Edge for Private Cloud v4.18.05
เว็บไซต์เอกสารประกอบของ Apigee มีข้อมูลเพิ่มเติมเกี่ยวกับการจัดการบทบาทของผู้ใช้และ สิทธิ์ ผู้ใช้สามารถจัดการผู้ใช้ได้โดยใช้ทั้ง Edge UI และ Management API บทบาทและ จะจัดการได้ด้วย Management API เท่านั้น
สำหรับข้อมูลเกี่ยวกับผู้ใช้และการสร้างผู้ใช้ โปรดดูที่
การดำเนินการหลายอย่างที่คุณดำเนินการเพื่อจัดการผู้ใช้จำเป็นต้องใช้ผู้ดูแลระบบ สิทธิ์ สำหรับการติดตั้ง Edge ในระบบคลาวด์ Apigee จะทำหน้าที่ในบทบาทของระบบ ผู้ดูแลระบบ ใน Edge สำหรับการติดตั้ง Private Cloud ผู้ดูแลระบบจะต้อง ดำเนินการเหล่านี้ได้ตามที่อธิบายไว้ด้านล่าง
การเพิ่มผู้ใช้
คุณสร้างผู้ใช้ได้โดยใช้ Edge API, คำสั่ง Edge UI หรือ Edge ช่วงเวลานี้ ส่วนอธิบายวิธีใช้ Edge API และคำสั่ง Edge สำหรับข้อมูลเกี่ยวกับการสร้างผู้ใช้ใน Edge UI โปรดดูการสร้าง ผู้ใช้ทั่วโลก
หลังจากสร้างผู้ใช้ในองค์กรแล้ว คุณต้องมอบหมายบทบาทให้กับผู้ใช้ บทบาท กำหนดสิทธิ์การเข้าถึงของผู้ใช้ใน Edge
ใช้คำสั่งต่อไปนี้เพื่อสร้างผู้ใช้ด้วย Edge API
curl -H "Content-Type:application/xml" \
-u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD -X POST http://ms_IP:8080/v1/users \
-d '<User> \
<FirstName>New</FirstName> \
<LastName>User</LastName> \
<Password>NEW_USER_PASSWORD</Password> \
<EmailId>foo@bar.com</EmailId> \
</User>'หรือใช้คำสั่ง Edge ต่อไปนี้เพื่อสร้างผู้ใช้
/opt/apigee/apigee-service/bin/apigee-service apigee-provision create-user -f configFile
ตำแหน่งที่ configFile สร้างผู้ใช้ ตามตัวอย่างต่อไปนี้
APIGEE_ADMINPW=SYS_ADMIN_PASSWORD # If omitted, you will be prompted. USER_NAME=foo@bar.com FIRST_NAME=New LAST_NAME=User USER_PWD="NEW_USER_PASSWORD" ORG_NAME=myorg
จากนั้นคุณจะใช้การโทรนี้เพื่อดูข้อมูลเกี่ยวกับผู้ใช้ได้โดยทำดังนี้
curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/users/foo@bar.com
การมอบหมายบทบาทให้กับผู้ใช้ใน องค์กร
ก่อนที่ผู้ใช้ใหม่จะดำเนินการใดๆ ได้ ผู้ใช้จะต้องได้รับมอบหมายบทบาทในองค์กร คุณ
กำหนดบทบาทต่างๆ ให้แก่ผู้ใช้ได้ รวมถึง: orgadmin, businessuser
opsadmin, user หรือบทบาทที่กำหนดเองซึ่งกำหนดในองค์กร
การมอบหมายบทบาทในองค์กรให้กับผู้ใช้จะเป็นการเพิ่มผู้ใช้รายนั้นลงในส่วน องค์กร มอบหมายผู้ใช้ให้กับหลายองค์กรโดยการมอบหมายบทบาทใน องค์กร
ใช้คำสั่งต่อไปนี้เพื่อมอบหมายบทบาทในองค์กรให้กับผู้ใช้
curl -X POST -H "Content-Type:application/x-www-form-urlencoded" \ http://ms_IP:8080/v1/o/org_name/userroles/role/users?id=foo@bar.com \ -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD
การเรียกนี้จะแสดงบทบาททั้งหมดที่มอบหมายให้กับผู้ใช้ หากคุณต้องการเพิ่มผู้ใช้ แต่ แสดงเฉพาะบทบาทใหม่ ใช้การเรียกต่อไปนี้:
curl -X POST -H "Content-Type: application/xml" \ http://ms_IP:8080/v1/o/org_name/users/foo@bar.com/userroles \ -d '<Roles><Role name="role"/><Roles>' \ -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD
คุณจะดูบทบาทของผู้ใช้ได้โดยใช้คำสั่งต่อไปนี้
curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/users/foo@bar.com/userroles
หากต้องการนำผู้ใช้ออกจากองค์กร ให้นำบทบาททั้งหมดในองค์กรนั้นออกจากผู้ใช้ ใช้คำสั่งต่อไปนี้เพื่อนำบทบาทออกจากผู้ใช้
curl -X DELETE -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD \ http://ms_IP:8080/v1/o/org_name/userroles/role/users/foo@bar.com
การเพิ่มผู้ดูแลระบบ
ผู้ดูแลระบบสามารถทำสิ่งต่อไปนี้
- สร้างองค์กร
- เพิ่มเราเตอร์, Message Processor และคอมโพเนนต์อื่นๆ ในการติดตั้ง Edge
- กำหนดค่า TLS/SSL
- สร้างผู้ดูแลระบบเพิ่มเติม
- ทำงานการดูแลระบบ Edge ทั้งหมด
แม้ว่าจะมีผู้ใช้เพียงคนเดียวเท่านั้นที่เป็นผู้ใช้เริ่มต้นสำหรับงานดูแลระบบ แต่อาจมีมากกว่า ผู้ดูแลระบบ 1 คน ผู้ใช้ทุกคนที่เป็นสมาชิกของ "sysadmin" มีบทบาทเต็มแล้ว สิทธิ์สำหรับทรัพยากรทั้งหมด
คุณสร้างผู้ใช้สำหรับผู้ดูแลระบบได้ใน Edge UI หรือ API อย่างไรก็ตาม คุณต้องใช้ Edge API เพื่อมอบหมายบทบาท "sysadmin" ให้กับผู้ใช้ การมอบหมาย ผู้ใช้ไปยัง "ผู้ดูแลระบบ" ไม่สามารถทำได้ใน Edge UI
ในการเพิ่มผู้ดูแลระบบ ให้ทำดังนี้
- สร้างผู้ใช้ใน Edge UI หรือ API
- เพิ่มผู้ใช้ใน "sysadmin" บทบาท:
curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD \ -X POST http://ms_IP:8080/v1/userroles/sysadmin/users -d 'id=foo@bar.com'
- ตรวจสอบว่าผู้ใช้ใหม่อยู่ใน "sysadmin" บทบาท:
curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/userroles/sysadmin/users
แสดงอีเมลของผู้ใช้
[ " foo@bar.com " ]
- ตรวจสอบสิทธิ์ของผู้ใช้ใหม่:
curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/users/foo@bar.com/permissions
ค่าที่ส่งคืน:
{ "resourcePermission" : [ { "path" : "/", "permissions" : [ "get", "put", "delete" ] } ] } - หลังจากเพิ่มผู้ดูแลระบบคนใหม่แล้ว คุณสามารถเพิ่มผู้ใช้ลงในองค์กรใดก็ได้
- หากคุณต้องการนำผู้ใช้ออกจากบทบาทผู้ดูแลระบบระบบในภายหลัง คุณสามารถใช้
API ต่อไปนี้:
curl -X DELETE -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD \ http://ms_IP:8080/v1/userroles/sysadmin/users/foo@bar.com
โปรดทราบว่าการโทรนี้จะนำผู้ใช้ออกจากบทบาทเท่านั้น ไม่ได้ลบผู้ใช้
การเปลี่ยนผู้ดูแลระบบเริ่มต้น ผู้ใช้
เมื่อคุณติดตั้ง Edge คุณต้องระบุอีเมลของผู้ดูแลระบบ ขอบ สร้างผู้ใช้ที่มีอีเมลนั้นและตั้งค่าให้ผู้ใช้รายนั้นเป็นระบบเริ่มต้น ผู้ดูแลระบบ คุณสามารถเพิ่มผู้ดูแลระบบอื่นได้ในภายหลังดังที่อธิบายไว้ข้างต้น
หัวข้อนี้จะอธิบายวิธีเปลี่ยนผู้ดูแลระบบเริ่มต้นเป็นผู้ใช้รายอื่น และวิธีเปลี่ยนที่อยู่อีเมลของบัญชีผู้ใช้สำหรับระบบเริ่มต้นปัจจุบัน ผู้ดูแลระบบ
หากต้องการดูรายชื่อผู้ใช้ที่กำหนดค่าเป็นผู้ดูแลระบบในปัจจุบัน ให้ใช้ API ต่อไปนี้ โทร:
curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/userroles/sysadmin/users
หากต้องการหาผู้ดูแลระบบเริ่มต้นในปัจจุบัน ให้ดู
/opt/apigee/customer/defaults.sh ไฟล์ ไฟล์มีบรรทัดต่อไปนี้ที่แสดง
ที่อยู่อีเมลของผู้ดูแลระบบเริ่มต้นปัจจุบัน:
ADMIN_EMAIL=foo@bar.com
วิธีเปลี่ยนผู้ดูแลระบบเริ่มต้นเป็นผู้ใช้รายอื่น
