يحتوي موقع مستندات Apigee الإلكتروني على معلومات شاملة حول إدارة أدوار المستخدمين وأذوناتهم. يمكن إدارة المستخدمين باستخدام كل من واجهة مستخدم Edge وManagement API، ولا يمكن إدارة الأدوار والأذونات إلا باستخدام Management API.
للحصول على معلومات عن المستخدمين وإنشاء المستخدمين، راجع:
إنّ العديد من العمليات التي تجريها لإدارة المستخدمين تتطلّب امتيازات مشرف النظام. في عملية تثبيت Edge المستنِدة إلى السحابة الإلكترونية، تعمل Apigee بدور مشرف النظام. في متصفح Edge الخاص بتثبيت Private Cloud، يجب على مشرف النظام لديك تنفيذ هذه المهام كما هو موضح أدناه.
إضافة مستخدم
يمكنك إنشاء حساب مستخدم إما باستخدام واجهة برمجة تطبيقات Edge أو واجهة مستخدم Edge أو أوامر Edge. يوضّح هذا القسم كيفية استخدام أوامر Edge API وEdge. للحصول على معلومات عن إنشاء المستخدمين في واجهة مستخدم Edge، يمكنك الاطّلاع على إنشاء مستخدمين عموميين.
بعد إنشاء مستخدم في مؤسسة، يجب تعيين دور للمستخدم. وتحدد الأدوار حقوق وصول المستخدم على Edge.
استخدِم الأمر التالي لإنشاء حساب مستخدم من خلال Edge API:
curl -H "Content-Type:application/xml" \ -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD -X POST http://ms_IP:8080/v1/users \ -d '<User> \ <FirstName>New</FirstName> \ <LastName>User</LastName> \ <Password>NEW_USER_PASSWORD</Password> \ <EmailId>foo@bar.com</EmailId> \ </User>'
أو استخدم أمر Edge التالي لإنشاء مستخدم:
/opt/apigee/apigee-service/bin/apigee-service apigee-provision create-user -f configFile
المكان الذي ينشئ فيه configFile المستخدم، كما يوضِّح المثال التالي:
APIGEE_ADMINPW=SYS_ADMIN_PASSWORD # If omitted, you will be prompted. USER_NAME=foo@bar.com FIRST_NAME=New LAST_NAME=User USER_PWD="NEW_USER_PASSWORD" ORG_NAME=myorg
يمكنك بعد ذلك استخدام هذه المكالمة لعرض معلومات عن المستخدم:
curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/users/foo@bar.com
تعيين المستخدم لدور في مؤسسة
قبل أن يتمكن المستخدم الجديد من القيام بأي شيء، يجب أن يتم إسناده لدور في المؤسسة. ويمكنك
إسناد أدوار مختلفة إلى المستخدم، من بينها: orgadmin
أو businessuser
أو opsadmin
أو user
أو إلى دور مخصّص تم تحديده في المؤسسة.
يؤدي تعيين مستخدم لدور في مؤسسة إلى إضافة هذا المستخدم تلقائيًا إلى المؤسسة. يمكنك تحديد مستخدم للعديد من المؤسسات من خلال منحه دورًا في كل مؤسسة.
استخدِم الأمر التالي لتعيين دور في مؤسسة للمستخدم:
curl -X POST -H "Content-Type:application/x-www-form-urlencoded" \ http://ms_IP:8080/v1/o/org_name/userroles/role/users?id=foo@bar.com \ -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD
تعرض هذه المكالمة جميع الأدوار التي تم تعيينها للمستخدم. إذا كنت تريد إضافة المستخدم مع عرض الدور الجديد فقط، استخدِم الطلب التالي:
curl -X POST -H "Content-Type: application/xml" \ http://ms_IP:8080/v1/o/org_name/users/foo@bar.com/userroles \ -d '<Roles><Role name="role"/><Roles>' \ -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD
يمكنك الاطّلاع على أدوار المستخدِم باستخدام الأمر التالي:
curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/users/foo@bar.com/userroles
ولإزالة مستخدم من مؤسسة، يمكنك إزالة جميع الأدوار في تلك المؤسسة من المستخدم. استخدِم الأمر التالي لإزالة دور من المستخدم:
curl -X DELETE -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD \ http://ms_IP:8080/v1/o/org_name/userroles/role/users/foo@bar.com
إضافة مشرف نظام
يمكن لمشرف النظام إجراء ما يلي:
- إنشاء مؤسسات
- إضافة أجهزة التوجيه ومعالِجات الرسائل ومكونات أخرى إلى إحدى عمليات تثبيت Edge
- تهيئة بروتوكول أمان طبقة النقل (TLS)/طبقة المقابس الآمنة (SSL)
- إنشاء مشرفين إضافيين للنظام
- تنفيذ جميع المهام الإدارية في Edge
يكون المستخدم التلقائي للمهام الإدارية هو مستخدم واحد فقط، ولكن يمكن أن يكون هناك أكثر من مشرف نظام واحد. وتكون لدى أي مستخدم عضو في دور "مسؤول إدارة النظم" أذونات كاملة للوصول إلى جميع الموارد.
