사용자, 역할, 권한 관리

Private Cloud용 Edge v4.18.05

Apigee 문서 사이트에는 사용자 역할 관리에 대한 광범위한 정보가 포함되어 있으며 권한을 부여할 수 있습니다 Edge UI와 Management API를 모두 사용하여 사용자를 관리할 수 있습니다. 역할 및 권한은 Management API로만 관리할 수 있습니다.

사용자 및 사용자 만들기에 대한 자세한 내용은 다음을 참고하세요.

사용자를 관리하기 위해 수행하는 작업의 대부분은 시스템 관리자가 필요합니다. 액세스할 수 있습니다 클라우드 기반 Edge 설치에서 Apigee는 시스템 역할을 합니다. 관리자에게 문의하세요 Private Cloud 설치를 위해 Edge에서 시스템 관리자는 다음을 수행해야 합니다. 이러한 작업을 수행할 수 있습니다

사용자 추가

Edge API, Edge UI 또는 Edge 명령어를 사용하여 사용자를 만들 수 있습니다. 이 섹션에서는 Edge API 및 Edge 명령어를 사용하는 방법을 설명합니다. 사용자 생성에 대한 자세한 내용은 Edge UI는 만들기 전 세계 사용자 수

조직에 사용자를 만든 후에 사용자에게 역할을 할당해야 합니다. 역할 Edge에서 사용자의 액세스 권한을 결정합니다.

다음 명령어를 사용하여 Edge API로 사용자를 만듭니다.

curl -H "Content-Type:application/xml" \
  -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD -X POST http://ms_IP:8080/v1/users \
  -d '<User> \
    <FirstName>New</FirstName> \
    <LastName>User</LastName> \
    <Password>NEW_USER_PASSWORD</Password> \
    <EmailId>foo@bar.com</EmailId> \
  </User>'

또는 다음 Edge 명령어를 사용하여 사용자를 만듭니다.

/opt/apigee/apigee-service/bin/apigee-service apigee-provision create-user -f configFile

여기서 다음 예와 같이 configFile가 사용자를 만듭니다.

APIGEE_ADMINPW=SYS_ADMIN_PASSWORD    # If omitted, you will be prompted.
USER_NAME=foo@bar.com
FIRST_NAME=New
LAST_NAME=User
USER_PWD="NEW_USER_PASSWORD"
ORG_NAME=myorg

그런 다음 이 호출을 사용하여 사용자에 대한 정보를 볼 수 있습니다.

curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/users/foo@bar.com

다음 영역에서 사용자를 역할에 조직

새 사용자가 작업을 수행하려면 먼저 조직의 역할을 할당받아야 합니다. 나 사용자를 orgadmin, businessuser, opsadmin, user 또는 조직에 정의된 커스텀 역할에 대한 권한

조직의 역할에 사용자를 할당하면 해당 사용자가 되었습니다. 사용자를 각 조직에서 역할에 할당하여 여러 조직에 할당 되었습니다.

다음 명령어를 사용하여 사용자를 조직의 역할에 할당합니다.

curl -X POST -H "Content-Type:application/x-www-form-urlencoded" \
  http://ms_IP:8080/v1/o/org_name/userroles/role/users?id=foo@bar.com \
  -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD

이 호출에는 사용자에게 할당된 모든 역할이 표시됩니다. 사용자를 추가하고 싶지만 새 역할만 표시하려면 다음 호출을 사용합니다.

curl -X POST -H "Content-Type: application/xml" \
  http://ms_IP:8080/v1/o/org_name/users/foo@bar.com/userroles \
  -d '<Roles><Role name="role"/><Roles>' \
  -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD

다음 명령어를 사용하여 사용자의 역할을 볼 수 있습니다.

curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/users/foo@bar.com/userroles

조직에서 사용자를 삭제하려면 해당 사용자에게서 해당 조직의 모든 역할을 삭제하세요. 다음 명령어를 사용하여 사용자의 역할을 삭제합니다.

curl -X DELETE -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD \
  http://ms_IP:8080/v1/o/org_name/userroles/role/users/foo@bar.com

시스템 관리자 추가

시스템 관리자는 다음을 수행할 수 있습니다.

  • 조직 만들기
  • Edge 설치에 라우터, 메시지 프로세서, 기타 구성요소 추가
  • TLS/SSL 구성
  • 추가 시스템 관리자 만들기
  • 모든 Edge 관리 작업 수행

관리 작업의 기본 사용자는 한 명이지만, 두 명 이상의 사용자가 있을 수 있습니다. 한 명의 시스템 관리자가 있습니다. '시스템 관리자'의 구성원인 모든 사용자 역할이 가득 찼습니다 모든 리소스에 대한 권한을 부여할 수 있습니다

Edge UI 또는 API에서 시스템 관리자의 사용자를 만들 수 있습니다. 하지만 Edge API를 사용하여 사용자를 'sysadmin' 역할에 할당해야 합니다. 사용자를 'sysadmin'으로 에지 UI에서 수행할 수 없습니다.

시스템 관리자를 추가하려면 다음 단계를 따르세요.

  1. Edge UI 또는 API에서 사용자를 만듭니다.
  2. 'sysadmin'에 사용자 추가 역할:
    curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD \
      -X POST http://ms_IP:8080/v1/userroles/sysadmin/users -d 'id=foo@bar.com'
  3. 새 사용자가 'sysadmin'에 있는지 확인하세요. 역할:
    curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/userroles/sysadmin/users

    사용자의 이메일 주소를 반환합니다.

