ניהול משתמשים, תפקידים והרשאות

Edge for Private Cloud גרסה 4.18.01

אתר התיעוד של Apigee כולל מידע מקיף על ניהול תפקידי משתמשים הרשאות. ניתן לנהל את המשתמשים גם באמצעות ממשק המשתמש של Edge וגם באמצעות ה-Management API. תפקידים את ההרשאות ניתן לנהל רק באמצעות Management API.

למידע על משתמשים ויצירת משתמשים, ראו:

הרבה מהפעולות שמבצעים לניהול משתמשים מחייבות מנהל מערכת הרשאות. בהתקנה מבוססת ענן של Edge, Apigee פועלת בתפקיד של המערכת מנהל מערכת. ב-Edge להתקנת ענן פרטי, מנהל המערכת לבצע את המשימות האלה כפי שמתואר בהמשך.

הוספת משתמש

אפשר ליצור משתמשים באמצעות ה-API של Edge, ממשק המשתמש של Edge או הפקודות של Edge. הזה נסביר איך להשתמש בפקודות של Edge API ו-Edge. לקבלת מידע על יצירת משתמשים בממשק המשתמש של Edge, אפשר לעיין במאמר יצירה משתמשים גלובליים.

אחרי שיוצרים את המשתמש בארגון, צריך להקצות לו תפקיד. תפקידים קביעת זכויות הגישה של המשתמש ב-Edge.

כדי ליצור משתמש באמצעות Edge API, משתמשים בפקודה הבאה:

curl -H "Content-Type:application/xml" -u <sysAdminEmail>:<passwd> \
-X POST http://<ms_IP>:8080/v1/users \
-d '<User> \
   <FirstName>New</FirstName> \
   <LastName>User</LastName> \
   <Password>newUserPWord</Password> \
   <EmailId>foo@bar.com</EmailId> \
</User>'

או משתמשים בפקודה הבאה ב-Edge כדי ליצור משתמש:

> /opt/apigee/apigee-service/bin/apigee-service apigee-provision create-user -f configFile

כאשר ה-configFile מכיל את המידע הדרוש כדי ליצור את המקטע user:

APIGEE_ADMINPW=sysAdminPW    # If omitted, you will be prompted.
USER_NAME=foo@bar.com
FIRST_NAME=New
LAST_NAME=User
USER_PWD="newUserPWord"
ORG_NAME=myorg  

לאחר מכן אפשר להשתמש בשיחה כדי להציג מידע על המשתמש:

curl -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/users/foo@bar.com

להקצות את המשתמש לתפקיד בתפקיד ארגון

כדי שמשתמש חדש יכול לבצע פעולה כלשהי, צריך להקצות לו תפקיד בארגון. שלך יכולים להקצות למשתמש תפקידים שונים, כולל: orgadmin, businessuser, opsadmin, user או תפקיד מותאם אישית שמוגדר ב של הארגון.

הקצאת משתמש לתפקיד בארגון מוסיפה אותו באופן אוטומטי של הארגון. להקצות משתמש לכמה ארגונים על ידי הקצאה של תפקיד בכל אחד מהם של הארגון.

כדי להקצות את המשתמש לתפקיד בארגון, משתמשים בפקודה הבאה:

curl -X POST -H "Content-Type:application/x-www-form-urlencoded" /
http://<ms_IP>:8080/v1/o/<org_name>/userroles/<role>/users?id=foo@bar.com /
-u <sysAdminEmail>:<passwd> 

בשיחה הזו מוצגים כל התפקידים שהוקצו למשתמש. אם אתם רוצים להוסיף את המשתמש, להציג רק את התפקיד החדש, משתמשים בקריאה הבאה:

curl -X POST -H "Content-Type: application/xml" /
http://<ms_IP>:8080/v1/o/<org_name>/users/foo@bar.com/userroles /
-d '<Roles><Role name="role"/></Roles>' /
-u <sysAdminEmail>:<passwd>

כדי לראות את התפקידים של המשתמשים, משתמשים בפקודה הבאה:

curl -u <sysAdminEmail>:<passwd> /
http://<ms_IP>:8080/v1/users/foo@bar.com/userroles

כדי להסיר משתמש מארגון, צריך להסיר מהמשתמש את כל התפקידים בארגון. כדי להסיר תפקיד ממשתמש, משתמשים בפקודה הבאה:

curl -X DELETE -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/o/<org_name>/userroles/<role>/users/foo@bar.com

הוספת מנהל מערכת

אדמינים יכולים:

  • יצירת ארגונים
  • הוספת נתבים, מעבדי הודעות ורכיבים אחרים להתקנת Edge
  • הגדרת TLS/SSL
  • יצירת אדמינים נוספים
  • ביצוע כל משימות הניהול של Edge

רק משתמש אחד הוא משתמש ברירת המחדל למשימות ניהול, אבל יכולות להיות מנהל מערכת אחד. לכל משתמש בתפקיד sysadmin יש הרשאות מלאות לכל המשתמשים במשאבי אנוש.

