Cette page a été traduite par l'API Cloud Translation.

Gérer les utilisateurs, les rôles et les autorisations

Le site de documentation d'Apigee contient des informations détaillées sur la gestion des rôles utilisateur autorisations. Les utilisateurs peuvent être gérés à l'aide de l'interface utilisateur Edge et de l'API de gestion. rôles et les autorisations ne peuvent être gérées qu'avec l'API Management.

Pour en savoir plus sur les utilisateurs et leur création, consultez les pages suivantes:

La plupart des opérations que vous effectuez pour gérer les utilisateurs nécessitent un administrateur système de droits. Dans une installation d'Edge basée sur le cloud, Apigee joue le rôle de système administrateur. Dans une installation Edge pour Private Cloud, votre administrateur système doit d'effectuer ces tâches comme décrit ci-dessous.

Ajouter un utilisateur

Vous pouvez créer un utilisateur à l'aide de l'API Edge, de l'interface utilisateur Edge ou des commandes Edge. Ce explique comment utiliser l'API Edge et les commandes Edge. Pour savoir comment créer des utilisateurs dans le Edge d'interface utilisateur, voir Création à l'échelle mondiale.

Après avoir créé l'utilisateur dans une organisation, vous devez lui attribuer un rôle. Rôles déterminer les droits d'accès de l'utilisateur sur Edge.

Utilisez la commande suivante pour créer un utilisateur avec l'API Edge:

curl -H "Content-Type:application/xml" \
  -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD -X POST http://ms_IP:8080/v1/users \
  -d '<User> \
    <FirstName>New</FirstName> \
    <LastName>User</LastName> \
    <Password>NEW_USER_PASSWORD</Password> \
    <EmailId>foo@bar.com</EmailId> \
  </User>'

Vous pouvez également utiliser la commande Edge suivante pour créer un utilisateur:

/opt/apigee/apigee-service/bin/apigee-service apigee-provision create-user -f configFile

Où configFile crée l'utilisateur, comme le montre l'exemple suivant:

APIGEE_ADMINPW=SYS_ADMIN_PASSWORD    # If omitted, you will be prompted.
USER_NAME=foo@bar.com
FIRST_NAME=New
LAST_NAME=User
USER_PWD="NEW_USER_PASSWORD"
ORG_NAME=myorg

Vous pouvez ensuite utiliser cet appel pour afficher des informations sur l'utilisateur:

curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/users/foo@bar.com

L'attribution de l'utilisateur à un rôle organisation

Pour qu'un nouvel utilisateur puisse effectuer une action, un rôle doit lui être attribué au sein d'une organisation. Toi peuvent attribuer différents rôles à l'utilisateur, y compris orgadmin, businessuser, opsadmin, user, ou à un rôle personnalisé défini dans l'organisation.

Lorsque vous attribuez un rôle à un utilisateur dans une organisation, il est automatiquement ajouté organisation. Affectez un utilisateur à plusieurs organisations en l'associant à un rôle dans chacune d'elles. organisation.

Utilisez la commande suivante pour attribuer un rôle à l'utilisateur dans une organisation:

curl -X POST -H "Content-Type:application/x-www-form-urlencoded" \
  http://ms_IP:8080/v1/o/org_name/userroles/role/users?id=foo@bar.com \
  -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD

Cet appel affiche tous les rôles attribués à l'utilisateur. Si vous souhaitez ajouter l'utilisateur, n'afficher que le nouveau rôle, utilisez l'appel suivant:

curl -X POST -H "Content-Type: application/xml" \
  http://ms_IP:8080/v1/o/org_name/users/foo@bar.com/userroles \
  -d '<Roles><Role name="role"/><Roles>' \
  -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD

Vous pouvez afficher les rôles de l'utilisateur à l'aide de la commande suivante:

curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/users/foo@bar.com/userroles

Pour supprimer un utilisateur d'une entreprise, supprimez tous les rôles de cette organisation pour cet utilisateur. Exécutez la commande suivante pour supprimer un rôle attribué à un utilisateur:

curl -X DELETE -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD \
  http://ms_IP:8080/v1/o/org_name/userroles/role/users/foo@bar.com

Ajouter un administrateur système

Un administrateur système peut:

Créer des organisations
Ajouter des routeurs, des processeurs de messages et d'autres composants à une installation Edge
configurer TLS/SSL ;
créer des administrateurs système supplémentaires ;
Effectuer toutes les tâches d'administration Edge

Bien qu'un seul utilisateur soit désigné par défaut pour les tâches administratives, il peut y avoir plus de un administrateur système. Tout utilisateur membre du groupe « sysadmin » dispose d'un accès complet sur toutes les ressources.

Vous pouvez créer l'utilisateur pour l'administrateur système dans l'interface utilisateur ou l'API Edge. Toutefois, vous devez utiliser l'API Edge pour attribuer à l'utilisateur le rôle "sysadmin". Attribuer une utilisateur à « sysadmin » rôle ne peut pas être fait dans l'interface utilisateur Edge.

Pour ajouter un administrateur système:

Créez un utilisateur dans l'interface utilisateur ou l'API Edge.

Ajouter un utilisateur à "sysadmin" rôle:

curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD \
  -X POST http://ms_IP:8080/v1/userroles/sysadmin/users -d 'id=foo@bar.com'

Assurez-vous que le nouvel utilisateur se trouve dans "sysadmin" rôle:
```
curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/userroles/sysadmin/users
```
Renvoie l'adresse e-mail de l'utilisateur:
```
[ " foo@bar.com " ]
```

Vérifiez les autorisations du nouvel utilisateur:

curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/users/foo@bar.com/permissions

Renvoie :

{
  "resourcePermission" : [ {
  "path" : "/",
    "permissions" : [ "get", "put", "delete" ]
  } ]
}

Une fois le nouvel administrateur système ajouté, vous pouvez ajouter l'utilisateur à n'importe quelle organisation.

