Gestione di utenti, ruoli e autorizzazioni

Edge per Private Cloud v4.18.01

Il sito della documentazione di Apigee contiene molte informazioni sulla gestione dei ruoli utente autorizzazioni aggiuntive. Gli utenti possono essere gestiti utilizzando sia la UI Edge sia l'API di gestione. ruoli le autorizzazioni possono essere gestite solo con l'API di gestione.

Per informazioni sugli utenti e sulla loro creazione, consulta:

Molte delle operazioni eseguite per gestire gli utenti richiedono un amministratore di sistema privilegiati. In un'installazione basata su cloud di Edge, Apigee funziona nel ruolo di sistema amministratore. In un'installazione Edge per il cloud privato, l'amministratore di sistema deve eseguire queste attività come descritto di seguito.

Aggiunta di un utente

Puoi creare un utente utilizzando l'API Edge, la UI Edge o i comandi Edge. Questo che descrive l'utilizzo dell'API Edge e dei comandi Edge. Per informazioni sulla creazione di utenti nel UI Edge; consulta la sezione sulla creazione di un di utenti globali.

Dopo aver creato l'utente in un'organizzazione, devi assegnargli un ruolo. Ruoli per determinare i diritti di accesso dell'utente su Edge.

Utilizza il comando seguente per creare un utente con l'API Edge:

curl -H "Content-Type:application/xml" -u <sysAdminEmail>:<passwd> \
-X POST http://<ms_IP>:8080/v1/users \
-d '<User> \
   <FirstName>New</FirstName> \
   <LastName>User</LastName> \
   <Password>newUserPWord</Password> \
   <EmailId>foo@bar.com</EmailId> \
</User>'

In alternativa, utilizza il seguente comando Edge per creare un utente:

> /opt/apigee/apigee-service/bin/apigee-service apigee-provision create-user -f configFile

Dove il configFile contiene le informazioni necessarie per creare il utente:

APIGEE_ADMINPW=sysAdminPW    # If omitted, you will be prompted.
USER_NAME=foo@bar.com
FIRST_NAME=New
LAST_NAME=User
USER_PWD="newUserPWord"
ORG_NAME=myorg  

Puoi quindi utilizzare questa chiamata per visualizzare le informazioni sull'utente:

curl -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/users/foo@bar.com

L'assegnazione dell'utente a un ruolo in una organizzazione

Prima di poter eseguire qualsiasi azione, un nuovo utente deve essere assegnato a un ruolo in un'organizzazione. Tu può assegnare all'utente ruoli diversi, tra cui: orgadmin, businessuser, opsadmin, user o a un ruolo personalizzato definito nel dell'organizzazione.

Quando viene assegnato un ruolo a un utente in un'organizzazione, l'utente viene automaticamente aggiunto al dell'organizzazione. Assegnare un utente a più organizzazioni assegnandogli un ruolo in ciascuna dell'organizzazione.

Utilizza il comando seguente per assegnare l'utente a un ruolo in un'organizzazione:

curl -X POST -H "Content-Type:application/x-www-form-urlencoded" /
http://<ms_IP>:8080/v1/o/<org_name>/userroles/<role>/users?id=foo@bar.com /
-u <sysAdminEmail>:<passwd> 

In questa chiamata vengono visualizzati tutti i ruoli assegnati all'utente. Se vuoi aggiungere l'utente, visualizzare solo il nuovo ruolo, utilizza la seguente chiamata:

curl -X POST -H "Content-Type: application/xml" /
http://<ms_IP>:8080/v1/o/<org_name>/users/foo@bar.com/userroles /
-d '<Roles><Role name="role"/></Roles>' /
-u <sysAdminEmail>:<passwd>

Puoi visualizzare i ruoli dell'utente utilizzando il seguente comando:

curl -u <sysAdminEmail>:<passwd> /
http://<ms_IP>:8080/v1/users/foo@bar.com/userroles

