4 Configurer des utilisateurs, des rôles d'accès et des autorisations
Une des premières tâches à effectuer après la configuration d'un service avec Oracle Blockchain Platform consiste à ajouter des comptes d'utilisateur dans Oracle Identity Cloud Service (IDCS) ou votre domaine d'identité IAM (Identity and Access Management) pour toutes les personnes que vous prévoyez d'utiliser le service et à leur affecter les autorisations appropriées dans le service.
Si vous êtes un client existant ou un nouveau client dont la région ne prend pas encore en charge les domaines d'identité IAM, IDCS est disponible avec votre compte Oracle Blockchain Platform. Utilisez IDCS pour ajouter des utilisateurs et des groupes, puis affectez-leur des rôles pour contrôler leur utilisation d'Oracle Blockchain Platform. Voir Gérer les utilisateurs et les groupes du service Oracle Identity Cloud et Gérer les groupes du service Oracle Identity Cloud
Si vous êtes un nouveau client et que votre région OCI a été migrée pour utiliser des domaines d'identité IAM, un domaine par défaut est créé avec votre instance. Vous pouvez l'utiliser pour ajouter des utilisateurs et des groupes, puis leur affecter des rôles pour contrôler leur utilisation d'Oracle Blockchain Platform. Voir Gestion des utilisateurs et Gestion des groupes.
Utiliser le service Oracle Identity Cloud pour l'authentification
Oracle Blockchain Platform utilise le service Oracle Identity Cloud pour la gestion des identités et l'authentification.
Le service Oracle Identity Cloud fournit aux administrateurs Oracle Cloud une plate-forme de sécurité centralisée leur permettant de gérer les relations des utilisateurs avec les applications, y compris avec d'autres services Oracle Cloud comme Oracle Blockchain Platform. Le service Oracle Identity Cloud vous permet de créer des politiques de mot de passe personnalisées et des avis par courriel, d'intégrer de nouveaux utilisateurs, d'affecter des utilisateurs et des groupes à des applications, et d'exécuter des rapports de sécurité. Voir les rubriques suivantes dans Administration du service Oracle Identity Cloud :
Chaque instance de service Oracle Cloud de votre compte est associée à une application de sécurité du service Oracle Identity Cloud. Chaque application de sécurité définit un ou plusieurs rôles d'application. Affectez des utilisateurs et des groupes à ces rôles d'application afin de leur donner un accès administrateur à un service. Voir les rubriques suivantes dans Administration du service Oracle Identity Cloud :
Connexion au service Oracle Identity Cloud dans la console Oracle Cloud Infrastructure
Les locations Oracle Blockchain Platform sont automatiquement fédérées avec le service Oracle Identity Cloud et configurées pour provisionner des utilisateurs fédérés dans Oracle Cloud Infrastructure.
Vous gérez les utilisateurs et les groupes au moyen du service Oracle Identity Cloud comme décrit dans Gestion des utilisateurs et des groupes du service Oracle Identity Cloud dans la console Oracle Cloud Infrastructure.
Note :
Dans les versions antérieures d'Oracle Identity Cloud Service, les applications Blockchain Platform se trouvaient dans le tiroir de navigation sous Applications. Elles se trouvent maintenant dans le tiroir de navigation sous Oracle Cloud Services.Ajouter des utilisateurs du service Oracle Identity Cloud
Pour accéder à une instance Oracle Blockchain Platform qui utilise le service Oracle Identity Cloud aux fins d'authentification, les utilisateurs Oracle Blockchain Platform doivent disposer de données d'identification valides pour le service Oracle Identity Cloud. Les administrateurs gèrent le provisionnement des utilisateurs dans le service Oracle Identity Cloud et ajoutent des utilisateurs.
Utiliser les domaines d'identité du service de gestion des identités et des accès pour l'authentification
Si votre instance utilise des domaines d'identité pour la gestion des identités, vous utilisez la console Oracle Cloud Infrastructure pour configurer et gérer les comptes d'utilisateur pour toutes les personnes qui doivent utiliser Oracle Blockchain Platform. Après avoir configuré les utilisateurs et les groupes, vous leur affectez les autorisations appropriées (également appelées rôles d'application)
Pour déterminer si votre compte en nuage offre ou non des domaines d'identité, dans la console Oracle Cloud Infrastructure, naviguez jusqu'à Identité et sécurité. Sous Identité, recherchez Domaines.
Pour accéder à une instance Oracle Blockchain Platform qui utilise des domaines d'identité pour l'authentification, les utilisateurs d'Oracle Blockchain Platform doivent d'abord avoir des données d'identification de domaine valides. Les administrateurs de domaine d'identité gèrent le provisionnement des utilisateurs dans le domaine et effectuent l'ajout d'utilisateurs.
- Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Domaines.
- Sélectionnez le domaine d'identité dans lequel vous voulez travailler et cliquez sur Utilisateurs.
- Cliquez sur Créer un utilisateur. Entrez les données sur l'utilisateur.
