4 Benutzer, Zugriffsrollen und Berechtigungen einrichten

Eine der ersten Aufgaben nach dem Einrichten eines Service mit Oracle Blockchain Platform ist das Hinzufügen von Benutzeraccounts in Oracle Identity Cloud Service (IDCS) oder Ihrer Identity and Access Management-(IAM-)Identitätsdomain für alle Benutzer, die den Service voraussichtlich verwenden werden, und das Zuweisen der entsprechenden Berechtigungen im Service.

Wenn Sie ein bestehender Kunde oder ein neuer Kunde sind, dessen Region noch keine IAM-Identitätsdomains unterstützt, ist IDCS mit Ihrem Oracle Blockchain Platform-Account verfügbar. Verwenden Sie IDCS, um Benutzer und Gruppen hinzuzufügen, und weisen Sie ihnen dann Rollen zu, um zu kontrollieren, wie sie Oracle Blockchain Platform nutzen. Siehe Oracle Identity Cloud Service-Benutzer verwalten und Oracle Identity Cloud Service-Gruppen verwalten

Wenn Sie ein neuer Kunde sind und Ihre OCI-Region zur Verwendung von IAM-Identitätsdomains migriert wurde, wird eine Standarddomain mit Ihrer Instanz erstellt. Mit dieser Option können Sie Benutzer und Gruppen hinzufügen und ihnen dann Rollen zuweisen, um zu kontrollieren, wie sie Oracle Blockchain Platform nutzen. Siehe Benutzer verwalten und Gruppen verwalten.

Oracle Identity Cloud Service für die Authentifizierung verwenden

Oracle Blockchain Platform verwendet Oracle Identity Cloud Service für das Identity Management und die Authentifizierung.

Oracle Identity Cloud Service stellt Oracle Cloud-Administratoren eine zentrale Sicherheitsplattform zur Verfügung, damit sie die Beziehungen verwalten können, die Ihre Benutzer mit Ihren Anwendungen oder anderen Oracle Cloud-Services wie Oracle Blockchain Platform haben. Mit Oracle Identity Cloud Service können Sie benutzerdefinierte Kennwort-Policys und E-Mail-Benachrichtigungen erstellen, neue Benutzer hinzufügen, Anwendungen Benutzer und Gruppen zuweisen und Sicherheitsberichte ausführen. In den folgenden Themen in Oracle Identity Cloud Service verwalten finden Sie weitere Informationen:

Jede Oracle Cloud-Serviceinstanz in Ihrem Account ist einer Oracle Identity Cloud Service-Sicherheitsanwendung zugeordnet. Jede Sicherheitsanwendung definiert eine oder mehrere Anwendungsrollen. Weisen Sie diesen Anwendungsrollen Benutzer und Gruppen zu, um ihnen administrativen Zugriff auf einen Service zu gewähren. In den folgenden Themen in Oracle Identity Cloud Service verwalten finden Sie weitere Informationen:

Verbindung mit Oracle Identity Cloud Service in der Oracle Cloud Infrastructure-Konsole herstellen

Oracle Blockchain Platform-Mandanten werden automatisch mit Oracle Identity Cloud Service föderiert und für das Provisioning föderierter Benutzer in Oracle Cloud Infrastructure konfiguriert.

Sie verwalten Benutzer und Gruppen über Oracle Identity Cloud Service, wie unter Oracle Identity Cloud Service-Benutzer und -Gruppen in der Oracle Cloud Infrastructure-Konsole verwalten beschrieben.

Hinweis:

In früheren Versionen von Oracle Identity Cloud Service befanden sich die Blockchain Platform-Anwendungen im Navigationsschublade unter Anwendungen. Nachdem Oracle Identity Cloud Service in Oracle Cloud Infrastructure integriert wurde, verfügt es nicht mehr über eine separate URL. Blockchain Platform-Anwendungen finden Sie jetzt unter Oracle Cloud Services in der Navigationsschublade unter Identität und Sicherheit und dann unter Domains.
Überblick über den Prozess zum Erstellen von Benutzern und Berechtigungen:
  1. Gehen Sie in Oracle Cloud Infrastructure zu Identität und Sicherheit, und wählen Sie Domains aus. Erstellen Sie die erforderlichen Benutzer.
  2. Erstellen Sie eine oder mehrere Gruppen, und weisen Sie den entsprechenden Gruppen nach Bedarf Benutzer zu.
  3. Definieren Sie die erforderlichen Policys, um den Zugriff zu kontrollieren.
  4. Erteilen Sie Benutzern in Oracle Cloud Infrastructure-Gruppen die entsprechenden Berechtigungen für den Zugriff auf bestimmte Compartments und Oracle Blockchain Platform-Instanzen.

