4 Benutzerverwaltung
Blockchain Platform Manager verwendet während der Installation einen integrierten OpenLDAP-Server für das anfängliche Identity and Access Management (IAM). Dieser OpenLDAP-Server verwaltet Benutzerzugangsdaten und erzwingt die rollenbasierte Zugriffskontrolle (Role-Based Access Control, RBAC) mit vorkonfigurierten Gruppen. Alle Benutzerinformationen, wie Zugangsdaten und Gruppenmitgliedschaften, werden auf diesem OpenLDAP-Server gespeichert.
Neben der LDAP-basierten Authentifizierung unterstützt Blockchain Platform Manager die Integration mit externen Identity Management-Systemen (IdMs) über OpenID Connect (OIDC). Dies ermöglicht die Verwendung von branchenüblichen Authentifizierungsprotokollen für eine verbesserte Interoperabilität.
LDAP-Konfigurationsverwaltung
Blockchain Platform Manager bietet eine dedizierte Konfigurationsseite für die Verwaltung von LDAP-Servern. Die folgenden Aktionen werden unterstützt:
- Neu hinzufügen: Konfigurieren Sie einen externen LDAP-Server für Blockchain Platform Manager als Alternative zum integrierten OpenLDAP-Server.
- Speichern: Speichern Sie eine neue oder aktualisierte LDAP-Serverkonfiguration.
- Aktiv festlegen: Legen Sie eine vorhandene LDAP-Konfiguration als aktiv fest.
- Speichern und aktiv festlegen: Speichern Sie die Änderungen, und setzen Sie die aktualisierte Konfiguration sofort auf "Aktiv".
- Testkonfiguration: Prüfen Sie die Konnektivität und Zugänglichkeit zum angegebenen LDAP-Server über Blockchain Platform Manager.
Gruppenerstellung und -verwaltung
Für jede erstellte Blockchain Platform Manager-Instanz werden die folgenden Gruppen auf dem OpenLDAP-Server bereitgestellt:
| Benutzerrolle | LDAP-Gruppenname | Beschreibung |
|---|---|---|
| Plattformmanagement | OBP_Blockchain Platform Manager<id>_CP_ADMIN |
Benutzer in dieser Gruppe können eine Instanz bereitstellen, vorhandene Instanzen konfigurieren, die LDAP-Konfiguration festlegen und Lebenszyklusvorgänge auf Instanzen abschließen.
Ein Benutzer muss Mitglied dieser Gruppe sein, damit er sich bei Blockchain Platform Manager anmelden oder eine Instanz erstellen kann. |
| Instanzadministrator | BESU_ADMIN_<instance_uuid> |
Benutzer in dieser Gruppe können Instanzen mit der Konsolen-UI verwalten. |
| Instanzoperator | BESU_OPERATOR_<instance_uuid> |
Operatoren sind schreibgeschützte Benutzer. Operatoren haben keinen Zugriff auf die Seite Accounts in der Servicekonsole. |
| RPC-Proxyclient | BESU_RPC_GW_<instance_uuid> |
RPC-Proxybenutzer sind in der Regel Clientanwendungen. |
Alle über Blockchain Platform Manager bereitgestellten Benutzer werden automatisch allen vier Gruppen hinzugefügt.
Tokenausgabe und Gruppenmitgliedschaft propagieren
Wenn eine neue Instanz erstellt wird, konfiguriert Blockchain Platform Manager den Authentifizierungsserver, um die Tokenausgabe mit erforderlichen Claims zu aktivieren, einschließlich Benutzeridentität und relevanten Client-/Parteiinformationen. Jedes Token enthält Informationen zur Gruppenmitgliedschaft, die in einem Payload-Anspruch gekapselt sind. Instanzkomponenten verwenden diese Claims, um externen Zugriff auf Workload-Pods zu autorisieren oder zu blockieren.
Sie können Benutzer direkt zum OpenLDAP-Server hinzufügen, indem Sie OpenLDAP-Browser wie jXplorer verwenden. Blockchain Platform Manager-Administratoren können den Benutzernamen und das Kennwort des Administrators verwenden, die während der Installation angegeben wurden, um eine Verbindung zu openldap.<cp-name>.<cp-domain>:443 mit aktiviertem SSL herzustellen. Nach der Anmeldung können Administratoren Benutzer hinzufügen und Gruppen zuweisen oder ändern, um die entsprechenden Zugriffsebenen zu erteilen.