管理者を招待する
管理者とは、Kong Manager 内の任意のユーザーです。ロールのアクセス権限に基づいて、割り当てられたワークスペース内の Kong エンティティにアクセスできます。
このガイドでは、Kong Manager内で管理者を招待する方法について
説明します。別の方法として、スーパー管理者が管理者を
Admin APIで招待したい場合、/admins
を
使用して
招待することが可能です。
前提条件
管理者を招待
-
Kong Managerの Teams ページに移動します。
-
アドミン タブから、 アドミンを招待 を選択します。
-
ユーザー名とメールアドレスを入力します。新しい管理者が招待を受信すると、そのメールアドレスでのみログインできます。適切なロールを割り当て、 管理者を招待 をクリックして招待を送信します。
スーパー管理者は、ユーザーを複数のワークスペースに招待し、デフォルトで存在するロール(
super-admin
、read-only
など)やカスタマイズされた権限を持つロールなど、ワークスペース内で利用可能な任意のロールを割り当てることができます。スーパーアドミンは、 チーム ページの ロール タブで ワークスペース全体で利用可能なすべてのロールを見ることができます。
-
Teams ページには、新しい招待者が 招待済み セクションの 管理者 リストに表示されます。ユーザーが招待を承認すると、そのユーザーはメインの 管理者 リストに表示されます。
デフォルトでは、登録リンクは 259,200 秒後に期限切れになります(3日間)。この時間枠は、
admin_invitation_expiry
プロパティを使用してkong.conf
ファイル内で設定できます。メールアドレスが間違っている、または外部エラーなどの理由でメールを送信できなかった場合は、招待を再送信できます。
SMTPが有効になっていない場合、または招待メールの送信に失敗した場合、スーパー管理者は登録リンクをコピーして直接提供できます。
-
新しく招待されたアドミンは、パスワードを設定できます。アドミンがパスワードを忘れた場合は、再設定用メールを通じてパスワードをリセットできます。
登録リンクをコピーして送信
メールサーバーがまだ設定されていない場合でも、管理者を招待して登録およびログインすることは可能です。
-
上記のセクションで説明したように、管理者を招待します。
-
管理者の情報ページを開きます。
register_url
の横にある 登録リンクを生成 ボタンをクリックします。認証情報を設定してログインするため、このリンクをコピーして、招待された管理者に直接送信します。
admin_gui_auth
がldap-auth-advanced
である場合、Kongに認証情報は保存されず、アドミンはログインするよう指示されます。
LDAPを使用した管理者アクセスのグラント
-
LDAPディレクトリでスーパーアドミンとなるユーザーを選択します。
-
Kongのスーパー管理者のユーザー名を変更するには、
PATCH
リクエストをadmins/kong_admin
に送信し、username
の値を対応するLDAPattribute
に設定します。たとえば、LDAPユーザーの属性が
einstein
の場合、/admins/kong_admin
へのPATCH
ではusername
をeinstein
に設定する必要があります。 -
スーパー管理者に関連付けられたLDAP認証情報を使用してKong Managerにログインします。
-
Kong Managerの アドミン ページからアドミンを招待し、各アドミンの
username
がLDAPディレクトリに設定されたattribute
にマッピングされるようにします。管理者がログインできるようにするには、引き続き彼らに ロールを割り当てることが必要です。
-
管理者が正常にログインし、LDAP 認証情報を使用して Admin API にアクセスすると、Kong Manager の Admins リストで
approved
としてマークされます。新しい管理者には引き続きメールが届きますが、 すべての認証情報は、Kong ManagerやAdmin APIではなく、LDAPサーバーを 介して処理されます。