การจัดการผู้ใช้ บทบาท และสิทธิ์

Edge for Private Cloud v4.18.01

เว็บไซต์เอกสารประกอบของ Apigee มีข้อมูลเพิ่มเติมเกี่ยวกับการจัดการบทบาทของผู้ใช้และ สิทธิ์ ผู้ใช้สามารถจัดการผู้ใช้ได้โดยใช้ทั้ง Edge UI และ Management API บทบาทและ จะจัดการได้ด้วย Management API เท่านั้น

สำหรับข้อมูลเกี่ยวกับผู้ใช้และการสร้างผู้ใช้ โปรดดูที่

การดำเนินการหลายอย่างที่คุณดำเนินการเพื่อจัดการผู้ใช้จำเป็นต้องใช้ผู้ดูแลระบบ สิทธิ์ สำหรับการติดตั้ง Edge ในระบบคลาวด์ Apigee จะทำหน้าที่ในบทบาทของระบบ ผู้ดูแลระบบ ใน Edge สำหรับการติดตั้ง Private Cloud ผู้ดูแลระบบจะต้อง ดำเนินการเหล่านี้ได้ตามที่อธิบายไว้ด้านล่าง

การเพิ่มผู้ใช้

คุณสร้างผู้ใช้ได้โดยใช้ Edge API, คำสั่ง Edge UI หรือ Edge ช่วงเวลานี้ ส่วนอธิบายวิธีใช้ Edge API และคำสั่ง Edge สำหรับข้อมูลเกี่ยวกับการสร้างผู้ใช้ใน Edge UI โปรดดูการสร้าง ผู้ใช้ทั่วโลก

หลังจากสร้างผู้ใช้ในองค์กรแล้ว คุณต้องมอบหมายบทบาทให้กับผู้ใช้ บทบาท กำหนดสิทธิ์การเข้าถึงของผู้ใช้ใน Edge

ใช้คำสั่งต่อไปนี้เพื่อสร้างผู้ใช้ด้วย Edge API

curl -H "Content-Type:application/xml" -u <sysAdminEmail>:<passwd> \
-X POST http://<ms_IP>:8080/v1/users \
-d '<User> \
   <FirstName>New</FirstName> \
   <LastName>User</LastName> \
   <Password>newUserPWord</Password> \
   <EmailId>foo@bar.com</EmailId> \
</User>'

หรือใช้คำสั่ง Edge ต่อไปนี้เพื่อสร้างผู้ใช้

> /opt/apigee/apigee-service/bin/apigee-service apigee-provision create-user -f configFile

โดยที่ configFile มีข้อมูลที่จำเป็นต่อการสร้าง ผู้ใช้:

APIGEE_ADMINPW=sysAdminPW    # If omitted, you will be prompted.
USER_NAME=foo@bar.com
FIRST_NAME=New
LAST_NAME=User
USER_PWD="newUserPWord"
ORG_NAME=myorg  

จากนั้นคุณจะใช้การโทรนี้เพื่อดูข้อมูลเกี่ยวกับผู้ใช้ได้โดยทำดังนี้

curl -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/users/foo@bar.com

การมอบหมายบทบาทให้กับผู้ใช้ใน องค์กร

ก่อนที่ผู้ใช้ใหม่จะดำเนินการใดๆ ได้ ผู้ใช้จะต้องได้รับมอบหมายบทบาทในองค์กร คุณ มอบหมายบทบาทต่างๆ ให้กับผู้ใช้ ซึ่งได้แก่ orgadmin, businessuser, opsadmin, user หรือบทบาทที่กำหนดเองที่ระบุไว้ในส่วน องค์กร

การมอบหมายบทบาทในองค์กรให้กับผู้ใช้จะเป็นการเพิ่มผู้ใช้รายนั้นลงในส่วน องค์กร มอบหมายผู้ใช้ให้กับหลายองค์กรโดยการมอบหมายบทบาทใน องค์กร

