Nutzer, Rollen und Berechtigungen verwalten

Edge for Private Cloud Version 4.18.01

Auf der Apigee-Dokumentationswebsite finden Sie ausführliche Informationen zum Verwalten von Nutzerrollen und Berechtigungen. Nutzer können sowohl mit der Edge-Benutzeroberfläche als auch mit der Management API verwaltet werden. Rollen und Berechtigungen können nur mit der Management API verwaltet werden.

Informationen zu Nutzern und zum Erstellen von Nutzern finden Sie unter:

Viele der Vorgänge, die Sie zur Nutzerverwaltung ausführen, erfordern Systemadministratorberechtigungen. In einer cloudbasierten Installation von Edge übernimmt Apigee die Rolle des Systemadministrators. In einem Edge für die Private Cloud-Installation muss Ihr Systemadministrator diese Aufgaben wie unten beschrieben ausführen.

Nutzer hinzufügen

Sie können einen Benutzer entweder mithilfe der Edge-API, der Edge-Benutzeroberfläche oder mit Edge-Befehlen erstellen. In diesem Abschnitt wird die Verwendung von Edge-API- und Edge-Befehlen beschrieben. Informationen zum Erstellen von Nutzern in der Edge-Benutzeroberfläche finden Sie unter Globale Nutzer erstellen.

Nachdem Sie den Nutzer in einer Organisation erstellt haben, müssen Sie ihm eine Rolle zuweisen. Rollen bestimmen die Zugriffsrechte des Nutzers in Edge.

Verwenden Sie den folgenden Befehl, um einen Nutzer mit der Edge API zu erstellen:

curl -H "Content-Type:application/xml" -u <sysAdminEmail>:<passwd> \
-X POST http://<ms_IP>:8080/v1/users \
-d '<User> \
   <FirstName>New</FirstName> \
   <LastName>User</LastName> \
   <Password>newUserPWord</Password> \
   <EmailId>foo@bar.com</EmailId> \
</User>'

Oder verwenden Sie den folgenden Edge-Befehl, um einen Nutzer zu erstellen:

> /opt/apigee/apigee-service/bin/apigee-service apigee-provision create-user -f configFile

Dabei enthält die configFile die Informationen, die zum Erstellen des Nutzers erforderlich sind:

APIGEE_ADMINPW=sysAdminPW    # If omitted, you will be prompted.
USER_NAME=foo@bar.com
FIRST_NAME=New
LAST_NAME=User
USER_PWD="newUserPWord"
ORG_NAME=myorg  

Mit diesem Aufruf können Sie dann Informationen über den Nutzer abrufen:

curl -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/users/foo@bar.com

Dem Nutzer eine Rolle in einer Organisation zuweisen

Bevor ein neuer Nutzer etwas tun kann, muss er einer Rolle in einer Organisation zugewiesen werden. Sie können dem Nutzer verschiedene Rollen zuweisen, darunter orgadmin, businessuser, opsadmin, user oder eine in der Organisation definierte benutzerdefinierte Rolle.

Wenn Sie einen Nutzer einer Rolle in einer Organisation zuweisen, wird dieser Nutzer automatisch der Organisation hinzugefügt. Weisen Sie einen Nutzer mehreren Organisationen zu, indem Sie ihm eine Rolle in jeder Organisation zuweisen.

Verwenden Sie den folgenden Befehl, um dem Nutzer eine Rolle in einer Organisation zuzuweisen:

curl -X POST -H "Content-Type:application/x-www-form-urlencoded" /
http://<ms_IP>:8080/v1/o/<org_name>/userroles/<role>/users?id=foo@bar.com /
-u <sysAdminEmail>:<passwd> 

In diesem Aufruf werden alle Rollen angezeigt, die dem Nutzer zugewiesen sind. Wenn Sie den Nutzer hinzufügen, aber nur die neue Rolle anzeigen möchten, verwenden Sie den folgenden Aufruf:

curl -X POST -H "Content-Type: application/xml" /
http://<ms_IP>:8080/v1/o/<org_name>/users/foo@bar.com/userroles /
-d '<Roles><Role name="role"/></Roles>' /
-u <sysAdminEmail>:<passwd>

Sie können die Rollen des Nutzers mit dem folgenden Befehl aufrufen:

curl -u <sysAdminEmail>:<passwd> /
http://<ms_IP>:8080/v1/users/foo@bar.com/userroles

