghĩa là bạn có thể thêm bất kỳ địa chỉ email nào vào vai trò sysadmin.

Cách đặt miền email:

  1. Mở trong trình chỉnh sửa management-server.properties:
    vi /opt/apigee/customer/application/management-server.properties

    Nếu tệp này không tồn tại, hãy tạo tệp.
  2. Đặt thuộc tính conf_security_rbac.global.roles.allowed.domains thành danh sách các miền được phép phân tách bằng dấu phẩy. Ví dụ:
    conf_security_rbac.global.roles.allowed.domains=myCo.com,yourCo.com
  3. Lưu các thay đổi.
  4. Khởi động lại Máy chủ quản lý biên:
    /opt/apigee/apigee-service/bin/apigee-service Edge-management-server restart

    Nếu lúc này bạn cố gắng thêm người dùng vào vai trò quản trị viên hệ thống và địa chỉ email của người dùng đó không thuộc một trong các miền đã chỉ định, thì quá trình thêm sẽ không thành công.

Xoá người dùng

Bạn có thể tạo người dùng bằng cách sử dụng Edge API hoặc Giao diện người dùng Edge. Tuy nhiên, bạn chỉ có thể xoá người dùng bằng cách sử dụng API.

Để xem danh sách người dùng hiện tại, bao gồm cả địa chỉ email, hãy sử dụng lệnh cURL sau:

curl -u <sysAdminEmail>:<passwd> http://<ms-IP>:8080/v1/users

Sử dụng lệnh cURL sau để xoá người dùng:

curl -u <sysAdminEmail>:<passwd> -X DELETE http://<ms-IP>:8080/v1/users/<userEmail>