4 Configuración de usuarios, roles de acceso y permisos
Una de las primeras tareas que se deben completar después de configurar un servicio con Oracle Blockchain Platform es agregar cuentas de usuario en Oracle Identity Cloud Service (IDCS) o el dominio de identidad de Identity and Access Management (IAM) para todas las personas que se espera que utilicen el servicio y asignarles los permisos adecuados en el servicio.
Si ya es cliente o es un cliente nuevo cuya región no soporta los dominios de identidad de IAM, IDCS está disponible con su cuenta de Oracle Blockchain Platform. Utilice IDCS para agregar usuarios y grupos y, a continuación, asignarles roles para controlar su uso de Oracle Blockchain Platform. Consulte Gestión de usuarios de Oracle Identity Cloud Service y Gestión de grupos de Oracle Identity Cloud Service.
Si es un cliente nuevo y su región de OCI se ha migrado para utilizar dominios de identidad de IAM, se crea un dominio por defecto con su instancia. Puede utilizarlo para agregar usuarios y grupos y, a continuación, asignarles roles para controlar su uso de Oracle Blockchain Platform. Consulte Gestión de usuarios y Gestión de grupos.
Uso de Oracle Identity Cloud Service para la autenticación
Oracle Blockchain Platform utiliza Oracle Identity Cloud Service para la gestión y la autenticación de la identidad.
Oracle Identity Cloud Service proporciona a los administradores de Oracle Cloud una plataforma de seguridad central para gestionar las relaciones de los usuarios con las aplicaciones, incluido con otros servicios de Oracle Cloud como Oracle Blockchain Platform. Con Oracle Identity Cloud Service, puede crear políticas de contraseñas y notificaciones por correo electrónico personalizadas, incorporar nuevos usuarios, asignar usuarios y grupos a aplicaciones y ejecutar informes de seguridad. Consulte los siguientes temas de Administración de Oracle Identity Cloud Service:
Cada instancia de servicio de Oracle Cloud de su cuenta está asociada a una aplicación de seguridad de Oracle Identity Cloud Service. Cada aplicación de seguridad define uno o varios roles de aplicación. Asigne usuarios y grupos a estos roles de aplicación para otorgarles acceso administrativo a un servicio. Consulte los siguientes temas de Administración de Oracle Identity Cloud Service:
Conexión a Oracle Identity Cloud Service en la consola de Oracle Cloud Infrastructure
Los arrendamientos de Oracle Blockchain Platform se federan automáticamente con Oracle Identity Cloud Service y se configuran para aprovisionar usuarios federados en Oracle Cloud Infrastructure.
Puede gestionar los usuarios y los grupos a través de Oracle Identity Cloud Service tal y como se describe en Gestión de usuarios y grupos de Oracle Identity Cloud Service en la consola de Oracle Cloud Infrastructure.
Nota:
En versiones anteriores de Oracle Identity Cloud Service, las aplicaciones de Blockchain Platform estaban en el cajón de navegación, en Aplicaciones. Ahora se pueden encontrar en el cajón de navegación en Oracle Cloud Services.Adición de usuarios de Oracle Identity Cloud Service
Para acceder a una instancia de Oracle Blockchain Platform que utiliza Oracle Identity Cloud Service para la autenticación, los usuarios de Oracle Blockchain Platform deben contar primero con unas credenciales de Oracle Identity Cloud Service válidas. Los administradores gestionan el aprovisionamiento de los usuarios en Oracle Identity Cloud Service y llevan a cabo la tarea de agregar a los usuarios.
Uso de dominios de identidad de Identity and Access Management para la autenticación
Si la instancia utiliza dominios de identidad para la gestión de identidad, utilice la consola de Oracle Cloud Infrastructure para configurar y gestionar cuentas de usuario para todos los usuarios que espera que utilicen Oracle Blockchain Platform. Después de configurar los usuarios y grupos, les asigna los permisos adecuados (también denominados roles de aplicación)
Para determinar si su cuenta en la nube ofrece o no dominios de identidad, en la consola de Oracle Cloud Infrastructure, vaya a Identidad y seguridad. En Identidad, busque Dominios.
Para acceder a una instancia de Oracle Blockchain Platform que utiliza dominios de identidad para la autenticación, los usuarios de Oracle Blockchain Platform primero deben tener credenciales de dominio válidas. Los administradores del dominio de identidad gestionan el aprovisionamiento de los usuarios en el dominio y realizan la tarea de agregarlos.
- Abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Dominios.
- Seleccione el dominio de identidad en el que desea trabajar y haga clic en Usuarios.
- Haga clic en Crear usuario. Introduzca la información de usuario.
