تمت ترجمة هذه الصفحة بواسطة Cloud Translation API‏.

إدارة المستخدمين والأدوار والأذونات

يحتوي موقع مستندات Apigee الإلكتروني على معلومات شاملة حول إدارة أدوار المستخدمين وأذوناتهم. يمكن إدارة المستخدمين باستخدام كل من واجهة مستخدم Edge وManagement API، ولا يمكن إدارة الأدوار والأذونات إلا باستخدام Management API.

للحصول على معلومات عن المستخدمين وإنشاء المستخدمين، راجع:

إنّ العديد من العمليات التي تجريها لإدارة المستخدمين تتطلّب امتيازات مشرف النظام. في عملية تثبيت Edge المستنِدة إلى السحابة الإلكترونية، تعمل Apigee بدور مشرف النظام. في متصفح Edge الخاص بتثبيت Private Cloud، يجب على مشرف النظام لديك تنفيذ هذه المهام كما هو موضح أدناه.

إضافة مستخدم

يمكنك إنشاء حساب مستخدم إما باستخدام واجهة برمجة تطبيقات Edge أو واجهة مستخدم Edge أو أوامر Edge. يوضّح هذا القسم كيفية استخدام أوامر Edge API وEdge. للحصول على معلومات عن إنشاء المستخدمين في واجهة مستخدم Edge، يمكنك الاطّلاع على إنشاء مستخدمين عموميين.

بعد إنشاء مستخدم في مؤسسة، يجب تعيين دور للمستخدم. وتحدد الأدوار حقوق وصول المستخدم على Edge.

استخدِم الأمر التالي لإنشاء حساب مستخدم من خلال Edge API:

curl -H "Content-Type:application/xml" \
  -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD -X POST http://ms_IP:8080/v1/users \
  -d '<User> \
    <FirstName>New</FirstName> \
    <LastName>User</LastName> \
    <Password>NEW_USER_PASSWORD</Password> \
    <EmailId>foo@bar.com</EmailId> \
  </User>'

أو استخدم أمر Edge التالي لإنشاء مستخدم:

/opt/apigee/apigee-service/bin/apigee-service apigee-provision create-user -f configFile

المكان الذي ينشئ فيه configFile المستخدم، كما يوضِّح المثال التالي:

APIGEE_ADMINPW=SYS_ADMIN_PASSWORD    # If omitted, you will be prompted.
USER_NAME=foo@bar.com
FIRST_NAME=New
LAST_NAME=User
USER_PWD="NEW_USER_PASSWORD"
ORG_NAME=myorg

يمكنك بعد ذلك استخدام هذه المكالمة لعرض معلومات عن المستخدم:

curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/users/foo@bar.com

تعيين المستخدم لدور في مؤسسة

قبل أن يتمكن المستخدم الجديد من القيام بأي شيء، يجب أن يتم إسناده لدور في المؤسسة. ويمكنك إسناد أدوار مختلفة إلى المستخدم، من بينها: orgadmin أو businessuser أو opsadmin أو user أو إلى دور مخصّص تم تحديده في المؤسسة.

يؤدي تعيين مستخدم لدور في مؤسسة إلى إضافة هذا المستخدم تلقائيًا إلى المؤسسة. يمكنك تحديد مستخدم للعديد من المؤسسات من خلال منحه دورًا في كل مؤسسة.

استخدِم الأمر التالي لتعيين دور في مؤسسة للمستخدم:

curl -X POST -H "Content-Type:application/x-www-form-urlencoded" \
  http://ms_IP:8080/v1/o/org_name/userroles/role/users?id=foo@bar.com \
  -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD

تعرض هذه المكالمة جميع الأدوار التي تم تعيينها للمستخدم. إذا كنت تريد إضافة المستخدم مع عرض الدور الجديد فقط، استخدِم الطلب التالي:

curl -X POST -H "Content-Type: application/xml" \
  http://ms_IP:8080/v1/o/org_name/users/foo@bar.com/userroles \
  -d '<Roles><Role name="role"/><Roles>' \
  -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD

يمكنك الاطّلاع على أدوار المستخدِم باستخدام الأمر التالي:

curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/users/foo@bar.com/userroles