אפשר ליצור את המשתמש כאדמין באמצעות ממשק המשתמש של Edge או ה-API. אבל, לפעמים חייבים להשתמש ב-Edge API כדי להקצות למשתמש את התפקיד sysadmin. מקצה משתמש לא ניתן להשתמש בתפקיד sysadmin ב- לממשק המשתמש של Edge.

כדי להוסיף מנהל מערכת:

  1. יוצרים משתמש בממשק המשתמש או ב-API של Edge.
  2. הוספת המשתמש ל-sysadmin תפקיד:
    curl -u &lt;sysAdminEmail&gt;:&lt;passwd&gt; \
    -X POST http://<ms_IP>:8080/v1/userroles/sysadmin/users \
    -d 'id=foo@bar.com'
  3. יש לוודא שהמשתמש החדש נמצא בתפקיד מערכת ניהול:
    curl -u &lt;sysAdminEmail&gt;:&lt;passwd&gt; http://&lt;ms_IP&gt;:8080/v1/userroles/sysadmin/users

    הפונקציה מחזירה את כתובת האימייל של המשתמש:
    [ " foo@bar.com " ]
  4. בדיקת ההרשאות של המשתמש החדש:
    curl -u &lt;sysAdminEmail&gt;:&lt;passwd&gt; http://&lt;ms_IP&gt;:8080/v1/users/foo@bar.com/permissions

    החזרות:
    {
    הרשאת משאב : [ {
    'path' : "/",
    הרשאות : [ "get", "put", "מחיקה" ]
    } ]
    }
  5. אחרי שמוסיפים את מנהל המערכת החדש, אפשר להוסיף את המשתמש לכל הארגונים.
    הערה: המשתמש של האדמין החדש לא יוכל להתחבר לממשק המשתמש של Edge עד להוסיף את המשתמש לארגון אחד לפחות.
  6. אם רוצים להסיר את המשתמש מתפקיד אדמין בשלב מאוחר יותר, אפשר להשתמש ממשק ה-API הבא:
    Curl -X DELETE -u &lt;sysadminEmail:pword&gt;
    http://&lt;ms_IP&gt;:8080/v1/userroles/sysadmin/users/foo@bar.com


    הערה: הקריאה הזו מסירה את המשתמש רק מהתפקיד, ולא מוחקת את המשתמש.

שינוי של מנהל המערכת שמוגדר כברירת מחדל משתמש

כשאתם מתקינים את Edge, אתם צריכים לציין את כתובת האימייל של מנהל המערכת. קצה יוצר משתמש עם כתובת האימייל הזו ומגדיר את המשתמש הזה כמערכת ברירת המחדל מנהל מערכת. בהמשך תוכלו להוסיף עוד מנהלי מערכת, כפי שמתואר למעלה.

הקטע הזה מתאר איך לשנות את מנהל המערכת המוגדר כברירת מחדל למשתמש אחר, ואיך לשנות את כתובת האימייל של חשבון המשתמש עבור מערכת ברירת המחדל הנוכחית מנהל מערכת.

כדי להציג את רשימת המשתמשים שמוגדרים כרגע כמנהלי מערכת, צריך להשתמש בממשק ה-API הבא call:

curl -u sysAdminEmail:passwd http://<ms_IP>:8080/v1/userroles/sysadmin/users

כדי לקבוע מיהו מנהל המערכת הנוכחי שמוגדר כברירת מחדל, צריך להיכנס לקובץ /opt/apigee/customer/defaults.sh. קובץ מכיל את השורה הבאה שמציגה את כתובת האימייל של מערכת ברירת המחדל הנוכחית אדמין:

ADMIN_EMAIL=foo@bar.com

כדי לשנות את מנהל המערכת שמוגדר כברירת מחדל למשתמש אחר:

  1. צור מנהל מערכת חדש כפי שמתואר למעלה, או ודא שחשבון המשתמש של מנהל המערכת החדש כבר מוגדר כמנהל מערכת.
  2. עורכים את /opt/apigee/customer/defaults.sh כדי להגדיר את ADMIN_EMAIL לערך את כתובת האימייל של מנהל המערכת החדש.
  3. עורכים את קובץ התצורה השקט שבו השתמשתם כדי להתקין את ממשק המשתמש של Edge כדי להגדיר את ההגדרות הבאות נכסים:
    ADMIN_EMAIL=emailAddressOfNewSysAdmin
    APIGEE_ADMINPW=pwOfNewSysAdmin

    SMTPHOST=smtp.gmail.com
    SMTPPORT=465
    SMTPUSER=foo@gmail.com
    SMTPPASSWORD=bar
    SMTPSSL=y
    שימו לב שצריך לכלול את מאפייני ה-SMTP כי כל המאפיינים בממשק המשתמש לאתחל.
  4. הגדרה מחדש של ממשק המשתמש של Edge:
    &gt; /opt/apigee/apigee-service/bin/apigee-service עצירת קצה של ממשק המשתמש
    &gt; /opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
    &gt; /opt/apigee/apigee-service/bin/apigee-service edge-ui start

אם רוצים רק לשנות את כתובת האימייל של חשבון המשתמש לכתובת ברירת המחדל הנוכחית מנהל מערכת, תחילה מעדכנים את חשבון המשתמש כדי להגדיר את כתובת האימייל החדשה, ואז משנים כתובת האימייל של מנהל המערכת המוגדרת כברירת מחדל:

  1. עדכון חשבון המשתמש של משתמש ברירת המחדל הנוכחי של מנהל המערכת בכתובת אימייל חדשה כתובת:
    &gt; curl -H content-type:application/json -X PUT /
    -u currentSysAdminEmail:passwd /
    http://<ms_IP>:8080/v1/users/currentSysAdminEmail /
    -d &#39;{&quot;emailId&quot;: &quot;newSysAdminEmail&quot;, &quot;lastName&quot;: &quot;admin&quot;, &quot;firstName&quot;: "admin"}'
  2. חוזרים על שלבים 2, 3 ו-4 מהתהליך הקודם כדי לעדכן את הקובץ /opt/apigee/customer/defaults.sh. ולעדכן את ממשק המשתמש של Edge.

ציון הדומיין של אימייל של מערכת אדמין

כאמצעי אבטחה נוסף, אפשר לציין את דומיין האימייל הנדרש במערכת Edge. מנהל מערכת. כשמוסיפים מנהל מערכת, אם כתובת האימייל של המשתמש לא הדומיין שצוין, הוספת המשתמש לתפקיד sysadmin תיכשל.

כברירת מחדל, הדומיין הנדרש ריק. כלומר, אפשר להוסיף כל כתובת אימייל sysadmin.

כדי להגדיר את הדומיין של האימייל:

  1. פותחים בכלי עריכה management-server.properties:
    6 /opt/apigee/customer/application/management-server.properties

    אם הקובץ הזה לא קיים, יוצרים אותו.
  2. מגדירים את conf_security_rbac.global.roles.allowed.domains לרשימה המופרדת בפסיקים של דומיינים מורשים. לדוגמה:
    conf_security_rbac.global.roles.allowed.domains=myCo.com,yourCo.com
  3. שומרים את השינויים.
  4. צריך להפעיל מחדש את שרת ניהול הקצה:
    /opt/apigee/apigee-service/bin/apigee-service הפעלה מחדש של שרת ניהול הקצה

    אם מנסים להוסיף משתמש לתפקיד ה-sysadmin, וכתובת האימייל של המשתמש לא באחד מהדומיינים שצוינו, ההוספה נכשלת.

מחיקת משתמש

אפשר ליצור משתמשים באמצעות ה-API של Edge או באמצעות ממשק המשתמש של Edge. אבל אפשר רק מוחקים משתמש באמצעות ה-API.

כדי לראות את הרשימה של המשתמשים הנוכחיים, כולל כתובות האימייל שלהם, צריך להשתמש בפקודת cURL הבאה:

curl -u <sysAdminEmail>:<passwd> http://<ms-IP>:8080/v1/users

משתמשים בפקודת cURL הבאה כדי למחוק משתמש:

curl -u <sysAdminEmail>:<passwd> -X DELETE http://<ms-IP>:8080/v1/users/<userEmail>