Oracle Identity Cloud Service-Benutzer hinzufügen

Für den Zugriff auf eine Oracle Blockchain Platform-Instanz, die Oracle Identity Cloud Service zur Authentifizierung verwendet, müssen Oracle Blockchain Platform-Benutzer zuerst über gültige Oracle Identity Cloud Service-Zugangsdaten verfügen. Administratoren verwalten das Provisioning von Benutzern in Oracle Identity Cloud Service und fügen Benutzer hinzu.

So fügen Sie Benutzer hinzu und gewähren ihnen Zugriff auf Oracle Blockchain Platform:
  1. Öffnen Sie die Sicherheitsanwendung, die der Oracle Blockchain Platform-Instanz zugeordnet ist, in Oracle Identity Cloud Service.
  2. Klicken Sie oben auf der Seite auf die Registerkarte Benutzer des Identity Cloud Service (nicht auf die Registerkarte "Benutzer" der Oracle Blockchain Platform-Instanz).
  3. Klicken Sie auf Hinzufügen, und geben Sie die Benutzerdetails an. Klicken Sie anschließend auf Fertigstellen.

    Die Seite "Details" wird für den Benutzer angezeigt. Eine E-Mail mit Anmeldeinformationen wird an den Benutzer gesendet.

Identitäts- und Zugriffsmanagement-Identitätsdomains für Authentifizierung verwenden

Wenn Ihre Instanz Identitätsdomains für das Identitätsmanagement verwendet, können Sie mit der Oracle Cloud Infrastructure-Konsole Benutzeraccounts für alle Personen einrichten und verwalten, die Oracle Blockchain Platform voraussichtlich verwenden werden. Nach dem Einrichten der Benutzer und Gruppen weisen Sie ihnen geeignete Berechtigungen (auch als Anwendungsrollen bezeichnet) zu.

Um zu bestimmen, ob Ihr Cloud-Account Identitätsdomains anbietet, navigieren Sie in der Oracle Cloud Infrastructure-Konsole zu Identität und Sicherheit. Suchen Sie unter Identität nach Domains.

Für den Zugriff auf eine Oracle Blockchain Platform-Instanz, die Identitätsdomains zur Authentifizierung verwendet, müssen Oracle Blockchain Platform-Benutzer zuerst über gültige Domainzugangsdaten verfügen. Identitätsdomainadministratoren verwalten das Provisioning von Benutzern in der Domain und fügen Benutzer hinzu.

So fügen Sie Benutzer hinzu und gewähren ihnen Zugriff auf Oracle Blockchain Platform:
  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter Identität auf Domains.
  2. Wählen Sie die Identitätsdomain aus, in der Sie arbeiten möchten, und klicken Sie auf Benutzer.
  3. Klicken Sie auf Benutzer erstellen. Geben Sie die Benutzerinformationen ein.
Weitere Details finden Sie in den folgenden Themen in der Oracle Cloud Infrastructure-Dokumentation:

Rollen für das Oracle Blockchain Platform-Netzwerk und die REST-APIs zuweisen

In diesem Überblick werden die Rollen beschrieben, die für Netzwerkbenutzer, Administratoren und REST-API-Benutzer der Oracle Blockchain Platform relevant sind. Jeder, der Oracle Blockchain Platform verwendet oder verwaltet, muss in Oracle Identity Cloud Service oder Identity and Access Management hinzugefügt werden und die richtige Benutzerrolle erhalten.

So verknüpfen Sie Rollen mit Benutzern

Wenn Sie IDCS verwenden, müssen Sie die entsprechenden Rollen für jeden Benutzer in IDCS hinzufügen. Informationen zum Hinzufügen oder Verwalten von Benutzerrollen in IDCS finden Sie unter Oracle Identity Cloud Service-Rollen für Benutzer verwalten.