ولإزالة مستخدم من مؤسسة، يمكنك إزالة جميع الأدوار في تلك المؤسسة من المستخدم. استخدِم الأمر التالي لإزالة دور من المستخدم:

curl -X DELETE -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD \
  http://ms_IP:8080/v1/o/org_name/userroles/role/users/foo@bar.com

إضافة مشرف نظام

يمكن لمشرف النظام إجراء ما يلي:

إنشاء مؤسسات
إضافة أجهزة التوجيه ومعالِجات الرسائل ومكونات أخرى إلى إحدى عمليات تثبيت Edge
تهيئة بروتوكول أمان طبقة النقل (TLS)/طبقة المقابس الآمنة (SSL)
إنشاء مشرفين إضافيين للنظام
تنفيذ جميع المهام الإدارية في Edge

يكون المستخدم التلقائي للمهام الإدارية هو مستخدم واحد فقط، ولكن يمكن أن يكون هناك أكثر من مشرف نظام واحد. وتكون لدى أي مستخدم عضو في دور "مسؤول إدارة النظم" أذونات كاملة للوصول إلى جميع الموارد.

يمكنك إنشاء حساب المستخدم لمشرف النظام إما من خلال واجهة مستخدم Edge أو واجهة برمجة التطبيقات. ومع ذلك، يجب استخدام واجهة برمجة تطبيقات Edge لتعيين المستخدم إلى دور "مسؤول إدارة النظم". لا يمكن أن يتم إسناد مستخدم إلى دور "مشرف النظم" في واجهة مستخدم Edge.

لإضافة مشرف نظام:

أنشئ مستخدمًا في واجهة مستخدم أو واجهة برمجة تطبيقات Edge.

إضافة مستخدم إلى دور "مشرف النظام":

curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD \
  -X POST http://ms_IP:8080/v1/userroles/sysadmin/users -d 'id=foo@bar.com'

تأكَّد من أن المستخدم الجديد في دور "مشرف النظم":
```
curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/userroles/sysadmin/users
```
تعرض عنوان البريد الإلكتروني للمستخدم:
```
[ " foo@bar.com " ]
```

التحقق من أذونات المستخدم الجديد:

curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/users/foo@bar.com/permissions

المرتجعات:

{
  "resourcePermission" : [ {
  "path" : "/",
    "permissions" : [ "get", "put", "delete" ]
  } ]
}

بعد إضافة مشرف النظام الجديد، يمكنك إضافة المستخدم إلى أي مؤسسة.

ملاحظة: لا يمكن للمستخدم مشرف النظام الجديد تسجيل الدخول إلى واجهة مستخدم Edge حتى تضيف المستخدم إلى مؤسسة واحدة على الأقل.
إذا أردت لاحقًا إزالة المستخدم من دور مشرف النظام، يمكنك استخدام واجهة برمجة التطبيقات التالية:
```
curl -X DELETE -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD \
  http://ms_IP:8080/v1/userroles/sysadmin/users/foo@bar.com
```
تجدر الإشارة إلى أنّ هذه المكالمة تزيل المستخدم من الدور فقط، ولا تحذف المستخدم.

تغيير حساب مشرف النظام التلقائي

عند تثبيت Edge، يمكنك تحديد عنوان البريد الإلكتروني لمشرف النظام. ينشئ Edge مستخدمًا بعنوان البريد الإلكتروني هذا، ويضبط هذا المستخدم ليكون مشرف النظام التلقائي. يمكنك في وقت لاحق إضافة المزيد من مشرفي النظام كما هو موضّح أعلاه.

يشرح هذا القسم طريقة تغيير مشرف النظام التلقائي ليصبح مستخدمًا مختلفًا، وكيفية تغيير عنوان البريد الإلكتروني لحساب المستخدم الخاص بمشرف النظام التلقائي الحالي.

للاطّلاع على قائمة بالمستخدمين الذين تم ضبط إعداداتهم حاليًا كمشرفين للنظام، استخدِم طلب البيانات التالي من واجهة برمجة التطبيقات:

curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/userroles/sysadmin/users

لتحديد مشرف النظام التلقائي الحالي، يمكنك الاطّلاع على ملف /opt/apigee/customer/defaults.sh. يتضمّن الملف السطر التالي الذي يعرض عنوان البريد الإلكتروني لمشرف النظام التلقائي الحالي:

ADMIN_EMAIL=foo@bar.com

لتغيير مشرف النظام التلقائي ليكون مستخدمًا مختلفًا:

