4 Configuración de usuarios, roles de acceso y permisos

Una de las primeras tareas que se deben completar después de configurar un servicio con Oracle Blockchain Platform es agregar cuentas de usuario en Oracle Identity Cloud Service (IDCS) o el dominio de identidad de Identity and Access Management (IAM) para todas aquellas personas que se espera que utilicen el servicio y asignarles los permisos adecuados en el mismo.

Si es un cliente existente o un nuevo cliente cuya región aún no soporta dominios de identidad de IAM, IDCS está disponible con su cuenta de Oracle Blockchain Platform. Utilice IDCS para agregar usuarios y grupos y, a continuación, asignarles roles para controlar su uso de Oracle Blockchain Platform. Consulte Gestión de usuarios de Oracle Identity Cloud Service y Gestión de grupos de Oracle Identity Cloud Service.

Si es un cliente nuevo y su región de OCI se ha migrado para utilizar dominios de identidad de IAM, se crea un dominio por defecto con su instancia. Puede utilizarlo para agregar usuarios y grupos y, a continuación, asignarles roles para controlar su uso de Oracle Blockchain Platform. Consulte Gestión de usuarios y Gestión de grupos.

Uso de Oracle Identity Cloud Service para la autenticación

Oracle Blockchain Platform utiliza Oracle Identity Cloud Service para la gestión y la autenticación de la identidad.

Oracle Identity Cloud Service proporciona a los administradores de Oracle Cloud una plataforma de seguridad central para gestionar las relaciones de los usuarios con las aplicaciones, incluido con otros servicios de Oracle Cloud como Oracle Blockchain Platform. Con Oracle Identity Cloud Service, puede crear políticas de contraseñas y notificaciones por correo electrónico personalizadas, incorporar nuevos usuarios, asignar usuarios y grupos a aplicaciones y ejecutar informes de seguridad. Consulte los siguientes temas de Administración de Oracle Identity Cloud Service:

• Acerca de los conceptos de Oracle Identity Cloud Service

• Cómo acceder a Oracle Identity Cloud Service

Cada instancia de servicio de Oracle Cloud de su cuenta está asociada a una aplicación de seguridad de Oracle Identity Cloud Service. Cada aplicación de seguridad define uno o varios roles de aplicación. Asigne usuarios y grupos a estos roles de aplicación para otorgarles acceso administrativo a un servicio. Consulte los siguientes temas de Administración de Oracle Identity Cloud Service:

• Creación de cuentas de usuario

• Creación de grupos

• Asignación de usuarios a aplicaciones de Oracle

• Asignación de grupos a aplicaciones de Oracle

Conexión a Oracle Identity Cloud Service en la consola de Oracle Cloud Infrastructure

Los arrendamientos de Oracle Blockchain Platform se federan automáticamente con Oracle Identity Cloud Service y se configuran para aprovisionar usuarios federados en Oracle Cloud Infrastructure.

Puede gestionar los usuarios y los grupos a través de Oracle Identity Cloud Service tal y como se describe en Gestión de usuarios y grupos de Oracle Identity Cloud Service en la consola de Oracle Cloud Infrastructure.

Note:

En versiones anteriores de Oracle Identity Cloud Service, las aplicaciones de Blockchain Platform estaban en el Cajón de navegación en Aplicaciones. Ahora que Oracle Identity Cloud Service se ha integrado con Oracle Cloud Infrastructure, ya no tiene una URL independiente. Las aplicaciones de Blockchain Platform ahora se pueden encontrar en Oracle Cloud Services, en el cajón de navegación, en Identidad y seguridad y, a continuación, en Dominios.

Visión general del proceso de creación de usuarios y permisos:

1. En Oracle Cloud Infrastructure, vaya a Identidad y seguridad y seleccione Dominios. Cree los usuarios necesarios.
2. Cree uno o más grupos y asigne usuarios a los grupos adecuados según sea necesario.
3. Defina las políticas necesarias para controlar el acceso.
4. Otorgue a los usuarios de Oracle Cloud Infrastructure los permisos adecuados para acceder a compartimentos específicos e instancias de Oracle Blockchain Platform.

Adición de usuarios de Oracle Identity Cloud Service

Para acceder a una instancia de Oracle Blockchain Platform que utiliza Oracle Identity Cloud Service para la autenticación, los usuarios de Oracle Blockchain Platform deben contar primero con unas credenciales de Oracle Identity Cloud Service válidas. Los administradores gestionan el aprovisionamiento de los usuarios en Oracle Identity Cloud Service y llevan a cabo la tarea de agregar a los usuarios.

