Edge untuk Private Cloud v4.18.01
Situs dokumentasi Apigee memiliki banyak informasi tentang pengelolaan peran dan izin pengguna. Pengguna dapat dikelola menggunakan UI Edge dan Management API; peran dan izin hanya dapat dikelola dengan Management API.
Untuk informasi tentang pengguna dan cara membuat pengguna, lihat:
Banyak operasi yang Anda lakukan untuk mengelola pengguna membutuhkan hak istimewa administrator sistem. Dalam penginstalan Edge berbasis Cloud, Apigee berfungsi sebagai administrator sistem. Di Edge untuk penginstalan Private Cloud, administrator sistem Anda harus melakukan tugas berikut seperti yang dijelaskan di bawah.
Menambahkan pengguna
Anda dapat membuat pengguna dengan menggunakan Edge API, UI Edge, atau perintah Edge. Bagian ini menjelaskan cara menggunakan perintah Edge API dan Edge. Untuk informasi tentang cara membuat pengguna di UI Edge, lihat Membuat pengguna global.
Setelah membuat pengguna di organisasi, Anda harus menetapkan peran kepada pengguna tersebut. Peran menentukan hak akses pengguna di Edge.
Gunakan perintah berikut untuk membuat pengguna dengan Edge API:
curl -H "Content-Type:application/xml" -u <sysAdminEmail>:<passwd> \ -X POST http://<ms_IP>:8080/v1/users \ -d '<User> \ <FirstName>New</FirstName> \ <LastName>User</LastName> \ <Password>newUserPWord</Password> \ <EmailId>foo@bar.com</EmailId> \ </User>'
Atau gunakan perintah Edge berikut untuk membuat pengguna:
> /opt/apigee/apigee-service/bin/apigee-service apigee-provision create-user -f configFile
Jika configFile berisi informasi yang diperlukan untuk membuat pengguna:
APIGEE_ADMINPW=sysAdminPW # If omitted, you will be prompted. USER_NAME=foo@bar.com FIRST_NAME=New LAST_NAME=User USER_PWD="newUserPWord" ORG_NAME=myorg
Anda kemudian dapat menggunakan panggilan ini untuk melihat informasi tentang pengguna:
curl -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/users/foo@bar.com
Menetapkan pengguna ke peran di organisasi
Sebelum pengguna baru dapat melakukan apa pun, dia harus diberi peran dalam organisasi. Anda dapat menetapkan pengguna ke peran yang berbeda, termasuk: orgadmin, businessuser, opsadmin, user, atau peran khusus yang ditetapkan di organisasi.
Menetapkan pengguna ke peran di organisasi akan otomatis menambahkan pengguna tersebut ke organisasi. Menetapkan pengguna ke beberapa organisasi dengan menetapkan perannya di setiap organisasi.
Gunakan perintah berikut untuk menetapkan pengguna ke peran di organisasi:
curl -X POST -H "Content-Type:application/x-www-form-urlencoded" / http://<ms_IP>:8080/v1/o/<org_name>/userroles/<role>/users?id=foo@bar.com / -u <sysAdminEmail>:<passwd>
Panggilan ini menampilkan semua peran yang ditetapkan kepada pengguna. Jika Anda ingin menambahkan pengguna, tetapi hanya menampilkan peran baru, gunakan panggilan berikut:
curl -X POST -H "Content-Type: application/xml" / http://<ms_IP>:8080/v1/o/<org_name>/users/foo@bar.com/userroles / -d '<Roles><Role name="role"/></Roles>' / -u <sysAdminEmail>:<passwd>
Anda dapat melihat peran pengguna menggunakan perintah berikut:
curl -u <sysAdminEmail>:<passwd> / http://<ms_IP>:8080/v1/users/foo@bar.com/userroles
Untuk menghapus pengguna dari organisasi, hapus semua peran di organisasi tersebut dari pengguna. Gunakan perintah berikut untuk menghapus peran dari pengguna:
curl -X DELETE -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/o/<org_name>/userroles/<role>/users/foo@bar.com
Menambahkan administrator sistem
Administrator sistem dapat:
- Buat organisasi
- Menambahkan Router, Pemroses Pesan, dan komponen lainnya ke penginstalan Edge
- Mengonfigurasi TLS/SSL
- Membuat administrator sistem tambahan
- Melakukan semua tugas administratif Edge
Meskipun hanya satu pengguna yang merupakan pengguna default untuk tugas administratif, kemungkinan ada lebih dari satu administrator sistem. Setiap pengguna yang merupakan anggota peran sysadmin memiliki izin penuh ke semua resource.
Anda dapat membuat pengguna untuk administrator sistem di API atau UI Edge. Namun, Anda harus menggunakan Edge API untuk menetapkan pengguna ke peran sysadmin. Penetapan pengguna ke peran sysadmin tidak dapat dilakukan di UI Edge.
Untuk menambahkan administrator sistem:
- Buat pengguna di API atau UI Edge.
- Tambahkan pengguna ke peran sysadmin:
curl -u <sysAdminEmail>:<passwd> \
-X POST http://<ms_IP>:8080/v1/userroles/sysadmin/users \
-d 'id=foo@bar.com' - Pastikan pengguna baru berada dalam peran sysadmin:
curl -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/userroles/sysadmin/users
Menampilkan alamat email pengguna:
[ " foo@bar.com " ] - Periksa izin pengguna baru:
curl -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/users/foo@bar.com/permissions
Returns:
{
"resourcePermission" : [ {
"path" : "/",
"permissions" : [ "get"]} - Setelah menambahkan administrator sistem baru, Anda dapat menambahkan pengguna ke organisasi apa pun.
