ユーザー、役割、権限の管理

Edge for Private Cloud v4.19.01

Apigee のドキュメント サイトでは、ユーザーの役割と権限の管理について豊富な情報が提供されています。ユーザーの管理には Edge UI または Management API を使用できます。役割と権限の管理には Management API を使用します。

ユーザーとユーザーの作成方法については、次をご覧ください。

多くの場合、ユーザーの管理に関連する操作を行うには、システム管理者の権限が必要になります。クラウドベースの Edge の場合、Apigee はシステム管理者の役割を担います。Edge for Private Cloud の場合、システム管理者が次に説明するタスクを行う必要があります。

ユーザーを追加する

ユーザーを作成するには、Edge API、Edge UI または Edge コマンドを使用します。このセクションでは、Edge API と Edge コマンドの使用方法を説明します。Edge UI でユーザーを作成する方法については、グローバル ユーザーを作成するをご覧ください。

組織にユーザーを作成したら、ユーザーに役割を割り当てる必要があります。役割により、Edge でのユーザーのアクセス権が決まります。

Edge API でユーザーを作成するには、次のコマンドを使用します。

curl -H "Content-Type:application/xml" \
      -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD -X POST http://ms_IP:8080/v1/users \
      -d '<User> \
        <FirstName>New</FirstName> \
        <LastName>User</LastName> \
        <Password>NEW_USER_PASSWORD</Password> \
        <EmailId>foo@bar.com</EmailId> \
      </User>'

あるいは、次の Edge コマンドでユーザーを作成します。

/opt/apigee/apigee-service/bin/apigee-service apigee-provision create-user -f configFile

configFile でユーザーを作成すると、次のようになります。

APIGEE_ADMINPW=SYS_ADMIN_PASSWORD    # If omitted, you will be prompted.
    USER_NAME=foo@bar.com
    FIRST_NAME=New
    LAST_NAME=User
    USER_PWD="NEW_USER_PASSWORD"
    ORG_NAME=myorg

次の呼び出しを使用すると、ユーザーの情報を確認できます。

curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/users/foo@bar.com

組織内での役割をユーザーに割り当てる

新しいユーザーは、組織内での役割が割り当てられるまで何もできません。ユーザーには、orgadminbusinessuseropsadminuser、組織で定義されているカスタム役割など、さまざまな役割を割り当てることができます。

ユーザーに組織内での役割を割り当てると、そのユーザーが組織に自動的に追加されます。ユーザーを複数の組織に割り当てるには、それぞれの組織の役割を割り当てます。

ユーザーに組織内での役割を割り当てるには、次のコマンドを使用します。

curl -X POST -H "Content-Type:application/x-www-form-urlencoded" \
      http://ms_IP:8080/v1/o/org_name/userroles/role/users?id=foo@bar.com \
      -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD

この呼び出しを行うと、ユーザーに割り当てられた役割がすべて表示されます。ユーザーを追加するときに新しい役割のみを表示するには、次の呼び出しを使用します。

curl -X POST -H "Content-Type: application/xml" \
      http://ms_IP:8080/v1/o/org_name/users/foo@bar.com/userroles \
      -d '<Roles><Role name="role"/><Roles>' \
      -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD

ユーザーの役割を表示するには、次のコマンドを使用します。

curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/users/foo@bar.com/userroles

ユーザーを組織から削除するには、ユーザーからその組織のすべての役割を削除します。ユーザーから役割を削除するには、次のコマンドを使用します。

curl -X DELETE -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD \
      http://ms_IP:8080/v1/o/org_name/userroles/role/users/foo@bar.com

システム管理者を追加する

システム管理者は次の操作を行うことができます。

  • 組織を作成する
  • ルーター、Message Processor などのコンポーネントを Edge 環境に追加する
  • TLS / SSL を構成する
  • 追加のシステム管理者を作成する
  • Edge の管理タスクを実行する

管理タスクを実行できるデフォルトのユーザーは 1 人だけですが、複数のシステム管理者を作成できます。sysadmin 役割のメンバーには、すべてのリソースに対して完全な権限が付与されます。

システム管理者のユーザーは Edge UI または API で作成します。ユーザーに sysadmin 役割を割り当てるには、Edge API を使用する必要があります。Edge UI では、ユーザーに sysadmin 役割を割り当てることができません。

システム管理者を追加するには:

  1. Edge UI または API でユーザーを作成します。
  2. ユーザーに sysadmin 役割を追加します。
    curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD \
          -X POST http://ms_IP:8080/v1/userroles/sysadmin/users -d 'id=foo@bar.com'
  3. 新しいユーザーに sysadmin 役割が割り当てられたことを確認します。
    curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/userroles/sysadmin/users

    ユーザーのメールアドレスを返します。

    [ " foo@bar.com " ]
  4. 新しいユーザーの権限を確認します。
    curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/users/foo@bar.com/permissions

