การจัดการผู้ใช้ บทบาท และสิทธิ์

เว็บไซต์เอกสารประกอบของ Apigee มีข้อมูลเพิ่มเติมเกี่ยวกับการจัดการบทบาทของผู้ใช้และ สิทธิ์ ผู้ใช้สามารถจัดการผู้ใช้ได้โดยใช้ทั้ง Edge UI และ Management API บทบาทและ จะจัดการได้ด้วย Management API เท่านั้น

สำหรับข้อมูลเกี่ยวกับผู้ใช้และการสร้างผู้ใช้ โปรดดูที่

การดำเนินการหลายอย่างที่คุณดำเนินการเพื่อจัดการผู้ใช้จำเป็นต้องใช้ผู้ดูแลระบบ สิทธิ์ สำหรับการติดตั้ง Edge ในระบบคลาวด์ Apigee จะทำหน้าที่ในบทบาทของระบบ ผู้ดูแลระบบ ใน Edge สำหรับการติดตั้ง Private Cloud ผู้ดูแลระบบจะต้อง ดำเนินการเหล่านี้ได้ตามที่อธิบายไว้ด้านล่าง

การเพิ่มผู้ใช้

คุณสร้างผู้ใช้ได้โดยใช้ Edge API, คำสั่ง Edge UI หรือ Edge ช่วงเวลานี้ ส่วนอธิบายวิธีใช้ Edge API และคำสั่ง Edge สำหรับข้อมูลเกี่ยวกับการสร้างผู้ใช้ใน Edge UI โปรดดูการสร้าง ผู้ใช้ทั่วโลก

หลังจากสร้างผู้ใช้ในองค์กรแล้ว คุณต้องมอบหมายบทบาทให้กับผู้ใช้ บทบาท กำหนดสิทธิ์การเข้าถึงของผู้ใช้ใน Edge

ใช้คำสั่งต่อไปนี้เพื่อสร้างผู้ใช้ด้วย Edge API

curl -H "Content-Type:application/xml" \
  -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD -X POST http://ms_IP:8080/v1/users \
  -d '<User> \
    <FirstName>New</FirstName> \
    <LastName>User</LastName> \
    <Password>NEW_USER_PASSWORD</Password> \
    <EmailId>foo@bar.com</EmailId> \
  </User>'

หรือใช้คำสั่ง Edge ต่อไปนี้เพื่อสร้างผู้ใช้

/opt/apigee/apigee-service/bin/apigee-service apigee-provision create-user -f configFile

ตำแหน่งที่ configFile สร้างผู้ใช้ ตามตัวอย่างต่อไปนี้

APIGEE_ADMINPW=SYS_ADMIN_PASSWORD    # If omitted, you will be prompted.
USER_NAME=foo@bar.com
FIRST_NAME=New
LAST_NAME=User
USER_PWD="NEW_USER_PASSWORD"
ORG_NAME=myorg

จากนั้นคุณจะใช้การโทรนี้เพื่อดูข้อมูลเกี่ยวกับผู้ใช้ได้โดยทำดังนี้

curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/users/foo@bar.com

การมอบหมายบทบาทให้กับผู้ใช้ใน องค์กร

ก่อนที่ผู้ใช้ใหม่จะดำเนินการใดๆ ได้ ผู้ใช้จะต้องได้รับมอบหมายบทบาทในองค์กร คุณ กำหนดบทบาทต่างๆ ให้แก่ผู้ใช้ได้ รวมถึง: orgadmin, businessuser opsadmin, user หรือบทบาทที่กำหนดเองซึ่งกำหนดในองค์กร

การมอบหมายบทบาทในองค์กรให้กับผู้ใช้จะเป็นการเพิ่มผู้ใช้รายนั้นลงในส่วน องค์กร มอบหมายผู้ใช้ให้กับหลายองค์กรโดยการมอบหมายบทบาทใน องค์กร

ใช้คำสั่งต่อไปนี้เพื่อมอบหมายบทบาทในองค์กรให้กับผู้ใช้

curl -X POST -H "Content-Type:application/x-www-form-urlencoded" \
  http://ms_IP:8080/v1/o/org_name/userroles/role/users?id=foo@bar.com \
  -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD

การเรียกนี้จะแสดงบทบาททั้งหมดที่มอบหมายให้กับผู้ใช้ หากคุณต้องการเพิ่มผู้ใช้ แต่ แสดงเฉพาะบทบาทใหม่ ใช้การเรียกต่อไปนี้:

curl -X POST -H "Content-Type: application/xml" \
  http://ms_IP:8080/v1/o/org_name/users/foo@bar.com/userroles \
  -d '<Roles><Role name="role"/><Roles>' \
  -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD

คุณจะดูบทบาทของผู้ใช้ได้โดยใช้คำสั่งต่อไปนี้

curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/users/foo@bar.com/userroles