Wenn Sie IAM mit Identitätsdomains verwenden, müssen Sie die entsprechenden Rollen für jeden Benutzer in der Domain hinzufügen.
  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität & Sicherheit und dann auf Domains.
  2. Wählen Sie die Identitätsdomain aus, in der Sie arbeiten möchten, und wählen Sie Oracle Cloud Services aus. Wählen Sie dann den Service aus der Liste aus.
  3. Wählen Sie unter Ressourcen die Option Anwendungsrollen aus.
  4. Wählen Sie die Rolle aus, die Sie einem Benutzer zuweisen möchten, klicken Sie rechts neben der Rolle auf das Symbol "Mehr", und wählen Sie Benutzer zuweisen aus.

Rollen, die zur Verwendung oder Administration des Netzwerks oder der REST-APIs erforderlich sind

Nachfolgend finden Sie die Rollen, die für Oracle Blockchain Platform verfügbar sind.

Benutzerrolle Automatische Zuweisung an den Instanzersteller? Beschreibung
ADMIN Ja

Diese Rolle entspricht dem Gesamtadministrator für die Oracle Blockchain Platform-Cloud-Anwendung.

Eine vollständige Liste der Konsolenfunktionen, die für diese Benutzerrolle verfügbar sind, finden Sie in der Tabelle Access-Control-Liste für Konsolenfunktion nach Benutzerrollen.

Um die administrativen Blockchain-Netzwerk-REST-APIs verwenden zu können, muss Ihre Benutzer-ID mit dieser Rolle verknüpft sein.

Beachten Sie, dass die administrativen Blockchain Platform-(Control-Plane-)REST-APIs den Authentifizierungsmechanismus von OCI verwenden, wie hier beschrieben: Oracle Cloud Infrastructure-Dokumentation: REST-APIs. Die in dieser Tabelle beschriebene ADMIN-Rolle gilt nur für REST-API-Aufrufe für Netzwerkadministration, Anwendungsvorgänge und Statistiken.

BENUTZER   Eine vollständige Liste der Konsolenfunktionen, die für diese Benutzerrolle verfügbar sind, finden Sie in der Tabelle Access-Control-Liste für Konsolenfunktion nach Benutzerrollen.
CA_USER Ja Diese Benutzerrolle ist Oracle Blockchain Platform-Teilnehmern zugewiesen, um dem Benutzer das Aufrufen von Certificate-Authority-APIs zu erlauben.
REST_CLIENT Ja

Erlaubt dem Benutzer das Aufrufen aller REST-Proxyendpunkte, die auf dem REST-Proxyknoten mit derselben Nummer verfügbar sind.

Beachten Sie, dass die administrativen Blockchain Platform-(Control-Plane-)REST-APIs den Authentifizierungsmechanismus von OCI verwenden, wie hier beschrieben: Oracle Cloud Infrastructure-Dokumentation: REST-APIs. Die in dieser Tabelle beschriebene Rolle REST_CLIENT gilt nur für REST-API-Aufrufe für Netzwerkadministration, Anwendungsvorgänge und Statistiken.

Access-Control-Liste für Konsolenfunktion nach Benutzerrollen

In der folgenden Tabelle werden die Konsolenfeatures aufgeführt, die für die Rollen "ADMIN" und "USER" verfügbar sind.

Feature ADMIN USER

Dashboard

Ja

Ja

Netzwerk: Organisationen auflisten

Ja

Ja

Netzwerk: Organisationen hinzufügen

Ja

Nr.

Netzwerk: Ordering-Service-Einstellung

Ja

Nr.

Netzwerk: Zertifikate exportieren

Ja

Nr.

Netzwerk: Orderer-Einstellungen exportieren

Ja

Nr.

Netzwerk: Ordering-Service-Knoten hinzufügen

Ja

Nr.

Netzwerk: Netzwerkkonfigurationsblock exportieren

Ja

Nr.

Knoten: auflisten

Ja

Ja

Knoten: starten/stoppen/neu starten

Ja

Nr.

Knoten: hinzufügen/entfernen

Ja

Nr.

Knoten: Attribute anzeigen

Ja

Ja

Knoten: Attribute bearbeiten

Ja

Nr.

