4 Benutzer, Zugriffsrollen und Berechtigungen einrichten
Eine der ersten Aufgaben nach dem Einrichten eines Service mit Oracle Blockchain Platform ist das Hinzufügen von Benutzeraccounts in Oracle Identity Cloud Service (IDCS) oder Ihrer Identity and Access Management-(IAM-)Identitätsdomain für alle Benutzer, die den Service voraussichtlich verwenden werden, und das Zuweisen der entsprechenden Berechtigungen im Service.
Wenn Sie ein bestehender Kunde oder ein neuer Kunde sind, dessen Region noch keine IAM-Identitätsdomains unterstützt, ist IDCS mit Ihrem Oracle Blockchain Platform-Account verfügbar. Verwenden Sie IDCS, um Benutzer und Gruppen hinzuzufügen, und weisen Sie ihnen dann Rollen zu, um zu kontrollieren, wie sie Oracle Blockchain Platform nutzen. Siehe Oracle Identity Cloud Service-Benutzer verwalten und Oracle Identity Cloud Service-Gruppen verwalten
Wenn Sie ein neuer Kunde sind und Ihre OCI-Region zur Verwendung von IAM-Identitätsdomains migriert wurde, wird eine Standarddomain mit Ihrer Instanz erstellt. Mit dieser Option können Sie Benutzer und Gruppen hinzufügen und ihnen dann Rollen zuweisen, um zu kontrollieren, wie sie Oracle Blockchain Platform nutzen. Siehe Benutzer verwalten und Gruppen verwalten.
Oracle Identity Cloud Service für die Authentifizierung verwenden
Oracle Blockchain Platform verwendet Oracle Identity Cloud Service für das Identity Management und die Authentifizierung.
Oracle Identity Cloud Service stellt Oracle Cloud-Administratoren eine zentrale Sicherheitsplattform zur Verfügung, damit sie die Beziehungen verwalten können, die Ihre Benutzer mit Ihren Anwendungen oder anderen Oracle Cloud-Services wie Oracle Blockchain Platform haben. Mit Oracle Identity Cloud Service können Sie benutzerdefinierte Kennwort-Policys und E-Mail-Benachrichtigungen erstellen, neue Benutzer hinzufügen, Anwendungen Benutzer und Gruppen zuweisen und Sicherheitsberichte ausführen. In den folgenden Themen in Oracle Identity Cloud Service verwalten finden Sie weitere Informationen:
Jede Oracle Cloud-Serviceinstanz in Ihrem Account ist einer Oracle Identity Cloud Service-Sicherheitsanwendung zugeordnet. Jede Sicherheitsanwendung definiert eine oder mehrere Anwendungsrollen. Weisen Sie diesen Anwendungsrollen Benutzer und Gruppen zu, um ihnen administrativen Zugriff auf einen Service zu gewähren. In den folgenden Themen in Oracle Identity Cloud Service verwalten finden Sie weitere Informationen:
Verbindung mit Oracle Identity Cloud Service in der Oracle Cloud Infrastructure-Konsole herstellen
Oracle Blockchain Platform-Mandanten werden automatisch mit Oracle Identity Cloud Service föderiert und für das Provisioning föderierter Benutzer in Oracle Cloud Infrastructure konfiguriert.
Sie verwalten Benutzer und Gruppen über Oracle Identity Cloud Service, wie unter Oracle Identity Cloud Service-Benutzer und -Gruppen in der Oracle Cloud Infrastructure-Konsole verwalten beschrieben.
Hinweis:
In früheren Versionen von Oracle Identity Cloud Service befanden sich die Blockchain Platform-Anwendungen im Navigationsschublade unter Anwendungen. Nachdem Oracle Identity Cloud Service in Oracle Cloud Infrastructure integriert wurde, verfügt es nicht mehr über eine separate URL. Blockchain Platform-Anwendungen finden Sie jetzt unter Oracle Cloud Services in der Navigationsschublade unter Identität und Sicherheit und dann unter Domains.- Gehen Sie in Oracle Cloud Infrastructure zu Identität und Sicherheit, und wählen Sie Domains aus. Erstellen Sie die erforderlichen Benutzer.
- Erstellen Sie eine oder mehrere Gruppen, und weisen Sie den entsprechenden Gruppen nach Bedarf Benutzer zu.
- Definieren Sie die erforderlichen Policys, um den Zugriff zu kontrollieren.
- Erteilen Sie Benutzern in Oracle Cloud Infrastructure-Gruppen die entsprechenden Berechtigungen für den Zugriff auf bestimmte Compartments und Oracle Blockchain Platform-Instanzen.