ใช้คำสั่งต่อไปนี้เพื่อมอบหมายบทบาทในองค์กรให้กับผู้ใช้

curl -X POST -H "Content-Type:application/x-www-form-urlencoded" /
http://<ms_IP>:8080/v1/o/<org_name>/userroles/<role>/users?id=foo@bar.com /
-u <sysAdminEmail>:<passwd> 

การเรียกนี้จะแสดงบทบาททั้งหมดที่มอบหมายให้กับผู้ใช้ หากคุณต้องการเพิ่มผู้ใช้ แต่ แสดงเฉพาะบทบาทใหม่ ใช้การเรียกต่อไปนี้:

curl -X POST -H "Content-Type: application/xml" /
http://<ms_IP>:8080/v1/o/<org_name>/users/foo@bar.com/userroles /
-d '<Roles><Role name="role"/></Roles>' /
-u <sysAdminEmail>:<passwd>

คุณจะดูบทบาทของผู้ใช้ได้โดยใช้คำสั่งต่อไปนี้

curl -u <sysAdminEmail>:<passwd> /
http://<ms_IP>:8080/v1/users/foo@bar.com/userroles

หากต้องการนำผู้ใช้ออกจากองค์กร ให้นำบทบาททั้งหมดในองค์กรนั้นออกจากผู้ใช้ ใช้คำสั่งต่อไปนี้เพื่อนำบทบาทออกจากผู้ใช้

curl -X DELETE -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/o/<org_name>/userroles/<role>/users/foo@bar.com

การเพิ่มผู้ดูแลระบบ

ผู้ดูแลระบบสามารถทำสิ่งต่อไปนี้

  • สร้างองค์กร
  • เพิ่มเราเตอร์, Message Processor และคอมโพเนนต์อื่นๆ ในการติดตั้ง Edge
  • กำหนดค่า TLS/SSL
  • สร้างผู้ดูแลระบบเพิ่มเติม
  • ทำงานการดูแลระบบ Edge ทั้งหมด

แม้ว่าจะมีผู้ใช้เพียงคนเดียวเท่านั้นที่เป็นผู้ใช้เริ่มต้นสำหรับงานดูแลระบบ แต่อาจมีมากกว่า ผู้ดูแลระบบ 1 คน ผู้ใช้ที่เป็นสมาชิกของบทบาทsysadminจะมีสิทธิ์ทั้งหมด ที่ไม่ซับซ้อน

คุณสร้างผู้ใช้สำหรับผู้ดูแลระบบได้ใน Edge UI หรือ API อย่างไรก็ตาม คุณต้องใช้ Edge API เพื่อมอบหมายบทบาท sysadmin ให้กับผู้ใช้ มอบหมายผู้ใช้ให้กับ ไม่สามารถมีบทบาทsysadminใน Edge UI

ในการเพิ่มผู้ดูแลระบบ ให้ทำดังนี้

  1. สร้างผู้ใช้ใน Edge UI หรือ API
  2. เพิ่มผู้ใช้ใน sysadmin บทบาท:
    curl -u &lt;sysAdminEmail&gt;:&lt;passwd&gt; \
    -X POST http://<ms_IP>:8080/v1/userroles/sysadmin/users \
    -d 'id=foo@bar.com'
  3. ตรวจสอบว่าผู้ใช้ใหม่อยู่ในบทบาทผู้ดูแลระบบ:
    curl -u &lt;sysAdminEmail&gt;:&lt;passwd&gt; http://&lt;ms_IP&gt;:8080/v1/userroles/sysadmin/users

    แสดงอีเมลของผู้ใช้:
    [ " foo@bar.com " ]
  4. ตรวจสอบสิทธิ์ของผู้ใช้ใหม่:
    curl -u &lt;sysAdminEmail&gt;:&lt;passwd&gt; http://&lt;ms_IP&gt;:8080/v1/users/foo@bar.com/permissions

