การจัดการผู้ใช้ บทบาท และสิทธิ์

Edge สำหรับ Private Cloud เวอร์ชัน 4.18.01

เว็บไซต์เอกสารของ Apigee มีข้อมูลโดยละเอียดเกี่ยวกับการจัดการบทบาทและสิทธิ์ของผู้ใช้ คุณจัดการผู้ใช้ได้โดยใช้ทั้ง Edge UI และ Management API โดยบทบาทและสิทธิ์จะจัดการได้ด้วย Management API เท่านั้น

สำหรับข้อมูลเกี่ยวกับผู้ใช้และการสร้างผู้ใช้ โปรดดูที่

การดำเนินการหลายอย่างที่คุณทำเพื่อจัดการผู้ใช้ต้องใช้สิทธิ์ของผู้ดูแลระบบ Apigee ในการติดตั้ง Cloud บน Cloud นั้น Apigee ในบทบาทของผู้ดูแลระบบ ในการติดตั้ง Edge สำหรับ Private Cloud ผู้ดูแลระบบต้องทำงานเหล่านี้ตามที่อธิบายไว้ด้านล่าง

การเพิ่มผู้ใช้

คุณจะสร้างผู้ใช้ได้โดยใช้คำสั่ง Edge API, Edge UI หรือ Edge หัวข้อนี้จะอธิบายวิธีใช้คำสั่ง Edge API และ Edge ดูข้อมูลเกี่ยวกับการสร้างผู้ใช้ใน Edge UI ได้ที่การสร้างผู้ใช้ส่วนกลาง

หลังจากสร้างผู้ใช้ในองค์กรแล้ว คุณต้องมอบหมายบทบาทให้กับผู้ใช้ บทบาทจะกำหนดสิทธิ์การเข้าถึงของผู้ใช้ใน Edge

ใช้คำสั่งต่อไปนี้เพื่อสร้างผู้ใช้ด้วย Edge API

curl -H "Content-Type:application/xml" -u <sysAdminEmail>:<passwd> \
-X POST http://<ms_IP>:8080/v1/users \
-d '<User> \
   <FirstName>New</FirstName> \
   <LastName>User</LastName> \
   <Password>newUserPWord</Password> \
   <EmailId>foo@bar.com</EmailId> \
</User>'

หรือใช้คำสั่ง Edge ต่อไปนี้เพื่อสร้างผู้ใช้

> /opt/apigee/apigee-service/bin/apigee-service apigee-provision create-user -f configFile

ตำแหน่งที่ configFile มีข้อมูลที่จำเป็นในการสร้างผู้ใช้

APIGEE_ADMINPW=sysAdminPW    # If omitted, you will be prompted.
USER_NAME=foo@bar.com
FIRST_NAME=New
LAST_NAME=User
USER_PWD="newUserPWord"
ORG_NAME=myorg  

จากนั้นคุณสามารถใช้การโทรนี้เพื่อดูข้อมูลเกี่ยวกับผู้ใช้ได้โดยทำดังนี้

curl -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/users/foo@bar.com

การมอบหมายบทบาทในองค์กรให้แก่ผู้ใช้

ผู้ใช้ต้องได้รับมอบหมายบทบาทในองค์กรก่อน จึงจะดำเนินการใดๆ ได้ คุณมอบหมายบทบาทต่างๆ ให้กับผู้ใช้ได้ เช่น orgadmin, businessuser, opsadmin, user หรือบทบาทที่กำหนดเองที่กำหนดในองค์กร

การมอบหมายบทบาทในองค์กรให้กับผู้ใช้จะเพิ่มผู้ใช้รายนั้นไปยังองค์กรโดยอัตโนมัติ มอบหมายผู้ใช้ให้กับหลายองค์กรโดยการมอบหมายบทบาทในแต่ละองค์กร

ใช้คำสั่งต่อไปนี้เพื่อมอบหมายบทบาทในองค์กรให้แก่ผู้ใช้

curl -X POST -H "Content-Type:application/x-www-form-urlencoded" /
http://<ms_IP>:8080/v1/o/<org_name>/userroles/<role>/users?id=foo@bar.com /
-u <sysAdminEmail>:<passwd> 

การโทรนี้จะแสดงบทบาททั้งหมดที่มอบหมายให้กับผู้ใช้ หากคุณต้องการเพิ่มผู้ใช้ แต่แสดงเฉพาะบทบาทใหม่ ให้ใช้การเรียกต่อไปนี้

curl -X POST -H "Content-Type: application/xml" /
http://<ms_IP>:8080/v1/o/<org_name>/users/foo@bar.com/userroles /
-d '<Roles><Role name="role"/></Roles>' /
-u <sysAdminEmail>:<passwd>

คุณสามารถดูบทบาทของผู้ใช้โดยใช้คำสั่งต่อไปนี้

curl -u <sysAdminEmail>:<passwd> /
http://<ms_IP>:8080/v1/users/foo@bar.com/userroles

หากต้องการนำผู้ใช้ออกจากองค์กร ให้นำบทบาททั้งหมดในองค์กรนั้นออกจากผู้ใช้ ใช้คำสั่งต่อไปนี้เพื่อนำบทบาทออกจากผู้ใช้

curl -X DELETE -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/o/<org_name>/userroles/<role>/users/foo@bar.com