Para agregar usuarios y proporcionarles acceso a Oracle Blockchain Platform:

1. Abra la aplicación de seguridad asociada a la instancia de Oracle Blockchain Platform en Oracle Identity Cloud Service.
2. Haga clic en el separador Usuarios de Identity Cloud Service en la parte superior de la página (no en el separador Usuarios de la instancia de Oracle Blockchain Platform).
3. Haga clic en Agregar y proporcione los detalles del usuario y, a continuación, haga clic en Finalizar.

   Se mostrará la página Detalles del usuario. Asimismo, se enviará un correo electrónico al usuario con la información de conexión.

Uso de dominios de identidad de Identity and Access Management para la autenticación

Si la instancia utiliza dominios de identidad para la gestión de identidad, utilice la consola de Oracle Cloud Infrastructure para configurar y gestionar cuentas de usuario para todos los usuarios que espera que utilicen Oracle Blockchain Platform. Después de configurar los usuarios y grupos, se les asignan permisos adecuados (también denominados roles de aplicación)

Para determinar si su cuenta en la nube ofrece dominios de identidad, en la consola de Oracle Cloud Infrastructure, vaya a Identidad y seguridad. En Identidad, busque Dominios.

Para acceder a una instancia de Oracle Blockchain Platform que utiliza dominios de identidad para la autenticación, los usuarios de Oracle Blockchain Platform primero deben contar con unas credenciales de dominio válidas. Los administradores del dominio de identidad gestionan el aprovisionamiento de los usuarios en el dominio y realizan la tarea de agregar usuarios.

Para agregar usuarios y proporcionarles acceso a Oracle Blockchain Platform:

1. Abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Dominios.
2. Seleccione el dominio de identidad en el que desea trabajar y haga clic en Usuarios.
3. Haga clic en Crear usuario. Introduzca la información de usuario.

Para obtener más información, consulte estos temas en la documentación de Oracle Cloud Infrastructure:

• Gestión de usuarios
• Gestión de grupos

Asignación de roles para la red de Oracle Blockchain Platform y las API de REST

En esta visión general, se describen los roles relevantes para los usuarios de red, los administradores y los usuarios de la API de REST de la consola de Oracle Blockchain Platform. Cualquier persona que use o administre Oracle Blockchain Platform se debe agregar a Oracle Identity Cloud Service o a Identity and Access Management y se le puede otorgar el rol del usuario correcto.

Cómo asociar roles a usuarios

Si utiliza IDCS, debe agregar los roles adecuados para cada usuario en IDCS. Para obtener información sobre cómo agregar o gestionar roles de usuario en IDCS, consulte Gestión de roles de Oracle Identity Cloud Service para usuarios.

Si utiliza IAM con dominios de identidad, debe agregar los roles adecuados para cada usuario del dominio.

1. Abra el menú de navegación y haga clic en Identity & Security y, a continuación, en Domains.
2. Seleccione el dominio de identidad en el que desea trabajar y, a continuación, seleccione Oracle Cloud Services y, a continuación, elija el servicio de la lista.
3. En Recursos, seleccione Roles de aplicación.
4. Seleccione el rol que desea asignar a un usuario, haga clic en el icono Más a la derecha del rol y seleccione Asignar usuarios.

Roles necesarios para utilizar o administrar la red o las API de REST

A continuación, se muestran los roles que están disponibles para Oracle Blockchain Platform.

Rol de usuario	¿Se otorga automáticamente al creador de la instancia?	Descripción
Administración	Sí	Este rol es el administrador general de la aplicación en la nube de Oracle Blockchain Platform. Consulte la tabla de Lista de control de acceso a las funciones de la consola por roles de usuario para obtener una lista completa de las funciones de la consola que están disponibles para este rol de usuario. Para utilizar las API de REST de red de cadenas de bloques administrativas, debe tener este rol asociado a su ID de usuario. Tenga en cuenta que las API de REST administrativas de Blockchain Platform (plano de control) utilizan el mecanismo de autenticación de OCI, como se describe aquí: Documentación de Oracle Cloud Infrastructure: API de REST. El rol ADMIN descrito en esta tabla solo se aplica a las llamadas de API de REST de estadísticas, operaciones de aplicación y administración de red.
USUARIO		Consulte la tabla de Lista de control de acceso a las funciones de la consola por roles de usuario para obtener una lista completa de las funciones de la consola que están disponibles para este rol de usuario.
CA_USER	Sí	Este rol de usuario se asigna a los participantes de Oracle Blockchain Platform para otorgar acceso a los usuarios para llamar a las API de autoridad de certificación.
REST_CLIENT	Sí	Otorga acceso a los usuarios para llamar a todos los puntos finales de proxy REST disponibles en el nodo de proxy REST con el mismo número. Tenga en cuenta que las API de REST administrativas de Blockchain Platform (plano de control) utilizan el mecanismo de autenticación de OCI, como se describe aquí: Documentación de Oracle Cloud Infrastructure: API de REST. El rol REST_CLIENT descrito en esta tabla solo se aplica a las llamadas de API de REST de estadísticas, operaciones de aplicación y administración de red.

