Edge for Private Cloud גרסה 4.18.05
אתר התיעוד של Apigee כולל מידע מקיף על ניהול תפקידי משתמשים הרשאות. ניתן לנהל את המשתמשים גם באמצעות ממשק המשתמש של Edge וגם באמצעות ה-Management API. תפקידים את ההרשאות ניתן לנהל רק באמצעות Management API.
למידע על משתמשים ויצירת משתמשים, ראו:
הרבה מהפעולות שמבצעים לניהול משתמשים מחייבות מנהל מערכת הרשאות. בהתקנה מבוססת ענן של Edge, Apigee פועלת בתפקיד של המערכת מנהל מערכת. ב-Edge להתקנת ענן פרטי, מנהל המערכת לבצע את המשימות האלה כפי שמתואר בהמשך.
הוספת משתמש
אפשר ליצור משתמשים באמצעות ה-API של Edge, ממשק המשתמש של Edge או הפקודות של Edge. הזה נסביר איך להשתמש בפקודות של Edge API ו-Edge. לקבלת מידע על יצירת משתמשים בממשק המשתמש של Edge, אפשר לעיין במאמר יצירה משתמשים גלובליים.
אחרי שיוצרים את המשתמש בארגון, צריך להקצות לו תפקיד. תפקידים קביעת זכויות הגישה של המשתמש ב-Edge.
כדי ליצור משתמש באמצעות Edge API, משתמשים בפקודה הבאה:
curl -H "Content-Type:application/xml" \
-u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD -X POST http://ms_IP:8080/v1/users \
-d '<User> \
<FirstName>New</FirstName> \
<LastName>User</LastName> \
<Password>NEW_USER_PASSWORD</Password> \
<EmailId>foo@bar.com</EmailId> \
</User>'או משתמשים בפקודה הבאה ב-Edge כדי ליצור משתמש:
/opt/apigee/apigee-service/bin/apigee-service apigee-provision create-user -f configFile
כאשר configFile יוצר את המשתמש, כפי שאפשר לראות בדוגמה הבאה:
APIGEE_ADMINPW=SYS_ADMIN_PASSWORD # If omitted, you will be prompted. USER_NAME=foo@bar.com FIRST_NAME=New LAST_NAME=User USER_PWD="NEW_USER_PASSWORD" ORG_NAME=myorg
לאחר מכן אפשר להשתמש בשיחה כדי להציג מידע על המשתמש:
curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/users/foo@bar.com
להקצות את המשתמש לתפקיד בתפקיד ארגון
כדי שמשתמש חדש יכול לבצע פעולה כלשהי, צריך להקצות לו תפקיד בארגון. שלך
יכול להקצות למשתמש תפקידים שונים, כולל: orgadmin, businessuser,
opsadmin, user או לתפקיד בהתאמה אישית שהוגדר בארגון.
הקצאת משתמש לתפקיד בארגון מוסיפה אותו באופן אוטומטי של הארגון. להקצות משתמש לכמה ארגונים על ידי הקצאה של תפקיד בכל אחד מהם של הארגון.
כדי להקצות את המשתמש לתפקיד בארגון, משתמשים בפקודה הבאה:
curl -X POST -H "Content-Type:application/x-www-form-urlencoded" \ http://ms_IP:8080/v1/o/org_name/userroles/role/users?id=foo@bar.com \ -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD
בשיחה הזו מוצגים כל התפקידים שהוקצו למשתמש. אם אתם רוצים להוסיף את המשתמש, להציג רק את התפקיד החדש, משתמשים בקריאה הבאה:
curl -X POST -H "Content-Type: application/xml" \ http://ms_IP:8080/v1/o/org_name/users/foo@bar.com/userroles \ -d '<Roles><Role name="role"/><Roles>' \ -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD
כדי לראות את התפקידים של המשתמשים, משתמשים בפקודה הבאה:
curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/users/foo@bar.com/userroles
כדי להסיר משתמש מארגון, צריך להסיר מהמשתמש את כל התפקידים בארגון. כדי להסיר תפקיד ממשתמש, משתמשים בפקודה הבאה:
curl -X DELETE -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD \ http://ms_IP:8080/v1/o/org_name/userroles/role/users/foo@bar.com
הוספת מנהל מערכת
אדמינים יכולים:
- יצירת ארגונים
- הוספת נתבים, מעבדי הודעות ורכיבים אחרים להתקנת Edge
- הגדרת TLS/SSL
- יצירת אדמינים נוספים
- ביצוע כל משימות הניהול של Edge
רק משתמש אחד הוא משתמש ברירת המחדל למשימות ניהול, אבל יכולות להיות מנהל מערכת אחד. כל משתמש החבר ב-sysadmin יש את כל הרשאות לכל המשאבים.
