Kullanıcıları, rolleri ve izinleri yönetme

Edge for Private Cloud 4.19.01 sürümü

Apigee belge sitesinde, kullanıcı rollerini yönetme ve izin verir. Kullanıcılar hem Edge kullanıcı arayüzü hem de Management API kullanılarak yönetilebilir; ve ekip üyelerinizden izinler yalnızca Management API ile yönetilebilir.

Kullanıcılar ve kullanıcı oluşturma hakkında bilgi edinmek için aşağıdaki konulara göz atın:

Kullanıcıları yönetmek amacıyla gerçekleştirdiğiniz işlemlerin çoğu için sistem yöneticisi gerekir ayrıcalıkları. Edge'in bulut tabanlı kurulumunda Apigee, sistem gibi bir rol oynar. yönetici izni gerekir. Private Cloud kurulumu için bir Edge'de sistem yöneticiniz, bu görevleri aşağıda açıklandığı şekilde yerine getirmeniz gerekir.

Kullanıcı ekleme

Edge API'yi, Edge kullanıcı arayüzünü veya Edge komutlarını kullanarak kullanıcı oluşturabilirsiniz. Bu bölümünde, Edge API ve Edge komutlarının nasıl kullanılacağı açıklanmaktadır. Kullanıcı oluşturma hakkında bilgi için Edge kullanıcı arayüzü, bkz. Oluşturma global site kullanıcıları.

Kullanıcıyı bir kuruluşta oluşturduktan sonra kullanıcıya bir rol atamanız gerekir. Roller Edge'de kullanıcının erişim haklarını belirler.

Edge API ile kullanıcı oluşturmak için aşağıdaki komutu kullanın:

curl -H "Content-Type:application/xml" \
  -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD -X POST http://ms_IP:8080/v1/users \
  -d '<User> \
    <FirstName>New</FirstName> \
    <LastName>User</LastName> \
    <Password>NEW_USER_PASSWORD</Password> \
    <EmailId>foo@bar.com</EmailId> \
  </User>'

Kullanıcı oluşturmak için aşağıdaki Edge komutunu da kullanabilirsiniz:

/opt/apigee/apigee-service/bin/apigee-service apigee-provision create-user -f configFile

configFile öğesinin kullanıcıyı oluşturduğu yer, aşağıdaki örnekte gösterildiği gibi:

APIGEE_ADMINPW=SYS_ADMIN_PASSWORD    # If omitted, you will be prompted.
USER_NAME=foo@bar.com
FIRST_NAME=New
LAST_NAME=User
USER_PWD="NEW_USER_PASSWORD"
ORG_NAME=myorg

Ardından, bu çağrıyı kullanarak kullanıcıyla ilgili bilgileri görüntüleyebilirsiniz:

curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/users/foo@bar.com

Kullanıcıyı belirli bir kuruluş

Yeni bir kullanıcının herhangi bir işlem yapabilmesi için kuruluştaki bir role atanması gerekir. Siz kullanıcıyı aşağıdakiler de dahil olmak üzere farklı rollere atayabilir: orgadmin, businessuser, opsadmin, user veya kuruluşta tanımlanmış özel bir role.

Bir kuruluştaki bir role atanan kullanıcılar, otomatik olarak kurum içinde tutmaktır. Her kuruluşta bir role atanarak bir kullanıcıyı birden fazla kuruluşa atayın kurum içinde tutmaktır.

Kullanıcıyı kuruluştaki bir role atamak için aşağıdaki komutu kullanın:

curl -X POST -H "Content-Type:application/x-www-form-urlencoded" \
  http://ms_IP:8080/v1/o/org_name/userroles/role/users?id=foo@bar.com \
  -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD

Bu çağrıda, kullanıcıya atanan tüm roller gösterilir. Kullanıcıyı eklemek istiyorsanız yalnızca yeni rolü görüntülemek için aşağıdaki çağrıyı kullanın:

curl -X POST -H "Content-Type: application/xml" \
  http://ms_IP:8080/v1/o/org_name/users/foo@bar.com/userroles \
  -d '<Roles><Role name="role"/><Roles>' \
  -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD

Aşağıdaki komutu kullanarak kullanıcının rollerini görüntüleyebilirsiniz:

curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/users/foo@bar.com/userroles

