4 Configuration d'utilisateurs, de rôles d'accès et de droits d'accès
Après avoir configuré un service avec Oracle Blockchain Platform, l'une des premières tâches à effectuer est d'ajouter des comptes utilisateur dans Oracle Identity Cloud Service (IDCS) ou dans votre domaine d'identité Identity and Access Management (IAM) pour toutes les personnes qui, selon vous, utiliseront le service et de leur affecter les droits d'accès appropriés dans le service.
Si vous êtes un client existant ou un nouveau client dont la région ne prend pas encore en charge les domaines d'identité IAM, IDCS est disponible avec votre compte Oracle Blockchain Platform. Avec IDCS, ajoutez des utilisateurs et des groupes, puis affectez-leur des rôles pour contrôler leur utilisation d'Oracle Blockchain Platform. Reportez-vous à Gestion des utilisateurs Oracle Identity Cloud Service et à Gestion des groupes Oracle Identity Cloud Service.
Si vous êtes un nouveau client et que votre région OCI a été migrée pour utiliser des domaines d'identité IAM, un domaine par défaut est créé avec votre instance. Vous pouvez l'utiliser pour ajouter des utilisateurs et des groupes, puis pour leur affecter des rôles afin de contrôler leur utilisation d'Oracle Blockchain Platform. Reportez-vous à Gestion des utilisateurs et à Gestion des groupes.
Utilisation d'Oracle Identity Cloud Service pour l'authentification
Oracle Blockchain Platform utilise Oracle Identity Cloud Service pour la gestion des identités et l'authentification.
Oracle Identity Cloud Service fournit aux administrateurs Oracle Cloud une plate-forme de sécurité centrale pour gérer les relations que les utilisateurs ont avec les applications, y compris avec d'autres services Oracle Cloud comme Oracle Blockchain Platform. Avec Oracle Identity Cloud Service, vous pouvez créer des notifications par courriel et des stratégies de mot de passe personnalisées, intégrer de nouveaux utilisateurs, affecter des utilisateurs et des groupes à des applications, et exécuter des rapports de sécurité. Reportez-vous aux rubriques suivantes dans Administration d'Oracle Identity Cloud Service :
Chaque instance de service Oracle Cloud de votre compte est associée à une application de sécurité Oracle Identity Cloud Service. Chaque application de sécurité définit des rôles d'application. Affectez des utilisateurs et des groupes à ces rôles d'application afin de leur accorder un accès administrateur à un service. Reportez-vous aux rubriques suivantes dans Administration d'Oracle Identity Cloud Service :
Connexion à Oracle Identity Cloud Service dans la console Oracle Cloud Infrastructure
Les locations Oracle Blockchain Platform sont automatiquement fédérées avec Oracle Identity Cloud Service et configurées pour provisionner les utilisateurs fédérés dans Oracle Cloud Infrastructure.
Vous gérez les utilisateurs et les groupes via Oracle Identity Cloud Service comme décrit dans Gestion des utilisateurs et des groupes Oracle Identity Cloud Service dans la console Oracle Cloud Infrastructure.
Remarques :
Dans les versions antérieures d'Oracle Identity Cloud Service, les applications Blockchain Platform se trouvaient dans le volet de navigation sous Applications. Maintenant qu'Oracle Identity Cloud Service a été intégré à Oracle Cloud Infrastructure, il n'a plus d'URL distincte. Les applications Blockchain Platform se trouvent désormais sous Oracle Cloud Services dans le volet de navigation, sous Identité et sécurité, puis sous Domaines.- Dans Oracle Cloud Infrastructure, accédez à Identité et sécurité et sélectionnez Domaines. Créez les utilisateurs nécessaires.
- Créez un ou plusieurs groupes et affectez des utilisateurs aux groupes appropriés, le cas échéant.
- Définissez les stratégies requises pour contrôler l'accès.
- Accordez aux utilisateurs dans les groupes Oracle Cloud Infrastructure les droits d'accès appropriés pour accéder à des compartiments spécifiques et à des instances Oracle Blockchain Platform.
