Kullanıcıları, rolleri ve izinleri yönetme

Apigee belgeleri sitesinde kullanıcı rollerini ve izinlerini yönetme hakkında kapsamlı bilgiler bulunur. Kullanıcılar hem Edge kullanıcı arayüzü hem de Management API kullanılarak yönetilebilir. Roller ve izinler yalnızca Management API ile yönetilebilir.

Kullanıcılar ve kullanıcı oluşturma hakkında bilgi için aşağıdaki makalelere bakın:

• Dünya genelindeki kullanıcılar hakkında
• Global kullanıcılar oluşturma

Kullanıcıları yönetmek için gerçekleştirdiğiniz işlemlerin çoğu sistem yöneticisi ayrıcalıkları gerektirir. Edge'in bulut tabanlı kurulumunda Apigee, sistem yöneticisi rolünü üstlenir. Private Cloud yüklemesi için bir Edge'de sistem yöneticinizin bu görevleri aşağıda açıklanan şekilde gerçekleştirmesi gerekir.

Kullanıcı ekleme

Edge API'yi, Edge kullanıcı arayüzünü veya Edge komutlarını kullanarak kullanıcı oluşturabilirsiniz. Bu bölümde, Edge API ve Edge komutlarının nasıl kullanılacağı açıklanmaktadır. Edge kullanıcı arayüzünde kullanıcı oluşturma hakkında bilgi edinmek için Genel kullanıcılar oluşturma bölümüne bakın.

Kullanıcıyı bir kuruluşta oluşturduktan sonra kullanıcıya bir rol atamanız gerekir. Roller, kullanıcının Edge'deki erişim haklarını belirler.

Edge API ile kullanıcı oluşturmak için aşağıdaki komutu kullanın:

curl -H "Content-Type:application/xml" \
  -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD -X POST http://ms_IP:8080/v1/users \
  -d '<User> \
    <FirstName>New</FirstName> \
    <LastName>User</LastName> \
    <Password>NEW_USER_PASSWORD</Password> \
    <EmailId>foo@bar.com</EmailId> \
  </User>'

Kullanıcı oluşturmak için aşağıdaki Edge komutunu da kullanabilirsiniz:

/opt/apigee/apigee-service/bin/apigee-service apigee-provision create-user -f configFile

Aşağıdaki örnekte gösterildiği gibi, configFile tarafından kullanıcının oluşturulduğu yer:

APIGEE_ADMINPW=SYS_ADMIN_PASSWORD    # If omitted, you will be prompted.
USER_NAME=foo@bar.com
FIRST_NAME=New
LAST_NAME=User
USER_PWD="NEW_USER_PASSWORD"
ORG_NAME=myorg

Ardından, kullanıcıyla ilgili bilgileri görüntülemek için bu çağrıyı kullanabilirsiniz:

curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/users/foo@bar.com

Kullanıcıyı kuruluştaki bir role atama

Yeni bir kullanıcının herhangi bir işlem yapabilmesi için öncelikle kuruluştaki bir role atanması gerekir. Kullanıcıyı orgadmin, businessuser, opsadmin, user gibi farklı rollere veya kuruluşta tanımlanan özel bir role atayabilirsiniz.

Bir kullanıcının kuruluştaki bir role atanması, bu kullanıcıyı otomatik olarak kuruluşa ekler. Bir kullanıcıyı birden fazla kuruluşa atamak için bu kullanıcıları her kuruluşta bir role atayın.

Kullanıcıyı kuruluş içindeki bir role atamak için aşağıdaki komutu kullanın:

curl -X POST -H "Content-Type:application/x-www-form-urlencoded" \
  http://ms_IP:8080/v1/o/org_name/userroles/role/users?id=foo@bar.com \
  -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD

Bu görüşmede, kullanıcıya atanan tüm roller gösterilir. Kullanıcıyı eklemek ancak yalnızca yeni rolü görüntülemek istiyorsanız aşağıdaki çağrıyı kullanın:

curl -X POST -H "Content-Type: application/xml" \
  http://ms_IP:8080/v1/o/org_name/users/foo@bar.com/userroles \
  -d '<Roles><Role name="role"/><Roles>' \
  -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD

Aşağıdaki komutu kullanarak kullanıcının rollerini görüntüleyebilirsiniz:

curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/users/foo@bar.com/userroles

Bir kullanıcıyı kuruluştan kaldırmak için söz konusu kuruluştaki tüm rolleri kullanıcıdan kaldırın. Bir kullanıcının rolünü kaldırmak için aşağıdaki komutu kullanın:

curl -X DELETE -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD \
  http://ms_IP:8080/v1/o/org_name/userroles/role/users/foo@bar.com

Sistem yöneticisi ekleme

Sistem yöneticisi şunları yapabilir:

• Kuruluş oluşturma
• Bir Edge kurulumuna Yönlendiriciler, Mesaj İşleyiciler ve diğer bileşenleri ekleme
• TLS/SSL'yi yapılandırın
• Ek sistem yöneticileri oluşturun
• Tüm Edge yönetim görevlerini gerçekleştirin

Yönetim görevleri için varsayılan kullanıcı yalnızca tek bir kullanıcı olsa da birden fazla sistem yöneticisi olabilir. "Sistem yöneticisi" rolünün üyesi olan tüm kullanıcılar, tüm kaynaklar için tam izinlere sahiptir.

Sistem yöneticisi için kullanıcıyı Edge kullanıcı arayüzünde veya API'de oluşturabilirsiniz. Ancak kullanıcıyı "sistem yöneticisi" rolüne atamak için Edge API'yi kullanmanız gerekir. Kullanıcı, Edge kullanıcı arayüzünde "sistem yöneticisi" rolüne atanamaz.

Sistem yöneticisi eklemek için:

1. Edge kullanıcı arayüzünde veya API'de kullanıcı oluşturun.
2. Kullanıcıyı "sistem yöneticisi" rolüne ekleyin:

   curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD \
     -X POST http://ms_IP:8080/v1/userroles/sysadmin/users -d 'id=foo@bar.com'

3. Yeni kullanıcının "sistem yöneticisi" rolünde olduğundan emin olun:

   curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/userroles/sysadmin/users

   Kullanıcının e-posta adresini döndürür:

   [ " foo@bar.com " ]

4. Yeni kullanıcının izinlerini kontrol edin:

   curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/users/foo@bar.com/permissions

   Dönen:

   {
     "resourcePermission" : [ {
     "path" : "/",
       "permissions" : [ "get", "put", "delete" ]
     } ]
   }

5. Yeni sistem yöneticisini ekledikten sonra, kullanıcıyı istediğiniz kuruluşlara ekleyebilirsiniz.
   
6. Kullanıcıyı daha sonra sistem yöneticisi rolünden kaldırmak isterseniz aşağıdaki API'yi kullanabilirsiniz:

   curl -X DELETE -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD \
     http://ms_IP:8080/v1/userroles/sysadmin/users/foo@bar.com

   Bu çağrının kullanıcıyı yalnızca rolden kaldırdığını, kullanıcıyı silmediğini unutmayın.

Varsayılan sistem yöneticisi kullanıcısını değiştirme

Edge'i yüklerken, sistem yöneticisinin e-posta adresini belirtirsiniz. Edge, bu e-posta adresiyle bir kullanıcı oluşturur ve bu kullanıcıyı varsayılan sistem yöneticisi olarak ayarlar. Daha sonra, yukarıda açıklandığı şekilde başka sistem yöneticileri ekleyebilirsiniz.

Bu bölümde, varsayılan sistem yöneticisinin farklı bir kullanıcı olacak şekilde nasıl değiştirileceği ve mevcut varsayılan sistem yöneticisinin kullanıcı hesabı e-posta adresinin nasıl değiştirileceği açıklanmaktadır.