Oracle Identity Cloud Service-Benutzer hinzufügen
Für den Zugriff auf eine Oracle Blockchain Platform-Instanz, die Oracle Identity Cloud Service zur Authentifizierung verwendet, müssen Oracle Blockchain Platform-Benutzer zuerst über gültige Oracle Identity Cloud Service-Zugangsdaten verfügen. Administratoren verwalten das Provisioning von Benutzern in Oracle Identity Cloud Service und fügen Benutzer hinzu.
Identitäts- und Zugriffsmanagement-Identitätsdomains für Authentifizierung verwenden
Wenn Ihre Instanz Identitätsdomains für das Identitätsmanagement verwendet, können Sie mit der Oracle Cloud Infrastructure-Konsole Benutzeraccounts für alle Personen einrichten und verwalten, die Oracle Blockchain Platform voraussichtlich verwenden werden. Nach dem Einrichten der Benutzer und Gruppen weisen Sie ihnen geeignete Berechtigungen (auch als Anwendungsrollen bezeichnet) zu.
Um zu bestimmen, ob Ihr Cloud-Account Identitätsdomains anbietet, navigieren Sie in der Oracle Cloud Infrastructure-Konsole zu Identität und Sicherheit. Suchen Sie unter Identität nach Domains.
Für den Zugriff auf eine Oracle Blockchain Platform-Instanz, die Identitätsdomains zur Authentifizierung verwendet, müssen Oracle Blockchain Platform-Benutzer zuerst über gültige Domainzugangsdaten verfügen. Identitätsdomainadministratoren verwalten das Provisioning von Benutzern in der Domain und fügen Benutzer hinzu.
- Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter Identität auf Domains.
- Wählen Sie die Identitätsdomain aus, in der Sie arbeiten möchten, und klicken Sie auf Benutzer.
- Klicken Sie auf Benutzer erstellen. Geben Sie die Benutzerinformationen ein.
Rollen für das Oracle Blockchain Platform-Netzwerk und die REST-APIs zuweisen
In diesem Überblick werden die Rollen beschrieben, die für Netzwerkbenutzer, Administratoren und REST-API-Benutzer der Oracle Blockchain Platform relevant sind. Jeder, der Oracle Blockchain Platform verwendet oder verwaltet, muss in Oracle Identity Cloud Service oder Identity and Access Management hinzugefügt werden und die richtige Benutzerrolle erhalten.
So verknüpfen Sie Rollen mit Benutzern
Wenn Sie IDCS verwenden, müssen Sie die entsprechenden Rollen für jeden Benutzer in IDCS hinzufügen. Informationen zum Hinzufügen oder Verwalten von Benutzerrollen in IDCS finden Sie unter Oracle Identity Cloud Service-Rollen für Benutzer verwalten.
- Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität & Sicherheit und dann auf Domains.
- Wählen Sie die Identitätsdomain aus, in der Sie arbeiten möchten, und wählen Sie Oracle Cloud Services aus. Wählen Sie dann den Service aus der Liste aus.
- Wählen Sie unter Ressourcen die Option Anwendungsrollen aus.
- Wählen Sie die Rolle aus, die Sie einem Benutzer zuweisen möchten, klicken Sie rechts neben der Rolle auf das Symbol "Mehr", und wählen Sie Benutzer zuweisen aus.
Rollen, die zur Verwendung oder Administration des Netzwerks oder der REST-APIs erforderlich sind
Nachfolgend finden Sie die Rollen, die für Oracle Blockchain Platform verfügbar sind.
Benutzerrolle | Automatische Zuweisung an den Instanzersteller? | Beschreibung |
---|---|---|
ADMIN | Ja |
Diese Rolle entspricht dem Gesamtadministrator für die Oracle Blockchain Platform-Cloud-Anwendung. Eine vollständige Liste der Konsolenfunktionen, die für diese Benutzerrolle verfügbar sind, finden Sie in der Tabelle Access-Control-Liste für Konsolenfunktion nach Benutzerrollen. Um die administrativen Blockchain-Netzwerk-REST-APIs verwenden zu können, muss Ihre Benutzer-ID mit dieser Rolle verknüpft sein. Beachten Sie, dass die administrativen Blockchain Platform-(Control-Plane-)REST-APIs den Authentifizierungsmechanismus von OCI verwenden, wie hier beschrieben: Oracle Cloud Infrastructure-Dokumentation: REST-APIs. Die in dieser Tabelle beschriebene ADMIN-Rolle gilt nur für REST-API-Aufrufe für Netzwerkadministration, Anwendungsvorgänge und Statistiken. |
BENUTZER | Eine vollständige Liste der Konsolenfunktionen, die für diese Benutzerrolle verfügbar sind, finden Sie in der Tabelle Access-Control-Liste für Konsolenfunktion nach Benutzerrollen. | |
CA_USER | Ja | Diese Benutzerrolle ist Oracle Blockchain Platform-Teilnehmern zugewiesen, um dem Benutzer das Aufrufen von Certificate-Authority-APIs zu erlauben. |
REST_CLIENT | Ja |
Erlaubt dem Benutzer das Aufrufen aller REST-Proxyendpunkte, die auf dem REST-Proxyknoten mit derselben Nummer verfügbar sind. Beachten Sie, dass die administrativen Blockchain Platform-(Control-Plane-)REST-APIs den Authentifizierungsmechanismus von OCI verwenden, wie hier beschrieben: Oracle Cloud Infrastructure-Dokumentation: REST-APIs. Die in dieser Tabelle beschriebene Rolle REST_CLIENT gilt nur für REST-API-Aufrufe für Netzwerkadministration, Anwendungsvorgänge und Statistiken. |
Access-Control-Liste für Konsolenfunktion nach Benutzerrollen
In der folgenden Tabelle werden die Konsolenfeatures aufgeführt, die für die Rollen "ADMIN" und "USER" verfügbar sind.