Per rimuovere un utente da un'organizzazione, rimuovi dall'utente tutti i ruoli al suo interno. Utilizza il seguente comando per rimuovere un ruolo da un utente:

curl -X DELETE -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/o/<org_name>/userroles/<role>/users/foo@bar.com

Aggiunta di un amministratore di sistema

Un amministratore di sistema può:

  • Crea organizzazioni
  • Aggiungere router, processori di messaggi e altri componenti a un'installazione Edge
  • Configura TLS/SSL
  • Crea altri amministratori di sistema
  • Esegui tutte le attività amministrative di Edge

Anche se un solo utente è l'utente predefinito per le attività amministrative, possono esserci più di un solo amministratore di sistema. Qualsiasi utente membro del ruolo sysadmin dispone di autorizzazioni complete per tutti Google Cloud.

Puoi creare l'utente per l'amministratore di sistema nella UI o nell'API Edge. Tuttavia, devi utilizzare l'API Edge per assegnare all'utente il ruolo sysadmin. L'assegnazione di un utente Impossibile eseguire il ruolo sysadmin in l'UI di Edge.

Per aggiungere un amministratore di sistema:

  1. Crea un utente nella UI o nell'API Edge.
  2. Aggiungi utente a sysadmin ruolo:
    curl -u &lt;sysAdminEmail&gt;:&lt;passwd&gt;
    -X POST http://<IP_ms>:8080/v1/userroles/sysadmin/users \
    -d 'id=foo@bar.com'
  3. Assicurati che il nuovo utente abbia il ruolo sysadmin:
    curl -u &lt;sysAdminEmail&gt;:&lt;passwd&gt; http://&lt;ms_IP&gt;:8080/v1/userroles/sysadmin/users

    Restituisce l'indirizzo email dell'utente:
    [ " foo@bar.com " ]
  4. Controlla le autorizzazioni del nuovo utente:
    curl -u &lt;sysAdminEmail&gt;:&lt;passwd&gt; http://&lt;ms_IP&gt;:8080/v1/users/foo@bar.com/permissions

    Resi:
    {
    "resourcePermission" : [ {
    "percorso" : "/",
    "autorizzazioni" : [ "get", "put", "delete" ]
    } ]
    }
  5. Dopo aver aggiunto il nuovo amministratore di sistema, puoi aggiungere l'utente a qualsiasi organizzazione.
    Nota: il nuovo utente amministratore di sistema non può accedere alla UI Edge finché non aggiungere l'utente ad almeno un'organizzazione.
  6. Se in seguito vorrai rimuovere l'utente dal ruolo di amministratore di sistema, puoi utilizzare API seguente:
    curl -X ELIMINA -u &lt;sysadminEmail:pword&gt;
    http://&lt;ms_IP&gt;:8080/v1/userroles/sysadmin/users/foo@bar.com


    Tieni presente che questa chiamata rimuove solo l'utente dal ruolo, non lo elimina.

Modifica dell'amministratore di sistema predefinito utente

Al momento dell'installazione di Edge, devi specificare l'indirizzo email dell'amministratore di sistema. Dispositivi periferici crea un utente con quell'indirizzo email e lo imposta come sistema predefinito amministratore. In seguito puoi aggiungere altri amministratori di sistema come descritto sopra.

Questa sezione descrive come cambiare l'amministratore di sistema predefinito in un utente diverso, e come modificare l'indirizzo email dell'account utente per l'attuale sistema predefinito amministratore.

