Apigee ドキュメント サイトには、ユーザーロールの管理と、そのリソースの管理に関する 付与できます。ユーザーは、Edge UI と Management API の両方を使用して管理できます。ロールと Management API でのみ管理できます。
ユーザーとユーザーの作成について詳しくは、以下をご覧ください。
ユーザー管理のために行う多くの操作には、システム管理者が必要です。 できます。クラウドベースの Edge インストール環境では、Apigee がシステム管理者の役割を担います。Edge for Private Cloud インストールでは、システム管理者が 以下で説明するように、これらのタスクを実行します。
ユーザーを追加する
ユーザーを作成するには、Edge API、Edge UI、または Edge コマンドを使用します。このセクションでは、Edge API と Edge コマンドの使用方法を説明します。Edge UI でユーザーを作成する方法については、グローバル ユーザーの作成をご覧ください。
組織内でユーザーを作成したら、ユーザーにロールを割り当てる必要があります。ロール ユーザーの Edge でのアクセス権を判別します。
Edge API でユーザーを作成するには、次のコマンドを使用します。
curl -H "Content-Type:application/xml" \
-u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD -X POST http://ms_IP:8080/v1/users \
-d '<User> \
<FirstName>New</FirstName> \
<LastName>User</LastName> \
<Password>NEW_USER_PASSWORD</Password> \
<EmailId>foo@bar.com</EmailId> \
</User>'
あるいは、次の Edge コマンドでユーザーを作成します。
/opt/apigee/apigee-service/bin/apigee-service apigee-provision create-user -f configFile
この場合は、作成するユーザーを configFile で次のように指定します。
APIGEE_ADMINPW=SYS_ADMIN_PASSWORD # If omitted, you will be prompted. USER_NAME=foo@bar.com FIRST_NAME=New LAST_NAME=User USER_PWD="NEW_USER_PASSWORD" ORG_NAME=myorg
この呼び出しを使用して、ユーザーに関する情報を表示できます。
curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/users/foo@bar.com
組織内でロールをユーザーに割り当てる
新しいユーザーは、組織内でロールが割り当てられるまで何もできません。マイページ
ユーザーにさまざまなロールを割り当てることができます。orgadmin、businessuser、
opsadmin、user、または組織で定義されたカスタムロールのロールを付与します。
ユーザーに組織内のロールを割り当てると、そのユーザーが自動的に組織に追加されます。ユーザーを複数の組織に割り当てるには、それぞれの組織でロールを割り当てます。
ユーザーを組織内のロールに割り当てるには、次のコマンドを使用します。
curl -X POST -H "Content-Type:application/x-www-form-urlencoded" \ http://ms_IP:8080/v1/o/org_name/userroles/role/users?id=foo@bar.com \ -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD
この呼び出しでは、ユーザーに割り当てられているすべてのロールが表示されます。ユーザーを追加するときに新しいロールのみを表示するには、次の呼び出しを使用します。
curl -X POST -H "Content-Type: application/xml" \ http://ms_IP:8080/v1/o/org_name/users/foo@bar.com/userroles \ -d '<Roles><Role name="role"/><Roles>' \ -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD
ユーザーのロールを表示するには、次のコマンドを使用します。
curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/users/foo@bar.com/userroles
ユーザーを組織から削除するには、ユーザーからその組織のすべてのロールを削除します。ユーザーからロールを削除するには、次のコマンドを使用します。
curl -X DELETE -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD \ http://ms_IP:8080/v1/o/org_name/userroles/role/users/foo@bar.com
システム管理者を追加する
システム管理者は次の操作を行うことができます。
- 組織を作成する
- ルーター、Message Processor などのコンポーネントを Edge 環境に追加する
- TLS / SSL を構成する
- 追加のシステム管理者を作成する
- すべての Edge 管理タスクを実行する
管理タスク用のデフォルト ユーザーは 1 人だけですが、システム管理者を複数作成できます。sysadmin ロールのメンバーには、すべてのリソースに対する完全な権限が付与されます。
システム管理者のユーザーは、Edge UI または API で作成できます。ただし、sysadmin ロールをユーザーに割り当てるには、Edge API を使用する必要があります。割り当て ユーザーに付与します。ロールは Edge UI では実行できません。
システム管理者を追加するには:
- Edge UI または API でユーザーを作成します。
- ユーザーを「sysadmin」に追加するロール:
curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD \ -X POST http://ms_IP:8080/v1/userroles/sysadmin/users -d 'id=foo@bar.com'
- 新しいユーザーが sysadmin にあることを確認してください。ロール:
curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/userroles/sysadmin/users
ユーザーのメールアドレスを返します。
[ " foo@bar.com " ]
