เว็บไซต์เอกสารประกอบของ Apigee มีข้อมูลเพิ่มเติมเกี่ยวกับการจัดการบทบาทของผู้ใช้และ สิทธิ์ ผู้ใช้สามารถจัดการผู้ใช้ได้โดยใช้ทั้ง Edge UI และ Management API บทบาทและ จะจัดการได้ด้วย Management API เท่านั้น
ดูข้อมูลเกี่ยวกับผู้ใช้และการสร้างผู้ใช้ได้ที่
การดำเนินการหลายอย่างที่คุณทำเพื่อจัดการผู้ใช้ต้องใช้สิทธิ์ผู้ดูแลระบบ ในการติดตั้ง Edge ในระบบคลาวด์ Apigee จะทําหน้าที่เป็นบทบาทผู้ดูแลระบบ ใน Edge สำหรับการติดตั้ง Private Cloud ผู้ดูแลระบบจะต้อง ดำเนินการเหล่านี้ได้ตามที่อธิบายไว้ด้านล่าง
การเพิ่มผู้ใช้
คุณสร้างผู้ใช้ได้โดยใช้ Edge API, คำสั่ง Edge UI หรือ Edge ส่วนนี้จะอธิบายวิธีใช้ Edge API และคำสั่ง Edge โปรดดูข้อมูลการสร้างผู้ใช้ใน UI ของ Edge ที่หัวข้อการสร้างผู้ใช้ทั่วโลก
หลังจากสร้างผู้ใช้ในองค์กรแล้ว คุณต้องมอบหมายบทบาทให้กับผู้ใช้ บทบาท กำหนดสิทธิ์การเข้าถึงของผู้ใช้ใน Edge
ใช้คำสั่งต่อไปนี้เพื่อสร้างผู้ใช้ด้วย Edge API
curl -H "Content-Type:application/xml" \
-u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD -X POST http://ms_IP:8080/v1/users \
-d '<User> \
<FirstName>New</FirstName> \
<LastName>User</LastName> \
<Password>NEW_USER_PASSWORD</Password> \
<EmailId>foo@bar.com</EmailId> \
</User>'
หรือใช้คําสั่ง Edge ต่อไปนี้เพื่อสร้างผู้ใช้
/opt/apigee/apigee-service/bin/apigee-service apigee-provision create-user -f configFile
ตำแหน่งที่ configFile สร้างผู้ใช้ ตามตัวอย่างต่อไปนี้
APIGEE_ADMINPW=SYS_ADMIN_PASSWORD # If omitted, you will be prompted. USER_NAME=foo@bar.com FIRST_NAME=New LAST_NAME=User USER_PWD="NEW_USER_PASSWORD" ORG_NAME=myorg
จากนั้นคุณจะใช้การเรียกนี้เพื่อดูข้อมูลเกี่ยวกับผู้ใช้ได้
curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/users/foo@bar.com
การมอบหมายบทบาทให้กับผู้ใช้ใน องค์กร
ผู้ใช้ใหม่จะต้องได้รับมอบหมายบทบาทในองค์กรก่อนจึงจะดำเนินการใดๆ ได้ คุณ
กำหนดบทบาทต่างๆ ให้แก่ผู้ใช้ได้ รวมถึง: orgadmin, businessuser
opsadmin, user หรือบทบาทที่กำหนดเองซึ่งกำหนดในองค์กร
การมอบหมายบทบาทให้กับผู้ใช้ในองค์กรจะเพิ่มผู้ใช้รายนั้นลงในองค์กรโดยอัตโนมัติ มอบหมายผู้ใช้ให้กับหลายองค์กรโดยมอบหมายผู้ใช้ให้อยู่ในบทบาทในองค์กรแต่ละแห่ง
ใช้คำสั่งต่อไปนี้เพื่อมอบหมายบทบาทในองค์กรให้กับผู้ใช้
curl -X POST -H "Content-Type:application/x-www-form-urlencoded" \ http://ms_IP:8080/v1/o/org_name/userroles/role/users?id=foo@bar.com \ -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD
การเรียกใช้นี้จะแสดงบทบาททั้งหมดที่มอบหมายให้กับผู้ใช้ หากคุณต้องการเพิ่มผู้ใช้ แต่ แสดงเฉพาะบทบาทใหม่ ใช้การเรียกต่อไปนี้:
curl -X POST -H "Content-Type: application/xml" \ http://ms_IP:8080/v1/o/org_name/users/foo@bar.com/userroles \ -d '<Roles><Role name="role"/><Roles>' \ -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD
คุณจะดูบทบาทของผู้ใช้ได้โดยใช้คำสั่งต่อไปนี้
curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/users/foo@bar.com/userroles