Şu anda sistem yöneticisi olarak yapılandırılmış kullanıcıların listesini görmek için aşağıdaki API çağrısını kullanın:

curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/userroles/sysadmin/users

Geçerli varsayılan sistem yöneticisini belirlemek için /opt/apigee/customer/defaults.sh dosyasını görüntüleyin. Dosya, mevcut varsayılan sistem yöneticisinin e-posta adresini gösteren aşağıdaki satırı içerir:

ADMIN_EMAIL=foo@bar.com

Varsayılan sistem yöneticisini farklı bir kullanıcı olacak şekilde değiştirmek için:

1. Yukarıda açıklandığı şekilde yeni bir sistem yöneticisi oluşturun veya yeni sistem yöneticisinin kullanıcı hesabının zaten sistem yöneticisi olarak yapılandırıldığından emin olun.
2. ADMIN_EMAIL adresini yeni sistem yöneticisinin e-posta adresi olarak ayarlamak için /opt/apigee/customer/defaults.sh kodunu düzenleyin.
3. Aşağıdaki özellikleri ayarlamak için Edge kullanıcı arayüzünü yüklemek için kullandığınız sessiz yapılandırma dosyasını düzenleyin:

   ADMIN_EMAIL=NEW_SYS_ADMIN_EMAIL
   APIGEE_ADMINPW=NEW_SYS_ADMIN_PASSWORD
   SMTPHOST=smtp.gmail.com
   SMTPPORT=465
   SMTPUSER=foo@gmail.com
   SMTPPASSWORD=bar
   SMTPSSL=y

   Kullanıcı arayüzündeki tüm özellikler sıfırlandığından SMTP özelliklerini eklemeniz gerektiğini unutmayın.

4. Edge kullanıcı arayüzünü yeniden yapılandırın:

   /opt/apigee/apigee-service/bin/apigee-service edge-ui stop
   /opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
   /opt/apigee/apigee-service/bin/apigee-service edge-ui start

Yalnızca mevcut varsayılan sistem yöneticisinin e-posta adresini değiştirmek istiyorsanız önce kullanıcı hesabını yeni e-posta adresini ayarlamak üzere güncelleyin, ardından varsayılan sistem yöneticisi e-posta adresini değiştirin:

1. Mevcut varsayılan sistem yöneticisi kullanıcısının kullanıcı hesabını yeni bir e-posta adresiyle güncelleyin:

   curl -H content-type:application/json -X PUT -u CURRENT_SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD \
     http://ms_IP:8080/v1/users/CURRENT_SYS_ADMIN_EMAIL \
     -d '{"emailId": "NEW_SYS_ADMIN_EMAIL", "lastName": "admin", "firstName": "admin"}'

2. /opt/apigee/customer/defaults.sh dosyasını ve Edge kullanıcı arayüzünü güncellemek için önceki prosedürdeki 2., 3. ve 4. adımları tekrarlayın.

Sistem yöneticisinin e-posta alan adını belirtme

Ek bir güvenlik düzeyi olarak, Edge sistem yöneticisinin gerekli e-posta alanını belirtebilirsiniz. Sistem yöneticisi eklerken, kullanıcının e-posta adresi belirtilen alanda değilse kullanıcının "sistem yöneticisi" rolüne eklenmesi başarısız olur.

Varsayılan olarak, gerekli alan boştur. Yani "sistem yöneticisi" rolüne dilediğiniz e-posta adresini ekleyebilirsiniz.

E-posta alan adını ayarlamak için:

1. management-server.properties dosyasını bir düzenleyicide açın:

   vi /opt/apigee/customer/application/management-server.properties

   Bu dosya yoksa oluşturun.

2. conf_security_rbac.global.roles.allowed.domains özelliğini, izin verilen alanların virgülle ayrılmış listesine ayarlayın. Örneğin:

   conf_security_rbac.global.roles.allowed.domains=myCo.com,yourCo.com

3. Değişikliklerinizi kaydedin.
4. Uç Yönetim Sunucusu'nu yeniden başlatın:

   /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

   Artık bir kullanıcıyı "sysadmin" rolüne eklemeye çalışırsanız ve kullanıcının e-posta adresi belirtilen alan adlarından birinde değilse ekleme işlemi başarısız olur.

Kullanıcı silme

Edge API'yi veya Edge kullanıcı arayüzünü kullanarak kullanıcı oluşturabilirsiniz. Ancak kullanıcıları silmek için yalnızca API'yi kullanabilirsiniz.

Mevcut kullanıcıların listesini (e-posta adresleri dahil) görmek için aşağıdaki curl komutunu kullanın:

curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms-IP:8080/v1/users

Bir kullanıcıyı silmek için aşağıdaki curl komutunu kullanın:

curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD -X DELETE http://ms_IP:8080/v1/users/USER_EMAIL