4 Configuration d'utilisateurs, de rôles d'accès et de droits d'accès

Après avoir configuré un service avec Oracle Blockchain Platform, l'une des premières tâches à effectuer est d'ajouter des comptes utilisateur dans Oracle Identity Cloud Service (IDCS) ou dans votre domaine d'identité Identity and Access Management (IAM) pour toutes les personnes qui, selon vous, utiliseront le service et de leur affecter les droits d'accès appropriés dans le service.

Si vous êtes un client existant ou un nouveau client dont la région ne prend pas encore en charge les domaines d'identité IAM, IDCS est disponible avec votre compte Oracle Blockchain Platform. Avec IDCS, ajoutez des utilisateurs et des groupes, puis affectez-leur des rôles pour contrôler leur utilisation d'Oracle Blockchain Platform. Reportez-vous à Gestion des utilisateurs Oracle Identity Cloud Service et à Gestion des groupes Oracle Identity Cloud Service.

Si vous êtes un nouveau client et que votre région OCI a été migrée pour utiliser des domaines d'identité IAM, un domaine par défaut est créé avec votre instance. Vous pouvez l'utiliser pour ajouter des utilisateurs et des groupes, puis pour leur affecter des rôles afin de contrôler leur utilisation d'Oracle Blockchain Platform. Reportez-vous à Gestion des utilisateurs et à Gestion des groupes.

Utilisation d'Oracle Identity Cloud Service pour l'authentification

Oracle Blockchain Platform utilise Oracle Identity Cloud Service pour la gestion des identités et l'authentification.

Oracle Identity Cloud Service fournit aux administrateurs Oracle Cloud une plate-forme de sécurité centrale pour gérer les relations que les utilisateurs ont avec les applications, y compris avec d'autres services Oracle Cloud comme Oracle Blockchain Platform. Avec Oracle Identity Cloud Service, vous pouvez créer des notifications par courriel et des stratégies de mot de passe personnalisées, intégrer de nouveaux utilisateurs, affecter des utilisateurs et des groupes à des applications, et exécuter des rapports de sécurité. Reportez-vous aux rubriques suivantes dans Administration d'Oracle Identity Cloud Service :

Chaque instance de service Oracle Cloud de votre compte est associée à une application de sécurité Oracle Identity Cloud Service. Chaque application de sécurité définit des rôles d'application. Affectez des utilisateurs et des groupes à ces rôles d'application afin de leur accorder un accès administrateur à un service. Reportez-vous aux rubriques suivantes dans Administration d'Oracle Identity Cloud Service :

Connexion à Oracle Identity Cloud Service dans la console Oracle Cloud Infrastructure

Les locations Oracle Blockchain Platform sont automatiquement fédérées avec Oracle Identity Cloud Service et configurées pour provisionner les utilisateurs fédérés dans Oracle Cloud Infrastructure.

Vous gérez les utilisateurs et les groupes via Oracle Identity Cloud Service comme décrit dans Gestion des utilisateurs et des groupes Oracle Identity Cloud Service dans la console Oracle Cloud Infrastructure.

Remarques :

Dans les versions antérieures d'Oracle Identity Cloud Service, les applications Blockchain Platform se trouvaient dans le volet de navigation sous Applications. Maintenant qu'Oracle Identity Cloud Service a été intégré à Oracle Cloud Infrastructure, il n'a plus d'URL distincte. Les applications Blockchain Platform se trouvent désormais sous Oracle Cloud Services dans le volet de navigation, sous Identité et sécurité, puis sous Domaines.
Présentation du processus de création d'utilisateurs et d'autorisations :
  1. Dans Oracle Cloud Infrastructure, accédez à Identité et sécurité et sélectionnez Domaines. Créez les utilisateurs nécessaires.
  2. Créez un ou plusieurs groupes et affectez des utilisateurs aux groupes appropriés, le cas échéant.
  3. Définissez les stratégies requises pour contrôler l'accès.
  4. Accordez aux utilisateurs dans les groupes Oracle Cloud Infrastructure les droits d'accès appropriés pour accéder à des compartiments spécifiques et à des instances Oracle Blockchain Platform.

Ajout d'utilisateurs Oracle Identity Cloud Service

Afin d'accéder à une instance Oracle Blockchain Platform qui utilise Oracle Identity Cloud Service pour l'authentification, les utilisateurs Oracle Blockchain Platform doivent d'abord disposer d'informations d'identification Oracle Identity Cloud Service valides. Les administrateurs gèrent le provisionnement des utilisateurs dans Oracle Identity Cloud Service et se chargent d'en ajouter.