Knoten: Metriken anzeigen

Ja

Ja

Knoten: Logs anzeigen

Ja

Ja

Knoten: Peers exportieren/importieren

Ja

Nr.

Knoten: VM-Platzierung anzeigen

Ja

Ja

Peerknoten: Kanäle auflisten

Ja

Ja

Peerknoten: Kanal beitreten

Ja

Nr.

Peerknoten: Chaincode auflisten

Ja

Ja

Orderer: Einstellungen des Ordering-Service-Knotens exportieren

Ja

Nr.

Orderer: Netzwerkkonfigurationsblock importieren

Ja

Nr.

Kanal: auflisten

Ja

Ja

Kanal: erstellen

Ja

Nr.

Kanal: Organisation zu Kanal hinzufügen

Ja

Nr.

Kanal: Ordering-Service-Einstellungen aktualisieren

Ja

Nr.

Kanal: Ledger anzeigen/abfragen

Ja

Ja

Kanal: instanziierten Chaincode auflisten

Ja

Ja

Kanal: hinzugefügte Peers auflisten

Ja

Ja

Kanal: Ankerpeer festlegen

Ja

Nr.

Kanal: Chaincode upgraden

Ja

Nr.

Kanal: Administrator des Ordering-Service-Knotens verwalten

Ja

Nr.

Kanal: Orderer zum Kanal hinzufügen

Ja

Nr.

Kanal: Orderer aus Kanal entfernen

Ja

Nr.

Chaincode: auflisten

Ja

Ja

Chaincode: installieren

Ja

Nr.

Chaincode: instanziieren

Ja

Nr.

Beispiel-Chaincode: installieren

Ja

Nr.

Beispiel-Chaincode: instanziieren

Ja

Nr.

Beispiel-Chaincode: aufrufen

Ja

Ja

Zertifikatswiderrufliste

Ja

Nr.

Berechtigungen und Policys zum Verwalten von Oracle Blockchain Platform verwenden

Jeder Service in Oracle Cloud Infrastructure kann zur Authentifizierung und Autorisierung für alle Schnittstellen (Konsole, SDK oder CLI und REST-API) in Identity and Access Management (IAM) eingebunden werden. Mit IAM-Autorisierungs-Policys kontrollieren Sie den Zugriff auf Ressourcen in Ihrem Mandanten. Beispiel: Sie können eine Policy erstellen, mit der Benutzer Oracle Blockchain Platform-Instanzen erstellen und verwalten können.

Sie erstellen Policys mit der Oracle Cloud Infrastructure-Konsole. Weitere Informationen zu IAM-Policys finden Sie unter Überblick über Oracle Cloud Infrastructure Identity and Access Management in der Oracle Cloud Infrastructure-Dokumentation. Einzelheiten zum Schreiben von Policys finden Sie unter Policy-Syntax und Policy-Referenz.

Ressourcentypen für Oracle Blockchain Platform

Art der Ressource Berechtigungen Beschreibung

blockchain-platforms

  • BLOCKCHAIN_PLATFORM_CREATE
  • BLOCKCHAIN_PLATFORM_UPDATE
  • BLOCKCHAIN_PLATFORM_INSPECT
  • BLOCKCHAIN_PLATFORM_READ
  • BLOCKCHAIN_PLATFORM_DELETE
Mindestens eine Oracle Blockchain Platform-Instanz.

blockchain-platform-work-requests

  • BLOCKCHAIN_PLATFORM_WORK_REQUEST_INSPECT
  • BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ
  • BLOCKCHAIN_PLATFORM_WORK_REQUEST_DELETE
Eine einzelne Arbeitsanforderung für Oracle Blockchain Platform.

Jeder Vorgang, den Sie auf einer Oracle Blockchain Platform-Instanz ausführen, erstellt eine Arbeitsanforderung. Beispiel: Vorgänge wie Erstellen, Starten, Stoppen usw.

Zuordnung von Vorgängen zu Berechtigungen

In der folgenden Tabelle sind die IAM-Vorgänge aufgeführt, die für Oracle Blockchain Platform spezifisch sind. Sie können eine IAM-Policy schreiben, die diese Vorgänge umfasst. Sie können auch eine Policy schreiben, die ein definiertes Verb verwendet, das diese Vorgänge einschließt.