การเพิ่มผู้ดูแลระบบ

ผู้ดูแลระบบสามารถทำสิ่งต่อไปนี้

  • สร้างองค์กร
  • เพิ่มเราเตอร์ ตัวประมวลผลข้อความ และคอมโพเนนต์อื่นๆ ลงในการติดตั้ง Edge
  • กำหนดค่า TLS/SSL
  • สร้างผู้ดูแลระบบเพิ่มเติม
  • ทำงานดูแลระบบ Edge ทั้งหมด

งานการดูแลระบบจะมีผู้ใช้เริ่มต้นได้เพียงคนเดียว แต่ก็อาจมีผู้ดูแลระบบได้มากกว่า 1 คน ผู้ใช้ที่เป็นสมาชิกของบทบาทผู้ดูแลระบบจะมีสิทธิ์โดยสมบูรณ์ในทรัพยากรทั้งหมด

คุณสร้างผู้ใช้สำหรับผู้ดูแลระบบได้ใน Edge UI หรือ API แต่คุณจะต้องใช้ Edge API เพื่อมอบหมายบทบาทผู้ดูแลระบบให้กับผู้ใช้ กำหนดบทบาท sysadmin ให้กับผู้ใช้ใน UI ของ Edge ไม่ได้

ในการเพิ่มผู้ดูแลระบบ ให้ทำดังนี้

  1. สร้างผู้ใช้ใน Edge UI หรือ API
  2. เพิ่มผู้ใช้ใน sysadmin บทบาท:
    curl -u <sysAdminEmail>:<passwd> \
    -X POST http://<ms_IP>:8080/v1/userroles/sysadmin/users \
    -d 'id=foo@bar.com'
  3. โปรดตรวจสอบว่าผู้ใช้ใหม่อยู่ในบทบาท sysadmin:
    curl -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/userroles/sysadmin/users

    แสดงผลอีเมลของผู้ใช้:
    [ " foo@bar.com " ]
  4. ตรวจสอบสิทธิ์ของผู้ใช้ใหม่:
    curl -u <sysAdminEmail>:<passwd> http://<ms_IP>:8080/v1/users/foo@bar.com/permissions

    การส่งคืน:
    {
    "resourcePermission" : [ {
    "path" : "get/",
    "putpermissions" }, "get/",
    "put" }
  5. หลังจากเพิ่มผู้ดูแลระบบคนใหม่แล้ว คุณจะเพิ่มผู้ใช้รายดังกล่าวในองค์กรใดก็ได้
    หมายเหตุ: ผู้ดูแลระบบคนใหม่จะเข้าสู่ระบบ Edge UI ไม่ได้จนกว่าคุณจะเพิ่มผู้ใช้ดังกล่าวไปยังองค์กรอย่างน้อย 1 แห่ง
  6. หากต้องการนําผู้ใช้ออกจากบทบาทผู้ดูแลระบบระบบในภายหลัง ให้ใช้ API ต่อไปนี้
    curl -X DELETE -u <sysadminEmail:pword>
    http://<ms_IP>:8080/v1/userroles/sysadmin/users/foo@bar.com


    โปรดทราบว่าการโทรนี้จะไม่ได้เป็นการลบผู้ใช้ออกจากบทบาทเท่านั้น

การเปลี่ยนผู้ใช้ที่เป็นผู้ดูแลระบบเริ่มต้น

ในขณะที่ติดตั้ง Edge คุณจะต้องระบุอีเมลของผู้ดูแลระบบ Edge จะสร้างผู้ใช้ด้วยอีเมลดังกล่าวและตั้งผู้ใช้รายนั้นเป็นผู้ดูแลระบบเริ่มต้น คุณสามารถเพิ่มผู้ดูแลระบบเพิ่มเติมได้ในภายหลัง ตามที่อธิบายข้างต้น

หัวข้อนี้จะอธิบายวิธีเปลี่ยนผู้ดูแลระบบเริ่มต้นเป็นผู้ใช้รายอื่น และวิธีเปลี่ยนอีเมลของบัญชีผู้ใช้สำหรับผู้ดูแลระบบเริ่มต้นคนปัจจุบัน

หากต้องการดูรายชื่อผู้ใช้ที่กำหนดค่าเป็นผู้ดูแลระบบในปัจจุบัน ให้ใช้การเรียก API ต่อไปนี้

curl -u sysAdminEmail:passwd http://<ms_IP>:8080/v1/userroles/sysadmin/users

หากต้องการกำหนดผู้ดูแลระบบเริ่มต้นในปัจจุบัน โปรดดูไฟล์ /opt/apigee/customer/defaults.sh ไฟล์มีบรรทัดต่อไปนี้ซึ่งแสดงอีเมลของผู้ดูแลระบบเริ่มต้นคนปัจจุบัน

