4 Benutzer, Zugriffsrollen und Berechtigungen einrichten
Eine der ersten Aufgaben, die nach dem Einrichten eines Service mit Oracle Blockchain Platform abgeschlossen werden müssen, ist das Hinzufügen von Benutzeraccounts in der Oracle Identity Cloud Service-(IDCS-)Identitätsdomain oder in Ihrer Identity and Access Management-(IAM-)Identitätsdomain für alle Benutzer, die den Service voraussichtlich verwenden werden, und das Zuweisen geeigneter Berechtigungen im Service.
Wenn Sie ein vorhandener Kunde oder ein neuer Kunde sind, dessen Region noch keine IAM-Identitätsdomains unterstützt, ist IDCS mit Ihrem Oracle Blockchain Platform-Account verfügbar. Fügen Sie mit IDCS Benutzer und Gruppen hinzu, und weisen Sie ihnen anschließend Rollen zu, um zu kontrollieren, wie sie Oracle Blockchain Platform nutzen. Siehe Oracle Identity Cloud Service-Benutzer verwalten und Oracle Identity Cloud Service-Gruppen verwalten
Wenn Sie ein neuer Kunde sind und Ihre OCI-Region zu IAM-Identitätsdomains migriert wurde, wird eine Standarddomain mit Ihrer Instanz erstellt. Mit dieser Option können Sie Benutzer und Gruppen hinzufügen und ihnen dann Rollen zuweisen, um zu kontrollieren, wie sie Oracle Blockchain Platform nutzen. Siehe Benutzer verwalten und Gruppen verwalten.
Oracle Identity Cloud Service für die Authentifizierung verwenden
Oracle Blockchain Platform verwendet Oracle Identity Cloud Service für das Identity Management und die Authentifizierung.
Oracle Identity Cloud Service stellt Oracle Cloud-Administratoren eine zentrale Sicherheitsplattform zur Verfügung, damit sie die Beziehungen verwalten können, die Ihre Benutzer mit Ihren Anwendungen oder anderen Oracle Cloud-Services wie Oracle Blockchain Platform haben. Mit Oracle Identity Cloud Service können Sie benutzerdefinierte Kennwort-Policys und E-Mail-Benachrichtigungen erstellen, neue Benutzer hinzufügen, Anwendungen Benutzer und Gruppen zuweisen und Sicherheitsberichte ausführen. In den folgenden Themen in Oracle Identity Cloud Service verwalten finden Sie weitere Informationen:
Jede Oracle Cloud-Serviceinstanz in Ihrem Account ist einer Oracle Identity Cloud Service-Sicherheitsanwendung zugeordnet. Jede Sicherheitsanwendung definiert eine oder mehrere Anwendungsrollen. Weisen Sie diesen Anwendungsrollen Benutzer und Gruppen zu, um ihnen administrativen Zugriff auf einen Service zu gewähren. In den folgenden Themen in Oracle Identity Cloud Service verwalten finden Sie weitere Informationen:
Verbindung mit Oracle Identity Cloud Service in der Oracle Cloud Infrastructure-Konsole herstellen
Oracle Blockchain Platform-Mandanten werden automatisch mit Oracle Identity Cloud Service föderiert und für das Provisioning föderierter Benutzer in Oracle Cloud Infrastructure konfiguriert.
Sie verwalten Benutzer und Gruppen über Oracle Identity Cloud Service, wie unter Oracle Identity Cloud Service-Benutzer und -Gruppen in der Oracle Cloud Infrastructure-Konsole verwalten beschrieben.
Hinweis:
In früheren Versionen von Oracle Identity Cloud Service befanden sich die Blockchain Platform-Anwendungen im Slide-Menü unter Anwendungen. Sie finden sie jetzt im Slide-in-Menü unter Oracle Cloud Services.Oracle Identity Cloud Service-Benutzer hinzufügen
Für den Zugriff auf eine Oracle Blockchain Platform-Instanz, die Oracle Identity Cloud Service zur Authentifizierung verwendet, müssen Oracle Blockchain Platform-Benutzer zuerst über gültige Oracle Identity Cloud Service-Zugangsdaten verfügen. Administratoren verwalten das Provisioning von Benutzern in Oracle Identity Cloud Service und fügen Benutzer hinzu.