- สร้างผู้ดูแลระบบใหม่ตามที่อธิบายไว้ข้างต้น หรือตรวจสอบว่าบัญชีผู้ใช้ของ กำหนดค่าผู้ดูแลระบบใหม่เป็นผู้ดูแลระบบแล้ว
- แก้ไข
/opt/apigee/customer/defaults.shเป็น ตั้งค่าADMIN_EMAILเป็นที่อยู่อีเมลของผู้ดูแลระบบใหม่ - แก้ไขไฟล์การกำหนดค่าแบบเงียบที่คุณใช้ติดตั้ง Edge UI เพื่อตั้งค่าต่อไปนี้
พร็อพเพอร์ตี้:
ADMIN_EMAIL=NEW_SYS_ADMIN_EMAIL APIGEE_ADMINPW=NEW_SYS_ADMIN_PASSWORD SMTPHOST=smtp.gmail.com SMTPPORT=465 SMTPUSER=foo@gmail.com SMTPPASSWORD=bar SMTPSSL=y
โปรดทราบว่าคุณต้องรวมพร็อพเพอร์ตี้ SMTP ไว้ด้วย เนื่องจากพร็อพเพอร์ตี้ทั้งหมดใน UI รีเซ็ต
- กำหนดค่า Edge UI ใหม่ดังนี้
/opt/apigee/apigee-service/bin/apigee-service edge-ui stop
/opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile/opt/apigee/apigee-service/bin/apigee-service edge-ui start
หากคุณเพียงต้องการเปลี่ยนที่อยู่อีเมลของบัญชีผู้ใช้สำหรับค่าเริ่มต้นปัจจุบัน ผู้ดูแลระบบ คุณต้องอัปเดตบัญชีผู้ใช้เพื่อตั้งค่าที่อยู่อีเมลใหม่ก่อน จากนั้นจึงเปลี่ยน ที่อยู่อีเมลเริ่มต้นของผู้ดูแลระบบ:
- อัปเดตบัญชีผู้ใช้ของผู้ใช้ของผู้ดูแลระบบเริ่มต้นรายปัจจุบันด้วยอีเมลใหม่
ที่อยู่:
curl -H content-type:application/json -X PUT -u CURRENT_SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD \ http://ms_IP:8080/v1/users/CURRENT_SYS_ADMIN_EMAIL \ -d '{"emailId": "NEW_SYS_ADMIN_EMAIL", "lastName": "admin", "firstName": "admin"}' - ทำซ้ำขั้นตอนที่ 2, 3. และ 4 จากขั้นตอนก่อนหน้าเพื่ออัปเดต
/opt/apigee/customer/defaults.shและเพื่ออัปเดต UI ของ Edge
การระบุโดเมนอีเมลของระบบ ผู้ดูแลระบบ
คุณสามารถระบุโดเมนอีเมลที่ต้องการของระบบ Edge ได้เพื่อเพิ่มระดับการรักษาความปลอดภัย ผู้ดูแลระบบ เมื่อเพิ่มผู้ดูแลระบบ หากอีเมลของผู้ใช้ไม่ได้อยู่ใน โดเมนที่ระบุ จากนั้นเพิ่มผู้ใช้ไปยัง "sysadmin" บทบาทล้มเหลว
โดเมนที่จำเป็นจะว่างเปล่าโดยค่าเริ่มต้น ซึ่งหมายความว่าคุณสามารถเพิ่มอีเมลใดๆ ลงใน "ผู้ดูแลระบบ"
วิธีตั้งค่าโดเมนอีเมล
- เปิดไฟล์
management-server.propertiesในตัวแก้ไขvi /opt/apigee/customer/application/management-server.properties
หากไม่มี ให้สร้างไฟล์นี้
- ตั้งค่า
conf_security_rbac.global.roles.allowed.domainsลงในรายการโดเมนที่อนุญาตซึ่งคั่นด้วยคอมมา เช่นconf_security_rbac.global.roles.allowed.domains=myCo.com,yourCo.com
- บันทึกการเปลี่ยนแปลง
- รีสตาร์ท Edge Management Server ด้วยคำสั่งต่อไปนี้
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
ถ้าคุณพยายามเพิ่มผู้ใช้ใน "sysadmin" และอีเมลของผู้ใช้ ไม่ได้อยู่ในโดเมนที่ระบุ การเพิ่มล้มเหลว
การลบผู้ใช้
คุณสร้างผู้ใช้ได้โดยใช้ Edge API หรือ Edge UI อย่างไรก็ตาม คุณสามารถ ลบผู้ใช้โดยใช้ API
หากต้องการดูรายชื่อผู้ใช้ปัจจุบันและที่อยู่อีเมล ให้ใช้รายการต่อไปนี้
คำสั่ง curl:
curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms-IP:8080/v1/users
ใช้คำสั่ง curl ต่อไปนี้เพื่อลบผู้ใช้
curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD -X DELETE http://ms_IP:8080/v1/users/USER_EMAIL