אפשר ליצור את המשתמש כאדמין באמצעות ממשק המשתמש של Edge או ה-API. אבל, לפעמים חייבים להשתמש ב-Edge API כדי להקצות למשתמש את התפקיד 'sysadmin'. הקצאת משתמש ל-sysadmin לא ניתן לבצע את התפקיד הזה בממשק המשתמש של Edge.
כדי להוסיף מנהל מערכת:
- יוצרים משתמש בממשק המשתמש או ב-API של Edge.
- הוספת המשתמש ל-sysadmin תפקיד:
curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD \ -X POST http://ms_IP:8080/v1/userroles/sysadmin/users -d 'id=foo@bar.com'
- מוודאים שהמשתמש החדש נמצא ב-sysadmin תפקיד:
curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/userroles/sysadmin/users
הפונקציה מחזירה את כתובת האימייל של המשתמש:
[ " foo@bar.com " ]
- בדיקת ההרשאות של משתמש חדש:
curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/users/foo@bar.com/permissions
החזרות:
{ "resourcePermission" : [ { "path" : "/", "permissions" : [ "get", "put", "delete" ] } ] } - אחרי שמוסיפים את מנהל המערכת החדש, אפשר להוסיף את המשתמש לכל הארגונים.
- אם רוצים להסיר את המשתמש מתפקיד אדמין בשלב מאוחר יותר, אפשר להשתמש
ב-API הבא:
curl -X DELETE -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD \ http://ms_IP:8080/v1/userroles/sysadmin/users/foo@bar.com
הערה: הקריאה הזו מסירה את המשתמש רק מהתפקיד, ולא מוחקת את המשתמש.
שינוי של מנהל המערכת שמוגדר כברירת מחדל משתמש
כשאתם מתקינים את Edge, אתם צריכים לציין את כתובת האימייל של מנהל המערכת. קצה יוצר משתמש עם כתובת האימייל הזו ומגדיר את המשתמש הזה כמערכת ברירת המחדל מנהל מערכת. בהמשך תוכלו להוסיף עוד מנהלי מערכת, כפי שמתואר למעלה.
הקטע הזה מתאר איך לשנות את מנהל המערכת המוגדר כברירת מחדל למשתמש אחר, ואיך לשנות את כתובת האימייל של חשבון המשתמש עבור מערכת ברירת המחדל הנוכחית מנהל מערכת.
כדי להציג את רשימת המשתמשים שמוגדרים כרגע כמנהלי מערכת, צריך להשתמש בממשק ה-API הבא call:
curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/userroles/sysadmin/users
כדי לקבוע מיהו מנהל המערכת שמוגדר כברירת המחדל כרגע, אפשר לעיין
קובץ /opt/apigee/customer/defaults.sh. הקובץ מכיל את השורה הבאה שמראה
כתובת האימייל של מנהל המערכת הנוכחי המוגדר כברירת מחדל:
ADMIN_EMAIL=foo@bar.com
כדי לשנות את מנהל המערכת שמוגדר כברירת מחדל למשתמש אחר:
- צור מנהל מערכת חדש כפי שמתואר למעלה, או ודא שחשבון המשתמש של מנהל המערכת החדש כבר מוגדר כמנהל מערכת.