Ajout d'utilisateurs Oracle Identity Cloud Service
Afin d'accéder à une instance Oracle Blockchain Platform qui utilise Oracle Identity Cloud Service pour l'authentification, les utilisateurs Oracle Blockchain Platform doivent d'abord disposer d'informations d'identification Oracle Identity Cloud Service valides. Les administrateurs gèrent le provisionnement des utilisateurs dans Oracle Identity Cloud Service et se chargent d'en ajouter.
Utiliser des domaines d'identité Identity and Access Management pour l'authentification
Si votre instance utilise des domaines d'identité pour la gestion des identités, utilisez la console Oracle Cloud Infrastructure afin de configurer et de gérer les comptes utilisateur pour toutes les personnes qui, selon vous, utiliseront Oracle Blockchain Platform. Après avoir configuré les utilisateurs et les groupes, affectez-leur des droits d'accès appropriés (également appelés rôles d'application).
Pour déterminer si votre compte cloud propose des domaines d'identité, accédez à Identité et sécurité dans la console Oracle Cloud Infrastructure. Sous Identité, recherchez Domaines.
Afin d'accéder à une instance Oracle Blockchain Platform qui utilise des domaines d'identité pour l'authentification, les utilisateurs Oracle Blockchain Platform doivent d'abord disposer d'informations d'identification de domaine valides. Les administrateurs de domaine d'identité gèrent le provisionnement des utilisateurs dans le domaine et se chargent d'en ajouter.
- Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Domaines.
- Sélectionnez le domaine d'identité dans lequel vous souhaitez travailler, puis cliquez sur Utilisateurs.
- Cliquez sur Créer un utilisateur. Entrez les informations utilisateur.
Affectation de rôles pour les API REST et le réseau Oracle Blockchain Platform
Cette présentation décrit les rôles pertinents pour les utilisateurs réseau, les administrateurs et les utilisateurs d'API REST de console Oracle Blockchain Platform. Toute personne qui utilise ou administre Oracle Blockchain Platform doit être ajoutée dans Oracle Identity Cloud Service ou Identity and Access Management et disposer du rôle utilisateur approprié.
Association de rôles à des utilisateurs
Si vous utilisez IDCS, vous devez ajouter les rôles appropriés pour chaque utilisateur dans IDCS. Pour plus d'informations sur l'ajout ou la gestion d'un rôle utilisateur dans IDCS, reportez-vous à Gestion des rôles Oracle Identity Cloud Service pour les utilisateurs.
- Ouvrez le menu de navigation et cliquez sur Identité, sécurité, puis sur Domaines.
- Sélectionnez le domaine d'identité dans lequel vous souhaitez travailler, puis Oracle Cloud Services et choisissez votre service dans la liste.
- Sous Ressources, sélectionnez Rôles d'application.
- Sélectionnez le rôle à affecter à un utilisateur, cliquez sur l'icône Plus à droite du rôle, puis sélectionnez Affecter des utilisateurs.
Rôles nécessaires à l'utilisation ou à l'administration du réseau ou des API REST
Vous trouverez ci-dessous les rôles disponibles pour Oracle Blockchain Platform.