Identitäts- und Zugriffsverwaltungs-Identitätsdomains für die Authentifizierung verwenden
Wenn Ihre Instanz Identitätsdomains für das Identitätsmanagement verwendet, können Sie mit der Oracle Cloud Infrastructure-Konsole Benutzeraccounts für alle Personen einrichten und verwalten, die Oracle Blockchain Platform voraussichtlich verwenden werden. Nach dem Einrichten der Benutzer und Gruppen weisen Sie ihnen geeignete Berechtigungen (auch als Anwendungsrollen bezeichnet) zu.
Um zu bestimmen, ob Ihr Cloud-Account Identitätsdomains anbietet, navigieren Sie in der Oracle Cloud Infrastructure-Konsole zu Identität und Sicherheit. Suchen Sie unter ID nach Domains.
Für den Zugriff auf eine Oracle Blockchain Platform-Instanz, die Identitätsdomains zur Authentifizierung verwendet, müssen Oracle Blockchain Platform-Benutzer zuerst über gültige Domainzugangsdaten verfügen. Identitätsdomainadministratoren verwalten das Provisioning von Benutzern in der Domain und fügen Benutzer hinzu.
- Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter Identität auf Domains.
- Wählen Sie die Identitätsdomain aus, in der Sie arbeiten möchten, und klicken Sie auf Benutzer.
- Klicken Sie auf Benutzer erstellen. Geben Sie die Benutzerinformationen ein.
Rollen für das Oracle Blockchain Platform-Netzwerk und die REST-APIs zuweisen
In diesem Überblick werden die Rollen beschrieben, die für Oracle Blockchain Platform-Netzwerkbenutzer, -Administratoren und REST-API-Benutzer relevant sind. Alle, die Oracle Blockchain Platform verwenden oder verwalten, müssen in Oracle Identity Cloud Service oder Identity and Access Management hinzugefügt werden und die richtige Benutzerrolle erhalten.
So verknüpfen Sie Rollen mit Benutzern
Wenn Sie IDCS verwenden, müssen Sie die entsprechenden Rollen für jeden Benutzer in IDCS hinzufügen. Informationen zum Hinzufügen oder Verwalten von Benutzerrollen in IDCS finden Sie unter Oracle Identity Cloud Service-Rollen für Benutzer verwalten.
- Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter Identität auf Domains.
- Wählen Sie die Identitätsdomain aus, in der Sie arbeiten möchten, und wählen Sie Oracle Cloud Services aus. Wählen Sie dann Ihren Service aus der Liste aus.
- Wählen Sie unter Ressourcen die Option Anwendungsrollen aus.
- Wählen Sie die Rolle aus, die Sie einem Benutzer zuweisen möchten, klicken Sie rechts neben der Rolle auf das Symbol "Mehr", und wählen Sie Benutzer zuweisen aus.
Erforderliche Rollen für die Verwendung oder Administration der Netzwerk- oder REST-APIs
Nachfolgend finden Sie die Rollen, die für Oracle Blockchain Platform verfügbar sind.
| Benutzerrolle | Automatische Zuweisung an den Instanzersteller? | Beschreibung |
|---|---|---|
| ADMIN | Ja |
Diese Rolle entspricht dem Gesamtadministrator für die Oracle Blockchain Platform-Cloud-Anwendung. Eine vollständige Liste der Konsolenfunktionen, die für diese Benutzerrolle verfügbar sind, finden Sie in der Tabelle Access-Control-Liste für Konsolenfunktion nach Benutzerrollen. |
| BENUTZER | Eine vollständige Liste der Konsolenfunktionen, die für diese Benutzerrolle verfügbar sind, finden Sie in der Tabelle Access-Control-Liste für Konsolenfunktion nach Benutzerrollen. | |
| CA_USER | Ja | Diese Benutzerrolle ist Oracle Blockchain Platform-Teilnehmern zugewiesen, um dem Benutzer das Aufrufen von Certificate-Authority-APIs zu erlauben. |
| REST_CLIENT | Ja | Erlaubt dem Benutzer das Aufrufen aller REST-Proxyendpunkte, die auf dem REST-Proxyknoten mit derselben Nummer verfügbar sind. |
Access-Control-Liste für Konsolenfunktion nach Benutzerrollen
In der folgenden Tabelle werden die Konsolenfeatures aufgeführt, die für die Rollen "ADMIN" und "USER" verfügbar sind.