หากต้องการนำผู้ใช้ออกจากองค์กร ให้นำบทบาททั้งหมดในองค์กรนั้นออกจากผู้ใช้ ใช้คำสั่งต่อไปนี้เพื่อนำบทบาทออกจากผู้ใช้
curl -X DELETE -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD \ http://ms_IP:8080/v1/o/org_name/userroles/role/users/foo@bar.com
การเพิ่มผู้ดูแลระบบ
ผู้ดูแลระบบสามารถทำสิ่งต่อไปนี้
- สร้างองค์กร
- เพิ่มเราเตอร์, Message Processor และคอมโพเนนต์อื่นๆ ในการติดตั้ง Edge
- กำหนดค่า TLS/SSL
- สร้างผู้ดูแลระบบเพิ่มเติม
- ทำงานด้านการดูแลระบบ Edge ทั้งหมด
แม้ว่าจะมีผู้ใช้เพียงคนเดียวเท่านั้นที่เป็นผู้ใช้เริ่มต้นสำหรับงานดูแลระบบ แต่อาจมีมากกว่า ผู้ดูแลระบบ 1 คน ผู้ใช้ที่เป็นสมาชิกของบทบาท "ผู้ดูแลระบบ" จะมีสิทธิ์เต็มรูปแบบในทรัพยากรทั้งหมด
คุณสร้างผู้ใช้สำหรับผู้ดูแลระบบได้ใน Edge UI หรือ API อย่างไรก็ตาม คุณต้องใช้ Edge API เพื่อมอบหมายบทบาท "ผู้ดูแลระบบ" ให้กับผู้ใช้ การมอบหมาย ผู้ใช้ไปยัง "ผู้ดูแลระบบ" ไม่สามารถทำได้ใน Edge UI
ในการเพิ่มผู้ดูแลระบบ ให้ทำดังนี้
- สร้างผู้ใช้ใน UI หรือ API ของ Edge
- เพิ่มผู้ใช้ใน "sysadmin" บทบาท:
curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD \ -X POST http://ms_IP:8080/v1/userroles/sysadmin/users -d 'id=foo@bar.com'
- ตรวจสอบว่าผู้ใช้ใหม่อยู่ใน "sysadmin" บทบาท:
curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/userroles/sysadmin/users
แสดงอีเมลของผู้ใช้
[ " foo@bar.com " ]
- ตรวจสอบสิทธิ์ของผู้ใช้ใหม่:
curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/users/foo@bar.com/permissions
ค่าที่ส่งคืน:
{ "resourcePermission" : [ { "path" : "/", "permissions" : [ "get", "put", "delete" ] } ] } - หลังจากเพิ่มผู้ดูแลระบบคนใหม่แล้ว คุณสามารถเพิ่มผู้ใช้ลงในองค์กรใดก็ได้
- หากต้องการนำผู้ใช้ออกจากบทบาทผู้ดูแลระบบระบบในภายหลัง คุณสามารถใช้ API ต่อไปนี้
curl -X DELETE -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD \ http://ms_IP:8080/v1/userroles/sysadmin/users/foo@bar.com
โปรดทราบว่าการเรียกใช้นี้จะนําผู้ใช้ออกจากบทบาทเท่านั้น แต่จะไม่ได้ลบผู้ใช้
การเปลี่ยนผู้ใช้ที่ดูแลระบบเริ่มต้นของระบบ
เมื่อติดตั้ง Edge คุณต้องระบุอีเมลของผู้ดูแลระบบ ขอบ สร้างผู้ใช้ที่มีที่อยู่อีเมลดังกล่าวและกำหนดให้ผู้ใช้รายนั้นเป็นระบบเริ่มต้น ผู้ดูแลระบบ คุณสามารถเพิ่มผู้ดูแลระบบอื่นได้ในภายหลังดังที่อธิบายไว้ข้างต้น
หัวข้อนี้จะอธิบายวิธีเปลี่ยนผู้ดูแลระบบเริ่มต้นเป็นผู้ใช้รายอื่น และวิธีเปลี่ยนที่อยู่อีเมลของบัญชีผู้ใช้สำหรับระบบเริ่มต้นปัจจุบัน ผู้ดูแลระบบ
หากต้องการดูรายชื่อผู้ใช้ที่กำหนดค่าเป็นผู้ดูแลระบบในปัจจุบัน ให้ใช้ API ต่อไปนี้ โทร:
curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms_IP:8080/v1/userroles/sysadmin/users
หากต้องการหาผู้ดูแลระบบเริ่มต้นในปัจจุบัน ให้ดู
/opt/apigee/customer/defaults.sh ไฟล์ ไฟล์มีบรรทัดต่อไปนี้ที่แสดง
ที่อยู่อีเมลของผู้ดูแลระบบเริ่มต้นปัจจุบัน:
ADMIN_EMAIL=foo@bar.com
วิธีเปลี่ยนผู้ดูแลระบบเริ่มต้นเป็นผู้ใช้รายอื่น
