Como gerenciar usuários, papéis e permissões

O site de documentação da Apigee tem informações detalhadas sobre como gerenciar funções e permissões do usuário. Os usuários podem ser gerenciados usando a interface do Edge e a API Management. Os papéis e as permissões podem ser gerenciados apenas com a API Management.

Para informações sobre usuários e como criar usuários, consulte:

Muitas das operações realizadas para gerenciar usuários exigem que o administrador do sistema para conceder privilégios de acesso. Em uma instalação baseada na nuvem do Edge, a Apigee desempenha o papel de sistema administrador. Em uma borda para a instalação da nuvem privada, o administrador do sistema precisa realizar essas tarefas conforme descrito abaixo.

Adicionar um usuário

É possível criar um usuário usando a API Edge, a interface do Edge ou os comandos do Edge. Isso seção descreve como usar a API e os comandos do Edge. Para informações sobre como criar usuários na interface do Edge, consulte Como criar usuários globais.

Depois de criar o usuário em uma organização, é necessário atribuir uma função a ele. Funções determinar os direitos de acesso do usuário no Edge.

Use o seguinte comando para criar um usuário com a API Edge:

curl -H "Content-Type:application/xml" \
  -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD -X POST http://ms_IP:8080/v1/users \
  -d '<User> \
    <FirstName>New</FirstName> \
    <LastName>User</LastName> \
    <Password>NEW_USER_PASSWORD</Password> \
    <EmailId>foo@bar.com</EmailId> \
  </User>'

Ou use o seguinte comando do Edge para criar um usuário:

/opt/apigee/apigee-service/bin/apigee-service apigee-provision create-user -f configFile

Em que configFile cria o usuário, como mostra o exemplo a seguir:

APIGEE_ADMINPW=SYS_ADMIN_PASSWORD    # If omitted, you will be prompted.
USER_NAME=foo@bar.com
FIRST_NAME=New
LAST_NAME=User
USER_PWD="NEW_USER_PASSWORD"
ORG_NAME=myorg

Você pode usar essa chamada para ver informações sobre o usuário:

curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/users/foo@bar.com

Atribuir o usuário a uma função em uma organização

Antes que um novo usuário possa fazer qualquer coisa, ele precisa ser atribuído a uma função em uma organização. É possível atribuir o usuário a diferentes funções, incluindo: orgadmin, businessuser, opsadmin, user ou um papel personalizado definido na organização.

Ao atribuir um usuário a uma função em uma organização, ele é adicionado automaticamente à organização. Atribuir um usuário a várias organizações usando uma função em cada uma organização.

Use o seguinte comando para atribuir o usuário a um papel em uma organização:

curl -X POST -H "Content-Type:application/x-www-form-urlencoded" \
  http://ms_IP:8080/v1/o/org_name/userroles/role/users?id=foo@bar.com \
  -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD

Essa chamada mostra todas as funções atribuídas ao usuário. Se você quiser adicionar o usuário, mas exibir apenas o novo papel, use a seguinte chamada:

curl -X POST -H "Content-Type: application/xml" \
  http://ms_IP:8080/v1/o/org_name/users/foo@bar.com/userroles \
  -d '<Roles><Role name="role"/><Roles>' \
  -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD

Para conferir as funções do usuário, use o seguinte comando:

curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/users/foo@bar.com/userroles

Para remover um usuário de uma organização, remova todos os papéis dessa organização. Use o seguinte comando para remover uma função de um usuário:

curl -X DELETE -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD \
  http://ms_IP:8080/v1/o/org_name/userroles/role/users/foo@bar.com

Como adicionar um administrador do sistema

Um administrador do sistema pode:

  • Criar organizações
  • Adicionar roteadores, processadores de mensagens e outros componentes a uma instalação do Edge
  • Configurar TLS/SSL
  • Criar administradores adicionais do sistema
  • Executar todas as tarefas administrativas do Edge

Embora apenas um usuário seja o padrão para tarefas administrativas, pode haver mais de um administrador do sistema. Qualquer usuário que seja membro do grupo "sysadmin" função tem total permissões a todos os recursos.

É possível criar o usuário para o administrador do sistema na API ou na interface do Edge. No entanto, você precisa usar a API do Edge para atribuir o usuário ao papel de "sysadmin". A atribuição de um para o "sysadmin" não pode ser atribuído na interface do Edge.

Para adicionar um administrador do sistema:

  1. Crie um usuário na API ou na interface do Edge.
  2. Adicionar usuário ao "sysadmin" função:
    curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD \
      -X POST http://ms_IP:8080/v1/userroles/sysadmin/users -d 'id=foo@bar.com'
  3. Verifique se o novo usuário está na função "sysadmin":
    curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/userroles/sysadmin/users

    Retorna o endereço de e-mail do usuário:

    [ " foo@bar.com " ]
  4. Verificar as permissões do novo usuário:
    curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/users/foo@bar.com/permissions

    Retorna:

    {
      "resourcePermission" : [ {
      "path" : "/",
        "permissions" : [ "get", "put", "delete" ]
      } ]
    }
  5. Depois de adicionar o novo administrador do sistema, você pode adicionar o usuário a qualquer organização.
  6. Se quiser remover o usuário da função de administrador do sistema mais tarde, use a seguinte API:
    curl -X DELETE -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD \
      http://ms_IP:8080/v1/userroles/sysadmin/users/foo@bar.com

    Essa chamada apenas remove o usuário da função, não o exclui.

