Le site de documentation d'Apigee contient des informations détaillées sur la gestion des rôles utilisateur autorisations. Les utilisateurs peuvent être gérés à l'aide de l'interface utilisateur Edge et de l'API de gestion. rôles et les autorisations ne peuvent être gérées qu'avec l'API Management.
Pour en savoir plus sur les utilisateurs et leur création, consultez les pages suivantes:
La plupart des opérations que vous effectuez pour gérer les utilisateurs nécessitent un administrateur système de droits. Dans une installation d'Edge basée sur le cloud, Apigee joue le rôle de système administrateur. Dans une installation Edge pour Private Cloud, votre administrateur système doit d'effectuer ces tâches comme décrit ci-dessous.
Ajouter un utilisateur
Vous pouvez créer un utilisateur à l'aide de l'API Edge, de l'interface utilisateur Edge ou des commandes Edge. Ce explique comment utiliser l'API Edge et les commandes Edge. Pour savoir comment créer des utilisateurs dans le Edge d'interface utilisateur, voir Création à l'échelle mondiale.
Après avoir créé l'utilisateur dans une organisation, vous devez lui attribuer un rôle. Rôles déterminer les droits d'accès de l'utilisateur sur Edge.
Utilisez la commande suivante pour créer un utilisateur avec l'API Edge:
curl -H "Content-Type:application/xml" \ -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD -X POST http://ms_IP:8080/v1/users \ -d '<User> \ <FirstName>New</FirstName> \ <LastName>User</LastName> \ <Password>NEW_USER_PASSWORD</Password> \ <EmailId>foo@bar.com</EmailId> \ </User>'
Vous pouvez également utiliser la commande Edge suivante pour créer un utilisateur:
/opt/apigee/apigee-service/bin/apigee-service apigee-provision create-user -f configFile
Où configFile crée l'utilisateur, comme le montre l'exemple suivant:
APIGEE_ADMINPW=SYS_ADMIN_PASSWORD # If omitted, you will be prompted. USER_NAME=foo@bar.com FIRST_NAME=New LAST_NAME=User USER_PWD="NEW_USER_PASSWORD" ORG_NAME=myorg
Vous pouvez ensuite utiliser cet appel pour afficher des informations sur l'utilisateur:
curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/users/foo@bar.com
L'attribution de l'utilisateur à un rôle organisation
Pour qu'un nouvel utilisateur puisse effectuer une action, un rôle doit lui être attribué au sein d'une organisation. Toi
peuvent attribuer différents rôles à l'utilisateur, y compris orgadmin
, businessuser
,
opsadmin
, user
, ou à un rôle personnalisé défini dans l'organisation.
Lorsque vous attribuez un rôle à un utilisateur dans une organisation, il est automatiquement ajouté organisation. Affectez un utilisateur à plusieurs organisations en l'associant à un rôle dans chacune d'elles. organisation.
Utilisez la commande suivante pour attribuer un rôle à l'utilisateur dans une organisation:
curl -X POST -H "Content-Type:application/x-www-form-urlencoded" \ http://ms_IP:8080/v1/o/org_name/userroles/role/users?id=foo@bar.com \ -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD
Cet appel affiche tous les rôles attribués à l'utilisateur. Si vous souhaitez ajouter l'utilisateur, n'afficher que le nouveau rôle, utilisez l'appel suivant:
curl -X POST -H "Content-Type: application/xml" \ http://ms_IP:8080/v1/o/org_name/users/foo@bar.com/userroles \ -d '<Roles><Role name="role"/><Roles>' \ -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD
Vous pouvez afficher les rôles de l'utilisateur à l'aide de la commande suivante:
curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/users/foo@bar.com/userroles
Pour supprimer un utilisateur d'une entreprise, supprimez tous les rôles de cette organisation pour cet utilisateur. Exécutez la commande suivante pour supprimer un rôle attribué à un utilisateur:
curl -X DELETE -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD \ http://ms_IP:8080/v1/o/org_name/userroles/role/users/foo@bar.com
Ajouter un administrateur système
Un administrateur système peut:
- Créer des organisations
- Ajouter des routeurs, des processeurs de messages et d'autres composants à une installation Edge
- configurer TLS/SSL ;
- créer des administrateurs système supplémentaires ;
- Effectuer toutes les tâches d'administration Edge
Bien qu'un seul utilisateur soit désigné par défaut pour les tâches administratives, il peut y avoir plus de un administrateur système. Tout utilisateur membre du groupe « sysadmin » dispose d'un accès complet sur toutes les ressources.
Vous pouvez créer l'utilisateur pour l'administrateur système dans l'interface utilisateur ou l'API Edge. Toutefois, vous devez utiliser l'API Edge pour attribuer à l'utilisateur le rôle "sysadmin". Attribuer une utilisateur à « sysadmin » rôle ne peut pas être fait dans l'interface utilisateur Edge.
Pour ajouter un administrateur système:
- Créez un utilisateur dans l'interface utilisateur ou l'API Edge.
- Ajouter un utilisateur à "sysadmin" rôle:
curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD \ -X POST http://ms_IP:8080/v1/userroles/sysadmin/users -d 'id=foo@bar.com'
- Assurez-vous que le nouvel utilisateur se trouve dans "sysadmin" rôle:
curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/userroles/sysadmin/users
Renvoie l'adresse e-mail de l'utilisateur:
[ " foo@bar.com " ]
- Vérifiez les autorisations du nouvel utilisateur:
curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/users/foo@bar.com/permissions
Renvoie :
{ "resourcePermission" : [ { "path" : "/", "permissions" : [ "get", "put", "delete" ] } ] }
- Une fois le nouvel administrateur système ajouté, vous pouvez ajouter l'utilisateur à n'importe quelle organisation.
