Apigee belgeleri sitesinde kullanıcı rollerini ve izinlerini yönetme hakkında kapsamlı bilgiler bulunur. Kullanıcılar hem Edge kullanıcı arayüzü hem de Management API kullanılarak yönetilebilir. Roller ve izinler yalnızca Management API ile yönetilebilir.
Kullanıcılar ve kullanıcı oluşturma hakkında bilgi için aşağıdaki makalelere bakın:
Kullanıcıları yönetmek için gerçekleştirdiğiniz işlemlerin çoğu sistem yöneticisi ayrıcalıkları gerektirir. Edge'in bulut tabanlı kurulumunda Apigee, sistem yöneticisi rolünü üstlenir. Private Cloud yüklemesi için bir Edge'de sistem yöneticinizin bu görevleri aşağıda açıklanan şekilde gerçekleştirmesi gerekir.
Kullanıcı ekleme
Edge API'yi, Edge kullanıcı arayüzünü veya Edge komutlarını kullanarak kullanıcı oluşturabilirsiniz. Bu bölümde, Edge API ve Edge komutlarının nasıl kullanılacağı açıklanmaktadır. Edge kullanıcı arayüzünde kullanıcı oluşturma hakkında bilgi edinmek için Genel kullanıcılar oluşturma bölümüne bakın.
Kullanıcıyı bir kuruluşta oluşturduktan sonra kullanıcıya bir rol atamanız gerekir. Roller, kullanıcının Edge'deki erişim haklarını belirler.
Edge API ile kullanıcı oluşturmak için aşağıdaki komutu kullanın:
curl -H "Content-Type:application/xml" \ -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD -X POST http://ms_IP:8080/v1/users \ -d '<User> \ <FirstName>New</FirstName> \ <LastName>User</LastName> \ <Password>NEW_USER_PASSWORD</Password> \ <EmailId>foo@bar.com</EmailId> \ </User>'
Kullanıcı oluşturmak için aşağıdaki Edge komutunu da kullanabilirsiniz:
/opt/apigee/apigee-service/bin/apigee-service apigee-provision create-user -f configFile
Aşağıdaki örnekte gösterildiği gibi, configFile tarafından kullanıcının oluşturulduğu yer:
APIGEE_ADMINPW=SYS_ADMIN_PASSWORD # If omitted, you will be prompted. USER_NAME=foo@bar.com FIRST_NAME=New LAST_NAME=User USER_PWD="NEW_USER_PASSWORD" ORG_NAME=myorg
Ardından, kullanıcıyla ilgili bilgileri görüntülemek için bu çağrıyı kullanabilirsiniz:
curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/users/foo@bar.com
Kullanıcıyı kuruluştaki bir role atama
Yeni bir kullanıcının herhangi bir işlem yapabilmesi için öncelikle kuruluştaki bir role atanması gerekir. Kullanıcıyı orgadmin
, businessuser
, opsadmin
, user
gibi farklı rollere veya kuruluşta tanımlanan özel bir role atayabilirsiniz.
Bir kullanıcının kuruluştaki bir role atanması, bu kullanıcıyı otomatik olarak kuruluşa ekler. Bir kullanıcıyı birden fazla kuruluşa atamak için bu kullanıcıları her kuruluşta bir role atayın.
