4 Gestion des utilisateurs
Blockchain Platform Manager utilise un serveur OpenLDAP intégré pour la gestion initiale des identités et des accès (IAM) lors de l'installation. Ce serveur OpenLDAP gère les données d'identification des utilisateurs et applique le contrôle d'accès basé sur les rôles (RBAC) à l'aide de groupes préconfigurés. Toutes les informations sur l'utilisateur, telles que les données d'identification et l'appartenance à un groupe, sont stockées sur ce serveur OpenLDAP.
En plus de l'authentification basée sur LDAP, Blockchain Platform Manager prend en charge l'intégration avec des systèmes de gestion des identités externes (IdMs) via OpenID Connect (OIDC). Cela permet d'utiliser des protocoles d'authentification standard pour améliorer l'interopérabilité.
Gestion de la configuration LDAP
Blockchain Platform Manager fournit une page de configuration dédiée à la gestion des serveurs LDAP. Les actions suivantes sont prises en charge :
- Ajouter nouveau : Configurez un serveur LDAP externe pour Blockchain Platform Manager, au lieu du serveur OpenLDAP intégré.
- Enregistrer : Enregistrez une configuration de serveur LDAP nouvelle ou mise à jour.
- Définir comme actif : Désignez une configuration LDAP existante comme active.
- Enregistrer et définir actif : Enregistrez les modifications et définissez immédiatement la configuration mise à jour comme active.
- Tester la configuration : Vérifiez la connectivité et l'accessibilité au serveur LDAP spécifié à partir de Blockchain Platform Manager.
Création et gestion de groupes
Pour chaque instance Blockchain Platform Manager créée, les groupes suivants sont provisionnés sur le serveur OpenLDAP :
| Rôle d'utilisateur | Nom du groupe LDAP | Description |
|---|---|---|
| Gestion de plate-forme | OBP_Blockchain Platform Manager<id>_CP_ADMIN |
Les utilisateurs de ce groupe peuvent provisionner une instance, configurer des instances existantes, définir la configuration LDAP et effectuer des opérations de cycle de vie sur les instances.
Un utilisateur doit être membre de ce groupe pour pouvoir se connecter à Blockchain Platform Manager ou créer une instance. |
| Administrateur de l'instance | BESU_ADMIN_<instance_uuid> |
Les utilisateurs de ce groupe peuvent gérer les instances à l'aide de l'interface utilisateur de la console. |
| Opérateur d'instance | BESU_OPERATOR_<instance_uuid> |
Les opérateurs sont des utilisateurs en lecture seule. Les opérateurs n'ont pas accès à la page Comptes de la console de service. |
| Client mandataire RPC | BESU_RPC_GW_<instance_uuid> |
Les utilisateurs proxy RPC sont généralement des applications client. |
Tous les utilisateurs provisionnés via Blockchain Platform Manager sont automatiquement ajoutés aux quatre groupes.
Émission de jetons et propagation de l'appartenance à un groupe
Lorsqu'une nouvelle instance est créée, Blockchain Platform Manager configure le serveur d'authentification pour permettre l'émission de jetons avec les réclamations requises, notamment l'identité de l'utilisateur et les informations pertinentes sur le client/la partie. Chaque jeton inclut des informations d'appartenance à un groupe, encapsulées dans une réclamation de données utiles. Les composants d'instance utilisent ces revendications pour autoriser ou bloquer l'accès externe aux pods de charge de travail.
Vous pouvez ajouter des utilisateurs directement au serveur OpenLDAP à l'aide des navigateurs OpenLDAP tels que jXplorer. Les administrateurs de Blockchain Platform Manager peuvent utiliser le nom d'utilisateur et le mot de passe de l'administrateur fournis lors de l'installation pour se connecter à openldap.<cp-name>.<cp-domain>:443 avec SSL activé. Une fois connectés, les administrateurs peuvent ensuite ajouter des utilisateurs et affecter ou modifier des groupes pour donner les niveaux d'accès appropriés.