Asignación de roles para la red de Oracle Blockchain Platform y las API de REST
En esta visión general se describen los roles relevantes para usuarios de red, administradores y usuarios de API de REST de Oracle Blockchain Platform. Todos los usuarios que utilicen o administren Oracle Blockchain Platform se deben agregar a Oracle Identity Cloud Service o a Identity and Access Management y se les debe otorgar el rol de usuario correcto.
Cómo asociar roles a usuarios
Si utiliza IDCS, debe agregar los roles adecuados para cada usuario de IDCS. Para obtener información sobre cómo agregar o gestionar roles de usuario en IDCS, consulte Gestión de roles de Oracle Identity Cloud Service para usuarios.
- Abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Dominios.
- Seleccione el dominio de identidad en el que desea trabajar y, a continuación, seleccione Oracle Cloud Services y, a continuación, elija el servicio en la lista.
- En Recursos, seleccione Roles de aplicación.
- Seleccione el rol que desea asignar a un usuario, haga clic en el icono Más a la derecha del rol y seleccione Asignar usuarios.
Roles necesarios para utilizar o administrar la red o las API de REST
A continuación, se muestran los roles que están disponibles para Oracle Blockchain Platform.
| Rol de usuario | ¿Se otorga automáticamente al creador de la instancia? | Descripción |
|---|---|---|
| ADMINISTRACIÓN | Si |
Este rol es el administrador general de la aplicación en la nube de Oracle Blockchain Platform. Consulte la tabla de Lista de control de acceso a las funciones de la consola por roles de usuario para obtener una lista completa de las funciones de la consola que están disponibles para este rol de usuario. |
| USUARIO | Consulte la tabla de Lista de control de acceso a las funciones de la consola por roles de usuario para obtener una lista completa de las funciones de la consola que están disponibles para este rol de usuario. | |
| CA_USER | Si | Este rol de usuario se asigna a los participantes de Oracle Blockchain Platform para otorgar acceso a los usuarios para llamar a las API de autoridad de certificación. |
| REST_CLIENT | Si | Otorga acceso a los usuarios para llamar a todos los puntos finales de proxy REST disponibles en el nodo de proxy REST con el mismo número. |
Lista de control de acceso a las funciones de la consola por roles de usuario
En la siguiente tabla se muestran las funciones de la consola que están disponibles para los roles ADMIN y USER.
| Función | Administración | USER |
|---|---|---|
|
Panel de control |
Si |
Si |
|
Red: mostrar organizaciones |
Si |
Si |
|
Red: agregar organizaciones |
Si |
No |
|
Red: configuración de servicio de ordenación |
Si |
No |
|
Red: exportar certificados |
Si |
No |
|
Red: exportar configuración de solicitante |
Si |
No |
|
Red: agregar OSN |
Si |
No |
|
Red: exportar bloque de configuración de red |
Si |
No |
|
Nodo: mostrar |
Si |
Si |
|
Nodo: iniciar/parar/reiniciar |
Si |
No |
|
Nodo: agregar/eliminar |
Si |
No |
|
Nodo: ver atributos |
Si |
Si |
|
Nodo: editar atributos |
Si |
No |
|
Nodo: ver métricas |
Si |
Si |
|
Nodo: ver logs |
Si |
Si |
|
Nodo: exportar/importar peers |
Si |
No |
|
Nodo: mostrar ubicación de VM |
Si |
Si |
|
Nodo peer: mostrar canales |
Si |
Si |
|
Nodo peer: unir a canal |
Si |
No |
|
Nodo peer: mostrar código de cadena |
Si |
Si |
|
Solicitante: exportar configuración de OSN |
Si |
No |
|
Solicitante: importar bloque de configuración de red |
Si |
No |
|
Canal: mostrar |
Si |
Si |
|
Canal: crear |
Si |
No |
|
Canal: agregar organización a canal |
Si |
No |
|
Canal: actualizar configuración de servicio de ordenación |
Si |
No |
|
Canal: ver/consultar libro mayor |
Si |
Si |
|
Canal: mostrar código de cadena instanciado |
Si |
Si |
|
Canal: mostrar peers unidos |
Si |
Si |
|
Canal: establecer peer de anclaje |
Si |
No |
|
Canal: actualizar código de cadena |
Si |
No |
|
Canal: gestionar administrador de OSN |
Si |
No |
|
Canal: unir solicitantes a canal |
Si |
No |
| Canal: eliminar solicitantes de canal |
Si |
No |
|
Código de cadena: mostrar |
Si |
Si |
|
Código de cadena: instalar |
Si |
No |
|
Código de cadena: instanciar |
Si |
No |
|
Código de cadena de ejemplo: instalar |
Si |
No |
|
Código de cadena de ejemplo: instanciar |
Si |
No |
|
Código de cadena de ejemplo: llamar |
Si |
Si |
|
CRL |
Si |
No |
Uso de permisos y políticas para administrar Oracle Blockchain Platform
Todos los servicios de Oracle Cloud Infrastructure se integran con Identity and Access Management (IAM) para las cuestiones relativas a la autenticación y autorización, además de en todas las interfaces (la consola, SDK o CLI y la API de REST). Puede utilizar las políticas de autorización de IAM para controlar el acceso a los recursos de su arrendamiento. Por ejemplo, puede crear una política que autorice a los usuarios a crear y gestionar instancias de Oracle Blockchain Platform.