Kullanıcıyı kuruluş içindeki bir role atamak için aşağıdaki komutu kullanın:
curl -X POST -H "Content-Type:application/x-www-form-urlencoded" \ http://ms_IP:8080/v1/o/org_name/userroles/role/users?id=foo@bar.com \ -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD
Bu görüşmede, kullanıcıya atanan tüm roller gösterilir. Kullanıcıyı eklemek ancak yalnızca yeni rolü görüntülemek istiyorsanız aşağıdaki çağrıyı kullanın:
curl -X POST -H "Content-Type: application/xml" \ http://ms_IP:8080/v1/o/org_name/users/foo@bar.com/userroles \ -d '<Roles><Role name="role"/><Roles>' \ -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD
Aşağıdaki komutu kullanarak kullanıcının rollerini görüntüleyebilirsiniz:
curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/users/foo@bar.com/userroles
Bir kullanıcıyı kuruluştan kaldırmak için söz konusu kuruluştaki tüm rolleri kullanıcıdan kaldırın. Bir kullanıcının rolünü kaldırmak için aşağıdaki komutu kullanın:
curl -X DELETE -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD \ http://ms_IP:8080/v1/o/org_name/userroles/role/users/foo@bar.com
Sistem yöneticisi ekleme
Sistem yöneticisi şunları yapabilir:
- Kuruluş oluşturma
- Bir Edge kurulumuna Yönlendiriciler, Mesaj İşleyiciler ve diğer bileşenleri ekleme
- TLS/SSL'yi yapılandırın
- Ek sistem yöneticileri oluşturun
- Tüm Edge yönetim görevlerini gerçekleştirin
Yönetim görevleri için varsayılan kullanıcı yalnızca tek bir kullanıcı olsa da birden fazla sistem yöneticisi olabilir. "Sistem yöneticisi" rolünün üyesi olan tüm kullanıcılar, tüm kaynaklar için tam izinlere sahiptir.
Sistem yöneticisi için kullanıcıyı Edge kullanıcı arayüzünde veya API'de oluşturabilirsiniz. Ancak kullanıcıyı "sistem yöneticisi" rolüne atamak için Edge API'yi kullanmanız gerekir. Kullanıcı, Edge kullanıcı arayüzünde "sistem yöneticisi" rolüne atanamaz.
Sistem yöneticisi eklemek için:
- Edge kullanıcı arayüzünde veya API'de kullanıcı oluşturun.
- Kullanıcıyı "sistem yöneticisi" rolüne ekleyin:
curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD \ -X POST http://ms_IP:8080/v1/userroles/sysadmin/users -d 'id=foo@bar.com'
- Yeni kullanıcının "sistem yöneticisi" rolünde olduğundan emin olun:
curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/userroles/sysadmin/users
Kullanıcının e-posta adresini döndürür:
[ " foo@bar.com " ]
- Yeni kullanıcının izinlerini kontrol edin:
curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/users/foo@bar.com/permissions
Dönen:
{ "resourcePermission" : [ { "path" : "/", "permissions" : [ "get", "put", "delete" ] } ] }
- Yeni sistem yöneticisini ekledikten sonra, kullanıcıyı istediğiniz kuruluşlara ekleyebilirsiniz.
- Kullanıcıyı daha sonra sistem yöneticisi rolünden kaldırmak isterseniz aşağıdaki API'yi kullanabilirsiniz:
curl -X DELETE -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD \ http://ms_IP:8080/v1/userroles/sysadmin/users/foo@bar.com
Bu çağrının kullanıcıyı yalnızca rolden kaldırdığını, kullanıcıyı silmediğini unutmayın.
Varsayılan sistem yöneticisi kullanıcısını değiştirme
Edge'i yüklerken, sistem yöneticisinin e-posta adresini belirtirsiniz. Edge, bu e-posta adresiyle bir kullanıcı oluşturur ve bu kullanıcıyı varsayılan sistem yöneticisi olarak ayarlar. Daha sonra, yukarıda açıklandığı şekilde başka sistem yöneticileri ekleyebilirsiniz.
Bu bölümde, varsayılan sistem yöneticisinin farklı bir kullanıcı olacak şekilde nasıl değiştirileceği ve mevcut varsayılan sistem yöneticisinin kullanıcı hesabı e-posta adresinin nasıl değiştirileceği açıklanmaktadır.
Şu anda sistem yöneticisi olarak yapılandırılmış kullanıcıların listesini görmek için aşağıdaki API çağrısını kullanın:
curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/userroles/sysadmin/users
Geçerli varsayılan sistem yöneticisini belirlemek için
/opt/apigee/customer/defaults.sh
dosyasını görüntüleyin. Dosya, mevcut varsayılan sistem yöneticisinin e-posta adresini gösteren aşağıdaki satırı içerir:
ADMIN_EMAIL=foo@bar.com
Varsayılan sistem yöneticisini farklı bir kullanıcı olacak şekilde değiştirmek için:
- Yukarıda açıklandığı şekilde yeni bir sistem yöneticisi oluşturun veya yeni sistem yöneticisinin kullanıcı hesabının zaten sistem yöneticisi olarak yapılandırıldığından emin olun.