Bir kullanıcıyı kuruluştan kaldırmak için söz konusu kuruluştaki tüm rolleri kullanıcıdan kaldırın. Bir kullanıcıdan rolü kaldırmak için aşağıdaki komutu kullanın:

curl -X DELETE -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD \
  http://ms_IP:8080/v1/o/org_name/userroles/role/users/foo@bar.com

Sistem yöneticisi ekleme

Sistem yöneticisi şunları yapabilir:

  • Kuruluş oluşturma
  • Bir Edge kurulumuna Yönlendiriciler, Mesaj İşlemcileri ve diğer bileşenleri ekleme
  • TLS/SSL'yi yapılandırın
  • Ek sistem yöneticileri oluşturma
  • Tüm Edge yönetim görevlerini gerçekleştirin

Yönetim görevleri için varsayılan kullanıcı yalnızca tek bir kullanıcı olsa da birden fazla kullanıcı olabilir. tek bir sistem yöneticisi olabilir. "sysadmin"in üyesi olan herhangi bir kullanıcı rol tam tüm kaynaklara e-posta gönderebilirsiniz.

Sistem yöneticisi için kullanıcıyı Edge kullanıcı arayüzünde veya API'de oluşturabilirsiniz. Ancak, kullanıcıyı "sysadmin" rolüne atamak için Edge API'yi kullanmanız gerekir. Bir "sysadmin"e rolü, Edge kullanıcı arayüzünde yapılamaz.

Sistem yöneticisi eklemek için:

  1. Edge kullanıcı arayüzünde veya API'de kullanıcı oluşturun.
  2. "sysadmin"e kullanıcı ekleme rol:
    curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD \
      -X POST http://ms_IP:8080/v1/userroles/sysadmin/users -d 'id=foo@bar.com'
    .
  3. Yeni kullanıcının "sysadmin"de olduğundan emin olun rol:
    curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/userroles/sysadmin/users
    .

    Kullanıcının e-posta adresini döndürür:

    [ " foo@bar.com " ]
  4. Yeni kullanıcının izinlerini kontrol edin:
    curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/users/foo@bar.com/permissions
    .

    Şunu döndürür:

    {
      "resourcePermission" : [ {
      "path" : "/",
        "permissions" : [ "get", "put", "delete" ]
      } ]
    }
  5. Yeni sistem yöneticisini ekledikten sonra kullanıcıyı istediğiniz kuruluşlara ekleyebilirsiniz.
    .
  6. Kullanıcıyı daha sonra sistem yöneticisi rolünden kaldırmak isterseniz aşağıdaki API'yi kullanabilirsiniz:
    curl -X DELETE -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD \
      http://ms_IP:8080/v1/userroles/sysadmin/users/foo@bar.com
    .

    Bu çağrının, kullanıcıyı yalnızca rolden kaldırdığını, silmediğini unutmayın.

Varsayılan sistem yöneticisini değiştirme kullanıcı

Edge'i yüklerken sistem yöneticisinin e-posta adresini belirtirsiniz. Kenar bu e-posta adresiyle bir kullanıcı oluşturur ve bu kullanıcıyı varsayılan sistem olarak ayarlar yönetici izni gerekir. Daha sonra yukarıda açıklandığı şekilde başka sistem yöneticileri ekleyebilirsiniz.

Bu bölümde, varsayılan sistem yöneticisinin farklı bir kullanıcı olacak şekilde nasıl değiştirileceği açıklanmaktadır. ve mevcut varsayılan sistem için kullanıcı hesabının e-posta adresinin nasıl değiştirileceği yönetici izni gerekir.

Şu anda sistem yöneticisi olarak yapılandırılmış kullanıcıların listesini görmek için şu API'yi kullanın: arayın:

curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/userroles/sysadmin/users

Geçerli varsayılan sistem yöneticisini belirlemek için /opt/apigee/customer/defaults.sh dosyası yükleyin. Dosya, geçerli varsayılan sistem yöneticisinin e-posta adresi:

ADMIN_EMAIL=foo@bar.com

Varsayılan sistem yöneticisini farklı bir kullanıcı olarak değiştirmek için:

  1. Yukarıda açıklandığı şekilde yeni bir sistem yöneticisi oluşturun veya yeni sistem yöneticisi zaten sistem yöneticisi olarak yapılandırılmış.
  2. /opt/apigee/customer/defaults.sh türündeki öğeleri şu şekilde düzenle: ADMIN_EMAIL öğesini yeni sistem yöneticisinin e-posta adresi olarak ayarlayın.
  3. Edge kullanıcı arayüzünü yüklerken kullandığınız sessiz yapılandırma dosyasını düzenleyerek aşağıdakini ayarlayın: özellikler:
    ADMIN_EMAIL=NEW_SYS_ADMIN_EMAIL
    APIGEE_ADMINPW=NEW_SYS_ADMIN_PASSWORD
    SMTPHOST=smtp.gmail.com
    SMTPPORT=465
    SMTPUSER=foo@gmail.com
    SMTPPASSWORD=bar
    SMTPSSL=y
    .

    SMTP özelliklerini eklemeniz gerektiğini unutmayın çünkü kullanıcı arayüzündeki tüm özellikler sıfırlandı.

  4. Edge kullanıcı arayüzünü yeniden yapılandırın:
    /opt/apigee/apigee-service/bin/apigee-service edge-ui stop
    /opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
    /opt/apigee/apigee-service/bin/apigee-service edge-ui start
    .

Geçerli varsayılan ayar için yalnızca kullanıcı hesabının e-posta adresini değiştirmek istiyorsanız sistem yöneticisi olarak, önce kullanıcı hesabını yeni e-posta adresini ayarlayacak şekilde güncelleyin, ardından varsayılan sistem yöneticisinin e-posta adresi:

  1. Geçerli varsayılan sistem yöneticisi kullanıcısının kullanıcı hesabını yeni bir e-posta adresiyle güncelleyin adres:
    curl -H content-type:application/json -X PUT -u CURRENT_SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD \
      http://ms_IP:8080/v1/users/CURRENT_SYS_ADMIN_EMAIL \
      -d '{"emailId": "NEW_SYS_ADMIN_EMAIL", "lastName": "admin", "firstName": "admin"}'
    .
  2. Önceki prosedürde açıklanan 2, 3. ve 4. adımları tekrarlayarak /opt/apigee/customer/defaults.sh dosyasını yükleyin ve Edge kullanıcı arayüzünü güncelleyin.

Sistemin e-posta alan adını belirtme üst yönetici

Ek bir güvenlik düzeyi olarak Edge sistemi için gerekli e-posta alan adını belirtebilirsiniz. yönetici izni gerekir. Bir sistem yöneticisi eklerken, kullanıcının e-posta adresi belirtilen alanı oluşturup kullanıcıyı "sysadmin" öğesine ekleyerek rolü başarısız olur.

Varsayılan olarak, gerekli alan boştur; yani "sistem yöneticisi" çok önemlidir.

E-posta alan adını ayarlamak için:

  1. management-server.properties dosyasını bir düzenleyicide açın:
    vi /opt/apigee/customer/application/management-server.properties

    Bu dosya mevcut değilse dosyayı oluşturun.

  2. conf_security_rbac.global.roles.allowed.domains cihazını ayarlayın özelliğini izin verilen alan adlarının virgülle ayrılmış listesine ekler. Örnek:
    conf_security_rbac.global.roles.allowed.domains=myCo.com,yourCo.com
    .
  3. Değişikliklerinizi kaydedin.
  4. Uç Yönetim Sunucusu'nu yeniden başlatın:
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
    .

    Şimdi "sysadmin" öğesine bir kullanıcı eklemeye çalışırsanız rolünü ve kullanıcının e-posta adresini belirtilen alan adlarından birinde değilse ekleme işlemi başarısız olur.

Kullanıcı silme

Edge API veya Edge kullanıcı arayüzünü kullanarak kullanıcı oluşturabilirsiniz. Ancak bu işlemi yalnızca API'yi kullanarak bir kullanıcıyı silebilirsiniz.

E-posta adresleri de dahil olmak üzere mevcut kullanıcıların listesini görmek için aşağıdakini kullanın: curl komutu:

curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms-IP:8080/v1/users

Bir kullanıcıyı silmek için aşağıdaki curl komutunu kullanın:

curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD -X DELETE http://ms_IP:8080/v1/users/USER_EMAIL