Feature | ADMIN | USER |
---|---|---|
Dashboard |
Ja |
Ja |
Netzwerk: Organisationen auflisten |
Ja |
Ja |
Netzwerk: Organisationen hinzufügen |
Ja |
Nr. |
Netzwerk: Ordering-Service-Einstellung |
Ja |
Nr. |
Netzwerk: Zertifikate exportieren |
Ja |
Nr. |
Netzwerk: Orderer-Einstellungen exportieren |
Ja |
Nr. |
Netzwerk: Ordering-Service-Knoten hinzufügen |
Ja |
Nr. |
Netzwerk: Netzwerkkonfigurationsblock exportieren |
Ja |
Nr. |
Knoten: auflisten |
Ja |
Ja |
Knoten: starten/stoppen/neu starten |
Ja |
Nr. |
Knoten: hinzufügen/entfernen |
Ja |
Nr. |
Knoten: Attribute anzeigen |
Ja |
Ja |
Knoten: Attribute bearbeiten |
Ja |
Nr. |
Knoten: Metriken anzeigen |
Ja |
Ja |
Knoten: Logs anzeigen |
Ja |
Ja |
Knoten: Peers exportieren/importieren |
Ja |
Nr. |
Knoten: VM-Platzierung anzeigen |
Ja |
Ja |
Peerknoten: Kanäle auflisten |
Ja |
Ja |
Peerknoten: Kanal beitreten |
Ja |
Nr. |
Peerknoten: Chaincode auflisten |
Ja |
Ja |
Orderer: Einstellungen des Ordering-Service-Knotens exportieren |
Ja |
Nr. |
Orderer: Netzwerkkonfigurationsblock importieren |
Ja |
Nr. |
Kanal: auflisten |
Ja |
Ja |
Kanal: erstellen |
Ja |
Nr. |
Kanal: Organisation zu Kanal hinzufügen |
Ja |
Nr. |
Kanal: Ordering-Service-Einstellungen aktualisieren |
Ja |
Nr. |
Kanal: Ledger anzeigen/abfragen |
Ja |
Ja |
Kanal: instanziierten Chaincode auflisten |
Ja |
Ja |
Kanal: hinzugefügte Peers auflisten |
Ja |
Ja |
Kanal: Ankerpeer festlegen |
Ja |
Nr. |
Kanal: Chaincode upgraden |
Ja |
Nr. |
Kanal: Administrator des Ordering-Service-Knotens verwalten |
Ja |
Nr. |
Kanal: Orderer zum Kanal hinzufügen |
Ja |
Nr. |
Kanal: Orderer aus Kanal entfernen |
Ja |
Nr. |
Chaincode: auflisten |
Ja |
Ja |
Chaincode: installieren |
Ja |
Nr. |
Chaincode: instanziieren |
Ja |
Nr. |
Beispiel-Chaincode: installieren |
Ja |
Nr. |
Beispiel-Chaincode: instanziieren |
Ja |
Nr. |
Beispiel-Chaincode: aufrufen |
Ja |
Ja |
Zertifikatswiderrufliste |
Ja |
Nr. |
Berechtigungen und Policys zum Verwalten von Oracle Blockchain Platform verwenden
Jeder Service in Oracle Cloud Infrastructure kann zur Authentifizierung und Autorisierung für alle Schnittstellen (Konsole, SDK oder CLI und REST-API) in Identity and Access Management (IAM) eingebunden werden. Mit IAM-Autorisierungs-Policys kontrollieren Sie den Zugriff auf Ressourcen in Ihrem Mandanten. Beispiel: Sie können eine Policy erstellen, mit der Benutzer Oracle Blockchain Platform-Instanzen erstellen und verwalten können.