Per visualizzare l'elenco degli utenti attualmente configurati come amministratori di sistema, utilizza l'API seguente chiama:

curl -u sysAdminEmail:passwd http://<ms_IP>:8080/v1/userroles/sysadmin/users

Per determinare l'attuale amministratore di sistema predefinito, visualizza il file /opt/apigee/customer/defaults.sh. La contiene la seguente riga che mostra l'indirizzo email del sistema predefinito corrente amministratore:

ADMIN_EMAIL=foo@bar.com

Per cambiare l'amministratore di sistema predefinito e impostarlo come utente diverso:

  1. Crea un nuovo amministratore di sistema come descritto sopra oppure verifica che l'account utente di il nuovo amministratore di sistema è già configurato come amministratore di sistema.
  2. Modifica /opt/apigee/customer/defaults.sh in imposta ADMIN_EMAIL su all'indirizzo email del nuovo amministratore di sistema.
  3. Modifica il file di configurazione invisibile utilizzato per installare l'interfaccia utente Edge per impostare quanto segue proprietà:
    ADMIN_EMAIL=emailAddressOfNewSysAdmin
    APIGEE_ADMINPW=pwOfNewSysAdmin

    SMTPHOST=smtp.gmail.com
    porta SMTP=465
    Utente SMTP=foo@gmail.com
    SMTPPASSWORD=bar
    SMTPSSL=y
    Tieni presente che devi includere le proprietà SMTP perché tutte le proprietà sulla UI sono resettare.
  4. Riconfigura la UI Edge:
    &gt; /opt/apigee/apigee-service/bin/apigee-service interruzione UI perimetrale
    &gt; /opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
    &gt; /opt/apigee/apigee-service/bin/apigee-service edge-ui start

Se vuoi solo cambiare l'indirizzo email dell'account utente per l'attuale impostazione predefinita amministratore di sistema, aggiorni prima l'account utente per impostare il nuovo indirizzo email e poi l'indirizzo email predefinito dell'amministratore di sistema:

  1. Aggiorna l'account utente dell'attuale utente amministratore di sistema predefinito con un nuovo indirizzo email indirizzo:
    &gt; curl -H content-type:application/json -X PUT /
    -u currentSysAdminEmail:passwd /
    http://<ms_IP>:8080/v1/users/currentSysAdminEmail /
    -d &#39;{&quot;emailId&quot;: &quot;newSysAdminEmail&quot;, &quot;lastName&quot;: &quot;admin&quot;, &quot;firstName&quot;: "admin"}'
  2. Ripeti i passaggi 2, 3 e 4 della procedura precedente per aggiornare il file /opt/apigee/customer/defaults.sh. e aggiornare la UI Edge.

Specificare il dominio email di un sistema amministratore

Come ulteriore livello di sicurezza, puoi specificare il dominio email richiesto di un sistema periferico amministratore. Quando aggiungi un amministratore di sistema, se l'indirizzo email dell'utente non è nel dominio specificato, l'aggiunta dell'utente al ruolo sysadmin non va a buon fine.

Per impostazione predefinita, il dominio richiesto è vuoto, il che significa che puoi aggiungere qualsiasi indirizzo email al sysadmin.

Per impostare il dominio email:

  1. Apri in un editor management-server.properties:
    vi /opt/apigee/customer/application/management-server.properties

    Se il file non esiste, crealo.
  2. Imposta il valore di conf_security_rbac.global.roles.allowed.domains all'elenco separato da virgole dei domini consentiti. Ad esempio:
    conf_security_rbac.global.roles.allowed.domains=myCo.com,yourCo.com
  3. Salva le modifiche.
  4. Riavvia Edge Management Server:
    /opt/apigee/apigee-service/bin/apigee-service riavvio di edge-management-server

    Se ora tenti di aggiungere un utente al ruolo sysadmin e l'indirizzo email dell'utente non è in uno dei domini specificati, l'aggiunta non riesce.

Eliminazione di un utente

Puoi creare un utente utilizzando l'API Edge o la UI Edge. Tuttavia, puoi solo eliminare un utente utilizzando l'API.

Per visualizzare l'elenco degli utenti correnti, incluso l'indirizzo email, utilizza il seguente comando cURL:

curl -u <sysAdminEmail>:<passwd> http://<ms-IP>:8080/v1/users

Utilizza il seguente comando cURL per eliminare un utente:

curl -u <sysAdminEmail>:<passwd> -X DELETE http://<ms-IP>:8080/v1/users/<userEmail>