| Merkmal | ADMIN | USER |
|---|---|---|
|
Dashboard |
Ja |
Ja |
|
Netzwerk: Organisationen auflisten |
Ja |
Ja |
|
Netzwerk: Organisationen hinzufügen |
Ja |
Nein |
|
Netzwerk: Ordering-Service-Einstellung |
Ja |
Nein |
|
Netzwerk: Zertifikate exportieren |
Ja |
Nein |
|
Netzwerk: Orderer-Einstellungen exportieren |
Ja |
Nein |
|
Netzwerk: Ordering-Service-Knoten hinzufügen |
Ja |
Nein |
|
Netzwerk: Netzwerkkonfigurationsblock exportieren |
Ja |
Nein |
|
Knoten: auflisten |
Ja |
Ja |
|
Knoten: starten/stoppen/neu starten |
Ja |
Nein |
|
Knoten: hinzufügen/entfernen |
Ja |
Nein |
|
Knoten: Attribute anzeigen |
Ja |
Ja |
|
Knoten: Attribute bearbeiten |
Ja |
Nein |
|
Knoten: Metriken anzeigen |
Ja |
Ja |
|
Knoten: Logs anzeigen |
Ja |
Ja |
|
Knoten: Peers exportieren/importieren |
Ja |
Nein |
|
Knoten: VM-Platzierung anzeigen |
Ja |
Ja |
|
Peerknoten: Kanäle auflisten |
Ja |
Ja |
|
Peerknoten: Kanal beitreten |
Ja |
Nein |
|
Peerknoten: Chaincode auflisten |
Ja |
Ja |
|
Orderer: Einstellungen des Ordering-Service-Knotens exportieren |
Ja |
Nein |
|
Orderer: Netzwerkkonfigurationsblock importieren |
Ja |
Nein |
|
Kanal: auflisten |
Ja |
Ja |
|
Kanal: erstellen |
Ja |
Nein |
|
Kanal: Organisation zu Kanal hinzufügen |
Ja |
Nein |
|
Kanal: Ordering-Service-Einstellungen aktualisieren |
Ja |
Nein |
|
Kanal: Ledger anzeigen/abfragen |
Ja |
Ja |
|
Kanal: instanziierten Chaincode auflisten |
Ja |
Ja |
|
Kanal: hinzugefügte Peers auflisten |
Ja |
Ja |
|
Kanal: Ankerpeer festlegen |
Ja |
Nein |
|
Kanal: Chaincode upgraden |
Ja |
Nein |
|
Kanal: Administrator des Ordering-Service-Knotens verwalten |
Ja |
Nein |
|
Kanal: Orderer zum Kanal hinzufügen |
Ja |
Nein |
| Kanal: Orderer aus Kanal entfernen |
Ja |
Nein |
|
Chaincode: auflisten |
Ja |
Ja |
|
Chaincode: installieren |
Ja |
Nein |
|
Chaincode: instanziieren |
Ja |
Nein |
|
Beispiel-Chaincode: installieren |
Ja |
Nein |
|
Beispiel-Chaincode: instanziieren |
Ja |
Nein |
|
Beispiel-Chaincode: aufrufen |
Ja |
Ja |
|
Zertifikatswiderrufliste |
Ja |
Nein |
Berechtigungen und Policys zur Administration von Oracle Blockchain Platform verwenden
Jeder Service in Oracle Cloud Infrastructure kann zur Authentifizierung und Autorisierung für alle Schnittstellen (Konsole, SDK oder CLI und REST-API) in Identity and Access Management (IAM) eingebunden werden. Mit IAM-Autorisierungs-Policys kontrollieren Sie den Zugriff auf Ressourcen in Ihrem Mandanten. Beispiel: Sie können eine Policy erstellen, mit der Benutzer Oracle Blockchain Platform-Instanzen erstellen und verwalten können.
Sie erstellen Policys mit der Oracle Cloud Infrastructure-Konsole. Weitere Informationen zu IAM-Policys finden Sie unter Überblick über Oracle Cloud Infrastructure Identity and Access Management in der Oracle Cloud Infrastructure-Dokumentation. Einzelheiten zum Schreiben von Policys finden Sie unter Policy-Syntax und Policy-Referenz.