Wenn Sie einen Nutzer aus einer Organisation entfernen möchten, entfernen Sie für den Nutzer alle Rollen in dieser Organisation. Verwenden Sie den folgenden Befehl, um eine Rolle von einem Nutzer zu entfernen:

curl -X DELETE -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/o/<org_name>/userroles/<role>/users/foo@bar.com

Systemadministrator hinzufügen

Ein Systemadministrator kann Folgendes tun:

  • Organisationen erstellen
  • Router, Nachrichtenprozessoren und andere Komponenten zu einer Edge-Installation hinzufügen
  • TLS/SSL konfigurieren
  • Zusätzliche Systemadministratoren erstellen
  • Alle administrativen Edge-Aufgaben ausführen

Ein einzelner Nutzer ist zwar der Standardnutzer für Verwaltungsaufgaben, es können aber auch mehrere Systemadministratoren vorhanden sein. Jeder Nutzer, der Mitglied der Rolle sysadmin ist, hat uneingeschränkte Berechtigungen für alle Ressourcen.

Sie können den Nutzer für den Systemadministrator entweder in der Edge-Benutzeroberfläche oder mit der API erstellen. Sie müssen jedoch die Edge API verwenden, um dem Nutzer die Rolle sysadmin zuzuweisen. Die Zuweisung eines Nutzers zur Rolle sysadmin kann in der Edge-Benutzeroberfläche nicht erfolgen.

So fügen Sie einen Systemadministrator hinzu:

  1. Erstellen Sie einen Nutzer in der Edge-Benutzeroberfläche oder API.
  2. Nutzer zur Rolle sysadmin hinzufügen:
    curl -u <sysAdminEmail>:<passwd> \
    -X POST http://<ms_IP>:8080/v1/userroles/sysadmin/users \
    -d 'id=foo@bar.com'
  3. Der neue Nutzer muss die Rolle „sysadmin“ haben:
    curl -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/userroles/sysadmin/users

    Gibt die E-Mail-Adresse des Nutzers zurück:
    [ " foo@bar.com " ]
  4. Prüfen Sie die Berechtigungen des neuen Nutzers:
    curl -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/users/foo@bar.com/permissions

    Rückgaben:
    {
    "resourcePermission" : [ {
    "delete" : "/",
    "permissions" : [
    ", put", "permissions"
    : [
    ",
  5. Nachdem Sie den neuen Systemadministrator hinzugefügt haben, können Sie den Nutzer beliebigen Organisationen hinzufügen.
    Hinweis: Der neue Systemadministrator kann sich erst bei der Edge-Benutzeroberfläche anmelden, wenn Sie den Nutzer mindestens einer Organisation hinzugefügt haben.
  6. Wenn Sie den Nutzer später aus der Systemadministratorrolle entfernen möchten, können Sie die folgende API verwenden:
    curl -X DELETE -u <sysadminEmail:pword>
    http://<ms_IP>:8080/v1/userroles/sysadmin/users/foo@bar.com


    Mit diesem Aufruf wird der Nutzer nur aus der Rolle entfernt, nicht aber aus der Rolle gelöscht.

Standardnutzer des Systemadministrators ändern

Bei der Installation von Edge geben Sie die E-Mail-Adresse des Systemadministrators an. Edge erstellt einen Nutzer mit dieser E-Mail-Adresse und legt diesen Nutzer als Standardsystemadministrator fest. Sie können später wie oben beschrieben weitere Systemadministratoren hinzufügen.

In diesem Abschnitt wird beschrieben, wie Sie den Standardsystemadministrator in einen anderen Nutzer ändern und die E-Mail-Adresse des Nutzerkontos für den aktuellen Standardsystemadministrator ändern.

Mit dem folgenden API-Aufruf können Sie die Liste der Nutzer ansehen, die derzeit als Systemadministratoren konfiguriert sind:

curl -u sysAdminEmail:passwd http://<ms_IP>:8080/v1/userroles/sysadmin/users

Um den aktuellen Standard-Systemadministrator zu ermitteln, rufen Sie die Datei /opt/apigee/customer/defaults.sh auf. Die Datei enthält die folgende Zeile mit der E-Mail-Adresse des aktuellen Standardsystemadministrators:

ADMIN_EMAIL=foo@bar.com

So ändern Sie den Standard-Systemadministrator in einen anderen Nutzer:

  1. Erstellen Sie wie oben beschrieben einen neuen Systemadministrator oder achten Sie darauf, dass das Nutzerkonto des neuen Systemadministrators bereits als Systemadministrator konfiguriert ist.
  2. Bearbeiten Sie /opt/apigee/customer/defaults.sh, um ADMIN_EMAIL auf die E-Mail-Adresse des neuen Systemadministrators festzulegen.
  3. Bearbeiten Sie die lautlose Konfigurationsdatei, die Sie zum Installieren der Edge-Benutzeroberfläche verwendet haben, um die folgenden Eigenschaften festzulegen:
    ADMIN_EMAIL=emailAddressOfNewSysAdmin
    APIGEE_ADMINPW=pwOfNewSysAdmin

    SMTPHOST=smtp.gmail.com
    SMTPPORT=smtp.gmail.com
    SMTPPORT=smtp.gmail.com
    SMTPPORT=smtp.gmail.com
    SMTPPORT=smtp.gmail.com
    Alle SMTP-UI-Eigenschaften: SMTPPORT=465=
    Alle SMTP-UI-Attribute für SMTPPORT=465
    , weil alle SMTP-UI-Attribute für SMTPPORT=465=
    SMTPUSER= SMTPPORT=465= enthalten sind.
    Alle SMTP-UI-Attribute für SMTP.
  4. Konfigurieren Sie die Edge-Benutzeroberfläche neu:
    > /opt/apigee/apigee-service/bin/apigee-service, Edge-UI, Stopp
    > /opt/apigee/apigee-service/bin/apigee-service, Edge-ui-Einrichtung, -f, configFile
    , > /opt/apigee/apigee-service/bin/apigee-service, Edge-ui, Start, start

Wenn Sie nur die E-Mail-Adresse des Nutzerkontos für den aktuellen Standardsystemadministrator ändern möchten, aktualisieren Sie zuerst das Nutzerkonto, um die neue E-Mail-Adresse festzulegen, und ändern Sie dann die Standard-E-Mail-Adresse des Systemadministrators:

  1. Aktualisieren Sie das Nutzerkonto des aktuellen Standard-Systemadministrator-Nutzers mit einer neuen E-Mail-Adresse:
    > curl -H content-type:application/json -X PUT /
    -u currentSysAdminEmail:passwd /
    http://<ms_IP>:8080/v1/users/currentSysAdminEmail : "currentSysAdminEmail '
    -neu
  2. Wiederholen Sie die Schritte 2, 3 und 4 aus dem vorherigen Verfahren, um die Datei /opt/apigee/customer/defaults.sh und die Edge-Benutzeroberfläche zu aktualisieren.

E-Mail-Domain eines Systemadministrators angeben

Als zusätzliche Sicherheitsstufe können Sie die erforderliche E-Mail-Domain eines Edge-Systemadministrators angeben. Wenn sich die E-Mail-Adresse des Nutzers beim Hinzufügen eines Systemadministrators nicht in der angegebenen Domain befindet, schlägt das Hinzufügen der Rolle sysadmin fehl.

Standardmäßig ist die erforderliche Domain leer. Das bedeutet, dass Sie der Rolle sysadmin eine beliebige E-Mail-Adresse hinzufügen können.

So legen Sie die E-Mail-Domain fest:

  1. Öffnen Sie management-server.properties in einem Editor:
    vi /opt/apigee/customer/application/management-server.properties

    Wenn diese Datei nicht vorhanden ist, erstellen Sie sie.
  2. Legen Sie für das Attribut conf_security_rbac.global.roles.allowed.domains die durch Kommas getrennte Liste der zulässigen Domains fest. Beispiel:
    conf_security_rbac.global.roles.allowed.domains=myCo.com,yourCo.com
  3. Speichern Sie die Änderungen.
  4. Starten Sie den Edge-Verwaltungsserver neu:
    /opt/apigee/apigee-service/bin/apigee-service, Edge-management-server-Neustart

    Wenn Sie jetzt versuchen, der Rolle „sysadmin“ einen Nutzer hinzuzufügen und sich die E-Mail-Adresse des Nutzers nicht in einer der angegebenen Domains befindet, schlägt das Hinzufügen fehl.

Nutzer löschen

Sie können einen Nutzer entweder mithilfe der Edge-API oder der Edge-Benutzeroberfläche erstellen. Nutzer können jedoch nur mithilfe der API gelöscht werden.

Verwenden Sie den folgenden cURL-Befehl, um die Liste der aktuellen Nutzer einschließlich der E-Mail-Adresse aufzurufen:

curl -u <sysAdminEmail>:<passwd> http://<ms-IP>:8080/v1/users

Verwenden Sie den folgenden cURL-Befehl, um einen Nutzer zu löschen:

curl -u <sysAdminEmail>:<passwd> -X DELETE http://<ms-IP>:8080/v1/users/<userEmail>