Lista de control de acceso a las funciones de la consola por roles de usuario

En la siguiente tabla se muestran las funciones de la consola que están disponibles para los roles ADMIN y USER.

Función	Administración	USER
Panel de control	Sí	Sí
Red: mostrar organizaciones	Sí	Sí
Red: agregar organizaciones	Sí	N.º
Red: configuración de servicio de ordenación	Sí	N.º
Red: exportar certificados	Sí	N.º
Red: exportar configuración de solicitante	Sí	N.º
Red: agregar OSN	Sí	N.º
Red: exportar bloque de configuración de red	Sí	N.º
Nodo: mostrar	Sí	Sí
Nodo: iniciar/parar/reiniciar	Sí	N.º
Nodo: agregar/eliminar	Sí	N.º
Nodo: ver atributos	Sí	Sí
Nodo: editar atributos	Sí	N.º
Nodo: ver métricas	Sí	Sí
Nodo: ver logs	Sí	Sí
Nodo: exportar/importar peers	Sí	N.º
Nodo: mostrar ubicación de VM	Sí	Sí
Nodo peer: mostrar canales	Sí	Sí
Nodo peer: unir a canal	Sí	N.º
Nodo peer: mostrar código de cadena	Sí	Sí
Solicitante: exportar configuración de OSN	Sí	N.º
Solicitante: importar bloque de configuración de red	Sí	N.º
Canal: mostrar	Sí	Sí
Canal: crear	Sí	N.º
Canal: agregar organización a canal	Sí	N.º
Canal: actualizar configuración de servicio de ordenación	Sí	N.º
Canal: ver/consultar libro mayor	Sí	Sí
Canal: mostrar código de cadena instanciado	Sí	Sí
Canal: mostrar peers unidos	Sí	Sí
Canal: establecer peer de anclaje	Sí	N.º
Canal: actualizar código de cadena	Sí	N.º
Canal: gestionar administrador de OSN	Sí	N.º
Canal: unir solicitantes a canal	Sí	N.º
Canal: eliminar solicitantes de canal	Sí	N.º
Código de cadena: mostrar	Sí	Sí
Código de cadena: instalar	Sí	N.º
Código de cadena: instanciar	Sí	N.º
Código de cadena de ejemplo: instalar	Sí	N.º
Código de cadena de ejemplo: instanciar	Sí	N.º
Código de cadena de ejemplo: llamar	Sí	Sí
CRL	Sí	N.º

Uso de permisos y políticas para administrar Oracle Blockchain Platform

Todos los servicios de Oracle Cloud Infrastructure se integran con Identity and Access Management (IAM) para las cuestiones relativas a la autenticación y autorización, además de en todas las interfaces (la consola, SDK o CLI y la API de REST). Puede utilizar las políticas de autorización de IAM para controlar el acceso a los recursos de su arrendamiento. Por ejemplo, puede crear una política que autorice a los usuarios a crear y gestionar instancias de Oracle Blockchain Platform.

Las políticas se crean mediante la consola de Oracle Cloud Infrastructure. Para obtener más información sobre las políticas de IAM, consulte Visión general de Oracle Cloud Infrastructure Identity and Access Management en la documentación de Oracle Cloud Infrastructure. Para obtener más información sobre la escritura de políticas, consulte Sintaxis de políticas y Referencia de políticas.

Tipos de recursos en Oracle Blockchain Platform

Tipo de recurso	Permisos	Descripción
blockchain-platforms	BLOCKCHAIN_PLATFORM_CREATE BLOCKCHAIN_PLATFORM_UPDATE BLOCKCHAIN_PLATFORM_INSPECT BLOCKCHAIN_PLATFORM_READ BLOCKCHAIN_PLATFORM_DELETE	Una o varias instancias de Oracle Blockchain Platform.
blockchain-platform-work-requests	BLOCKCHAIN_PLATFORM_WORK_REQUEST_INSPECT BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ BLOCKCHAIN_PLATFORM_WORK_REQUEST_DELETE	Solicitud de trabajo única de Oracle Blockchain Platform. Cada operación que realiza en una instancia de Oracle Blockchain Platform crea una solicitud de trabajo. Por ejemplo, operaciones como crear, iniciar, parar, etc.

