Mengelola pengguna, peran, dan izin

Situs dokumentasi Apigee memiliki informasi lengkap tentang cara mengelola peran dan izin pengguna. Pengguna dapat dikelola menggunakan UI Edge dan Management API; peran dan izin hanya dapat dikelola dengan Management API.

Untuk informasi tentang pengguna dan cara membuat pengguna, lihat:

Banyak operasi yang Anda lakukan untuk mengelola pengguna memerlukan administrator sistem hak istimewa pengguna. Dalam penginstalan Edge berbasis Cloud, Apigee berfungsi sebagai administrator sistem. Di Edge untuk penginstalan Private Cloud, administrator sistem Anda harus melakukan tugas ini seperti yang dijelaskan di bawah ini.

Menambahkan pengguna

Anda dapat membuat pengguna menggunakan Edge API, UI Edge, atau perintah Edge. Bagian ini menjelaskan cara menggunakan Edge API dan perintah Edge. Untuk informasi tentang cara membuat pengguna di UI Edge, lihat Membuat pengguna global.

Setelah membuat pengguna di organisasi, Anda harus menetapkan peran kepada pengguna tersebut. Peran menentukan hak akses pengguna di Edge.

Gunakan perintah berikut untuk membuat pengguna dengan Edge API:

curl -H "Content-Type:application/xml" \
  -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD -X POST http://ms_IP:8080/v1/users \
  -d '<User> \
    <FirstName>New</FirstName> \
    <LastName>User</LastName> \
    <Password>NEW_USER_PASSWORD</Password> \
    <EmailId>foo@bar.com</EmailId> \
  </User>'

Atau, gunakan perintah Edge berikut untuk membuat pengguna:

/opt/apigee/apigee-service/bin/apigee-service apigee-provision create-user -f configFile

Tempat configFile membuat pengguna, seperti yang ditunjukkan pada contoh berikut:

APIGEE_ADMINPW=SYS_ADMIN_PASSWORD    # If omitted, you will be prompted.
USER_NAME=foo@bar.com
FIRST_NAME=New
LAST_NAME=User
USER_PWD="NEW_USER_PASSWORD"
ORG_NAME=myorg

Kemudian, Anda dapat menggunakan panggilan ini untuk melihat informasi tentang pengguna:

curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/users/foo@bar.com

Menetapkan pengguna ke peran pada organisasi

Sebelum dapat melakukan apa pun, pengguna baru harus ditetapkan ke peran dalam organisasi. Anda dapat menetapkan pengguna ke berbagai peran, termasuk: orgadmin, businessuser, opsadmin, user, atau ke peran khusus yang ditentukan dalam organisasi.

Menetapkan pengguna ke peran dalam organisasi akan otomatis menambahkan pengguna tersebut ke organisasi. Tetapkan pengguna ke beberapa organisasi dengan menetapkannya ke peran di setiap organisasi.

Gunakan perintah berikut untuk menetapkan pengguna ke peran dalam organisasi:

curl -X POST -H "Content-Type:application/x-www-form-urlencoded" \
  http://ms_IP:8080/v1/o/org_name/userroles/role/users?id=foo@bar.com \
  -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD

Panggilan ini menampilkan semua peran yang ditetapkan untuk pengguna. Jika Anda ingin menambahkan pengguna, tetapi hanya menampilkan peran baru, gunakan panggilan berikut:

curl -X POST -H "Content-Type: application/xml" \
  http://ms_IP:8080/v1/o/org_name/users/foo@bar.com/userroles \
  -d '<Roles><Role name="role"/><Roles>' \
  -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD

Anda dapat melihat peran pengguna menggunakan perintah berikut:

curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/users/foo@bar.com/userroles

Untuk menghapus pengguna dari organisasi, hapus semua peran di organisasi tersebut dari pengguna. Gunakan perintah berikut untuk menghapus peran dari pengguna:

curl -X DELETE -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD \
  http://ms_IP:8080/v1/o/org_name/userroles/role/users/foo@bar.com

Menambahkan administrator sistem

Administrator sistem dapat:

  • Membuat organisasi
  • Menambahkan Router, Prosesor Pesan, dan komponen lainnya ke penginstalan Edge
  • Mengonfigurasi TLS/SSL
  • Membuat administrator sistem tambahan
  • Melakukan semua tugas administratif Edge

Meskipun hanya satu pengguna yang merupakan pengguna default untuk tugas administratif, dapat ada lebih dari satu administrator sistem. Setiap pengguna yang merupakan anggota peran "sysadmin" memiliki izin penuh ke semua resource.

Anda dapat membuat pengguna untuk administrator sistem di UI Edge atau API. Namun, Anda harus menggunakan Edge API untuk menetapkan pengguna ke peran "sysadmin". Menetapkan pengguna ke peran "sysadmin" tidak dapat dilakukan di UI Edge.