Pour ajouter des utilisateurs et leur donner accès à Oracle Blockchain Platform, procédez comme suit :
  1. Ouvrez l'application de sécurité associée à l'instance Oracle Blockchain Platform dans Oracle Identity Cloud Service.
  2. Cliquez sur l'onglet Utilisateurs d'Identity Cloud Service en haut de la page (et non sur l'onglet Utilisateurs pour l'instance Oracle Blockchain Platform).
  3. Cliquez sur Ajouter, fournissez les détails de l'utilisateur, puis cliquez sur Terminer.

    La page Détails de l'utilisateur s'affiche. Un courriel contenant les informations de connexion sera envoyé à l'utilisateur.

Utiliser des domaines d'identité Identity and Access Management pour l'authentification

Si votre instance utilise des domaines d'identité pour la gestion des identités, utilisez la console Oracle Cloud Infrastructure afin de configurer et de gérer les comptes utilisateur pour toutes les personnes qui, selon vous, utiliseront Oracle Blockchain Platform. Après avoir configuré les utilisateurs et les groupes, affectez-leur des droits d'accès appropriés (également appelés rôles d'application).

Pour déterminer si votre compte cloud propose des domaines d'identité, accédez à Identité et sécurité dans la console Oracle Cloud Infrastructure. Sous Identité, recherchez Domaines.

Afin d'accéder à une instance Oracle Blockchain Platform qui utilise des domaines d'identité pour l'authentification, les utilisateurs Oracle Blockchain Platform doivent d'abord disposer d'informations d'identification de domaine valides. Les administrateurs de domaine d'identité gèrent le provisionnement des utilisateurs dans le domaine et se chargent d'en ajouter.

Pour ajouter des utilisateurs et leur donner accès à Oracle Blockchain Platform, procédez comme suit :
  1. Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Domaines.
  2. Sélectionnez le domaine d'identité dans lequel vous souhaitez travailler, puis cliquez sur Utilisateurs.
  3. Cliquez sur Créer un utilisateur. Entrez les informations utilisateur.
Pour plus de détails, reportez-vous aux rubriques suivantes dans la documentation Oracle Cloud Infrastructure :

Affectation de rôles pour les API REST et le réseau Oracle Blockchain Platform

Cette présentation décrit les rôles pertinents pour les utilisateurs réseau, les administrateurs et les utilisateurs d'API REST de console Oracle Blockchain Platform. Toute personne qui utilise ou administre Oracle Blockchain Platform doit être ajoutée dans Oracle Identity Cloud Service ou Identity and Access Management et disposer du rôle utilisateur approprié.

Association de rôles à des utilisateurs

Si vous utilisez IDCS, vous devez ajouter les rôles appropriés pour chaque utilisateur dans IDCS. Pour plus d'informations sur l'ajout ou la gestion d'un rôle utilisateur dans IDCS, reportez-vous à Gestion des rôles Oracle Identity Cloud Service pour les utilisateurs.

Si vous utilisez IAM avec des domaines d'identité, vous devez ajouter les rôles appropriés pour chaque utilisateur du domaine.
  1. Ouvrez le menu de navigation et cliquez sur Identité, sécurité, puis sur Domaines.
  2. Sélectionnez le domaine d'identité dans lequel vous souhaitez travailler, puis Oracle Cloud Services et choisissez votre service dans la liste.
  3. Sous Ressources, sélectionnez Rôles d'application.
  4. Sélectionnez le rôle à affecter à un utilisateur, cliquez sur l'icône Plus à droite du rôle, puis sélectionnez Affecter des utilisateurs.

Rôles nécessaires à l'utilisation ou à l'administration du réseau ou des API REST

Vous trouverez ci-dessous les rôles disponibles pour Oracle Blockchain Platform.

Rôle Utilisateur Accordé automatiquement au créateur de l'instance ? Description
ADMIN Oui

Ce rôle est l'administrateur général de l'application cloud Oracle Blockchain Platform.

Afin d'obtenir la liste complète des fonctionnalités de console disponibles pour ce rôle utilisateur, reportez-vous au tableau dans Liste de contrôle d'accès pour les fonctionnalités de console par rôle utilisateur.

Pour utiliser les API REST réseau de chaîne de blocs administrative, ce rôle doit être associé à votre ID utilisateur.

Les API REST d'administration Blockchain Platform (plan de contrôle) utilisent le mécanisme d'authentification d'OCI, comme décrit ici : Documentation Oracle Cloud Infrastructure : API REST. Le rôle ADMIN décrit dans ce tableau ne s'applique qu'aux appels d'API REST d'administration réseau, d'opérations d'application et de statistiques.