يمكنك إنشاء حساب المستخدم لمشرف النظام إما من خلال واجهة مستخدم Edge أو واجهة برمجة التطبيقات. ومع ذلك، يجب استخدام واجهة برمجة تطبيقات Edge لتعيين المستخدم إلى دور "مسؤول إدارة النظم". لا يمكن أن يتم إسناد مستخدم إلى دور "مشرف النظم" في واجهة مستخدم Edge.
لإضافة مشرف نظام:
- أنشئ مستخدمًا في واجهة مستخدم أو واجهة برمجة تطبيقات Edge.
- إضافة مستخدم إلى دور "مشرف النظام":
curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD \ -X POST http://ms_IP:8080/v1/userroles/sysadmin/users -d 'id=foo@bar.com'
- تأكَّد من أن المستخدم الجديد في دور "مشرف النظم":
curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/userroles/sysadmin/users
تعرض عنوان البريد الإلكتروني للمستخدم:
[ " foo@bar.com " ]
- التحقق من أذونات المستخدم الجديد:
curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/users/foo@bar.com/permissions
المرتجعات:
{ "resourcePermission" : [ { "path" : "/", "permissions" : [ "get", "put", "delete" ] } ] }
- بعد إضافة مشرف النظام الجديد، يمكنك إضافة المستخدم إلى أي مؤسسة.
- إذا أردت لاحقًا إزالة المستخدم من دور مشرف النظام، يمكنك استخدام واجهة برمجة التطبيقات التالية:
curl -X DELETE -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD \ http://ms_IP:8080/v1/userroles/sysadmin/users/foo@bar.com
تجدر الإشارة إلى أنّ هذه المكالمة تزيل المستخدم من الدور فقط، ولا تحذف المستخدم.
تغيير حساب مشرف النظام التلقائي
عند تثبيت Edge، يمكنك تحديد عنوان البريد الإلكتروني لمشرف النظام. ينشئ Edge مستخدمًا بعنوان البريد الإلكتروني هذا، ويضبط هذا المستخدم ليكون مشرف النظام التلقائي. يمكنك في وقت لاحق إضافة المزيد من مشرفي النظام كما هو موضّح أعلاه.
يشرح هذا القسم طريقة تغيير مشرف النظام التلقائي ليصبح مستخدمًا مختلفًا، وكيفية تغيير عنوان البريد الإلكتروني لحساب المستخدم الخاص بمشرف النظام التلقائي الحالي.
للاطّلاع على قائمة بالمستخدمين الذين تم ضبط إعداداتهم حاليًا كمشرفين للنظام، استخدِم طلب البيانات التالي من واجهة برمجة التطبيقات:
curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/userroles/sysadmin/users
لتحديد مشرف النظام التلقائي الحالي، يمكنك الاطّلاع على ملف
/opt/apigee/customer/defaults.sh
. يتضمّن الملف السطر التالي الذي يعرض
عنوان البريد الإلكتروني لمشرف النظام التلقائي الحالي:
ADMIN_EMAIL=foo@bar.com
لتغيير مشرف النظام التلقائي ليكون مستخدمًا مختلفًا:
- أنشِئ مشرف نظام جديدًا كما هو موضّح أعلاه، أو احرص على أن يكون حساب المستخدم الخاص بمشرف النظام الجديد قد تم ضبطه على أنّه مشرف نظام.