- 新規ユーザーの権限を確認する:
curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/users/foo@bar.com/permissions
戻り値:
{ "resourcePermission" : [ { "path" : "/", "permissions" : [ "get", "put", "delete" ] } ] } - 新しいシステム管理者を追加したら、そのユーザーを任意の組織に追加できます。
- ユーザーからシステム管理者ロールを削除するには、次の API を使用します。
curl -X DELETE -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD \ http://ms_IP:8080/v1/userroles/sysadmin/users/foo@bar.com
この呼び出しによってユーザーからロールが削除されますが、ユーザーは削除されません。
デフォルトのシステム管理者ユーザーを変更する
Edge のインストール時に、システム管理者のメールアドレスを指定します。Edge は、このメールアドレスでユーザーを作成し、そのユーザーをデフォルトのシステム管理者に設定します。上記の説明のように、後で別のシステム管理者を追加することもできます。
このセクションでは、デフォルトのシステム管理者を変更する方法を説明します。また、現在のデフォルトのシステム管理者のユーザー アカウントに設定したメールアドレスの変更方法も説明します。
現在システム管理者として構成されているユーザーのリストを表示するには、次の API を使用します。 呼び出し:
curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/userroles/sysadmin/users
現在のデフォルトのシステム管理者を確認するには、
/opt/apigee/customer/defaults.sh ファイル。このファイルには、
現在のデフォルト システム管理者のメールアドレス:
ADMIN_EMAIL=foo@bar.com
デフォルトのシステム管理者を別のユーザーに変更するには:
- 上記のように新しいシステム管理者を作成します。あるいは、新しいシステム管理者のユーザー アカウントがすでにシステム管理者として構成されていることを確認します。
/opt/apigee/customer/defaults.shをエディタで開き、ADMIN_EMAILに新しいシステム管理者のメールアドレスを設定します。- Edge UI のインストールに使用したサイレント構成ファイルを編集し、次のように設定します。
プロパティ:
ADMIN_EMAIL=NEW_SYS_ADMIN_EMAIL APIGEE_ADMINPW=NEW_SYS_ADMIN_PASSWORD SMTPHOST=smtp.gmail.com SMTPPORT=465 SMTPUSER=foo@gmail.com SMTPPASSWORD=bar SMTPSSL=y
UI のすべてのプロパティが使用できるため、SMTP プロパティを含める必要があることに注意してください。 リセットできます。
- Edge UI を再構成します。
/opt/apigee/apigee-service/bin/apigee-service edge-ui stop
/opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile/opt/apigee/apigee-service/bin/apigee-service edge-ui start
現在のデフォルトのユーザー アカウントのメールアドレスを変更するだけの場合は、 まずユーザー アカウントを更新して新しいメールアドレスを設定し、 デフォルトのシステム管理者メールアドレス:
- 新しいメールアドレスを使用して、現在のデフォルト システム管理者のユーザー アカウントを更新します。
curl -H content-type:application/json -X PUT -u CURRENT_SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD \ http://ms_IP:8080/v1/users/CURRENT_SYS_ADMIN_EMAIL \ -d '{"emailId": "NEW_SYS_ADMIN_EMAIL", "lastName": "admin", "firstName": "admin"}' - 上記の手順のステップ 2~4 を繰り返して
/opt/apigee/customer/defaults.shファイルを更新し、Edge UI を更新します。
システム管理者のメールドメインを指定する
セキュリティを強化するために、Edge システムで必要なメールドメインを指定できます。 なります。システム管理者を追加するときに、ユーザーのメールアドレスが さらに、そのユーザーを「sysadmin」に追加すると、失敗します。
デフォルトでは、必須ドメインは空です。つまり、任意のメールアドレスを 「sysadmin」なります。
メールドメインを設定するには:
- エディタで
management-server.propertiesファイルを開きます。vi /opt/apigee/customer/application/management-server.properties
このファイルが存在しない場合は作成します。
conf_security_rbac.global.roles.allowed.domainsを設定する プロパティを許可するドメインのカンマ区切りのリストに追加します。例:conf_security_rbac.global.roles.allowed.domains=myCo.com,yourCo.com
- 変更を保存します。
- Edge Management Server を再起動します。
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
指定したドメインに属さないメールアドレスを持つユーザーに sysadmin ロールを追加しようとすると、失敗します。
ユーザーの削除
ユーザーを作成するには、Edge API または Edge UI を使用します。ただし、ユーザーを削除する場合は API だけを使用できます。
現在のユーザーのリスト(メールアドレスを含む)を表示するには、次の curl コマンドを使用します。
curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms-IP:8080/v1/users
次の curl コマンドを使用してユーザーを削除します。
curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD -X DELETE http://ms_IP:8080/v1/users/USER_EMAIL