    次の結果が返されます。

    {
          "resourcePermission" : [ {
          "path" : "/",
            "permissions" : [ "get", "put", "delete" ]
          } ]
        }
  5. 新しいシステム管理者を追加したら、ユーザーを組織に追加できます。
  6. ユーザーからシステム管理者役割を削除するには、次の API を使用します。
    curl -X DELETE -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD \
          http://ms_IP:8080/v1/userroles/sysadmin/users/foo@bar.com

    この呼び出しは、ユーザーから役割を削除しますが、ユーザーの削除はしません。

デフォルトのシステム管理者ユーザーを変更する

Edge のインストール時に、システム管理者のメールアドレスを指定します。Edge は、このメールアドレスでユーザーを作成し、そのユーザーをデフォルトのシステム管理者に設定します。上記のように、後でシステム管理者を追加することもできます。

このセクションでは、デフォルトのシステム管理者を変更する方法を説明します。また、現在のデフォルトのシステム管理者のユーザー アカウントに設定したメールアドレスの変更方法も説明します。

現在システム管理者として構成されているユーザーのリストを表示するには、次の API 呼び出しを使用します。

curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/userroles/sysadmin/users

現在のデフォルトのシステム管理者を確認するには、/opt/apigee/customer/defaults.sh ファイルを表示します。次のように、このファイルには現在のデフォルトのシステム管理者のメールアドレスが含まれています。

ADMIN_EMAIL=foo@bar.com

デフォルトのシステム管理者を別のユーザーに変更するには:

  1. 上記のように新しいシステム管理者を作成します。あるいは、新しいシステム管理者のユーザー アカウントがシステム管理者として構成されていることを確認します。
  2. /opt/apigee/customer/defaults.sh を編集して、新しいシステム管理者のメールアドレスを ADMIN_EMAIL に設定します。
  3. Edge UI のインストールに使用したサイレント構成ファイルを編集して、次のプロパティを設定します。
    ADMIN_EMAIL=NEW_SYS_ADMIN_EMAIL
        APIGEE_ADMINPW=NEW_SYS_ADMIN_PASSWORD
        SMTPHOST=smtp.gmail.com
        SMTPPORT=465
        SMTPUSER=foo@gmail.com
        SMTPPASSWORD=bar
        SMTPSSL=y

    UI のすべてのプロパティがリセットされるため、SMTP プロパティを追加する必要があります。

  4. Edge UI を再構成します。
    /opt/apigee/apigee-service/bin/apigee-service edge-ui stop
        /opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
        /opt/apigee/apigee-service/bin/apigee-service edge-ui start

現在のデフォルトのシステム管理者のメールアドレスだけを変更するには、まず、システム管理者のユーザー アカウントを更新して新しいメールアドレスを設定し、デフォルトのシステム管理者のメールアドレスを変更します。

  1. 新しいメールアドレスを使用して、現在のデフォルトのシステム管理者のユーザー アカウントを更新します。
    curl -H content-type:application/json -X PUT -u CURRENT_SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD \
          http://ms_IP:8080/v1/users/CURRENT_SYS_ADMIN_EMAIL \
          -d '{"emailId": "NEW_SYS_ADMIN_EMAIL", "lastName": "admin", "firstName": "admin"}'
  2. 上記の手順 2、3、4 を繰り返し、/opt/apigee/customer/defaults.sh ファイルと Edge UI を更新します。

システム管理者のメールドメインを指定する

Edge システム管理者に必須のメールドメインを指定すると、セキュリティのレベルを強化できます。システム管理者を追加するときに、ユーザーのメールアドレスが指定のドメインに属していないと、ユーザーに sysadmin 役割を割り当てることができません。

デフォルトでは、必須ドメインは空です。任意のメールアドレスを sysadmin 役割に追加できます。

メールドメインを設定するには:

  1. エディタで management-server.properties ファイルを開きます。
    vi /opt/apigee/customer/application/management-server.properties

    このファイルが存在しない場合は作成します。

  2. 許可ドメインのカンマ区切りリストを conf_security_rbac.global.roles.allowed.domains プロパティに設定します。次に例を示します。
    conf_security_rbac.global.roles.allowed.domains=myCo.com,yourCo.com
  3. 変更を保存します。
  4. Edge Management Server を再起動します。
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

    指定したドメインのものではないメールアドレスのユーザーに sysadmin 役割を追加しようとすると失敗します。

ユーザーを削除する

ユーザーを作成するには Edge API または Edge UI を使用できますが、ユーザーの削除には API を使用します。

現在のユーザーとそのメールアドレスを確認するには、次の curl コマンドを使用します。

curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms-IP:8080/v1/users

次の curl コマンドでユーザーを削除します。

curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD -X DELETE http://ms_IP:8080/v1/users/USER_EMAIL