أنشِئ مشرف نظام جديدًا كما هو موضّح أعلاه، أو احرص على أن يكون حساب المستخدم الخاص بمشرف النظام الجديد قد تم ضبطه على أنّه مشرف نظام.
عليك تعديل /opt/apigee/customer/defaults.sh لضبط ADMIN_EMAIL على عنوان البريد الإلكتروني لمشرف النظام الجديد.
عدِّل ملف الإعداد الصامت الذي استخدمته لتثبيت واجهة مستخدم Edge لضبط السمات التالية:
```
ADMIN_EMAIL=NEW_SYS_ADMIN_EMAIL
APIGEE_ADMINPW=NEW_SYS_ADMIN_PASSWORD
SMTPHOST=smtp.gmail.com
SMTPPORT=465
SMTPUSER=foo@gmail.com
SMTPPASSWORD=bar
SMTPSSL=y
```
يُرجى ملاحظة أنّه يجب تضمين سمات SMTP لأنه تتم إعادة ضبط جميع الخصائص على واجهة المستخدم.

إعادة ضبط واجهة مستخدم Edge:

/opt/apigee/apigee-service/bin/apigee-service edge-ui stop
/opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
/opt/apigee/apigee-service/bin/apigee-service edge-ui start

إذا أردت فقط تغيير عنوان البريد الإلكتروني لحساب المستخدم الخاص بمشرف النظام التلقائي الحالي، يجب أولاً تحديث حساب المستخدم لضبط عنوان البريد الإلكتروني الجديد، ثم تغيير عنوان البريد الإلكتروني التلقائي لمشرف النظام:

يمكنك تحديث حساب المستخدم الخاص بمشرف النظام التلقائي الحالي باستخدام عنوان بريد إلكتروني جديد:

curl -H content-type:application/json -X PUT -u CURRENT_SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD \
  http://ms_IP:8080/v1/users/CURRENT_SYS_ADMIN_EMAIL \
  -d '{"emailId": "NEW_SYS_ADMIN_EMAIL", "lastName": "admin", "firstName": "admin"}'

كرِّر الخطوات 2 و3. و4 من الإجراء السابق لتعديل ملف /opt/apigee/customer/defaults.sh وتعديل واجهة مستخدم Edge.

تحديد نطاق البريد الإلكتروني لمشرف النظام

كمستوى إضافي من الأمان، يمكنك تحديد نطاق البريد الإلكتروني المطلوب لمشرف نظام Edge. عند إضافة مشرف نظام، إذا لم يكن عنوان البريد الإلكتروني للمستخدم في النطاق المحدد، ستفشل إضافة المستخدم إلى دور "مسؤول إدارة النظم".

يكون النطاق المطلوب فارغًا تلقائيًا، ما يعني أنّه يمكنك إضافة أي عنوان بريد إلكتروني إلى دور "مشرف النظم".

لإعداد نطاق البريد الإلكتروني:

افتح ملف management-server.properties في محرِّر:
```
vi /opt/apigee/customer/application/management-server.properties
```
إذا لم يكن هذا الملف موجودًا، فأنشئه.
اضبط السمة conf_security_rbac.global.roles.allowed.domains على قائمة النطاقات المسموح بها المفصولة بفواصل. مثلاً:
```
conf_security_rbac.global.roles.allowed.domains=myCo.com,yourCo.com
```
احفظ التغييرات.
أعِد تشغيل خادم إدارة Edge:
```
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
```
إذا حاولت الآن إضافة مستخدم إلى دور "مسؤول إدارة النظم"، وكان عنوان البريد الإلكتروني للمستخدم لا يقع في أحد النطاقات المحددة، لن تنجح عملية الإضافة.

حذف مستخدم

يمكنك إنشاء حساب مستخدم إما عن طريق استخدام واجهة برمجة تطبيقات Edge أو واجهة مستخدم Edge. ومع ذلك، لا يمكنك حذف المستخدم إلّا باستخدام واجهة برمجة التطبيقات.

للاطّلاع على قائمة المستخدمين الحاليين، بما في ذلك عنوان البريد الإلكتروني، استخدِم الأمر curl التالي:

curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms-IP:8080/v1/users

استخدِم الأمر curl التالي لحذف مستخدم:

curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD -X DELETE http://ms_IP:8080/v1/users/USER_EMAIL