Como alterar o administrador padrão do sistema usuário

Ao instalar o Edge, você especifica o endereço de e-mail do administrador do sistema. O Edge cria um usuário com esse endereço de e-mail e define esse usuário como o administrador padrão do sistema. Mais tarde, você pode adicionar outros administradores do sistema, conforme descrito acima.

Esta seção descreve como alterar o administrador do sistema padrão para um usuário diferente, e como alterar o endereço de e-mail da conta de usuário para o sistema padrão atual administrador.

Para conferir a lista de usuários atualmente configurados como administradores do sistema, use a seguinte chamada de API:

curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/userroles/sysadmin/users

Para determinar o administrador de sistema padrão atual, consulte o arquivo /opt/apigee/customer/defaults.sh. O arquivo contém a seguinte linha mostrando o endereço de e-mail do administrador padrão atual do sistema:

ADMIN_EMAIL=foo@bar.com

Para mudar o administrador do sistema padrão para outro usuário:

  1. Crie um novo administrador do sistema, conforme descrito acima, ou verifique se a conta de usuário do novo administrador do sistema já está configurada como administrador do sistema.
  2. Editar /opt/apigee/customer/defaults.sh para defina ADMIN_EMAIL como o endereço de e-mail do novo administrador do sistema.
  3. Edite o arquivo de configuração silenciosa usado para instalar a interface do Edge e defina as seguintes propriedades:
    ADMIN_EMAIL=NEW_SYS_ADMIN_EMAIL
    APIGEE_ADMINPW=NEW_SYS_ADMIN_PASSWORD
    SMTPHOST=smtp.gmail.com
    SMTPPORT=465
    SMTPUSER=foo@gmail.com
    SMTPPASSWORD=bar
    SMTPSSL=y

    É necessário incluir as propriedades SMTP porque todas as propriedades na interface são redefinidas.

  4. Reconfigure a interface do Edge:
    /opt/apigee/apigee-service/bin/apigee-service edge-ui stop
    /opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
    /opt/apigee/apigee-service/bin/apigee-service edge-ui start

Se você quiser apenas mudar o endereço de e-mail da conta de usuário para o administrador do sistema padrão atual, atualize primeiro a conta de usuário para definir o novo endereço de e-mail e depois mude o endereço de e-mail do administrador do sistema padrão:

  1. Atualizar a conta de usuário do usuário administrador do sistema padrão atual com um novo e-mail endereço:
    curl -H content-type:application/json -X PUT -u CURRENT_SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD \
      http://ms_IP:8080/v1/users/CURRENT_SYS_ADMIN_EMAIL \
      -d '{"emailId": "NEW_SYS_ADMIN_EMAIL", "lastName": "admin", "firstName": "admin"}'
  2. Repita as etapas 2, 3 e 4 do procedimento anterior para atualizar o arquivo /opt/apigee/customer/defaults.sh e a interface do Edge.

Como especificar o domínio de e-mail de um administrador do sistema

Como um nível extra de segurança, você pode especificar o domínio de e-mail necessário de um sistema Edge administrador. Ao adicionar um administrador do sistema, se o endereço de e-mail do usuário não estiver no domínio especificado, a adição do usuário à função "sysadmin" vai falhar.

Por padrão, o domínio obrigatório está vazio, o que significa que você pode adicionar qualquer endereço de e-mail à função "sysadmin".

Para definir o domínio do e-mail:

  1. Abra o arquivo management-server.properties em um editor:
    vi /opt/apigee/customer/application/management-server.properties

    Se esse arquivo não existir, crie-o.

  2. Defina o conf_security_rbac.global.roles.allowed.domains à lista separada por vírgulas de domínios permitidos. Por exemplo:
    conf_security_rbac.global.roles.allowed.domains=myCo.com,yourCo.com
  3. Salve as alterações.
  4. Reinicie o servidor de gerenciamento de borda:
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

    Agora, se tentar adicionar um usuário ao diretório "sysadmin", função e o endereço de e-mail do usuário não estiver em um dos domínios especificados, a adição falhará.

Como excluir um usuário

É possível criar um usuário usando a API Edge ou a interface do Edge. No entanto, só é possível excluir um usuário usando a API.

Para conferir a lista de usuários atuais, incluindo o endereço de e-mail, use o comando curl a seguir:

curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms-IP:8080/v1/users

Use o seguinte comando curl para excluir um usuário:

curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD -X DELETE http://ms_IP:8080/v1/users/USER_EMAIL