ADMIN_EMAIL=foo@bar.com

วิธีเปลี่ยนผู้ดูแลระบบเริ่มต้นเป็นผู้ใช้รายอื่น

  1. สร้างผู้ดูแลระบบใหม่ตามที่อธิบายไว้ข้างต้น หรือตรวจสอบว่ามีการกำหนดค่าบัญชีผู้ใช้ของผู้ดูแลระบบรายใหม่เป็นผู้ดูแลระบบแล้ว
  2. แก้ไข /opt/apigee/customer/defaults.sh เพื่อตั้งค่า ADMIN_EMAIL เป็นที่อยู่อีเมลของผู้ดูแลระบบคนใหม่
  3. แก้ไขไฟล์การกำหนดค่าแบบปิดเสียงที่คุณใช้ติดตั้ง Edge UI เพื่อตั้งค่า คุณสมบัติต่อไปนี้
    ADMIN_EMAIL=emailAddressOfNewSysAdmin
    APIGEE_ADMINPW=emailAddressOfNewSysAdmin

    SMTPHOST=smtp.gmail.com
    SMTPHOST=smtp.gmail.com ทั้งหมดเป็นพร็อพเพอร์ตี้ของ SMTPHOST=smtp.gmail.com ซึ่งรีเซ็ตเป็น SMTP
    @gmail.com
    SMTPHOST=smtp.gmail.com นั้น
    SMTPUSEROfNewSysAdmin
  4. กำหนดค่า Edge UI ใหม่ดังนี้
    > /opt/apigee/apigee-service/bin/apigee-service edge-ui start
    > /opt/apigee/apigee-service/bin/apigee-service edge-ui Setup -f configFile
    > /opt/apigee/apigee-service/bin/apigee-service edge-ui

หากต้องการเปลี่ยนอีเมลของบัญชีผู้ใช้สำหรับผู้ดูแลระบบเริ่มต้นในปัจจุบัน ให้อัปเดตบัญชีผู้ใช้เพื่อกำหนดอีเมลใหม่ก่อน จากนั้นจึงเปลี่ยนอีเมลเริ่มต้นของผู้ดูแลระบบ

  1. อัปเดตบัญชีผู้ใช้ของผู้ใช้ของผู้ดูแลระบบเริ่มต้นปัจจุบันด้วยอีเมลใหม่ :
    > curl -H content-type:application/json -X PUT /
    -u currentSysAdminEmail:passwd /
    http://<ms_IP>:8080/v1/users/currentSysadmin"email-admin"email":currentSysadmin":
  2. ทำขั้นตอนที่ 2, 3. และ 4 จากขั้นตอนก่อนหน้าซ้ำเพื่ออัปเดตไฟล์ /opt/apigee/customer/defaults.sh และอัปเดต UI ของ Edge

การระบุโดเมนอีเมลของ ผู้ดูแลระบบ

คุณจะเพิ่มโดเมนอีเมลของผู้ดูแลระบบ Edge ได้เพื่อเพิ่มความปลอดภัยอีกระดับ เมื่อเพิ่มผู้ดูแลระบบ หากอีเมลของผู้ใช้ไม่ได้อยู่ในโดเมนที่ระบุ การเพิ่มผู้ใช้ในบทบาทผู้ดูแลระบบจะไม่สำเร็จ

โดเมนที่จำเป็นจะว่างเปล่าโดยค่าเริ่มต้น ซึ่งหมายความว่าคุณจะเพิ่มอีเมลใดก็ได้ให้กับบทบาทผู้ดูแลระบบ

ในการตั้งค่าโดเมนอีเมล ให้ทำดังนี้

  1. เปิดในเครื่องมือแก้ไข management-server.properties:
    vi /opt/apigee/customer/application/management-server.properties

    หากไม่มีไฟล์นี้ ให้สร้างขึ้นมา
  2. ตั้งค่าพร็อพเพอร์ตี้ conf_security_rbac.global.roles.allowed.domains เป็นรายการโดเมนที่อนุญาตซึ่งคั่นด้วยคอมมา ตัวอย่างเช่น
    conf_security_rbac.global.roles.allowed.domains=myCo.com,yourCo.com
  3. บันทึกการเปลี่ยนแปลง
  4. รีสตาร์ท Edge Management Server โดยทำดังนี้
    /opt/apigee/apigee-service/bin/apigee-service edge-management-serverในเครื่อง

    หากตอนนี้พยายามเพิ่มผู้ใช้ในบทบาท sysadmin และอีเมลของผู้ใช้ไม่ได้อยู่ในโดเมนที่ระบุ คุณจะเพิ่มไม่สำเร็จ

การลบผู้ใช้

คุณจะสร้างผู้ใช้ได้โดยใช้ Edge API หรือ Edge UI แต่คุณจะลบผู้ใช้ได้โดยใช้ API เท่านั้น

หากต้องการดูรายชื่อผู้ใช้ปัจจุบัน รวมถึงอีเมล ให้ใช้คำสั่ง cURL ต่อไปนี้

curl -u <sysAdminEmail>:<passwd> http://<ms-IP>:8080/v1/users

ใช้คำสั่ง cURL ต่อไปนี้เพื่อลบผู้ใช้

curl -u <sysAdminEmail>:<passwd> -X DELETE http://<ms-IP>:8080/v1/users/<userEmail>