ADMIN_EMAIL
adresini yeni sistem yöneticisinin e-posta adresi olarak ayarlamak için/opt/apigee/customer/defaults.sh
kodunu düzenleyin.- Aşağıdaki özellikleri ayarlamak için Edge kullanıcı arayüzünü yüklemek için kullandığınız sessiz yapılandırma dosyasını düzenleyin:
ADMIN_EMAIL=NEW_SYS_ADMIN_EMAIL APIGEE_ADMINPW=NEW_SYS_ADMIN_PASSWORD SMTPHOST=smtp.gmail.com SMTPPORT=465 SMTPUSER=foo@gmail.com SMTPPASSWORD=bar SMTPSSL=y
Kullanıcı arayüzündeki tüm özellikler sıfırlandığından SMTP özelliklerini eklemeniz gerektiğini unutmayın.
- Edge kullanıcı arayüzünü yeniden yapılandırın:
/opt/apigee/apigee-service/bin/apigee-service edge-ui stop
/opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
/opt/apigee/apigee-service/bin/apigee-service edge-ui start
Yalnızca mevcut varsayılan sistem yöneticisinin e-posta adresini değiştirmek istiyorsanız önce kullanıcı hesabını yeni e-posta adresini ayarlamak üzere güncelleyin, ardından varsayılan sistem yöneticisi e-posta adresini değiştirin:
- Mevcut varsayılan sistem yöneticisi kullanıcısının kullanıcı hesabını yeni bir e-posta adresiyle güncelleyin:
curl -H content-type:application/json -X PUT -u CURRENT_SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD \ http://ms_IP:8080/v1/users/CURRENT_SYS_ADMIN_EMAIL \ -d '{"emailId": "NEW_SYS_ADMIN_EMAIL", "lastName": "admin", "firstName": "admin"}'
/opt/apigee/customer/defaults.sh
dosyasını ve Edge kullanıcı arayüzünü güncellemek için önceki prosedürdeki 2., 3. ve 4. adımları tekrarlayın.
Sistem yöneticisinin e-posta alan adını belirtme
Ek bir güvenlik düzeyi olarak, Edge sistem yöneticisinin gerekli e-posta alanını belirtebilirsiniz. Sistem yöneticisi eklerken, kullanıcının e-posta adresi belirtilen alanda değilse kullanıcının "sistem yöneticisi" rolüne eklenmesi başarısız olur.
Varsayılan olarak, gerekli alan boştur. Yani "sistem yöneticisi" rolüne dilediğiniz e-posta adresini ekleyebilirsiniz.
E-posta alan adını ayarlamak için:
management-server.properties
dosyasını bir düzenleyicide açın:vi /opt/apigee/customer/application/management-server.properties
Bu dosya yoksa oluşturun.
conf_security_rbac.global.roles.allowed.domains
özelliğini, izin verilen alanların virgülle ayrılmış listesine ayarlayın. Örneğin:conf_security_rbac.global.roles.allowed.domains=myCo.com,yourCo.com
- Değişikliklerinizi kaydedin.
- Uç Yönetim Sunucusu'nu yeniden başlatın:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
Artık bir kullanıcıyı "sysadmin" rolüne eklemeye çalışırsanız ve kullanıcının e-posta adresi belirtilen alan adlarından birinde değilse ekleme işlemi başarısız olur.
Kullanıcı silme
Edge API'yi veya Edge kullanıcı arayüzünü kullanarak kullanıcı oluşturabilirsiniz. Ancak kullanıcıları silmek için yalnızca API'yi kullanabilirsiniz.
Mevcut kullanıcıların listesini (e-posta adresleri dahil) görmek için aşağıdaki curl
komutunu kullanın:
curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms-IP:8080/v1/users
Bir kullanıcıyı silmek için aşağıdaki curl
komutunu kullanın:
curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD -X DELETE http://ms_IP:8080/v1/users/USER_EMAIL