Vorgangs-ID Für den Vorgang erforderliche Berechtigungen API-Vorgang
createBlockchainPlatform BLOCKCHAIN_PLATFORM_CREATE CreateBlockchainPlatform
deleteBlockchainPlatform BLOCKCHAIN_PLATFORM_DELETE DeleteBlockchainPlatform
getAllPlatformsInCompartment BLOCKCHAIN_PLATFORM_INSPECT GetBlockchainPlatforms
getBlockchainPlatformInformation BLOCKCHAIN_PLATFORM_READ GetBlockchainPlatformInformation
getWorkRequest BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ GetWorkRequest
getWorkRequestErrors BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ ListWorkRequestErrors
getWorkRequestLogs BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ ListWorkRequestLogs
listWorkRequests BLOCKCHAIN_PLATFORM_WORK_REQUEST_INSPECT ListWorkRequests
restartBlockchainPlatform BLOCKCHAIN_PLATFORM_UPDATE RestartBlockchainPlatform
startBlockchainPlatform BLOCKCHAIN_PLATFORM_UPDATE StartBlockchainPlatform
stopBlockchainPlatform BLOCKCHAIN_PLATFORM_UPDATE StopBlockchainPlatform
updateBlockchainPlatform BLOCKCHAIN_PLATFORM_UPDATE UpdateBlockchainPlatform

Details zu Kombinationen aus Verben und Ressourcentypen

Oracle Cloud Infrastructure bietet ein Standardset aus Verben, um Berechtigungen für Oracle Cloud Infrastructure-Ressourcen zu definieren (Inspect, Read, Use, Manage). In diesen Tabellen werden die Oracle Blockchain Platform-Berechtigungen und die entsprechenden Verben aufgeführt. Die Zugriffsebene ist kumulativ von Inspect zu Read zu Use zu Manage.

INSPECT

Ressourcentyp INSPECT-Berechtigung
  • blockchain-platforms
  • BLOCKCHAIN_PLATFORM_INSPECT
  • blockchain-platform-work-requests
  • BLOCKCHAIN_PLATFORM_WORK_REQUEST_INSPECT

READ

Ressourcentyp READ-Berechtigung
  • blockchain-platforms
  • BLOCKCHAIN_PLATFORM_INSPECT
  • BLOCKCHAIN_PLATFORM_READ
  • blockchain-platform-work-requests
  • BLOCKCHAIN_PLATFORM_WORK_REQUEST_INSPECT
  • BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ

USE

Ressourcentyp USE-Berechtigung
  • blockchain-platforms
  • BLOCKCHAIN_PLATFORM_READ
  • BLOCKCHAIN_PLATFORM_UPDATE
  • blockchain-platform-work-requests
  • BLOCKCHAIN_PLATFORM_WORK_REQUEST_INSPECT
  • BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ

MANAGE

Ressourcentyp MANAGE-Berechtigung
  • blockchain-platforms
  • BLOCKCHAIN_PLATFORM_READ
  • BLOCKCHAIN_PLATFORM_UPDATE
  • BLOCKCHAIN_PLATFORM_CREATE
  • BLOCKCHAIN_PLATFORM_DELETE
  • blockchain-platform-instance-work-requests
  • BLOCKCHAIN_PLATFORM_WORK_REQUEST_INSPECT
  • BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ
  • BLOCKCHAIN_PLATFORM_WORK_REQUEST_DELETE

Vorgangsspezifische Attribute

Die Werte dieser Variablen werden von Oracle Blockchain Platform bereitgestellt. Darüber hinaus werden auch andere allgemeine Variablen unterstützt. Siehe Allgemeine Variablen für alle Anforderungen.

Für eine bestimmte Ressourcenart müssen Sie für alle Vorgänge ("get", "list", "delete" usw.) dasselbe Set an Attributen besitzen. Die einzige Ausnahme bildet der create-Vorgang, bei dem Sie die ID für dieses Objekt noch nicht kennen, sodass Sie kein target.RESOURCE-KIND.id-Attribut für create besitzen können.

Art der Ressource Name Typ Quelle
blockchain-platforms      
blockchain-platform-work-requests