Ressourcentypen für Oracle Blockchain Platform
| Ressourcenart | Berechtigungen | Beschreibung |
|---|---|---|
|
blockchain-platforms |
|
Mindestens eine Oracle Blockchain Platform-Instanz. |
|
blockchain-platform-work-requests |
|
Eine einzelne Arbeitsanforderung für Oracle Blockchain Platform.
Jeder Vorgang, den Sie auf einer Oracle Blockchain Platform-Instanz ausführen, erstellt eine Arbeitsanforderung. Beispiel: Vorgänge wie Erstellen, Starten, Stoppen usw. |
Zuordnung von Vorgängen zu Berechtigungen
In der folgenden Tabelle sind die IAM-Vorgänge aufgeführt, die für Oracle Blockchain Platform spezifisch sind. Sie können eine IAM-Policy schreiben, die diese Vorgänge umfasst. Sie können auch eine Policy schreiben, die ein definiertes Verb verwendet, das diese Vorgänge einschließt.
| Vorgangs-ID | Für den Vorgang erforderliche Berechtigungen | API-Vorgang |
|---|---|---|
| createBlockchainPlatform | BLOCKCHAIN_PLATFORM_CREATE | CreateBlockchainPlatform |
| deleteBlockchainPlatform | BLOCKCHAIN_PLATFORM_DELETE | DeleteBlockchainPlatform |
| getAllPlatformsInCompartment | BLOCKCHAIN_PLATFORM_INSPECT | GetBlockchainPlatforms |
| getBlockchainPlatformInformation | BLOCKCHAIN_PLATFORM_READ | GetBlockchainPlatformInformation |
| getWorkRequest | BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ | GetWorkRequest |
| getWorkRequestErrors | BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ | ListWorkRequestErrors |
| getWorkRequestLogs | BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ | ListWorkRequestLogs |
| listWorkRequests | BLOCKCHAIN_PLATFORM_WORK_REQUEST_INSPECT | ListWorkRequests |
| restartBlockchainPlatform | BLOCKCHAIN_PLATFORM_UPDATE | RestartBlockchainPlatform |
| startBlockchainPlatform | BLOCKCHAIN_PLATFORM_UPDATE | StartBlockchainPlatform |
| stopBlockchainPlatform | BLOCKCHAIN_PLATFORM_UPDATE | StopBlockchainPlatform |
| updateBlockchainPlatform | BLOCKCHAIN_PLATFORM_UPDATE | UpdateBlockchainPlatform |
Details zu Kombinationen aus Verben und Ressourcentypen
Oracle Cloud Infrastructure bietet ein Standardset von Verben zur Definition von Berechtigungen für alle Oracle Cloud Infrastructure-Ressourcen (Inspect, Read, Use, Manage). In diesen Tabellen werden die Oracle Blockchain Platform-Berechtigungen und die entsprechenden Verben aufgeführt. Die Zugriffsebene ist kumulativ von Prüfen zu Lesen zu Verwenden zu Verwalten.
INSPECT
| Ressourcentyp | INSPECT-Berechtigung |
|---|---|
|
|
|
|
READ
| Ressourcentyp | READ-Berechtigung |
|---|---|
|
|
|
|
USE
| Ressourcentyp | USE-Berechtigung |
|---|---|
|
|
|
|
MANAGE
| Ressourcentyp | MANAGE-Berechtigung |
|---|---|
|
|
|
|
Vorgangsspezifische Attribute
Die Werte dieser Variablen werden von Oracle Blockchain Platform bereitgestellt. Darüber hinaus werden auch andere allgemeine Variablen unterstützt. Siehe Allgemeine Variablen für alle Anforderungen.
Für eine bestimmte Ressourcenart müssen Sie für alle Vorgänge ("get", "list", "delete" usw.) dasselbe Set an Attributen besitzen. Die einzige Ausnahme bildet der create-Vorgang, bei dem Sie die ID für dieses Objekt noch nicht kennen, sodass Sie kein target.RESOURCE-KIND.id-Attribut für create besitzen können.
| Ressourcenart | Name | Typ | Quelle |
|---|---|---|---|
| blockchain-platforms | |||
| blockchain-platform-work-requests |