UTILISATEUR   Afin d'obtenir la liste complète des fonctionnalités de console disponibles pour ce rôle utilisateur, reportez-vous au tableau dans Liste de contrôle d'accès pour les fonctionnalités de console par rôle utilisateur.
CA_USER Oui Ce rôle utilisateur est affecté aux participants Oracle Blockchain Platform afin de leur permettre d'appeler des API d'autorité de certification.
REST_CLIENT Oui

Ce rôle permet à l'utilisateur d'appeler toutes les adresses de proxy REST disponibles sur le noeud de proxy REST avec le même numéro.

Les API REST d'administration Blockchain Platform (plan de contrôle) utilisent le mécanisme d'authentification d'OCI, comme décrit ici : Documentation Oracle Cloud Infrastructure : API REST. Le rôle REST_CLIENT décrit dans ce tableau ne s'applique qu'aux appels d'API REST d'administration réseau, d'opérations d'application et de statistiques.

Liste de contrôle d'accès pour les fonctionnalités de console par rôle utilisateur

Le tableau suivant répertorie les fonctionnalités de console accessibles aux rôles ADMIN et USER.

Fonctionnalité ADMIN USER

Dashboard

Oui

Oui

Réseau : répertorier les organisations

Oui

Oui

Réseau : ajouter des organisations

Oui

No

Réseau : paramètre de service de tri

Oui

No

Réseau : exporter des certificats

Oui

No

Réseau : exporter des paramètres de noeud de tri

Oui

No

Réseau : ajouter un noeud de service de tri

Oui

No

Réseau : exporter un bloc de configuration réseau

Oui

No

Noeud : répertorier

Oui

Oui

Noeud : démarrer/arrêter/redémarrer

Oui

No

Noeud : ajouter/supprimer

Oui

No

Noeud : afficher les attributs

Oui

Oui

Noeud : modifier les attributs

Oui

No

Noeud : afficher les mesures

Oui

Oui

Noeud : afficher les journaux

Oui

Oui

Noeud : exporter/importer des homologues

Oui

No

Noeud : afficher le placement de machine virtuelle

Oui

Oui

Noeud homologue : répertorier les canaux

Oui

Oui

Noeud homologue : rejoindre un canal

Oui

No

Noeud homologue : répertorier le code de chaîne

Oui

Oui

Noeud de tri : exporter les paramètres de noeud de service de tri

Oui

No

Noeud de tri : importer le bloc de configuration réseau

Oui

No

Canal : répertorier

Oui

Oui

Canal : créer

Oui

No

Canal : ajouter une organisation au canal

Oui

No

Canal : mettre à jour les paramètres du service de tri

Oui

No

Canal : afficher/interroger le registre

Oui

Oui

Canal : répertorier le code de chaîne instancié

Oui

Oui

Canal : répertorier les homologues joints

Oui

Oui

Canal : définir un homologue d'ancrage

Oui

No

Canal : mettre à niveau le code de chaîne

Oui

No

Canal : gérer l'administrateur de noeud de service de tri

Oui

No

Canal : joindre des noeuds de tri au canal

Oui

No

Canal : enlever des noeuds de tri du canal

Oui

No

Code de chaîne : répertorier

Oui

Oui

Code de chaîne : installer

Oui

No

Code de chaîne : instancier

Oui

No

Exemple de code de chaîne : installer

Oui

No

Exemple de code de chaîne : instancier

Oui

No

Exemple de code de chaîne : appeler

Oui

Oui

CRL

Oui

No

Utilisation des droits d'accès et des stratégies pour administrer Oracle Blockchain Platform

Chaque service d'Oracle Cloud Infrastructure s'intègre à Identity and Access Management (IAM) pour l'authentification et l'autorisation, sur toutes les interfaces (console, kit SDK ou interface de ligne de commande, et API REST). Utilisez des stratégies d'autorisation IAM pour contrôler l'accès aux ressources dans votre location. Par exemple, vous pouvez créer une stratégie autorisant les utilisateurs à créer et à gérer des instances Oracle Blockchain Platform.

Pour créer des stratégies, utilisez la console Oracle Cloud Infrastructure. Pour plus d'informations sur les stratégies IAM, reportez-vous à Présentation d'Oracle Cloud Infrastructure Identity and Access Management dans la documentation Oracle Cloud Infrastructure. Pour en savoir plus sur l'écriture de stratégies, reportez-vous à Syntaxe de stratégie et à Référence de stratégie.

Types de ressource pour Oracle Blockchain Platform

Type de ressource Autorisations d'accès Description

blockchain-platforms

  • BLOCKCHAIN_PLATFORM_CREATE
  • BLOCKCHAIN_PLATFORM_UPDATE
  • BLOCKCHAIN_PLATFORM_INSPECT
  • BLOCKCHAIN_PLATFORM_READ
  • BLOCKCHAIN_PLATFORM_DELETE
Instances Oracle Blockchain Platform.

blockchain-platform-work-requests

  • BLOCKCHAIN_PLATFORM_WORK_REQUEST_INSPECT
  • BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ
  • BLOCKCHAIN_PLATFORM_WORK_REQUEST_DELETE
Demande de travail unique pour Oracle Blockchain Platform.