Affectation de rôles pour le réseau Oracle Blockchain Platform et les API REST
Cet aperçu décrit les rôles pertinents pour les utilisateurs de réseau, les administrateurs et les utilisateurs d'API REST d'Oracle Blockchain Platform. Toute personne qui utilise ou administre Oracle Blockchain Platform doit être ajoutée dans Oracle Identity Cloud Service ou Identity and Access Management et disposer du rôle d'utilisateur approprié.
Comment associer des rôles aux utilisateurs
Si vous utilisez IDCS, vous devez ajouter les rôles appropriés pour chaque utilisateur dans IDCS. Pour plus d'informations sur l'ajout ou la gestion d'un rôle d'utilisateur dans IDCS, voir Gestion des rôles Oracle Identity Cloud Service pour les utilisateurs.
- Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Domaines.
- Sélectionnez le domaine d'identité dans lequel vous voulez travailler, puis sélectionnez Oracle Cloud Services, puis choisissez votre service dans la liste.
- Sous Ressources, sélectionnez Rôles d'application.
- Sélectionnez le rôle à affecter à un utilisateur, cliquez sur l'icône Plus à droite du rôle, puis sélectionnez Affecter des utilisateurs.
Rôles requis pour utiliser ou administrer le réseau ou les API REST
Voici les rôles disponibles pour Oracle Blockchain Platform.
| Rôle d'utilisateur | Accordé automatiquement au créateur de l'instance? | Description |
|---|---|---|
| ADMIN | Oui |
Il s'agit du rôle d'administrateur général de l'application Oracle Blockchain Platform Cloud. Voir le tableau Liste de contrôle d'accès pour la fonction de console par rôles d'utilisateur pour obtenir une liste complète des fonctions de console disponibles pour ce rôle d'utilisateur. |
| USER | Voir le tableau Liste de contrôle d'accès pour la fonction de console par rôles d'utilisateur pour obtenir une liste complète des fonctions de console disponibles pour ce rôle d'utilisateur. | |
| CA_USER | Oui | Ce rôle d'utilisateur est affecté aux participants à Oracle Blockchain Platform pour accorder un accès permettant d'appeler les API d'autorité de certification. |
| REST_CLIENT | Oui | Ce rôle accorde à l'utilisateur un accès lui permettant d'appeler tous les points d'extrémité de mandataire REST disponibles sur le noeud mandataire REST avec le même numéro. |
Liste de contrôle d'accès aux fonctions de la console par rôle d'utilisateur
Le tableau suivant répertorie les fonctions de console disponibles pour les rôles ADMIN et USER.
| Fonction | ADMIN | USER |
|---|---|---|
|
Tableau de bord |
Oui |
Oui |
|
Réseau : Lister les organisations |
Oui |
Oui |
|
Réseau : Ajouter des organisations |
Oui |
Non |
|
Réseau : Définition de service de tri |
Oui |
Non |
|
Réseau : Exporter les certificats |
Oui |
Non |
|
Réseau : Exporter les paramètres de noeud de tri |
Oui |
Non |
|
Réseau : Ajouter un noeud de service de tri |
Oui |
Non |
|
Réseau : Exporter le bloc de configuration de réseau |
Oui |
Non |
|
Noeud : Lister |
Oui |
Oui |
|
Noeud : Démarrer/arrêter/redémarrer |
Oui |
Non |
|
Noeud : Ajouter/supprimer |
Oui |
Non |
|
Noeud : Voir les attributs |
Oui |
Oui |
|
Noeud : Modifier les attributs |
Oui |
Non |
|
Noeud : Voir les mesures |
Oui |
Oui |
|
Noeud : Voir les journaux |
Oui |
Oui |
|
Noeud : Exporter/importer les pairs |
Oui |
Non |
|
Noeud : Afficher le positionnement de la machine virtuelle |
Oui |
Oui |
|
Noeud pair : Lister les canaux |
Oui |
Oui |
|
Noeud pair : Joindre le canal |
Oui |
Non |
|
Noeud pair : Lister les chaînes de code |
Oui |
Oui |
|
Noeud de tri : Exporter les paramètres de noeud de service de tri |
Oui |
Non |
|
Noeud de tri : Importer le bloc de configuration de réseau |
Oui |
Non |
|
Canal : Lister |
Oui |
Oui |
|
Canal : Créer |
Oui |
Non |
|
Canal : Ajouter une organisation au canal |
Oui |
Non |
|
Canal : Mettre à jour les paramètres de service de tri |
Oui |
Non |
|
Canal : Voir/interroger le livre |
Oui |
Oui |
|
Canal : Lister les chaînes de code instanciées |
Oui |
Oui |
|
Canal : Lister les pairs joints |
Oui |
Oui |
|
Canal : Définir le pair d'ancrage |
Oui |
Non |
|
Canal : Mettre à niveau les chaînes de code |
Oui |
Non |
|
Canal : Gérer l'administrateur des noeuds de service de tri |
Oui |
Non |
|
Canal : Joindre des noeuds de tri au canal |
Oui |
Non |
| Canal : Supprimer des noeuds de tri du canal |
Oui |
Non |
|
Chaînes de code : Lister |
Oui |
Oui |
|
Chaînes de code : Installer |
Oui |
Non |
|
Chaînes de code : Instancier |
Oui |
Non |
|
Exemple de chaînes de code : Installer |
Oui |
Non |
|
Exemple de chaînes de code : Instancier |
Oui |
Non |
|
Exemple de chaînes de code : Appeler |
Oui |
Oui |
|
Liste des certificats révoqués |
Oui |
Non |
Utilisation des autorisations et des politiques pour administrer Oracle Blockchain Platform
Chaque service d'Oracle Cloud Infrastructure est intégré avec le service de gestion des identités et des accès (GIA) aux fins d'authentification et d'autorisation, pour toutes les interfaces (console, trousse SDK ou interface de ligne de commande et API REST). Les politiques d'autorisation GIA vous permettent de contrôler l'accès aux ressources de votre location. Par exemple, vous pouvez créer une politique autorisant les utilisateurs à créer et gérer des instances Oracle Blockchain Platform.
