Cette page a été traduite par l'API Cloud Translation.

Gérer les utilisateurs, les rôles et les autorisations

Le site de documentation Apigee fournit des informations détaillées sur la gestion des rôles et des autorisations des utilisateurs. Les utilisateurs peuvent être gérés à la fois à l'aide de l'UI Edge et de l'API de gestion. Les rôles et les autorisations ne peuvent être gérés qu'avec l'API de gestion.

Pour en savoir plus sur les utilisateurs et la création d'utilisateurs, consultez les ressources suivantes :

La plupart des opérations que vous effectuez pour gérer les utilisateurs nécessitent un administrateur système de droits. Dans une installation de Edge basée sur le cloud, Apigee joue le rôle d'administrateur système. Pour une installation Edge pour le cloud privé, votre administrateur système doit effectuer ces tâches comme décrit ci-dessous.

Ajouter un utilisateur

Vous pouvez créer un utilisateur à l'aide de l'API Edge, de l'interface utilisateur Edge ou des commandes Edge. Ce explique comment utiliser l'API Edge et les commandes Edge. Pour savoir comment créer des utilisateurs dans l'interface utilisateur Edge, consultez la section Créer des utilisateurs globaux.

Après avoir créé l'utilisateur dans une organisation, vous devez lui attribuer un rôle. Rôles déterminer les droits d'accès de l'utilisateur sur Edge.

Utilisez la commande suivante pour créer un utilisateur avec l'API Edge:

curl -H "Content-Type:application/xml" \
  -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD -X POST http://ms_IP:8080/v1/users \
  -d '<User> \
    <FirstName>New</FirstName> \
    <LastName>User</LastName> \
    <Password>NEW_USER_PASSWORD</Password> \
    <EmailId>foo@bar.com</EmailId> \
  </User>'

Vous pouvez également utiliser la commande Edge suivante pour créer un utilisateur :

/opt/apigee/apigee-service/bin/apigee-service apigee-provision create-user -f configFile

configFile crée l'utilisateur, comme illustré dans l'exemple suivant :

APIGEE_ADMINPW=SYS_ADMIN_PASSWORD    # If omitted, you will be prompted.
USER_NAME=foo@bar.com
FIRST_NAME=New
LAST_NAME=User
USER_PWD="NEW_USER_PASSWORD"
ORG_NAME=myorg

Vous pouvez ensuite utiliser cet appel pour afficher des informations sur l'utilisateur :

curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/users/foo@bar.com

L'attribution de l'utilisateur à un rôle organisation

Pour qu'un nouvel utilisateur puisse effectuer une action, un rôle doit lui être attribué au sein d'une organisation. Vous pouvez attribuer à l'utilisateur différents rôles, y compris orgadmin, businessuser, opsadmin, user ou un rôle personnalisé défini dans l'organisation.

Lorsque vous attribuez un rôle à un utilisateur dans une organisation, il est automatiquement ajouté organisation. Attribuez un utilisateur à plusieurs organisations en lui attribuant un rôle dans chacune d'elles.

Utilisez la commande suivante pour attribuer un rôle à l'utilisateur dans une organisation:

curl -X POST -H "Content-Type:application/x-www-form-urlencoded" \
  http://ms_IP:8080/v1/o/org_name/userroles/role/users?id=foo@bar.com \
  -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD

Cet appel affiche tous les rôles attribués à l'utilisateur. Si vous souhaitez ajouter l'utilisateur, n'afficher que le nouveau rôle, utilisez l'appel suivant:

curl -X POST -H "Content-Type: application/xml" \
  http://ms_IP:8080/v1/o/org_name/users/foo@bar.com/userroles \
  -d '<Roles><Role name="role"/><Roles>' \
  -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD

Vous pouvez afficher les rôles de l'utilisateur à l'aide de la commande suivante:

curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/users/foo@bar.com/userroles

Pour supprimer un utilisateur d'une organisation, supprimez tous les rôles de cette organisation. Utilisez la commande suivante pour supprimer un rôle d'un utilisateur :

curl -X DELETE -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD \
  http://ms_IP:8080/v1/o/org_name/userroles/role/users/foo@bar.com

Ajouter un administrateur système

Un administrateur système peut:

Créer des organisations
Ajouter des routeurs, des processeurs de messages et d'autres composants à une installation Edge
configurer TLS/SSL ;
créer des administrateurs système supplémentaires ;
Effectuer toutes les tâches d'administration Edge

Bien qu'un seul utilisateur soit l'utilisateur par défaut pour les tâches administratives, il peut y avoir plusieurs administrateurs système. Tout utilisateur membre du groupe « sysadmin » dispose d'un accès complet sur toutes les ressources.

Vous pouvez créer l'utilisateur pour l'administrateur système dans l'interface utilisateur ou l'API Edge. Toutefois, vous devez utiliser l'API Edge pour attribuer à l'utilisateur le rôle "sysadmin". Attribuer un utilisateur au « sysadmin » rôle ne peut pas être fait dans l'interface utilisateur Edge.

Pour ajouter un administrateur système :

Créez un utilisateur dans l'interface utilisateur ou l'API Edge.

Ajouter un utilisateur à "sysadmin" rôle:

curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD \
  -X POST http://ms_IP:8080/v1/userroles/sysadmin/users -d 'id=foo@bar.com'

Assurez-vous que le nouvel utilisateur dispose du rôle "sysadmin" :
```
curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/userroles/sysadmin/users
```
Renvoie l'adresse e-mail de l'utilisateur :
```
[ " foo@bar.com " ]
```

Vérifiez les autorisations du nouvel utilisateur:

curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/users/foo@bar.com/permissions

Renvoie :

{
  "resourcePermission" : [ {
  "path" : "/",
    "permissions" : [ "get", "put", "delete" ]
  } ]
}

Une fois le nouvel administrateur système ajouté, vous pouvez ajouter l'utilisateur à n'importe quelle organisation.