- عليك تعديل
/opt/apigee/customer/defaults.sh
لضبطADMIN_EMAIL
على عنوان البريد الإلكتروني لمشرف النظام الجديد. - عدِّل ملف الإعداد الصامت الذي استخدمته لتثبيت واجهة مستخدم Edge لضبط السمات التالية:
ADMIN_EMAIL=NEW_SYS_ADMIN_EMAIL APIGEE_ADMINPW=NEW_SYS_ADMIN_PASSWORD SMTPHOST=smtp.gmail.com SMTPPORT=465 SMTPUSER=foo@gmail.com SMTPPASSWORD=bar SMTPSSL=y
يُرجى ملاحظة أنّه يجب تضمين سمات SMTP لأنه تتم إعادة ضبط جميع الخصائص على واجهة المستخدم.
- إعادة ضبط واجهة مستخدم Edge:
/opt/apigee/apigee-service/bin/apigee-service edge-ui stop
/opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
/opt/apigee/apigee-service/bin/apigee-service edge-ui start
إذا أردت فقط تغيير عنوان البريد الإلكتروني لحساب المستخدم الخاص بمشرف النظام التلقائي الحالي، يجب أولاً تحديث حساب المستخدم لضبط عنوان البريد الإلكتروني الجديد، ثم تغيير عنوان البريد الإلكتروني التلقائي لمشرف النظام:
- يمكنك تحديث حساب المستخدم الخاص بمشرف النظام التلقائي الحالي باستخدام عنوان بريد إلكتروني جديد:
curl -H content-type:application/json -X PUT -u CURRENT_SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD \ http://ms_IP:8080/v1/users/CURRENT_SYS_ADMIN_EMAIL \ -d '{"emailId": "NEW_SYS_ADMIN_EMAIL", "lastName": "admin", "firstName": "admin"}'
- كرِّر الخطوات 2 و3. و4 من الإجراء السابق لتعديل
ملف
/opt/apigee/customer/defaults.sh
وتعديل واجهة مستخدم Edge.
تحديد نطاق البريد الإلكتروني لمشرف النظام
كمستوى إضافي من الأمان، يمكنك تحديد نطاق البريد الإلكتروني المطلوب لمشرف نظام Edge. عند إضافة مشرف نظام، إذا لم يكن عنوان البريد الإلكتروني للمستخدم في النطاق المحدد، ستفشل إضافة المستخدم إلى دور "مسؤول إدارة النظم".
يكون النطاق المطلوب فارغًا تلقائيًا، ما يعني أنّه يمكنك إضافة أي عنوان بريد إلكتروني إلى دور "مشرف النظم".
لإعداد نطاق البريد الإلكتروني:
- افتح ملف
management-server.properties
في محرِّر:vi /opt/apigee/customer/application/management-server.properties
إذا لم يكن هذا الملف موجودًا، فأنشئه.
- اضبط السمة
conf_security_rbac.global.roles.allowed.domains
على قائمة النطاقات المسموح بها المفصولة بفواصل. مثلاً:conf_security_rbac.global.roles.allowed.domains=myCo.com,yourCo.com
- احفظ التغييرات.
- أعِد تشغيل خادم إدارة Edge:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
إذا حاولت الآن إضافة مستخدم إلى دور "مسؤول إدارة النظم"، وكان عنوان البريد الإلكتروني للمستخدم لا يقع في أحد النطاقات المحددة، لن تنجح عملية الإضافة.
حذف مستخدم
يمكنك إنشاء حساب مستخدم إما عن طريق استخدام واجهة برمجة تطبيقات Edge أو واجهة مستخدم Edge. ومع ذلك، لا يمكنك حذف المستخدم إلّا باستخدام واجهة برمجة التطبيقات.
للاطّلاع على قائمة المستخدمين الحاليين، بما في ذلك عنوان البريد الإلكتروني، استخدِم الأمر curl
التالي:
curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms-IP:8080/v1/users
استخدِم الأمر curl
التالي لحذف مستخدم:
curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD -X DELETE http://ms_IP:8080/v1/users/USER_EMAIL