    [ " foo@bar.com " ]
  4. 신규 사용자의 권한 확인:
    curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/users/foo@bar.com/permissions

    반환:

    {
      "resourcePermission" : [ {
      "path" : "/",
        "permissions" : [ "get", "put", "delete" ]
      } ]
    }
  5. 새 시스템 관리자를 추가한 후 사용자를 모든 조직에 추가할 수 있습니다.
  6. 나중에 시스템 관리자 역할에서 사용자를 삭제하려면 다음 API를 사용합니다.
    curl -X DELETE -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD \
      http://ms_IP:8080/v1/userroles/sysadmin/users/foo@bar.com

    이 호출은 역할에서 사용자를 삭제하기만 하며, 사용자를 삭제하지는 않습니다.

기본 시스템 관리자 변경 사용자

Edge를 설치할 때 시스템 관리자의 이메일 주소를 지정합니다. 에지 해당 이메일 주소를 가진 사용자를 생성하고 해당 사용자를 기본 시스템으로 설정 관리자에게 문의하세요 위에서 설명한 대로 나중에 시스템 관리자를 추가할 수 있습니다.

이 섹션에서는 기본 시스템 관리자를 다른 사용자로 변경하는 방법을 설명합니다. 현재 기본 시스템의 사용자 계정 이메일 주소를 변경하는 방법 관리자에게 문의하세요

현재 시스템 관리자로 구성된 사용자 목록을 보려면 다음 API를 사용하세요. 통화:

curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/userroles/sysadmin/users

현재 기본 시스템 관리자를 확인하려면 /opt/apigee/customer/defaults.sh 파일. 파일에는 다음 줄을 보여주는 행이 포함되어 있습니다. 현재 기본 시스템 관리자의 이메일 주소:

ADMIN_EMAIL=foo@bar.com

기본 시스템 관리자를 다른 사용자로 변경하려면 다음 단계를 따르세요.

  1. 위에서 설명한 대로 새 시스템 관리자를 만들거나 새 시스템 관리자가 이미 시스템 관리자로 구성되어 있습니다.
  2. /opt/apigee/customer/defaults.sh을(를) 수정하여 ADMIN_EMAIL을 새 시스템 관리자의 이메일 주소로 설정합니다.
  3. Edge UI를 설치하는 데 사용한 자동 구성 파일을 수정하여 다음을 설정합니다. 속성:
    ADMIN_EMAIL=NEW_SYS_ADMIN_EMAIL
    APIGEE_ADMINPW=NEW_SYS_ADMIN_PASSWORD
    SMTPHOST=smtp.gmail.com
    SMTPPORT=465
    SMTPUSER=foo@gmail.com
    SMTPPASSWORD=bar
    SMTPSSL=y

    UI의 모든 속성이 재설정합니다.

  4. Edge UI를 재구성합니다.
    /opt/apigee/apigee-service/bin/apigee-service edge-ui stop
    /opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
    /opt/apigee/apigee-service/bin/apigee-service edge-ui start

현재 기본 결제 계정에 대해 사용자 계정의 이메일 주소만 변경하려는 경우 먼저 사용자 계정을 업데이트하여 새 이메일 주소를 설정한 다음 기본 시스템 관리자 이메일 주소:

  1. 현재 기본 시스템 관리자의 사용자 계정을 새 이메일로 업데이트 주소:
    curl -H content-type:application/json -X PUT -u CURRENT_SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD \
      http://ms_IP:8080/v1/users/CURRENT_SYS_ADMIN_EMAIL \
      -d '{"emailId": "NEW_SYS_ADMIN_EMAIL", "lastName": "admin", "firstName": "admin"}'
  2. 이전 절차의 2, 3, 4단계를 반복하여 /opt/apigee/customer/defaults.sh 파일을 보고 Edge UI를 업데이트합니다.

시스템의 이메일 도메인 지정 관리자

보안 강화를 위해 Edge 시스템의 필수 이메일 도메인을 지정할 수 있습니다. 관리자에게 문의하세요 시스템 관리자를 추가할 때 사용자의 이메일 주소가 사용자를 'sysadmin'에 추가 역할에 실패하는 경우가 있습니다

기본적으로 필수 도메인은 비어 있습니다. 즉, 모든 이메일 주소를 'sysadmin' 역할을 수행합니다

이메일 도메인을 설정하려면 다음 안내를 따르세요.

  1. 편집기에서 management-server.properties 파일을 엽니다.
    vi /opt/apigee/customer/application/management-server.properties

    이 파일이 없으면 새로 만듭니다.

  2. conf_security_rbac.global.roles.allowed.domains 설정 속성을 쉼표로 구분된 허용된 도메인 목록에 추가합니다. 예를 들면 다음과 같습니다.
    conf_security_rbac.global.roles.allowed.domains=myCo.com,yourCo.com
  3. 변경사항을 저장합니다.
  4. 에지 관리 서버를 다시 시작합니다.
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

    이제 'sysadmin'에 사용자를 추가하려는 경우 사용자 이메일 주소가 지정된 도메인 중 하나에 없으면 추가할 수 없습니다.

사용자 삭제

Edge API 또는 Edge UI를 사용하여 사용자를 만들 수 있습니다. 하지만 사용자를 삭제할 수 있습니다

이메일 주소를 포함한 현재 사용자 목록을 보려면 다음을 사용합니다. curl 명령어:

curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms-IP:8080/v1/users

다음 curl 명령어를 사용하여 사용자를 삭제합니다.

curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD -X DELETE http://ms_IP:8080/v1/users/USER_EMAIL