Untuk menambahkan administrator sistem:

  1. Buat pengguna di UI atau API Edge.
  2. Tambahkan pengguna ke peran "sysadmin":
    curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD \
      -X POST http://ms_IP:8080/v1/userroles/sysadmin/users -d 'id=foo@bar.com'
  3. Pastikan pengguna baru berada di "sysadmin" peran:
    curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/userroles/sysadmin/users

    Menampilkan alamat email pengguna:

    [ " foo@bar.com " ]
  4. Periksa izin pengguna baru:
    curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/users/foo@bar.com/permissions

    Retur:

    {
      "resourcePermission" : [ {
      "path" : "/",
        "permissions" : [ "get", "put", "delete" ]
      } ]
    }
  5. Setelah menambahkan administrator sistem baru, Anda dapat menambahkan pengguna ke organisasi apa pun.
  6. Jika nanti Anda ingin menghapus pengguna dari peran administrator sistem, Anda dapat menggunakan API berikut:
    curl -X DELETE -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD \
      http://ms_IP:8080/v1/userroles/sysadmin/users/foo@bar.com

    Perhatikan bahwa panggilan ini hanya menghapus pengguna dari peran, tidak menghapus pengguna.

Mengubah administrator sistem default nama

Pada saat menginstal Edge, Anda menentukan alamat email administrator sistem. Edge akan membuat pengguna dengan alamat email tersebut, dan menetapkan pengguna tersebut sebagai administrator sistem default. Anda nanti dapat menambahkan administrator sistem tambahan seperti yang dijelaskan di atas.

Bagian ini menjelaskan cara mengubah administrator sistem default menjadi pengguna lain, dan cara mengubah alamat email akun pengguna untuk administrator sistem default saat ini.

Untuk melihat daftar pengguna yang saat ini dikonfigurasi sebagai administrator sistem, gunakan panggilan API berikut:

curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/userroles/sysadmin/users

Untuk menentukan administrator sistem {i>default<i} saat ini, lihat File /opt/apigee/customer/defaults.sh. File tersebut berisi baris berikut yang menunjukkan alamat email administrator sistem {i>default<i} saat ini:

ADMIN_EMAIL=foo@bar.com

Untuk mengubah administrator sistem default menjadi pengguna lain:

  1. Buat administrator sistem baru seperti yang dijelaskan di atas, atau pastikan akun pengguna administrator sistem baru sudah dikonfigurasi sebagai administrator sistem.
  2. Edit /opt/apigee/customer/defaults.sh untuk setel ADMIN_EMAIL ke alamat email administrator sistem baru.
  3. Edit file konfigurasi senyap yang Anda gunakan untuk menginstal UI Edge untuk mengatur hal berikut properti:
    ADMIN_EMAIL=NEW_SYS_ADMIN_EMAIL
    APIGEE_ADMINPW=NEW_SYS_ADMIN_PASSWORD
    SMTPHOST=smtp.gmail.com
    SMTPPORT=465
    SMTPUSER=foo@gmail.com
    SMTPPASSWORD=bar
    SMTPSSL=y

    Perhatikan bahwa Anda harus menyertakan properti SMTP karena semua properti di UI direset.

  4. Konfigurasi ulang UI Edge:
    /opt/apigee/apigee-service/bin/apigee-service edge-ui stop
    /opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
    /opt/apigee/apigee-service/bin/apigee-service edge-ui start

Jika Anda hanya ingin mengubah alamat email akun pengguna untuk {i>default<i} saat ini administrator sistem, perbarui dulu akun pengguna untuk mengatur alamat email baru, lalu ubah alamat email administrator sistem {i>default<i}:

  1. Perbarui akun pengguna administrator sistem default saat ini dengan alamat email baru:
    curl -H content-type:application/json -X PUT -u CURRENT_SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD \
      http://ms_IP:8080/v1/users/CURRENT_SYS_ADMIN_EMAIL \
      -d '{"emailId": "NEW_SYS_ADMIN_EMAIL", "lastName": "admin", "firstName": "admin"}'
  2. Ulangi langkah 2, 3 dan 4 dari prosedur sebelumnya untuk memperbarui /opt/apigee/customer/defaults.sh dan untuk mengupdate UI Edge.

Menentukan domain email administrator sistem

Sebagai tingkat keamanan tambahan, Anda dapat menentukan domain email yang diperlukan dari sistem Edge Google Workspace for Education. Saat menambahkan administrator sistem, jika alamat email pengguna tidak ada di domain yang ditentukan, penambahan pengguna ke peran "sysadmin" akan gagal.

Secara default, domain yang diperlukan kosong, artinya Anda dapat menambahkan alamat email apa pun ke "admin sistem" peran.

Untuk menetapkan domain email:

  1. Buka file management-server.properties di editor:
    vi /opt/apigee/customer/application/management-server.properties

    Jika file ini tidak ada, buatlah.

  2. Setel conf_security_rbac.global.roles.allowed.domains ke daftar yang dipisahkan koma dari domain yang diizinkan. Contoh:
    conf_security_rbac.global.roles.allowed.domains=myCo.com,yourCo.com
  3. Simpan perubahan.
  4. Mulai ulang Server Pengelolaan Edge:
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

    Jika sekarang Anda mencoba menambahkan pengguna ke peran "sysadmin", dan alamat email pengguna tersebut tidak ada di salah satu domain yang ditentukan, penambahan akan gagal.

Menghapus pengguna

Anda dapat membuat pengguna menggunakan Edge API atau UI Edge. Namun, Anda hanya dapat menghapus pengguna menggunakan API.

Untuk melihat daftar pengguna saat ini, termasuk alamat email, gunakan perintah curl berikut:

curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms-IP:8080/v1/users

Gunakan perintah curl berikut untuk menghapus pengguna:

curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD -X DELETE http://ms_IP:8080/v1/users/USER_EMAIL