Zarządzanie użytkownikami, rolami i uprawnieniami

W witrynie z dokumentacją Apigee znajdziesz obszerne informacje o zarządzaniu rolami i uprawnieniami użytkowników. Użytkownikami można zarządzać zarówno za pomocą interfejsu użytkownika Edge, jak i interfejsu Management API. role uprawnieniami można zarządzać tylko za pomocą interfejsu API zarządzania.

Informacje o użytkownikach i ich tworzeniu znajdziesz w tych artykułach:

• Informacje o użytkownikach na całym świecie
• Tworzenie globalnych użytkownicy

Wiele operacji wykonywanych w celu zarządzania użytkownikami wymaga uprawnień administratora systemu. W przypadku instalacji Edge w chmurze Apigee pełni rolę administratora systemu. W Edge dla instalacji Private Cloud administrator systemu musi wykonaj te zadania w sposób opisany poniżej.

Dodawanie użytkownika

Użytkownika możesz utworzyć za pomocą interfejsu Edge API, interfejsu Edge lub poleceń Edge. Ten W tej sekcji opisaliśmy, jak używać interfejsu Edge API i poleceń Edge. Informacje o tworzeniu użytkowników w interfejsie Edge znajdziesz w artykule Tworzenie użytkowników globalnych.

Po utworzeniu użytkownika w organizacji musisz przypisać mu rolę. Role określają prawa dostępu użytkownika w Edge.

Aby utworzyć użytkownika za pomocą interfejsu Edge API, użyj tego polecenia:

curl -H "Content-Type:application/xml" \
  -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD -X POST http://ms_IP:8080/v1/users \
  -d '<User> \
    <FirstName>New</FirstName> \
    <LastName>User</LastName> \
    <Password>NEW_USER_PASSWORD</Password> \
    <EmailId>foo@bar.com</EmailId> \
  </User>'

Aby utworzyć użytkownika, użyj tego polecenia Edge:

/opt/apigee/apigee-service/bin/apigee-service apigee-provision create-user -f configFile

Miejsce, w którym configFile tworzy użytkownika, jak pokazano w tym przykładzie:

APIGEE_ADMINPW=SYS_ADMIN_PASSWORD    # If omitted, you will be prompted.
USER_NAME=foo@bar.com
FIRST_NAME=New
LAST_NAME=User
USER_PWD="NEW_USER_PASSWORD"
ORG_NAME=myorg

Następnie możesz użyć tego wywołania, aby wyświetlić informacje o użytkowniku:

curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/users/foo@bar.com

Przypisanie użytkownika do roli w organizacja

Zanim nowy użytkownik będzie mógł cokolwiek zrobić, musi zostać mu przypisana rola w organizacji. Ty przypisać użytkownikowi różne role, w tym: orgadmin, businessuser, opsadmin, user lub rolę niestandardową zdefiniowaną w organizacji.

Przypisanie użytkownika do roli w organizacji powoduje automatyczne dodanie go do Twojej organizacji. Przypisz użytkownika do wielu organizacji, przypisując mu rolę w każdej z nich Twojej organizacji.

Aby przypisać użytkownikowi rolę w organizacji, użyj tego polecenia:

curl -X POST -H "Content-Type:application/x-www-form-urlencoded" \
  http://ms_IP:8080/v1/o/org_name/userroles/role/users?id=foo@bar.com \
  -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD

W tym wywołaniu wyświetlane są wszystkie role przypisane do użytkownika. Jeśli chcesz dodać użytkownika, ale wyświetl tylko nową rolę, użyj tego wywołania:

curl -X POST -H "Content-Type: application/xml" \
  http://ms_IP:8080/v1/o/org_name/users/foo@bar.com/userroles \
  -d '<Roles><Role name="role"/><Roles>' \
  -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD

Aby wyświetlić role użytkownika, użyj tego polecenia:

curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/users/foo@bar.com/userroles

Aby usunąć użytkownika z organizacji, usuń z niego wszystkie role w tej organizacji. Aby usunąć rolę z użytkownika, użyj tego polecenia:

curl -X DELETE -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD \
  http://ms_IP:8080/v1/o/org_name/userroles/role/users/foo@bar.com

Dodawanie administratora systemu

Administrator systemu może:

• Utwórz organizacje
• Dodawanie routerów, procesorów wiadomości i innych komponentów do instalacji Edge
• Konfigurowanie TLS/SSL
• Tworzenie dodatkowych administratorów systemu
• Wykonywanie wszystkich zadań administracyjnych dotyczących Edge

Chociaż tylko jeden użytkownik jest domyślnym użytkownikiem do wykonywania zadań administracyjnych, może być więcej niż 1 administrator systemu. Każdy użytkownik, który ma rolę „sysadmin”, ma pełne uprawnienia do wszystkich zasobów.

Możesz utworzyć użytkownika dla administratora systemu w interfejsie Edge lub API. Aby jednak przypisać użytkownikowi rolę „sysadmin”, musisz użyć interfejsu Edge API. W interfejsie Edge nie można przypisać użytkownikowi roli „administrator systemu”.

