Apigee 說明文件網站提供豐富的資訊管理使用者角色和權限資訊。您可以使用 Edge UI 和 Management API 管理使用者,而且只能透過 Management API 管理角色和權限。
如需瞭解使用者及建立使用者的資訊,請參閱:
您為了管理使用者執行的許多作業都需要系統管理員權限。在以雲端為基礎的 Edge 安裝中,系統管理員扮演的 Apigee 功能。在私有雲安裝的邊緣中,系統管理員必須按照下方說明執行這些工作。
正在新增使用者
您可以使用 Edge API、Edge UI 或 Edge 指令建立使用者。本節說明如何使用 Edge API 和 Edge 指令。如要瞭解如何在 Edge UI 中建立使用者,請參閱「建立全域使用者」。
在該機構中建立使用者後,您必須將角色指派給使用者。角色會決定 Edge 使用者的存取權。
使用下列指令,透過 Edge API 建立使用者:
curl -H "Content-Type:application/xml" \ -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD -X POST http://ms_IP:8080/v1/users \ -d '<User> \ <FirstName>New</FirstName> \ <LastName>User</LastName> \ <Password>NEW_USER_PASSWORD</Password> \ <EmailId>foo@bar.com</EmailId> \ </User>'
或使用以下 Edge 指令建立使用者:
/opt/apigee/apigee-service/bin/apigee-service apigee-provision create-user -f configFile
configFile 會建立使用者,如以下範例所示:
APIGEE_ADMINPW=SYS_ADMIN_PASSWORD # If omitted, you will be prompted. USER_NAME=foo@bar.com FIRST_NAME=New LAST_NAME=User USER_PWD="NEW_USER_PASSWORD" ORG_NAME=myorg
接著,您可以使用這個呼叫查看使用者的相關資訊:
curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/users/foo@bar.com
將使用者指派給機構中的角色
必須先將新使用者指派給機構中的角色,他們才能執行任何操作。您可以將使用者指派給不同角色,包括 orgadmin
、businessuser
、opsadmin
、user
或機構中定義的自訂角色。
為使用者指派機構中的角色時,系統會自動將對方新增至機構。如要將使用者指派給多個機構,您可以將他們指派給各機構中的角色。
使用下列指令,將使用者指派給機構中的角色:
curl -X POST -H "Content-Type:application/x-www-form-urlencoded" \ http://ms_IP:8080/v1/o/org_name/userroles/role/users?id=foo@bar.com \ -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD
這個呼叫會顯示指派給使用者的所有角色。如果要新增使用者,但只顯示新角色,請使用下列呼叫:
curl -X POST -H "Content-Type: application/xml" \ http://ms_IP:8080/v1/o/org_name/users/foo@bar.com/userroles \ -d '<Roles><Role name="role"/><Roles>' \ -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD
您可以使用下列指令查看使用者角色:
curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/users/foo@bar.com/userroles
如要從機構組織中移除使用者,請移除該使用者的所有角色。 使用下列指令移除使用者的角色:
curl -X DELETE -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD \ http://ms_IP:8080/v1/o/org_name/userroles/role/users/foo@bar.com
新增系統管理員
系統管理員可執行下列操作:
- 建立機構
- 為邊緣安裝作業新增路由器、訊息處理器和其他元件
- 設定 TLS/SSL
- 建立其他系統管理員
- 執行所有 Edge 管理工作
雖然管理工作的預設使用者只有單一使用者,但可以有多位系統管理員。凡是具備「sysadmin」角色的使用者,都具備所有資源的完整權限。
您可以在 Edge UI 或 API 中為系統管理員建立使用者。不過,您必須使用 Edge API 將使用者指派給「sysadmin」的角色。無法在 Edge UI 中將使用者指派給「sysadmin」角色。
如何新增系統管理員:
- 在 Edge UI 或 API 中建立使用者。
- 將使用者新增至「sysadmin」角色:
curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD \ -X POST http://ms_IP:8080/v1/userroles/sysadmin/users -d 'id=foo@bar.com'
- 確認新使用者俱備「sysadmin」角色:
curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/userroles/sysadmin/users
傳回使用者的電子郵件地址:
[ " foo@bar.com " ]
- 檢查新使用者的權限:
curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/users/foo@bar.com/permissions
退貨:
{ "resourcePermission" : [ { "path" : "/", "permissions" : [ "get", "put", "delete" ] } ] }
- 新增系統管理員之後,您可以將使用者新增至任何機構。
- 如果您之後想將使用者從系統管理員角色中移除,可以使用下列 API:
curl -X DELETE -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD \ http://ms_IP:8080/v1/userroles/sysadmin/users/foo@bar.com
請注意,這項呼叫只會將使用者從角色中移除,並不會刪除使用者。
變更預設系統管理員使用者
安裝 Edge 時,您需要指定系統管理員的電子郵件地址。Edge 會使用該電子郵件地址建立使用者,並將該使用者設為預設系統管理員。之後您可以按照上述說明新增其他系統管理員。
本節說明如何將預設系統管理員變更為其他使用者,以及如何為目前預設系統管理員變更使用者帳戶的電子郵件地址。
如要查看目前設為系統管理員的使用者清單,請使用下列 API 呼叫:
curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/userroles/sysadmin/users
如要判斷目前的預設系統管理員,請查看 /opt/apigee/customer/defaults.sh
檔案。檔案中的一行內容顯示目前預設系統管理員的電子郵件地址:
ADMIN_EMAIL=foo@bar.com
如何將預設系統管理員變更為其他使用者:
- 按照上文說明建立新的系統管理員,或確保新系統管理員的使用者帳戶已設為系統管理員。
- 編輯
/opt/apigee/customer/defaults.sh
,將ADMIN_EMAIL
設為新系統管理員的電子郵件地址。 - 編輯您用來安裝 Edge UI 的無訊息設定檔,設定下列屬性:
ADMIN_EMAIL=NEW_SYS_ADMIN_EMAIL APIGEE_ADMINPW=NEW_SYS_ADMIN_PASSWORD SMTPHOST=smtp.gmail.com SMTPPORT=465 SMTPUSER=foo@gmail.com SMTPPASSWORD=bar SMTPSSL=y
請注意,由於系統會重設使用者介面上的所有屬性,因此您必須納入 SMTP 屬性。
- 重新設定 Edge UI:
/opt/apigee/apigee-service/bin/apigee-service edge-ui stop
/opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
/opt/apigee/apigee-service/bin/apigee-service edge-ui start
如果只想為目前預設系統管理員變更使用者帳戶的電子郵件地址,請先更新使用者帳戶以設定新的電子郵件地址,再變更預設的系統管理員電子郵件地址:
- 將目前預設系統管理員使用者的使用者帳戶更新為新的電子郵件地址:
curl -H content-type:application/json -X PUT -u CURRENT_SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD \ http://ms_IP:8080/v1/users/CURRENT_SYS_ADMIN_EMAIL \ -d '{"emailId": "NEW_SYS_ADMIN_EMAIL", "lastName": "admin", "firstName": "admin"}'
- 重複上一個程序的步驟 2、3. 和 4,更新
/opt/apigee/customer/defaults.sh
檔案並更新 Edge UI。
指定系統管理員的電子郵件網域
如要進一步提升安全性,您可以指定 Edge 系統管理員所需的電子郵件網域。新增系統管理員時,如果使用者的電子郵件地址不在指定網域中,則無法將使用者新增至「sysadmin」角色。
根據預設,指定網域為空白,也就是說,您可以將任何電子郵件地址新增至「sysadmin」角色。
如何設定電子郵件網域:
- 在編輯器中開啟
management-server.properties
檔案:vi /opt/apigee/customer/application/management-server.properties
如果這個檔案不存在,請建立檔案。
- 將
conf_security_rbac.global.roles.allowed.domains
屬性設為以逗號分隔的允許網域清單。例如:conf_security_rbac.global.roles.allowed.domains=myCo.com,yourCo.com
- 儲存變更。
- 重新啟動 Edge Management Server:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
如果您現在嘗試將使用者新增至「sysadmin」角色,但使用者的電子郵件地址不屬於任何指定網域,則新增作業會失敗。
刪除使用者
您可以使用 Edge API 或 Edge UI 建立使用者。不過,您只能使用 API 刪除使用者。
如要查看目前使用者的清單 (包括電子郵件地址),請使用下列 curl
指令:
curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms-IP:8080/v1/users
使用下列 curl
指令刪除使用者:
curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD -X DELETE http://ms_IP:8080/v1/users/USER_EMAIL