Chaque opération que vous effectuez sur une instance Oracle Blockchain Platform crée une demande de travail. Par exemple, les opérations de création, de démarrage, d'arrêt, etc.

Correspondances opération/droit d'accès

Le tableau suivant répertorie les opérations IAM propres à Oracle Blockchain Platform. Vous pouvez écrire une stratégie IAM qui inclut ces opérations ou écrire une stratégie utilisant un verbe défini qui encapsule ces opérations.

ID d'opération Droits d'accès requis pour utiliser l'opération Opération d'API
createBlockchainPlatform BLOCKCHAIN_PLATFORM_CREATE CreateBlockchainPlatform
deleteBlockchainPlatform BLOCKCHAIN_PLATFORM_DELETE DeleteBlockchainPlatform
getAllPlatformsInCompartment BLOCKCHAIN_PLATFORM_INSPECT GetBlockchainPlatforms
getBlockchainPlatformInformation BLOCKCHAIN_PLATFORM_READ GetBlockchainPlatformInformation
getWorkRequest BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ GetWorkRequest
getWorkRequestErrors BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ ListWorkRequestErrors
getWorkRequestLogs BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ ListWorkRequestLogs
listWorkRequests BLOCKCHAIN_PLATFORM_WORK_REQUEST_INSPECT ListWorkRequests
restartBlockchainPlatform BLOCKCHAIN_PLATFORM_UPDATE RestartBlockchainPlatform
startBlockchainPlatform BLOCKCHAIN_PLATFORM_UPDATE StartBlockchainPlatform
stopBlockchainPlatform BLOCKCHAIN_PLATFORM_UPDATE StopBlockchainPlatform
updateBlockchainPlatform BLOCKCHAIN_PLATFORM_UPDATE UpdateBlockchainPlatform

Détails des combinaisons de verbe et de type de ressource

Oracle Cloud Infrastructure propose un ensemble standard de verbes pour définir les droits d'accès sur les ressources Oracle Cloud Infrastructure (Inspect, Read, Use, Manage). Ces tableaux répertorient les droits d'accès Oracle Blockchain Platform associés à chaque verbe. Le niveau d'accès est cumulatif à mesure que vous passez d'un verbe à l'autre, dans l'ordre suivant : Inspect, Read, Use, Manage.

INSPECT

Type de ressource Droit d'accès INSPECT
  • blockchain-platforms
  • BLOCKCHAIN_PLATFORM_INSPECT
  • blockchain-platform-work-requests
  • BLOCKCHAIN_PLATFORM_WORK_REQUEST_INSPECT

READ

Type de ressource Droit d'accès READ
  • blockchain-platforms
  • BLOCKCHAIN_PLATFORM_INSPECT
  • BLOCKCHAIN_PLATFORM_READ
  • blockchain-platform-work-requests
  • BLOCKCHAIN_PLATFORM_WORK_REQUEST_INSPECT
  • BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ

USE

Type de ressource Droit d'accès USE
  • blockchain-platforms
  • BLOCKCHAIN_PLATFORM_READ
  • BLOCKCHAIN_PLATFORM_UPDATE
  • blockchain-platform-work-requests
  • BLOCKCHAIN_PLATFORM_WORK_REQUEST_INSPECT
  • BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ

MANAGE

Type de ressource Droit d'accès MANAGE
  • blockchain-platforms
  • BLOCKCHAIN_PLATFORM_READ
  • BLOCKCHAIN_PLATFORM_UPDATE
  • BLOCKCHAIN_PLATFORM_CREATE
  • BLOCKCHAIN_PLATFORM_DELETE
  • blockchain-platform-instance-work-requests
  • BLOCKCHAIN_PLATFORM_WORK_REQUEST_INSPECT
  • BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ
  • BLOCKCHAIN_PLATFORM_WORK_REQUEST_DELETE

Attributs propres à une opération

Les valeurs de ces variables sont fournies par Oracle Blockchain Platform. En outre, d'autres variables générales sont prises en charge. Reportez-vous à Variables générales pour toutes les demandes.

Pour un type de ressource donné, vous devez disposer du même ensemble d'attributs pour toutes les opérations (get, list, delete, etc.). La seule exception concerne l'opération create. Comme vous n'aurez pas encore l'ID de cet objet, vous ne pourrez pas avoir d'attribut target.RESOURCE-KIND.id pour l'opération create.

Type de ressource Nom Type Source
blockchain-platforms      
blockchain-platform-work-requests