Aby dodać administratora systemu:

1. Utwórz użytkownika w interfejsie Edge lub interfejsie API.
2. Dodawanie użytkownika do roli „sysadmin”:

   curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD \
     -X POST http://ms_IP:8080/v1/userroles/sysadmin/users -d 'id=foo@bar.com'

3. Upewnij się, że nowy użytkownik ma rolę „sysadmin”:

   curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/userroles/sysadmin/users

   Zwraca adres e-mail użytkownika:

   [ " foo@bar.com " ]

4. Sprawdź uprawnienia nowego użytkownika:

   curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/users/foo@bar.com/permissions

   Zwraca:

   {
     "resourcePermission" : [ {
     "path" : "/",
       "permissions" : [ "get", "put", "delete" ]
     } ]
   }

5. Po dodaniu nowego administratora systemu możesz dodać tego użytkownika do dowolnej organizacji.
   
6. Jeśli później zechcesz odebrać użytkownikowi rolę administratora systemu, możesz użyć ten interfejs API:

   curl -X DELETE -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD \
     http://ms_IP:8080/v1/userroles/sysadmin/users/foo@bar.com

   Pamiętaj, że to wywołanie jedynie usuwa użytkownika z roli, a nie go nie usuwa.

Zmienianie domyślnego konta administratora

Podczas instalowania Edge podajesz adres e-mail administratora systemu. Krawędź tworzy użytkownika o tym adresie e-mail i ustawia go jako system domyślny . Później możesz dodać kolejnych administratorów systemu w sposób opisany powyżej.

W tej sekcji opisano, jak zmienić domyślnego administratora systemu na innego użytkownika, i jak zmienić adres e-mail konta użytkownika w bieżącym systemie domyślnym. .

Aby wyświetlić listę użytkowników skonfigurowanych jako administratorzy systemu, użyj tego wywołania interfejsu API:

curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/userroles/sysadmin/users

Aby określić bieżącego domyślnego administratora systemu, wyświetl: /opt/apigee/customer/defaults.sh. Plik zawiera ten wiersz, który zawiera adres e-mail bieżącego domyślnego administratora systemu:

ADMIN_EMAIL=foo@bar.com

Aby zmienić domyślnego administratora systemu na innego użytkownika:

1. Utwórz nowego administratora systemu w sposób opisany powyżej lub upewnij się, że konto użytkownika nowego administratora systemu jest już skonfigurowane jako konto administratora systemu.
2. Zmień /opt/apigee/customer/defaults.sh na ADMIN_EMAIL, wpisując adres e-mail nowego administratora systemu.
3. Edytuj plik konfiguracji cichej użyty do zainstalowania interfejsu Edge, aby ustawić następujące ustawienia: właściwości:

   ADMIN_EMAIL=NEW_SYS_ADMIN_EMAIL
   APIGEE_ADMINPW=NEW_SYS_ADMIN_PASSWORD
   SMTPHOST=smtp.gmail.com
   SMTPPORT=465
   SMTPUSER=foo@gmail.com
   SMTPPASSWORD=bar
   SMTPSSL=y

   Pamiętaj, że musisz użyć właściwości SMTP, ponieważ wszystkie właściwości w interfejsie są resetowane.

4. Skonfiguruj ponownie interfejs Edge:

   /opt/apigee/apigee-service/bin/apigee-service edge-ui stop
   /opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
   /opt/apigee/apigee-service/bin/apigee-service edge-ui start

Jeśli chcesz tylko zmienić domyślny adres e-mail konta użytkownika administratora systemu, zaktualizuj konto użytkownika, aby ustawić nowy adres e-mail, a następnie zmień domyślny adres e-mail administratora systemu:

1. Zaktualizuj konto użytkownika, który jest domyślnym administratorem systemu, przypisując mu nowy adres e-mail:

   curl -H content-type:application/json -X PUT -u CURRENT_SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD \
     http://ms_IP:8080/v1/users/CURRENT_SYS_ADMIN_EMAIL \
     -d '{"emailId": "NEW_SYS_ADMIN_EMAIL", "lastName": "admin", "firstName": "admin"}'

2. Powtórz kroki 2, 3 i 4 z poprzedniej procedury, aby zaktualizować plik /opt/apigee/customer/defaults.sh i interfejs użytkownika Edge.

Określanie domeny e-mail systemu administrator

Aby zwiększyć bezpieczeństwo, możesz określić wymaganą domenę poczty e-mail w systemie Edge . Podczas dodawania administratora systemu, jeśli adres e-mail użytkownika nie znajduje się w w określonej domenie, a następnie dodanie użytkownika do sekcji „sysadmin” rezygnacja.

Domyślnie wymagana domena jest pusta, co oznacza, że możesz dodać dowolny adres e-mail do roli „administrator systemu”.

Aby ustawić domenę e-mail:

1. Otwórz plik management-server.properties w edytorze:

   vi /opt/apigee/customer/application/management-server.properties

   Jeśli ten plik nie istnieje, utwórz go.

2. Ustaw właściwość conf_security_rbac.global.roles.allowed.domains na listę domen dozwolonych rozdzielonych przecinkami. Przykład:

   conf_security_rbac.global.roles.allowed.domains=myCo.com,yourCo.com

3. Zapisz zmiany.
4. Ponownie uruchom serwer zarządzania brzegiem:

   /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

   Jeśli spróbujesz dodać użytkownika do konsoli „sysadmin” i adres e-mail użytkownika, nie należy do żadnej ze wskazanych domen, dodanie nie powiedzie się.

Usuwanie konta użytkownika

Użytkownika możesz utworzyć za pomocą interfejsu Edge API lub Edge UI. Możesz jednak tylko usunąć użytkownika za pomocą interfejsu API.

Aby zobaczyć listę bieżących użytkowników, w tym adresy e-mail, użyj następujących Polecenie curl:

curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms-IP:8080/v1/users

Aby usunąć konto użytkownika, użyj tego polecenia curl:

curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD -X DELETE http://ms_IP:8080/v1/users/USER_EMAIL