Na stronie z dokumentacją Apigee znajdziesz obszerne informacje o zarządzaniu rolami i uprawnieniami użytkowników. Użytkownikami można zarządzać zarówno za pomocą interfejsu Edge, jak i interfejsu Management API. Rolami i uprawnieniami można zarządzać tylko za pomocą interfejsu Management API.
Informacje o użytkownikach i ich tworzeniu znajdziesz w tych artykułach:
Wiele operacji związanych z zarządzaniem użytkownikami wymaga uprawnień administratora systemu. W instalacji Edge w chmurze Apigee pełni rolę administratora systemu. W przypadku instalacji Edge dla chmury prywatnej administrator systemu musi wykonać te zadania w sposób opisany poniżej.
Dodawanie użytkownika
Użytkownika możesz utworzyć przy użyciu interfejsu Edge API, interfejsu Edge lub poleceń Edge. W tej sekcji dowiesz się, jak korzystać z poleceń Edge API i Edge. Informacje o tworzeniu użytkowników w interfejsie użytkownika Edge znajdziesz w artykule o tworzeniu użytkowników globalnych.
Po utworzeniu użytkownika w organizacji musisz przypisać mu rolę. Role określają uprawnienia dostępu użytkownika w Edge.
Aby utworzyć użytkownika za pomocą interfejsu Edge API, użyj tego polecenia:
curl -H "Content-Type:application/xml" \
-u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD -X POST http://ms_IP:8080/v1/users \
-d '<User> \
<FirstName>New</FirstName> \
<LastName>User</LastName> \
<Password>NEW_USER_PASSWORD</Password> \
<EmailId>foo@bar.com</EmailId> \
</User>'
Możesz też utworzyć użytkownika za pomocą tego polecenia Edge:
/opt/apigee/apigee-service/bin/apigee-service apigee-provision create-user -f configFile
Gdzie configFile tworzy użytkownika, jak pokazano w tym przykładzie:
APIGEE_ADMINPW=SYS_ADMIN_PASSWORD # If omitted, you will be prompted. USER_NAME=foo@bar.com FIRST_NAME=New LAST_NAME=User USER_PWD="NEW_USER_PASSWORD" ORG_NAME=myorg
Następnie możesz użyć tego połączenia, aby wyświetlić informacje o użytkowniku:
curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/users/foo@bar.com
Przypisanie użytkownikowi roli w organizacji
Zanim nowy użytkownik będzie mógł cokolwiek zrobić, musi mieć przypisaną rolę w organizacji. Możesz przypisać użytkownikowi różne role, w tym: orgadmin, businessuser, opsadmin i user, a także do roli niestandardowej zdefiniowanej w organizacji.
Przypisanie użytkownikowi roli w organizacji powoduje automatyczne dodanie go do organizacji. Przypisz użytkownika do wielu organizacji, przypisując mu rolę w każdej z nich.
Za pomocą tego polecenia przypisz użytkownikowi rolę w organizacji:
curl -X POST -H "Content-Type:application/x-www-form-urlencoded" \ http://ms_IP:8080/v1/o/org_name/userroles/role/users?id=foo@bar.com \ -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD
To wywołanie zawiera wszystkie role przypisane do użytkownika. Jeśli chcesz dodać użytkownika, ale wyświetlać tylko nową rolę, użyj tego wywołania:
curl -X POST -H "Content-Type: application/xml" \ http://ms_IP:8080/v1/o/org_name/users/foo@bar.com/userroles \ -d '<Roles><Role name="role"/><Roles>' \ -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD
Role użytkownika możesz wyświetlić, używając tego polecenia:
curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/users/foo@bar.com/userroles
Aby usunąć użytkownika z organizacji, odbierz mu wszystkie role w tej organizacji. Aby usunąć rolę z konta użytkownika, użyj tego polecenia:
curl -X DELETE -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD \ http://ms_IP:8080/v1/o/org_name/userroles/role/users/foo@bar.com
Dodawanie administratora systemu
Administrator systemu może:
- Utwórz organizacje
- Dodawanie routerów, procesorów wiadomości i innych komponentów do instalacji brzegowej
- Konfigurowanie TLS/SSL
- Utwórz dodatkowych administratorów systemu
- Wykonywanie wszystkich zadań administracyjnych Edge
Domyślnym użytkownikiem do wykonywania zadań administracyjnych może być tylko 1 użytkownik, ale może nim być więcej niż 1 administrator systemu. Każdy użytkownik z rolą „sysadmin” ma pełne uprawnienia do wszystkich zasobów.
Użytkownika dla administratora systemu możesz utworzyć w interfejsie użytkownika Edge lub interfejsie API. Musisz jednak przypisać użytkownikowi rolę „sysadmin” za pomocą interfejsu Edge API. W interfejsie użytkownika Edge nie można przypisać roli „sysadmin”.
Aby dodać administratora systemu:
- Utwórz użytkownika w interfejsie użytkownika Edge lub interfejsie API Edge.
- Dodaj użytkownika do roli „sysadmin”:
curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD \ -X POST http://ms_IP:8080/v1/userroles/sysadmin/users -d 'id=foo@bar.com'
- Sprawdź, czy nowy użytkownik ma przypisaną rolę „sysadmin”:
curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/userroles/sysadmin/users
Zwraca adres e-mail użytkownika:
[ " foo@bar.com " ]
- Sprawdź uprawnienia nowego użytkownika:
curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/users/foo@bar.com/permissions
Zwroty:
{ "resourcePermission" : [ { "path" : "/", "permissions" : [ "get", "put", "delete" ] } ] } - Po dodaniu nowego administratora systemu możesz dodać użytkownika do dowolnej organizacji.