Vous créez des politiques à l'aide de la console Oracle Cloud Infrastructure. Pour plus d'informations sur les politiques GIA, voir Aperçu du service de gestion des identités et des accès pour Oracle Cloud Infrastructure dans la documentation sur Oracle Cloud Infrastructure. Pour plus d'informations sur l'écriture des politiques, voir Syntaxe de politique et Informations de référence sur les politiques.
Types de ressource pour Oracle Blockchain Platform
| Type de ressource | Autorisations | Description |
|---|---|---|
|
blockchain-platforms |
|
Une ou plusieurs instances Oracle Blockchain Platform. |
|
blockchain-platform-work-requests |
|
Une demande de travail unique pour Oracle Blockchain Platform.
Chaque opération que vous effectuez sur une instance Oracle Blockchain Platform crée une demande de travail. Il peut s'agir par exemple d'opérations telles que la création, le démarrage, l'arrêt, etc. |
Mappage des opérations aux autorisations
Le tableau suivant répertorie les opérations GIA qui sont propres à Oracle Blockchain Platform. Vous pouvez écrire une politique GIA incluant ces opérations ou vous pouvez écrire une politique utilisant un verbe défini qui encapsule ces opérations.
| ID opération | Autorisations requises pour utiliser l'opération | Opérations d'API |
|---|---|---|
| createBlockchainPlatform | BLOCKCHAIN_PLATFORM_CREATE | CreateBlockchainPlatform |
| deleteBlockchainPlatform | BLOCKCHAIN_PLATFORM_DELETE | DeleteBlockchainPlatform |
| getAllPlatformsInCompartment | BLOCKCHAIN_PLATFORM_INSPECT | GetBlockchainPlatforms |
| getBlockchainPlatformInformation | BLOCKCHAIN_PLATFORM_READ | GetBlockchainPlatformInformation |
| getWorkRequest | BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ | GetWorkRequest |
| getWorkRequestErrors | BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ | ListWorkRequestErrors |
| getWorkRequestLogs | BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ | ListWorkRequestLogs |
| listWorkRequest | BLOCKCHAIN_PLATFORM_WORK_REQUEST_INSPECT | ListWorkRequests |
| restartBlockchainPlatform | BLOCKCHAIN_PLATFORM_UPDATE | RestartBlockchainPlatform |
| startBlockchainPlatform | BLOCKCHAIN_PLATFORM_UPDATE | StartBlockchainPlatform |
| stopBlockchainPlatform | BLOCKCHAIN_PLATFORM_UPDATE | StopBlockchainPlatform |
| updateBlockchainPlatform | BLOCKCHAIN_PLATFORM_UPDATE | UpdateBlockchainPlatform |
Informations détaillées sur les combinaisons de verbe et de type de ressource
Oracle Cloud Infrastructure offre un jeu de verbes standard permettant de définir des autorisations pour les ressources Oracle Cloud Infrastructure (Inspect, Read, Use, Manage). Les tableaux suivants répertorient les autorisations Oracle Blockchain Platform associées à chaque verbe. Le niveau d'accès est cumulatif, de Inspect à Read, Use et enfin Manage.
INSPECT
| Type de ressource | Autorisation INSPECT |
|---|---|
|
|
|
|
READ
| Type de ressource | Autorisation READ |
|---|---|
|
|
|
|
USE
| Type de ressource | Autorisation USE |
|---|---|
|
|
|
|
MANAGE
| Type de ressource | Autorisation MANAGE |
|---|---|
|
|
|
|
Attributs propres aux opérations
Les valeurs de ces variables sont fournies par Oracle Blockchain Platform. En outre, d'autres variables générales sont prises en charge. Voir Variables générales pour toutes les demandes.
Pour un type de ressource donné, vous devez avoir le même jeu d'attributs pour toutes les opérations (get, list, delete, etc.). Toutefois, cela ne s'applique pas à l'opération create, pour laquelle vous ne disposez pas encore de l'ID de l'objet à créer. Par conséquent, aucun attribut target.RESOURCE-KIND.id ne peut être associé à create.
| Type de ressource | Le nom | Type | Source |
|---|---|---|---|
| blockchain-platforms | |||
| blockchain-platform-work-requests |