Sie erstellen Policys mit der Oracle Cloud Infrastructure-Konsole. Weitere Informationen zu IAM-Policys finden Sie unter Überblick über Oracle Cloud Infrastructure Identity and Access Management in der Oracle Cloud Infrastructure-Dokumentation. Einzelheiten zum Schreiben von Policys finden Sie unter Policy-Syntax und Policy-Referenz.
Ressourcentypen für Oracle Blockchain Platform
Art der Ressource | Berechtigungen | Beschreibung |
---|---|---|
blockchain-platforms |
|
Mindestens eine Oracle Blockchain Platform-Instanz. |
blockchain-platform-work-requests |
|
Eine einzelne Arbeitsanforderung für Oracle Blockchain Platform.
Jeder Vorgang, den Sie auf einer Oracle Blockchain Platform-Instanz ausführen, erstellt eine Arbeitsanforderung. Beispiel: Vorgänge wie Erstellen, Starten, Stoppen usw. |
Zuordnung von Vorgängen zu Berechtigungen
In der folgenden Tabelle sind die IAM-Vorgänge aufgeführt, die für Oracle Blockchain Platform spezifisch sind. Sie können eine IAM-Policy schreiben, die diese Vorgänge umfasst. Sie können auch eine Policy schreiben, die ein definiertes Verb verwendet, das diese Vorgänge einschließt.
Vorgangs-ID | Für den Vorgang erforderliche Berechtigungen | API-Vorgang |
---|---|---|
createBlockchainPlatform | BLOCKCHAIN_PLATFORM_CREATE | CreateBlockchainPlatform |
deleteBlockchainPlatform | BLOCKCHAIN_PLATFORM_DELETE | DeleteBlockchainPlatform |
getAllPlatformsInCompartment | BLOCKCHAIN_PLATFORM_INSPECT | GetBlockchainPlatforms |
getBlockchainPlatformInformation | BLOCKCHAIN_PLATFORM_READ | GetBlockchainPlatformInformation |
getWorkRequest | BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ | GetWorkRequest |
getWorkRequestErrors | BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ | ListWorkRequestErrors |
getWorkRequestLogs | BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ | ListWorkRequestLogs |
listWorkRequests | BLOCKCHAIN_PLATFORM_WORK_REQUEST_INSPECT | ListWorkRequests |
restartBlockchainPlatform | BLOCKCHAIN_PLATFORM_UPDATE | RestartBlockchainPlatform |
startBlockchainPlatform | BLOCKCHAIN_PLATFORM_UPDATE | StartBlockchainPlatform |
stopBlockchainPlatform | BLOCKCHAIN_PLATFORM_UPDATE | StopBlockchainPlatform |
updateBlockchainPlatform | BLOCKCHAIN_PLATFORM_UPDATE | UpdateBlockchainPlatform |
Details zu Kombinationen aus Verben und Ressourcentypen
Oracle Cloud Infrastructure bietet ein Standardset aus Verben, um Berechtigungen für Oracle Cloud Infrastructure-Ressourcen zu definieren (Inspect, Read, Use, Manage). In diesen Tabellen werden die Oracle Blockchain Platform-Berechtigungen und die entsprechenden Verben aufgeführt. Die Zugriffsebene ist kumulativ von Inspect zu Read zu Use zu Manage.
INSPECT
Ressourcentyp | INSPECT-Berechtigung |
---|---|
|
|
|
|
READ
Ressourcentyp | READ-Berechtigung |
---|---|
|
|
|
|
USE
Ressourcentyp | USE-Berechtigung |
---|---|
|
|
|
|
MANAGE
Ressourcentyp | MANAGE-Berechtigung |
---|---|
|
|
|
|
Vorgangsspezifische Attribute
Die Werte dieser Variablen werden von Oracle Blockchain Platform bereitgestellt. Darüber hinaus werden auch andere allgemeine Variablen unterstützt. Siehe Allgemeine Variablen für alle Anforderungen.
Für eine bestimmte Ressourcenart müssen Sie für alle Vorgänge ("get", "list", "delete" usw.) dasselbe Set an Attributen besitzen. Die einzige Ausnahme bildet der create
-Vorgang, bei dem Sie die ID für dieses Objekt noch nicht kennen, sodass Sie kein target.RESOURCE-KIND.id
-Attribut für create
besitzen können.
Art der Ressource | Name | Typ | Quelle |
---|---|---|---|
blockchain-platforms | |||
blockchain-platform-work-requests |