หากต้องการนำผู้ใช้ออกจากองค์กร ให้นำบทบาททั้งหมดในองค์กรนั้นออกจากผู้ใช้ ใช้คำสั่งต่อไปนี้เพื่อนำบทบาทออกจากผู้ใช้

curl -X DELETE -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD \
  http://ms_IP:8080/v1/o/org_name/userroles/role/users/foo@bar.com

การเพิ่มผู้ดูแลระบบ

ผู้ดูแลระบบสามารถทำสิ่งต่อไปนี้

  • สร้างองค์กร
  • เพิ่มเราเตอร์, Message Processor และคอมโพเนนต์อื่นๆ ในการติดตั้ง Edge
  • กำหนดค่า TLS/SSL
  • สร้างผู้ดูแลระบบเพิ่มเติม
  • ทำงานการดูแลระบบ Edge ทั้งหมด

แม้ว่าจะมีผู้ใช้เพียงคนเดียวเท่านั้นที่เป็นผู้ใช้เริ่มต้นสำหรับงานดูแลระบบ แต่อาจมีมากกว่า ผู้ดูแลระบบ 1 คน ผู้ใช้ทุกคนที่เป็นสมาชิกของ "sysadmin" มีบทบาทเต็มแล้ว สิทธิ์สำหรับทรัพยากรทั้งหมด

คุณสร้างผู้ใช้สำหรับผู้ดูแลระบบได้ใน Edge UI หรือ API อย่างไรก็ตาม คุณต้องใช้ Edge API เพื่อมอบหมายบทบาท "sysadmin" ให้กับผู้ใช้ การมอบหมาย ผู้ใช้ไปยัง "ผู้ดูแลระบบ" ไม่สามารถทำได้ใน Edge UI

ในการเพิ่มผู้ดูแลระบบ ให้ทำดังนี้

  1. สร้างผู้ใช้ใน Edge UI หรือ API
  2. เพิ่มผู้ใช้ใน "sysadmin" บทบาท:
    curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD \
      -X POST http://ms_IP:8080/v1/userroles/sysadmin/users -d 'id=foo@bar.com'
  3. ตรวจสอบว่าผู้ใช้ใหม่อยู่ใน "sysadmin" บทบาท:
    curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/userroles/sysadmin/users

    แสดงอีเมลของผู้ใช้

    [ " foo@bar.com " ]
  4. ตรวจสอบสิทธิ์ของผู้ใช้ใหม่:
    curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/users/foo@bar.com/permissions

    ค่าที่ส่งคืน:

    {
      "resourcePermission" : [ {
      "path" : "/",
        "permissions" : [ "get", "put", "delete" ]
      } ]
    }
  5. หลังจากเพิ่มผู้ดูแลระบบคนใหม่แล้ว คุณสามารถเพิ่มผู้ใช้ลงในองค์กรใดก็ได้
  6. หากคุณต้องการนำผู้ใช้ออกจากบทบาทผู้ดูแลระบบระบบในภายหลัง คุณสามารถใช้ API ต่อไปนี้:
    curl -X DELETE -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD \
      http://ms_IP:8080/v1/userroles/sysadmin/users/foo@bar.com

    โปรดทราบว่าการโทรนี้จะนำผู้ใช้ออกจากบทบาทเท่านั้น ไม่ได้ลบผู้ใช้

การเปลี่ยนผู้ดูแลระบบเริ่มต้น ผู้ใช้

เมื่อคุณติดตั้ง Edge คุณต้องระบุอีเมลของผู้ดูแลระบบ ขอบ สร้างผู้ใช้ที่มีอีเมลนั้นและตั้งค่าให้ผู้ใช้รายนั้นเป็นระบบเริ่มต้น ผู้ดูแลระบบ คุณสามารถเพิ่มผู้ดูแลระบบอื่นได้ในภายหลังดังที่อธิบายไว้ข้างต้น

หัวข้อนี้จะอธิบายวิธีเปลี่ยนผู้ดูแลระบบเริ่มต้นเป็นผู้ใช้รายอื่น และวิธีเปลี่ยนที่อยู่อีเมลของบัญชีผู้ใช้สำหรับระบบเริ่มต้นปัจจุบัน ผู้ดูแลระบบ

หากต้องการดูรายชื่อผู้ใช้ที่กำหนดค่าเป็นผู้ดูแลระบบในปัจจุบัน ให้ใช้ API ต่อไปนี้ โทร:

curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/userroles/sysadmin/users

หากต้องการหาผู้ดูแลระบบเริ่มต้นในปัจจุบัน ให้ดู /opt/apigee/customer/defaults.sh ไฟล์ ไฟล์มีบรรทัดต่อไปนี้ที่แสดง ที่อยู่อีเมลของผู้ดูแลระบบเริ่มต้นปัจจุบัน:

ADMIN_EMAIL=foo@bar.com

วิธีเปลี่ยนผู้ดูแลระบบเริ่มต้นเป็นผู้ใช้รายอื่น

  1. สร้างผู้ดูแลระบบใหม่ตามที่อธิบายไว้ข้างต้น หรือตรวจสอบว่าบัญชีผู้ใช้ของ กำหนดค่าผู้ดูแลระบบใหม่เป็นผู้ดูแลระบบแล้ว
  2. แก้ไข /opt/apigee/customer/defaults.sh เป็น ตั้งค่า ADMIN_EMAIL เป็นที่อยู่อีเมลของผู้ดูแลระบบใหม่
  3. แก้ไขไฟล์การกำหนดค่าแบบเงียบที่คุณใช้ติดตั้ง Edge UI เพื่อตั้งค่าต่อไปนี้ พร็อพเพอร์ตี้:
    ADMIN_EMAIL=NEW_SYS_ADMIN_EMAIL
    APIGEE_ADMINPW=NEW_SYS_ADMIN_PASSWORD
    SMTPHOST=smtp.gmail.com
    SMTPPORT=465
    SMTPUSER=foo@gmail.com
    SMTPPASSWORD=bar
    SMTPSSL=y

    โปรดทราบว่าคุณต้องรวมพร็อพเพอร์ตี้ SMTP ไว้ด้วย เนื่องจากพร็อพเพอร์ตี้ทั้งหมดใน UI รีเซ็ต

  4. กำหนดค่า Edge UI ใหม่ดังนี้
    /opt/apigee/apigee-service/bin/apigee-service edge-ui stop
    /opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
    /opt/apigee/apigee-service/bin/apigee-service edge-ui start

หากคุณเพียงต้องการเปลี่ยนที่อยู่อีเมลของบัญชีผู้ใช้สำหรับค่าเริ่มต้นปัจจุบัน ผู้ดูแลระบบ คุณต้องอัปเดตบัญชีผู้ใช้เพื่อตั้งค่าที่อยู่อีเมลใหม่ก่อน จากนั้นจึงเปลี่ยน ที่อยู่อีเมลเริ่มต้นของผู้ดูแลระบบ:

  1. อัปเดตบัญชีผู้ใช้ของผู้ใช้ของผู้ดูแลระบบเริ่มต้นรายปัจจุบันด้วยอีเมลใหม่ ที่อยู่:
    curl -H content-type:application/json -X PUT -u CURRENT_SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD \
      http://ms_IP:8080/v1/users/CURRENT_SYS_ADMIN_EMAIL \
      -d '{"emailId": "NEW_SYS_ADMIN_EMAIL", "lastName": "admin", "firstName": "admin"}'
  2. ทำซ้ำขั้นตอนที่ 2, 3. และ 4 จากขั้นตอนก่อนหน้าเพื่ออัปเดต /opt/apigee/customer/defaults.sh และเพื่ออัปเดต UI ของ Edge

การระบุโดเมนอีเมลของระบบ ผู้ดูแลระบบ

คุณสามารถระบุโดเมนอีเมลที่ต้องการของระบบ Edge ได้เพื่อเพิ่มระดับการรักษาความปลอดภัย ผู้ดูแลระบบ เมื่อเพิ่มผู้ดูแลระบบ หากอีเมลของผู้ใช้ไม่ได้อยู่ใน โดเมนที่ระบุ จากนั้นเพิ่มผู้ใช้ไปยัง "sysadmin" บทบาทล้มเหลว

โดเมนที่จำเป็นจะว่างเปล่าโดยค่าเริ่มต้น ซึ่งหมายความว่าคุณสามารถเพิ่มอีเมลใดๆ ลงใน "ผู้ดูแลระบบ"

วิธีตั้งค่าโดเมนอีเมล

  1. เปิดไฟล์ management-server.properties ในตัวแก้ไข
    vi /opt/apigee/customer/application/management-server.properties

    หากไม่มี ให้สร้างไฟล์นี้

  2. ตั้งค่าconf_security_rbac.global.roles.allowed.domains ลงในรายการโดเมนที่อนุญาตซึ่งคั่นด้วยคอมมา เช่น
    conf_security_rbac.global.roles.allowed.domains=myCo.com,yourCo.com
  3. บันทึกการเปลี่ยนแปลง
  4. รีสตาร์ท Edge Management Server ด้วยคำสั่งต่อไปนี้
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

    ถ้าคุณพยายามเพิ่มผู้ใช้ใน "sysadmin" และอีเมลของผู้ใช้ ไม่ได้อยู่ในโดเมนที่ระบุ การเพิ่มล้มเหลว

การลบผู้ใช้

คุณสร้างผู้ใช้ได้โดยใช้ Edge API หรือ Edge UI อย่างไรก็ตาม คุณสามารถ ลบผู้ใช้โดยใช้ API

หากต้องการดูรายชื่อผู้ใช้ปัจจุบันและที่อยู่อีเมล ให้ใช้รายการต่อไปนี้ คำสั่ง curl:

curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms-IP:8080/v1/users

ใช้คำสั่ง curl ต่อไปนี้เพื่อลบผู้ใช้

curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD -X DELETE http://ms_IP:8080/v1/users/USER_EMAIL