    การคืนสินค้า:
    {
    "resourceRight" : [ {
    "เส้นทาง" : "/",
    "สิทธิ์" : [ "get", "put", "delete" ]
    } ]
    }
  5. หลังจากเพิ่มผู้ดูแลระบบคนใหม่แล้ว คุณสามารถเพิ่มผู้ใช้ลงในองค์กรใดก็ได้
    หมายเหตุ: ผู้ใช้ที่เป็นผู้ดูแลระบบคนใหม่จะเข้าสู่ระบบ Edge UI ไม่ได้จนกว่าคุณจะ เพิ่มผู้ใช้ไปยังองค์กรอย่างน้อย 1 แห่ง
  6. หากคุณต้องการนำผู้ใช้ออกจากบทบาทผู้ดูแลระบบระบบในภายหลัง คุณสามารถใช้ API ต่อไปนี้:
    curl -X ลบ -u &lt;sysadminEmail:pword&gt;
    http://&lt;ms_IP&gt;:8080/v1/userroles/sysadmin/users/foo@bar.com


    โปรดทราบว่าการโทรนี้จะนำผู้ใช้ออกจากบทบาทเท่านั้น ไม่ได้ลบผู้ใช้

การเปลี่ยนผู้ดูแลระบบเริ่มต้น ผู้ใช้

เมื่อคุณติดตั้ง Edge คุณต้องระบุอีเมลของผู้ดูแลระบบ ขอบ สร้างผู้ใช้ที่มีอีเมลนั้นและตั้งค่าให้ผู้ใช้รายนั้นเป็นระบบเริ่มต้น ผู้ดูแลระบบ คุณสามารถเพิ่มผู้ดูแลระบบอื่นได้ในภายหลังดังที่อธิบายไว้ข้างต้น

หัวข้อนี้จะอธิบายวิธีเปลี่ยนผู้ดูแลระบบเริ่มต้นเป็นผู้ใช้รายอื่น และวิธีเปลี่ยนที่อยู่อีเมลของบัญชีผู้ใช้สำหรับระบบเริ่มต้นปัจจุบัน ผู้ดูแลระบบ

หากต้องการดูรายชื่อผู้ใช้ที่กำหนดค่าเป็นผู้ดูแลระบบในปัจจุบัน ให้ใช้ API ต่อไปนี้ โทร:

curl -u sysAdminEmail:passwd http://<ms_IP>:8080/v1/userroles/sysadmin/users

หากต้องการหาผู้ดูแลระบบเริ่มต้นคนปัจจุบัน ให้ดูไฟล์ /opt/apigee/customer/defaults.sh มีบรรทัดต่อไปนี้ซึ่งแสดงอีเมลของระบบเริ่มต้นปัจจุบัน ผู้ดูแลระบบ:

ADMIN_EMAIL=foo@bar.com

วิธีเปลี่ยนผู้ดูแลระบบเริ่มต้นเป็นผู้ใช้รายอื่น

  1. สร้างผู้ดูแลระบบใหม่ตามที่อธิบายไว้ข้างต้น หรือตรวจสอบว่าบัญชีผู้ใช้ของ กำหนดค่าผู้ดูแลระบบใหม่เป็นผู้ดูแลระบบแล้ว
  2. แก้ไข /opt/apigee/customer/defaults.sh เป็น ตั้งค่า ADMIN_EMAIL เป็น ผู้ดูแลระบบคนใหม่
  3. แก้ไขไฟล์การกำหนดค่าแบบเงียบที่คุณใช้ติดตั้ง Edge UI เพื่อตั้งค่าต่อไปนี้ พร็อพเพอร์ตี้:
    ADMIN_EMAIL=emailAddressOfNewSysAdmin
    APIGEE_ADMINPW=pwOfNewSysAdmin

    SMTPHOST=smtp.gmail.com
    SMTPPORT=465
    SMTPUSER=foo@gmail.com
    SMTPPASSWORD=bar
    SMTPSSL=y
    โปรดทราบว่าคุณต้องรวมพร็อพเพอร์ตี้ SMTP เนื่องจากพร็อพเพอร์ตี้ทั้งหมดใน UI รีเซ็ต
  4. กำหนดค่า Edge UI ใหม่ดังนี้
    &gt; /opt/apigee/apigee-service/bin/apigee-service การหยุด EDGE-UI
    /opt/apigee/apigee-service/bin/apigee-service EDGE-ui การตั้งค่า -f configFile
    /opt/apigee/apigee-service/bin/apigee-service Edge-UI อีกด้วย