Catatan: Pengguna administrator sistem baru tidak dapat login ke UI Edge hingga Anda menambahkan pengguna ke setidaknya satu organisasi. - Jika nantinya ingin menghapus pengguna dari peran administrator sistem, Anda dapat menggunakan
API berikut:
curl -X DELETE -u <sysadminEmail:pword>
http://<ms_IP>:8080/v1/userroles/sysadmin/users/foo@bar.com
Perhatikan bahwa panggilan ini hanya menghapus pengguna dari peran, tindakan ini tidak menghapus pengguna.
Mengubah pengguna administrator sistem default
Saat menginstal Edge, Anda menentukan alamat email administrator sistem. Edge membuat pengguna dengan alamat email tersebut, dan menetapkan pengguna tersebut sebagai administrator sistem default. Nantinya Anda dapat menambahkan administrator sistem tambahan seperti yang dijelaskan di atas.
Bagian ini menjelaskan cara mengubah administrator sistem default menjadi pengguna yang berbeda, dan cara mengubah alamat email akun pengguna untuk administrator sistem default saat ini.
Untuk melihat daftar pengguna yang saat ini dikonfigurasi sebagai administrator sistem, gunakan panggilan API berikut:
curl -u sysAdminEmail:passwd http://<ms_IP>:8080/v1/userroles/sysadmin/users
Untuk menentukan administrator sistem default saat ini, lihat file /opt/apigee/customer/defaults.sh. File ini berisi baris berikut yang menunjukkan alamat email administrator sistem default saat ini:
ADMIN_EMAIL=foo@bar.com
Untuk mengubah administrator sistem default menjadi pengguna lain:
- Buat administrator sistem baru seperti yang dijelaskan di atas, atau pastikan bahwa akun pengguna administrator sistem baru sudah dikonfigurasi sebagai administrator sistem.
- Edit /opt/apigee/customer/defaults.sh untuk menyetel ADMIN_EMAIL ke alamat email administrator sistem baru.
- Edit file konfigurasi senyap yang Anda gunakan untuk menginstal UI Edge untuk menetapkan properti
berikut:
ADMIN_EMAIL=emailAddressOfNewSysAdmin
APIGEE_ADMINPW=pwOfNewSysAdmin
SMTPHOST=smtp.gmail.com
SMTPPORT=465
SMTPUSER=foo@gmail.com
Anda: - Mengonfigurasi ulang UI Edge:
> /opt/apigee/apigee-service/bin/apigee-service edge-ui stop
> /opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
> /opt/apigee/apigee-service/bin/apigee-
Jika Anda hanya ingin mengubah alamat email akun pengguna untuk administrator sistem default saat ini, pertama-tama Anda harus memperbarui akun pengguna untuk menetapkan alamat email baru, lalu mengubah alamat email administrator sistem default:
- Perbarui akun pengguna pengguna administrator sistem default saat ini dengan alamat email baru:
> curl -H content-type:application/json -X PUT /
-u currentSysAdminEmail:passwd /
http://<ms_IP>:8080/v1/users/currentSysAdminEmail /
""""" - Ulangi langkah 2, 3. dan 4 dari prosedur sebelumnya untuk memperbarui file /opt/apigee/customer/defaults.sh dan untuk mengupdate UI Edge.
Menentukan domain email dari administrator sistem
Sebagai keamanan tambahan, Anda dapat menentukan domain email yang diperlukan milik administrator sistem Edge. Saat menambahkan administrator sistem, jika alamat email pengguna tidak berada di domain yang ditentukan, penambahan pengguna ke peran sysadmin akan gagal.
Secara default, domain yang diperlukan kosong, artinya Anda dapat menambahkan alamat email apa pun ke peran sysadmin.
Untuk menetapkan domain email:
- Buka di editor management-server.properties:
vi /opt/apigee/customer/application/management-server.properties
Jika file ini tidak ada, buat file. - Tetapkan properti conf_security_rbac.global.roles.allowed.domains
ke daftar domain yang diizinkan yang dipisahkan dengan koma. Misalnya:
conf_security_rbac.global.roles.allowed.domains=myCo.com,yourCo.com - Simpan perubahan.
- Mulai ulang Server Pengelolaan Edge:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
Jika sekarang Anda mencoba menambahkan pengguna ke peran sysadmin, dan alamat email pengguna tersebut tidak berada dalam salah satu domain yang ditentukan, penambahan tersebut akan gagal.
Menghapus pengguna
Anda dapat membuat pengguna menggunakan Edge API atau UI Edge. Namun, Anda hanya dapat menghapus pengguna menggunakan API.
Untuk melihat daftar pengguna saat ini, termasuk alamat email, gunakan perintah cURL berikut:
curl -u <sysAdminEmail>:<passwd> http://<ms-IP>:8080/v1/users
Gunakan perintah cURL berikut untuk menghapus pengguna:
curl -u <sysAdminEmail>:<passwd> -X DELETE http://<ms-IP>:8080/v1/users/<userEmail>