- Si, par la suite, vous souhaitez retirer à l'utilisateur le rôle d'administrateur système, vous pouvez utiliser le
API suivante:
curl -X DELETE -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD \ http://ms_IP:8080/v1/userroles/sysadmin/users/foo@bar.com
Notez que cet appel ne supprime que l'utilisateur du rôle. Il ne le supprime pas.
Changement de l'administrateur système par défaut utilisateur
Lorsque vous installez Edge, vous spécifiez l'adresse e-mail de l'administrateur système. Périphérie crée un utilisateur avec cette adresse e-mail et définit cet utilisateur comme système par défaut administrateur. Vous pouvez ensuite ajouter d'autres administrateurs système comme décrit ci-dessus.
Cette section explique comment changer l’administrateur système par défaut en un autre utilisateur, et comment modifier l'adresse e-mail du compte d'utilisateur pour le système par défaut actuel administrateur.
Pour afficher la liste des utilisateurs actuellement configurés en tant qu'administrateurs système, utilisez l'API suivante : appel:
curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/userroles/sysadmin/users
Pour déterminer l'administrateur système par défaut actuel, affichez les
/opt/apigee/customer/defaults.sh
. Le fichier contient la ligne suivante indiquant
l'adresse e-mail de l'administrateur système par défaut actuel:
ADMIN_EMAIL=foo@bar.com
Pour remplacer l'administrateur système par défaut par un autre utilisateur:
- Créez un administrateur système comme décrit ci-dessus ou assurez-vous que le compte d'utilisateur le nouvel administrateur système est déjà configuré en tant qu'administrateur système.
- Modifier
/opt/apigee/customer/defaults.sh
en définissezADMIN_EMAIL
sur l'adresse e-mail du nouvel administrateur système. - Modifiez le fichier de configuration silencieuse que vous avez utilisé pour installer l'interface utilisateur Edge pour définir les éléments suivants
propriétés:
ADMIN_EMAIL=NEW_SYS_ADMIN_EMAIL APIGEE_ADMINPW=NEW_SYS_ADMIN_PASSWORD SMTPHOST=smtp.gmail.com SMTPPORT=465 SMTPUSER=foo@gmail.com SMTPPASSWORD=bar SMTPSSL=y
Notez que vous devez inclure les propriétés SMTP, car toutes les propriétés de l'interface utilisateur sont réinitialisés.
- Reconfigurez l'interface utilisateur Edge:
/opt/apigee/apigee-service/bin/apigee-service edge-ui stop
/opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
/opt/apigee/apigee-service/bin/apigee-service edge-ui start
Si vous souhaitez simplement modifier l'adresse e-mail du compte d'utilisateur pour l'adresse par défaut actuelle, administrateur système, vous mettez d'abord à jour le compte utilisateur pour définir la nouvelle adresse e-mail, puis vous modifiez l'adresse e-mail de l'administrateur système par défaut:
- Mettez à jour le compte utilisateur de l'administrateur système par défaut actuel avec une nouvelle adresse e-mail
adresse:
curl -H content-type:application/json -X PUT -u CURRENT_SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD \ http://ms_IP:8080/v1/users/CURRENT_SYS_ADMIN_EMAIL \ -d '{"emailId": "NEW_SYS_ADMIN_EMAIL", "lastName": "admin", "firstName": "admin"}'
- Répétez les étapes 2, 3 et 4 de la procédure précédente pour mettre à jour les
/opt/apigee/customer/defaults.sh
et pour mettre à jour l'interface utilisateur Edge.
Spécifier le domaine de messagerie d'un système administrateur
Pour renforcer la sécurité, vous pouvez spécifier le domaine de messagerie requis pour un système Edge administrateur. Lors de l'ajout d'un administrateur système, si l'adresse e-mail de l'utilisateur ne figure pas dans le domaine spécifié, puis en ajoutant l'utilisateur au « sysadmin » échoue.
Par défaut, le domaine requis est vide, ce qui signifie que vous pouvez ajouter n'importe quelle adresse e-mail au "administrateur système" rôle de ressource.
Pour définir le domaine de messagerie:
- Ouvrez le fichier
management-server.properties
dans un éditeur:vi /opt/apigee/customer/application/management-server.properties
Si ce fichier n'existe pas, créez-le.
- Définir l'élément
conf_security_rbac.global.roles.allowed.domains
à la liste des domaines autorisés séparés par une virgule. Exemple :conf_security_rbac.global.roles.allowed.domains=myCo.com,yourCo.com
- Enregistrez les modifications.
- Redémarrez le serveur de gestion Edge:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
Si vous essayez maintenant d'ajouter un utilisateur au « sysadmin », et l'adresse e-mail de l'utilisateur ne fait pas partie de l'un des domaines spécifiés, l'ajout échoue.
Supprimer un compte utilisateur
Vous pouvez créer un utilisateur à l'aide de l'API Edge ou de l'interface utilisateur Edge. Toutefois, vous ne pouvez supprimer un utilisateur à l'aide de l'API.
Pour afficher la liste des utilisateurs actuels, y compris leur adresse e-mail, utilisez le code suivant :
Commande curl
:
curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms-IP:8080/v1/users
Exécutez la commande curl
suivante pour supprimer un utilisateur:
curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD -X DELETE http://ms_IP:8080/v1/users/USER_EMAIL