Remarque: Le nouvel administrateur système ne peut pas se connecter à l'interface utilisateur Edge jusqu'à ce que vous ajoutiez l'utilisateur à au moins une organisation.
Si vous souhaitez ultérieurement retirer l'utilisateur du rôle d'administrateur système, vous pouvez utiliser l'API suivante :
```
curl -X DELETE -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD \
  http://ms_IP:8080/v1/userroles/sysadmin/users/foo@bar.com
```
Notez que cet appel ne supprime que l'utilisateur du rôle. Il ne le supprime pas.

Changement de l'administrateur système par défaut utilisateur

Lorsque vous installez Edge, vous devez spécifier l'adresse e-mail de l'administrateur système. Périphérie crée un utilisateur avec cette adresse e-mail et définit cet utilisateur comme système par défaut administrateur. Vous pourrez ajouter d'autres administrateurs système ultérieurement, comme décrit ci-dessus.

Cette section explique comment remplacer l'administrateur système par défaut par un autre utilisateur et comment modifier l'adresse e-mail du compte utilisateur de l'administrateur système par défaut actuel.

Pour afficher la liste des utilisateurs actuellement configurés en tant qu'administrateurs système, utilisez l'appel d'API suivant :

curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/userroles/sysadmin/users

Pour déterminer l'administrateur système par défaut actuel, affichez les /opt/apigee/customer/defaults.sh. Le fichier contient la ligne suivante, qui indique l'adresse e-mail de l'administrateur système par défaut actuel :

ADMIN_EMAIL=foo@bar.com

Pour remplacer l'administrateur système par défaut par un autre utilisateur:

Créez un administrateur système comme décrit ci-dessus ou assurez-vous que le compte d'utilisateur le nouvel administrateur système est déjà configuré en tant qu'administrateur système.
Modifiez /opt/apigee/customer/defaults.sh pour définir ADMIN_EMAIL sur l'adresse e-mail du nouvel administrateur système.
Modifiez le fichier de configuration silencieux que vous avez utilisé pour installer l'UI Edge afin de définir les propriétés suivantes :
```
ADMIN_EMAIL=NEW_SYS_ADMIN_EMAIL
APIGEE_ADMINPW=NEW_SYS_ADMIN_PASSWORD
SMTPHOST=smtp.gmail.com
SMTPPORT=465
SMTPUSER=foo@gmail.com
SMTPPASSWORD=bar
SMTPSSL=y
```
Notez que vous devez inclure les propriétés SMTP, car toutes les propriétés de l'interface utilisateur sont réinitialisées.

Reconfigurez l'interface utilisateur Edge :

/opt/apigee/apigee-service/bin/apigee-service edge-ui stop
/opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
/opt/apigee/apigee-service/bin/apigee-service edge-ui start

Si vous souhaitez simplement modifier l'adresse e-mail du compte utilisateur de l'administrateur système par défaut actuel, vous devez d'abord mettre à jour le compte utilisateur pour définir la nouvelle adresse e-mail, puis modifier l'adresse e-mail de l'administrateur système par défaut :

Mettez à jour le compte utilisateur de l'administrateur système par défaut actuel avec une nouvelle adresse e-mail adresse:

curl -H content-type:application/json -X PUT -u CURRENT_SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD \
  http://ms_IP:8080/v1/users/CURRENT_SYS_ADMIN_EMAIL \
  -d '{"emailId": "NEW_SYS_ADMIN_EMAIL", "lastName": "admin", "firstName": "admin"}'

Répétez les étapes 2, 3 et 4 de la procédure précédente pour mettre à jour le fichier /opt/apigee/customer/defaults.sh et l'interface utilisateur Edge.

Spécifier le domaine de messagerie d'un système administrateur

Pour plus de sécurité, vous pouvez spécifier le domaine de messagerie requis d'un administrateur système Edge. Lorsque vous ajoutez un administrateur système, si l'adresse e-mail de l'utilisateur ne figure pas dans le domaine spécifié, l'ajout de l'utilisateur au rôle "sysadmin" échoue.

Par défaut, le domaine requis est vide, ce qui signifie que vous pouvez ajouter n'importe quelle adresse e-mail au rôle "administrateur système".

Pour définir le domaine de messagerie:

Ouvrez le fichier management-server.properties dans un éditeur :
```
vi /opt/apigee/customer/application/management-server.properties
```
Si ce fichier n'existe pas, créez-le.
Définissez la propriété conf_security_rbac.global.roles.allowed.domains sur la liste des domaines autorisés, séparés par une virgule. Par exemple :
```
conf_security_rbac.global.roles.allowed.domains=myCo.com,yourCo.com
```
Enregistrez les modifications.
Redémarrez le serveur de gestion Edge :
```
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
```
Si vous essayez maintenant d'ajouter un utilisateur au « sysadmin », et l'adresse e-mail de l'utilisateur ne fait pas partie de l'un des domaines spécifiés, l'ajout échoue.

Supprimer un compte utilisateur

Vous pouvez créer un utilisateur à l'aide de l'API Edge ou de l'interface utilisateur Edge. Cependant, vous ne pouvez supprimer un utilisateur à l'aide de l'API.

Pour afficher la liste des utilisateurs actuels, y compris leur adresse e-mail, exécutez la commande curl suivante :

curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms-IP:8080/v1/users

Exécutez la commande curl suivante pour supprimer un utilisateur:

curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD -X DELETE http://ms_IP:8080/v1/users/USER_EMAIL