Asignación de operaciones a permisos

En la siguiente tabla, se muestran las operaciones de IAM específicas de Oracle Blockchain Platform. Puede escribir una política de IAM que incluya estas operaciones o una política que utilice un verbo definido que las englobe.

ID de Operación	Permisos necesarios para utilizar la operación	Operación de API
createBlockchainPlatform	BLOCKCHAIN_PLATFORM_CREATE	CreateBlockchainPlatform
deleteBlockchainPlatform	BLOCKCHAIN_PLATFORM_DELETE	DeleteBlockchainPlatform
getAllPlatformsInCompartment	BLOCKCHAIN_PLATFORM_INSPECT	GetBlockchainPlatforms
getBlockchainPlatformInformation	BLOCKCHAIN_PLATFORM_READ	GetBlockchainPlatformInformation
getWorkRequest	BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ	GetWorkRequest
getWorkRequestErrors	BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ	ListWorkRequestErrors
getWorkRequestLogs	BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ	ListWorkRequestLogs
listWorkRequests	BLOCKCHAIN_PLATFORM_WORK_REQUEST_INSPECT	ListWorkRequests
restartBlockchainPlatform	BLOCKCHAIN_PLATFORM_UPDATE	RestartBlockchainPlatform
startBlockchainPlatform	BLOCKCHAIN_PLATFORM_UPDATE	StartBlockchainPlatform
stopBlockchainPlatform	BLOCKCHAIN_PLATFORM_UPDATE	StopBlockchainPlatform
updateBlockchainPlatform	BLOCKCHAIN_PLATFORM_UPDATE	UpdateBlockchainPlatform

Detalles de las combinaciones de verbo y tipo de recursos

Oracle Cloud Infrastructure ofrece un juego de verbos estándar para definir permisos en los recursos de Oracle Cloud Infrastructure (Inspect, Read, Use, Manage). En estas tablas, se muestran los permisos de Oracle Blockchain Platform asociados a cada verbo. El nivel de acceso es acumulativo a medida que pasa de Inspect a Read a Use a Manage.

INSPECT

Tipo de recurso	Permiso de INSPECT
blockchain-platforms	BLOCKCHAIN_PLATFORM_INSPECT
blockchain-platform-work-requests	BLOCKCHAIN_PLATFORM_WORK_REQUEST_INSPECT

READ

Tipo de recurso	Permiso de READ
blockchain-platforms	BLOCKCHAIN_PLATFORM_INSPECT BLOCKCHAIN_PLATFORM_READ
blockchain-platform-work-requests	BLOCKCHAIN_PLATFORM_WORK_REQUEST_INSPECT BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ

USE

Tipo de recurso	Permiso de USE
blockchain-platforms	BLOCKCHAIN_PLATFORM_READ BLOCKCHAIN_PLATFORM_UPDATE
blockchain-platform-work-requests	BLOCKCHAIN_PLATFORM_WORK_REQUEST_INSPECT BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ

MANAGE

Tipo de recurso	Permiso de MANAGE
blockchain-platforms	BLOCKCHAIN_PLATFORM_READ BLOCKCHAIN_PLATFORM_UPDATE BLOCKCHAIN_PLATFORM_CREATE BLOCKCHAIN_PLATFORM_DELETE
blockchain-platform-instance-work-requests	BLOCKCHAIN_PLATFORM_WORK_REQUEST_INSPECT BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ BLOCKCHAIN_PLATFORM_WORK_REQUEST_DELETE

Atributos específicos de la operación

Oracle Blockchain Platform proporciona los valores de estas variables. Además, están soportadas otras variables generales. Consulte Variables generales para todas las solicitudes.

Para un tipo de recurso determinado, debe tener el mismo juego de atributos en todas las operaciones (obtener, mostrar, suprimir, etc.). La única excepción es para una operación create, en la que aún no tendrá el ID de ese objeto, por lo que no podrá tener un atributo target.RESOURCE-KIND.id para create.

Tipo de recurso	Nombre	Tipo	Origen
blockchain-platforms
blockchain-platform-work-requests