- עריכה של
/opt/apigee/customer/defaults.shלפי להגדיר אתADMIN_EMAILלכתובת האימייל של מנהל המערכת החדש. - עורכים את קובץ התצורה השקט שבו השתמשתם כדי להתקין את ממשק המשתמש של Edge כדי להגדיר את ההגדרות הבאות
נכסים:
ADMIN_EMAIL=NEW_SYS_ADMIN_EMAIL APIGEE_ADMINPW=NEW_SYS_ADMIN_PASSWORD SMTPHOST=smtp.gmail.com SMTPPORT=465 SMTPUSER=foo@gmail.com SMTPPASSWORD=bar SMTPSSL=y
שימו לב שצריך לכלול את מאפייני ה-SMTP כי כל המאפיינים בממשק המשתמש לאתחל.
- מגדירים מחדש את ממשק המשתמש של Edge:
/opt/apigee/apigee-service/bin/apigee-service edge-ui stop
/opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile/opt/apigee/apigee-service/bin/apigee-service edge-ui start
אם רוצים רק לשנות את כתובת האימייל של חשבון המשתמש לכתובת ברירת המחדל הנוכחית מנהל מערכת, תחילה מעדכנים את חשבון המשתמש כדי להגדיר את כתובת האימייל החדשה, ואז משנים כתובת האימייל של מנהל המערכת המוגדרת כברירת מחדל:
- עדכון חשבון המשתמש של משתמש ברירת המחדל הנוכחי של מנהל המערכת בכתובת אימייל חדשה
address:
curl -H content-type:application/json -X PUT -u CURRENT_SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD \ http://ms_IP:8080/v1/users/CURRENT_SYS_ADMIN_EMAIL \ -d '{"emailId": "NEW_SYS_ADMIN_EMAIL", "lastName": "admin", "firstName": "admin"}' - חוזרים על שלבים 2, 3. ו-4 מההליך הקודם כדי לעדכן את
/opt/apigee/customer/defaults.shולעדכן את ממשק המשתמש של Edge.
ציון הדומיין של אימייל של מערכת אדמין
כאמצעי אבטחה נוסף, אפשר לציין את דומיין האימייל הנדרש במערכת Edge. מנהל מערכת. כשמוסיפים מנהל מערכת, אם כתובת האימייל של המשתמש לא שצוין, ולאחר מכן הוספת המשתמש ל-"sysadmin" נכשל.
כברירת מחדל, הדומיין הנדרש ריק. כלומר, אפשר להוסיף כל כתובת אימייל 'sysadmin' תפקיד.
כדי להגדיר את הדומיין של האימייל:
- פותחים את הקובץ
management-server.propertiesבעורך:vi /opt/apigee/customer/application/management-server.properties
אם הקובץ הזה לא קיים, יוצרים אותו.
- הגדרת
conf_security_rbac.global.roles.allowed.domainsלרשימה המופרדת בפסיקים של דומיינים מורשים. לדוגמה:conf_security_rbac.global.roles.allowed.domains=myCo.com,yourCo.com
- שומרים את השינויים.
- מפעילים מחדש את שרת ניהול הקצה:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
אם יתבצע עכשיו ניסיון להוסיף משתמש ל-sysadmin תפקיד וכתובת האימייל של המשתמש לא נמצא באחד מהדומיינים שצוינו, ההוספה תיכשל.
מחיקת משתמש
אפשר ליצור משתמשים באמצעות ה-API של Edge או באמצעות ממשק המשתמש של Edge. אבל אפשר רק מוחקים משתמש באמצעות ה-API.
כדי לראות את רשימת המשתמשים הנוכחיים, כולל כתובות האימייל שלהם, צריך להשתמש בשדות הבאים
הפקודה curl:
curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms-IP:8080/v1/users
משתמשים בפקודה curl הבאה כדי למחוק משתמש:
curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD -X DELETE http://ms_IP:8080/v1/users/USER_EMAIL