- Jeśli później zechcesz odebrać użytkownikowi rolę administratora systemu, możesz użyć tego interfejsu API:
curl -X DELETE -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD \ http://ms_IP:8080/v1/userroles/sysadmin/users/foo@bar.com
Pamiętaj, że to wywołanie spowoduje jedynie usunięcie użytkownika z roli – nie usunie go.
Zmiana domyślnego administratora systemu
Podczas instalowania Edge musisz podać adres e-mail administratora systemu. Edge utworzy użytkownika z tym adresem e-mail i ustawi go jako domyślnego administratora systemu. Później możesz dodać kolejnych administratorów systemu w sposób opisany powyżej.
W tej sekcji opisaliśmy, jak zmienić domyślnego administratora systemu na innego użytkownika oraz jak zmienić adres e-mail konta użytkownika dla obecnego domyślnego administratora systemu.
Aby wyświetlić listę użytkowników skonfigurowanych obecnie jako administratorzy systemu, użyj tego wywołania interfejsu API:
curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/userroles/sysadmin/users
Aby określić obecnego domyślnego administratora systemu, wyświetl plik /opt/apigee/customer/defaults.sh. Plik zawiera ten wiersz z adresem e-mail obecnego domyślnego administratora systemu:
ADMIN_EMAIL=foo@bar.com
Aby zmienić domyślnego administratora systemu na innego użytkownika:
- Utwórz nowego administratora systemu w sposób opisany powyżej lub sprawdź, czy konto użytkownika nowego administratora systemu jest już skonfigurowane jako administrator systemu.
- Edytuj
/opt/apigee/customer/defaults.sh, aby ustawićADMIN_EMAILna adres e-mail nowego administratora systemu. - Edytuj cichy plik konfiguracyjny użyty do zainstalowania interfejsu Edge do ustawienia tych właściwości:
ADMIN_EMAIL=NEW_SYS_ADMIN_EMAIL APIGEE_ADMINPW=NEW_SYS_ADMIN_PASSWORD SMTPHOST=smtp.gmail.com SMTPPORT=465 SMTPUSER=foo@gmail.com SMTPPASSWORD=bar SMTPSSL=y
Pamiętaj, że musisz uwzględnić właściwości SMTP, ponieważ wszystkie właściwości w interfejsie są resetowane.
- Ponownie skonfiguruj interfejs Edge:
/opt/apigee/apigee-service/bin/apigee-service edge-ui stop
/opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile/opt/apigee/apigee-service/bin/apigee-service edge-ui start
Jeśli chcesz tylko zmienić adres e-mail obecnego domyślnego administratora systemu, najpierw zaktualizuj konto użytkownika, aby ustawić nowy adres e-mail, a następnie zmień domyślny adres e-mail administratora systemu:
- Zaktualizuj konto obecnego domyślnego administratora systemu, podając nowy adres e-mail:
curl -H content-type:application/json -X PUT -u CURRENT_SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD \ http://ms_IP:8080/v1/users/CURRENT_SYS_ADMIN_EMAIL \ -d '{"emailId": "NEW_SYS_ADMIN_EMAIL", "lastName": "admin", "firstName": "admin"}' - Powtórz kroki 2, 3. i 4 z poprzedniej procedury, aby zaktualizować plik
/opt/apigee/customer/defaults.shi interfejs Edge.
Określanie domeny e-mail administratora systemu
W ramach dodatkowego poziomu bezpieczeństwa możesz określić wymaganą domenę poczty e-mail administratora systemu Edge. Jeśli podczas dodawania administratora systemu adres e-mail użytkownika nie znajduje się w określonej domenie, dodanie użytkownika do roli „sysadmin” zakończy się niepowodzeniem.
Domyślnie wymagana domena jest pusta, co oznacza, że do roli „sysadmin” możesz dodać dowolny adres e-mail.
Aby ustawić domenę e-mail:
- Otwórz plik
management-server.propertiesw edytorze:vi /opt/apigee/customer/application/management-server.properties
Jeśli ten plik nie istnieje, utwórz go.
- We właściwości
conf_security_rbac.global.roles.allowed.domainsustaw listę dozwolonych domen rozdzielonych przecinkami. Przykład:conf_security_rbac.global.roles.allowed.domains=myCo.com,yourCo.com
- Zapisz zmiany.
- Ponownie uruchom serwer zarządzania brzegowymi:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
Jeśli teraz spróbujesz dodać użytkownika do roli „sysadmin”, a jego adres e-mail nie należy do żadnej ze wskazanych domen, dodawanie użytkownika się nie uda.
Usuwanie konta użytkownika
Użytkownika możesz utworzyć przy użyciu interfejsu Edge API lub Edge. Konto użytkownika można jednak usunąć tylko przy użyciu interfejsu API.
Aby wyświetlić listę bieżących użytkowników wraz z adresami e-mail, użyj tego polecenia curl:
curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms-IP:8080/v1/users
Aby usunąć użytkownika, użyj tego polecenia curl:
curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD -X DELETE http://ms_IP:8080/v1/users/USER_EMAIL