หากคุณเพียงต้องการเปลี่ยนที่อยู่อีเมลของบัญชีผู้ใช้สำหรับค่าเริ่มต้นปัจจุบัน ผู้ดูแลระบบ คุณต้องอัปเดตบัญชีผู้ใช้เพื่อตั้งค่าที่อยู่อีเมลใหม่ก่อน จากนั้นจึงเปลี่ยน ที่อยู่อีเมลเริ่มต้นของผู้ดูแลระบบ:

  1. อัปเดตบัญชีผู้ใช้ของผู้ใช้ของผู้ดูแลระบบเริ่มต้นรายปัจจุบันด้วยอีเมลใหม่ ที่อยู่:
    &gt; ขดลวด -H content-type:application/json -X PUT /
    -u currentSysAdminEmail:passwd /
    http://<ms_IP>:8080/v1/users/currentSysAdminEmail /
    -d &#39;{&quot;emailId&quot;: &quot;newSysAdminEmail&quot;, &quot;lastName&quot;: &quot;admin&quot;, &quot;firstName&quot;: "ผู้ดูแลระบบ"}"
  2. ทำซ้ำขั้นตอนที่ 2, 3. และ 4 จากขั้นตอนก่อนหน้าเพื่ออัปเดตไฟล์ /opt/apigee/customer/defaults.sh และอัปเดต Edge UI

การระบุโดเมนอีเมลของระบบ ผู้ดูแลระบบ

คุณสามารถระบุโดเมนอีเมลที่ต้องการของระบบ Edge ได้เพื่อเพิ่มระดับการรักษาความปลอดภัย ผู้ดูแลระบบ เมื่อเพิ่มผู้ดูแลระบบ หากอีเมลของผู้ใช้ไม่ได้อยู่ใน โดเมนที่ระบุ จากนั้นเพิ่มผู้ใช้ไปยังบทบาท sysadmin ไม่สำเร็จ

โดเมนที่จำเป็นจะว่างเปล่าโดยค่าเริ่มต้น ซึ่งหมายความว่าคุณสามารถเพิ่มอีเมลใดๆ ลงใน sysadmin

วิธีตั้งค่าโดเมนอีเมล

  1. เปิดใน management-server.properties ของตัวแก้ไข:
    วิดีโอ /opt/apigee/customer/application/management-server.properties

    หากไม่มี ให้สร้างไฟล์นี้
  2. ตั้งค่า conf_security_rbac.global.roles.allowed.domains ลงในรายการโดเมนที่อนุญาตซึ่งคั่นด้วยคอมมา ตัวอย่างเช่น
    conf_security_rbac.global.roles.allowed.domains=myCo.com,yourCo.com
  3. บันทึกการเปลี่ยนแปลง
  4. รีสตาร์ท Edge Management Server ดังนี้
    /opt/apigee/apigee-service/bin/apigee-service รีสตาร์ทเซิร์ฟเวอร์การจัดการ Edge

    ถ้าคุณพยายามเพิ่มผู้ใช้ไปยังบทบาทผู้ดูแลระบบ และอีเมลของผู้ใช้ไม่ใช่ หนึ่งในโดเมนที่ระบุ การเพิ่มล้มเหลว

การลบผู้ใช้

คุณสร้างผู้ใช้ได้โดยใช้ Edge API หรือ Edge UI อย่างไรก็ตาม คุณสามารถ ลบผู้ใช้โดยใช้ API

หากต้องการดูรายชื่อผู้ใช้ปัจจุบันรวมถึงที่อยู่อีเมล ให้ใช้คำสั่ง cURL ต่อไปนี้

curl -u <sysAdminEmail>:<passwd> http://<ms-IP>:8080/v1/users

ใช้คำสั่ง cURL ต่อไปนี้เพื่อลบผู้ใช้

curl -u <sysAdminEmail>:<passwd> -X DELETE http://<ms-IP>:8080/v1/users/<userEmail>