เพื่อเปลี่ยนผู้ดูแลระบบเริ่มต้น- สร้างผู้ดูแลระบบใหม่ตามที่อธิบายไว้ข้างต้น หรือตรวจสอบว่าบัญชีผู้ใช้ของ กำหนดค่าผู้ดูแลระบบใหม่เป็นผู้ดูแลระบบแล้ว
- แก้ไข
/opt/apigee/customer/defaults.shเป็น ตั้งค่าADMIN_EMAILเป็นที่อยู่อีเมลของผู้ดูแลระบบใหม่ - แก้ไขไฟล์การกําหนดค่าแบบเงียบที่คุณใช้ติดตั้ง UI ของ Edge เพื่อตั้งค่าพร็อพเพอร์ตี้ต่อไปนี้
ADMIN_EMAIL=NEW_SYS_ADMIN_EMAIL APIGEE_ADMINPW=NEW_SYS_ADMIN_PASSWORD SMTPHOST=smtp.gmail.com SMTPPORT=465 SMTPUSER=foo@gmail.com SMTPPASSWORD=bar SMTPSSL=y
โปรดทราบว่าคุณต้องรวมพร็อพเพอร์ตี้ SMTP เนื่องจากพร็อพเพอร์ตี้ทั้งหมดใน UI รีเซ็ต
- กำหนดค่า Edge UI ใหม่โดยทำดังนี้
/opt/apigee/apigee-service/bin/apigee-service edge-ui stop
/opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile/opt/apigee/apigee-service/bin/apigee-service edge-ui start
หากต้องการเปลี่ยนเฉพาะอีเมลของบัญชีผู้ใช้สำหรับผู้ดูแลระบบเริ่มต้นปัจจุบัน ให้อัปเดตบัญชีผู้ใช้เพื่อตั้งค่าอีเมลใหม่ก่อน จากนั้นเปลี่ยนอีเมลของผู้ดูแลระบบเริ่มต้น ดังนี้
- อัปเดตบัญชีผู้ใช้ของผู้ดูแลระบบเริ่มต้นปัจจุบันด้วยอีเมลใหม่ ดังนี้
curl -H content-type:application/json -X PUT -u CURRENT_SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD \ http://ms_IP:8080/v1/users/CURRENT_SYS_ADMIN_EMAIL \ -d '{"emailId": "NEW_SYS_ADMIN_EMAIL", "lastName": "admin", "firstName": "admin"}' - ทำซ้ำขั้นตอนที่ 2, 3. และ 4 จากขั้นตอนก่อนหน้าเพื่ออัปเดต
/opt/apigee/customer/defaults.shและเพื่ออัปเดต UI ของ Edge
การระบุโดเมนอีเมลของระบบ ผู้ดูแลระบบ
คุณสามารถระบุโดเมนอีเมลที่ต้องการของระบบ Edge ได้เพื่อเพิ่มระดับการรักษาความปลอดภัย ผู้ดูแลระบบ เมื่อเพิ่มผู้ดูแลระบบ หากอีเมลของผู้ใช้ไม่ได้อยู่ในโดเมนที่ระบุไว้ ระบบจะเพิ่มผู้ใช้ไปยังบทบาท "sysadmin" ไม่ได้
โดยค่าเริ่มต้น โดเมนที่จำเป็นจะว่างเปล่า ซึ่งหมายความว่าคุณสามารถเพิ่มอีเมลใดก็ได้ในบทบาท "ผู้ดูแลระบบ"
วิธีตั้งค่าโดเมนอีเมล
- เปิดไฟล์
management-server.propertiesในตัวแก้ไขvi /opt/apigee/customer/application/management-server.properties
หากไม่มีไฟล์นี้ ให้สร้างไฟล์
- ตั้งค่า
conf_security_rbac.global.roles.allowed.domainsลงในรายการโดเมนที่อนุญาตซึ่งคั่นด้วยคอมมา ดังตัวอย่างต่อไปนี้conf_security_rbac.global.roles.allowed.domains=myCo.com,yourCo.com
- บันทึกการเปลี่ยนแปลง
- รีสตาร์ท Edge Management Server ด้วยคำสั่งต่อไปนี้
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
ตอนนี้หากคุณพยายามเพิ่มผู้ใช้ในบทบาท "ผู้ดูแลระบบ" และอีเมลของผู้ใช้ไม่ได้อยู่ในโดเมนที่ระบุไว้ การเพิ่มจะดำเนินการไม่สำเร็จ
การลบผู้ใช้
คุณสร้างผู้ใช้ได้โดยใช้ Edge API หรือ Edge UI แต่คุณจะลบผู้ใช้ได้โดยใช้ API เท่านั้น
หากต้องการดูรายชื่อผู้ใช้ปัจจุบัน รวมถึงอีเมล ให้ใช้คำสั่ง curl ต่อไปนี้
curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD http://ms-IP:8080/v1/users
ใช้คำสั่ง curl ต่อไปนี้เพื่อลบผู้ใช้
curl -u SYS_ADMIN_EMAIL:SYS_ADMIN_PASSWORD -X DELETE http://ms_IP:8080/v1/users/USER_EMAIL