Las políticas se crean mediante la consola de Oracle Cloud Infrastructure. Para obtener más información sobre las políticas de IAM, consulte Visión general de Oracle Cloud Infrastructure Identity and Access Management en la documentación de Oracle Cloud Infrastructure. Para obtener más información sobre la escritura de políticas, consulte Sintaxis de políticas y Referencia de políticas.
Tipos de recursos en Oracle Blockchain Platform
| Tipo de recurso | Permisos | Descripción |
|---|---|---|
|
blockchain-platforms |
|
Una o varias instancias de Oracle Blockchain Platform. |
|
blockchain-platform-work-requests |
|
Solicitud de trabajo única de Oracle Blockchain Platform.
Cada operación que realiza en una instancia de Oracle Blockchain Platform crea una solicitud de trabajo. Por ejemplo, operaciones como crear, iniciar, parar, etc. |
Asignación de operaciones a permisos
En la siguiente tabla, se muestran las operaciones de IAM específicas de Oracle Blockchain Platform. Puede escribir una política de IAM que incluya estas operaciones o una política que utilice un verbo definido que las englobe.
| Identificador de Operación | Permisos necesarios para utilizar la operación | Operación de API |
|---|---|---|
| createBlockchainPlatform | BLOCKCHAIN_PLATFORM_CREATE | CreateBlockchainPlatform |
| deleteBlockchainPlatform | BLOCKCHAIN_PLATFORM_DELETE | DeleteBlockchainPlatform |
| getAllPlatformsInCompartment | BLOCKCHAIN_PLATFORM_INSPECT | GetBlockchainPlatforms |
| getBlockchainPlatformInformation | BLOCKCHAIN_PLATFORM_READ | GetBlockchainPlatformInformation |
| getWorkRequest | BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ | GetWorkRequest |
| getWorkRequestErrors | BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ | ListWorkRequestErrors |
| getWorkRequestLogs | BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ | ListWorkRequestLogs |
| listWorkRequests | BLOCKCHAIN_PLATFORM_WORK_REQUEST_INSPECT | ListWorkRequests |
| restartBlockchainPlatform | BLOCKCHAIN_PLATFORM_UPDATE | RestartBlockchainPlatform |
| startBlockchainPlatform | BLOCKCHAIN_PLATFORM_UPDATE | StartBlockchainPlatform |
| stopBlockchainPlatform | BLOCKCHAIN_PLATFORM_UPDATE | StopBlockchainPlatform |
| updateBlockchainPlatform | BLOCKCHAIN_PLATFORM_UPDATE | UpdateBlockchainPlatform |
Detalles de las combinaciones de verbo y tipo de recursos
Oracle Cloud Infrastructure ofrece un juego de verbos estándar para definir permisos en los recursos de Oracle Cloud Infrastructure (inspección, lectura, uso, gestión). En estas tablas, se muestran los permisos de Oracle Blockchain Platform asociados a cada verbo. El nivel de acceso es acumulado a medida que pasa de Inspect a Read a Use a Manage.
INSPECT
| Tipo de recurso | Permiso de INSPECT |
|---|---|
|
|
|
|
READ
| Tipo de recurso | Permiso de READ |
|---|---|
|
|
|
|
USE
| Tipo de recurso | Permiso de USE |
|---|---|
|
|
|
|
MANAGE
| Tipo de recurso | Permiso de MANAGE |
|---|---|
|
|
|
|
Atributos específicos de la operación
Oracle Blockchain Platform proporciona los valores de estas variables. Además, están soportadas otras variables generales. Consulte Variables generales para todas las solicitudes.
Para un tipo de recurso determinado, debe tener el mismo juego de atributos en todas las operaciones (obtener, mostrar, suprimir, etc.). La única excepción es para una operación create, en la que aún no tendrá el ID de ese objeto, por lo que no podrá tener un atributo target.RESOURCE-KIND.id para create.
| Tipo de recurso | Nombre | Tipo | Origen |
|---|---|---|---|
| blockchain-platforms | |||
| blockchain-platform-work-requests |