4 Gestión de Usuarios
Blockchain Platform Manager utiliza un servidor OpenLDAP integrado para la gestión inicial de identidad y acceso (IAM) durante la instalación. Este servidor OpenLDAP gestiona las credenciales de usuario y aplica el control de acceso basado en roles (RBAC) mediante grupos preconfigurados. Toda la información de usuario, como credenciales y afiliaciones a grupos, se almacena en este servidor OpenLDAP.
Además de la autenticación basada en LDAP, Blockchain Platform Manager admite la integración con sistemas de gestión de identidad externos (IdMs) a través de OpenID Connect (OIDC). Esto permite el uso de protocolos de autenticación estándar del sector para mejorar la interoperabilidad.
Gestión de configuración de LDAP
Blockchain Platform Manager proporciona una página de configuración dedicada para gestionar servidores LDAP. Se admiten las acciones siguientes:
- Agregar nuevo: configure un servidor LDAP externo para Blockchain Platform Manager, como alternativa al servidor OpenLDAP incorporado.
- Guardar: permite guardar una configuración de servidor LDAP nueva o actualizada.
- Definir activo: designe una configuración de LDAP existente como activa.
- Guardar y definir como activo: guarde los cambios y defina inmediatamente la configuración actualizada como activa.
- Configuración de prueba: verifique la conectividad y la accesibilidad al servidor LDAP especificado desde Blockchain Platform Manager.
Creación y gestión de grupos
Para cada instancia de Blockchain Platform Manager que se cree, se aprovisionan los siguientes grupos en el servidor OpenLDAP:
| Rol de usuario | Nombre de grupo de LDAP | Descripción |
|---|---|---|
| Gestión de plataformas | OBP_Blockchain Platform Manager<id>_CP_ADMIN |
Los usuarios de este grupo pueden aprovisionar una instancia, configurar instancias existentes, definir la configuración de LDAP y completar operaciones de ciclo de vida en las instancias.
Un usuario debe ser miembro de este grupo para poder conectarse a Blockchain Platform Manager o crear una instancia. |
| Administrador de instancias | BESU_ADMIN_<instance_uuid> |
Los usuarios de este grupo pueden gestionar instancias mediante la interfaz de usuario de la consola. |
| Operador de instancia | BESU_OPERATOR_<instance_uuid> |
Los operadores son usuarios de solo lectura. Los operadores no tienen acceso a la página Cuentas en la consola de servicio. |
| Cliente proxy RPC | BESU_RPC_GW_<instance_uuid> |
Los usuarios de proxy RPC suelen ser aplicaciones cliente. |
Todos los usuarios aprovisionados a través de Blockchain Platform Manager se agregan automáticamente a los cuatro grupos.
Emisión de token y propagación de afiliación a grupo
Cuando se crea una nueva instancia, Blockchain Platform Manager configura el servidor de autenticación para permitir la emisión de tokens con las reclamaciones necesarias, incluida la identidad del usuario y la información relevante de cliente/parte. Cada token incluye información de afiliación de grupo, encapsulada en una reclamación de carga útil. Los componentes de instancia utilizan estas reclamaciones para autorizar o bloquear el acceso externo a los pods de carga de trabajo.
Puede agregar usuarios directamente al servidor OpenLDAP mediante exploradores OpenLDAP como jXplorer. Los administradores de Blockchain Platform Manager pueden utilizar el nombre de usuario y la contraseña del administrador que se proporcionaron durante la instalación para conectarse a openldap.<cp-name>.<cp-domain>:443 con SSL activado. Una vez conectados, los administradores pueden agregar usuarios y asignar o modificar grupos para proporcionar los niveles de acceso adecuados.