Remarque: Le nouvel administrateur système ne peut pas se connecter à l'interface utilisateur Edge jusqu'à ce que vous ajoutiez l'utilisateur à au moins une organisation.
Si, par la suite, vous souhaitez retirer à l'utilisateur le rôle d'administrateur système, vous pouvez utiliser le API suivante:
```
curl -X DELETE -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD \
  http://ms_IP:8080/v1/userroles/sysadmin/users/foo@bar.com
```
Notez que cet appel ne supprime que l'utilisateur du rôle. Il ne le supprime pas.

Changement de l'administrateur système par défaut utilisateur

Lorsque vous installez Edge, vous spécifiez l'adresse e-mail de l'administrateur système. Périphérie crée un utilisateur avec cette adresse e-mail et définit cet utilisateur comme système par défaut administrateur. Vous pouvez ensuite ajouter d'autres administrateurs système comme décrit ci-dessus.

Cette section explique comment changer l’administrateur système par défaut en un autre utilisateur, et comment modifier l'adresse e-mail du compte d'utilisateur pour le système par défaut actuel administrateur.

Pour afficher la liste des utilisateurs actuellement configurés en tant qu'administrateurs système, utilisez l'API suivante : appel:

curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/userroles/sysadmin/users

Pour déterminer l'administrateur système par défaut actuel, affichez les /opt/apigee/customer/defaults.sh. Le fichier contient la ligne suivante indiquant l'adresse e-mail de l'administrateur système par défaut actuel:

ADMIN_EMAIL=foo@bar.com

Pour remplacer l'administrateur système par défaut par un autre utilisateur:

Créez un administrateur système comme décrit ci-dessus ou assurez-vous que le compte d'utilisateur le nouvel administrateur système est déjà configuré en tant qu'administrateur système.
Modifier /opt/apigee/customer/defaults.sh en définissez ADMIN_EMAIL sur l'adresse e-mail du nouvel administrateur système.
Modifiez le fichier de configuration silencieuse que vous avez utilisé pour installer l'interface utilisateur Edge pour définir les éléments suivants propriétés:
```
ADMIN_EMAIL=NEW_SYS_ADMIN_EMAIL
APIGEE_ADMINPW=NEW_SYS_ADMIN_PASSWORD
SMTPHOST=smtp.gmail.com
SMTPPORT=465
SMTPUSER=foo@gmail.com
SMTPPASSWORD=bar
SMTPSSL=y
```
Notez que vous devez inclure les propriétés SMTP, car toutes les propriétés de l'interface utilisateur sont réinitialisés.

Reconfigurez l'interface utilisateur Edge:

/opt/apigee/apigee-service/bin/apigee-service edge-ui stop
/opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
/opt/apigee/apigee-service/bin/apigee-service edge-ui start

Si vous souhaitez simplement modifier l'adresse e-mail du compte d'utilisateur pour l'adresse par défaut actuelle, administrateur système, vous mettez d'abord à jour le compte utilisateur pour définir la nouvelle adresse e-mail, puis vous modifiez l'adresse e-mail de l'administrateur système par défaut:

Mettez à jour le compte utilisateur de l'administrateur système par défaut actuel avec une nouvelle adresse e-mail adresse:

curl -H content-type:application/json -X PUT -u CURRENT_SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD \
  http://ms_IP:8080/v1/users/CURRENT_SYS_ADMIN_EMAIL \
  -d '{"emailId": "NEW_SYS_ADMIN_EMAIL", "lastName": "admin", "firstName": "admin"}'

Répétez les étapes 2, 3 et 4 de la procédure précédente pour mettre à jour les /opt/apigee/customer/defaults.sh et pour mettre à jour l'interface utilisateur Edge.

Spécifier le domaine de messagerie d'un système administrateur

Pour renforcer la sécurité, vous pouvez spécifier le domaine de messagerie requis pour un système Edge administrateur. Lors de l'ajout d'un administrateur système, si l'adresse e-mail de l'utilisateur ne figure pas dans le domaine spécifié, puis en ajoutant l'utilisateur au « sysadmin » échoue.

Par défaut, le domaine requis est vide, ce qui signifie que vous pouvez ajouter n'importe quelle adresse e-mail au "administrateur système" rôle de ressource.

Pour définir le domaine de messagerie:

Ouvrez le fichier management-server.properties dans un éditeur:
```
vi /opt/apigee/customer/application/management-server.properties
```
Si ce fichier n'existe pas, créez-le.
Définir l'élément conf_security_rbac.global.roles.allowed.domains à la liste des domaines autorisés séparés par une virgule. Exemple :
```
conf_security_rbac.global.roles.allowed.domains=myCo.com,yourCo.com
```
Enregistrez les modifications.
Redémarrez le serveur de gestion Edge:
```
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
```
Si vous essayez maintenant d'ajouter un utilisateur au « sysadmin », et l'adresse e-mail de l'utilisateur ne fait pas partie de l'un des domaines spécifiés, l'ajout échoue.

Supprimer un compte utilisateur

Vous pouvez créer un utilisateur à l'aide de l'API Edge ou de l'interface utilisateur Edge. Toutefois, vous ne pouvez supprimer un utilisateur à l'aide de l'API.

Pour afficher la liste des utilisateurs actuels, y compris leur adresse e-mail, utilisez le code suivant : Commande curl:

curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms-IP:8080/v1/users

Exécutez la commande curl suivante pour supprimer un utilisateur:

curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD -X DELETE http://ms_IP:8080/v1/users/USER_EMAIL