| Rôle Utilisateur | Accordé automatiquement au créateur de l'instance ? | Description |
|---|---|---|
| ADMIN | Oui |
Ce rôle est l'administrateur général de l'application cloud Oracle Blockchain Platform. Afin d'obtenir la liste complète des fonctionnalités de console disponibles pour ce rôle utilisateur, reportez-vous au tableau dans Liste de contrôle d'accès pour les fonctionnalités de console par rôle utilisateur. Pour utiliser les API REST réseau de chaîne de blocs administrative, ce rôle doit être associé à votre ID utilisateur. Les API REST d'administration Blockchain Platform (plan de contrôle) utilisent le mécanisme d'authentification d'OCI, comme décrit ici : Documentation Oracle Cloud Infrastructure : API REST. Le rôle ADMIN décrit dans ce tableau ne s'applique qu'aux appels d'API REST d'administration réseau, d'opérations d'application et de statistiques. |
| UTILISATEUR | Afin d'obtenir la liste complète des fonctionnalités de console disponibles pour ce rôle utilisateur, reportez-vous au tableau dans Liste de contrôle d'accès pour les fonctionnalités de console par rôle utilisateur. | |
| CA_USER | Oui | Ce rôle utilisateur est affecté aux participants Oracle Blockchain Platform afin de leur permettre d'appeler des API d'autorité de certification. |
| REST_CLIENT | Oui |
Ce rôle permet à l'utilisateur d'appeler toutes les adresses de proxy REST disponibles sur le noeud de proxy REST avec le même numéro. Les API REST d'administration Blockchain Platform (plan de contrôle) utilisent le mécanisme d'authentification d'OCI, comme décrit ici : Documentation Oracle Cloud Infrastructure : API REST. Le rôle REST_CLIENT décrit dans ce tableau ne s'applique qu'aux appels d'API REST d'administration réseau, d'opérations d'application et de statistiques. |
Liste de contrôle d'accès pour les fonctionnalités de console par rôle utilisateur
Le tableau suivant répertorie les fonctionnalités de console accessibles aux rôles ADMIN et USER.
| Fonctionnalité | ADMIN | USER |
|---|---|---|
|
Dashboard |
Oui |
Oui |
|
Réseau : répertorier les organisations |
Oui |
Oui |
|
Réseau : ajouter des organisations |
Oui |
No |
|
Réseau : paramètre de service de tri |
Oui |
No |
|
Réseau : exporter des certificats |
Oui |
No |
|
Réseau : exporter des paramètres de noeud de tri |
Oui |
No |
|
Réseau : ajouter un noeud de service de tri |
Oui |
No |
|
Réseau : exporter un bloc de configuration réseau |
Oui |
No |
|
Noeud : répertorier |
Oui |
Oui |
|
Noeud : démarrer/arrêter/redémarrer |
Oui |
No |
|
Noeud : ajouter/supprimer |
Oui |
No |
|
Noeud : afficher les attributs |
Oui |
Oui |
|
Noeud : modifier les attributs |
Oui |
No |
|
Noeud : afficher les mesures |
Oui |
Oui |
|
Noeud : afficher les journaux |
Oui |
Oui |
|
Noeud : exporter/importer des homologues |
Oui |
No |
|
Noeud : afficher le placement de machine virtuelle |
Oui |
Oui |
|
Noeud homologue : répertorier les canaux |
Oui |
Oui |
|
Noeud homologue : rejoindre un canal |
Oui |
No |
|
Noeud homologue : répertorier le code de chaîne |
Oui |
Oui |
|
Noeud de tri : exporter les paramètres de noeud de service de tri |
Oui |
No |
|
Noeud de tri : importer le bloc de configuration réseau |
Oui |
No |
|
Canal : répertorier |
Oui |
Oui |
|
Canal : créer |
Oui |
No |
|
Canal : ajouter une organisation au canal |
Oui |
No |
|
Canal : mettre à jour les paramètres du service de tri |
Oui |
No |
|
Canal : afficher/interroger le registre |
Oui |
Oui |
|
Canal : répertorier le code de chaîne instancié |
Oui |
Oui |
|
Canal : répertorier les homologues joints |
Oui |
Oui |
|
Canal : définir un homologue d'ancrage |
Oui |
No |
|
Canal : mettre à niveau le code de chaîne |
Oui |
No |
|
Canal : gérer l'administrateur de noeud de service de tri |
Oui |
No |
|
Canal : joindre des noeuds de tri au canal |
Oui |
No |
| Canal : enlever des noeuds de tri du canal |
Oui |
No |
|
Code de chaîne : répertorier |
Oui |
Oui |
|
Code de chaîne : installer |
Oui |
No |
|
Code de chaîne : instancier |
Oui |
No |
|
Exemple de code de chaîne : installer |
Oui |
No |
|
Exemple de code de chaîne : instancier |
Oui |
No |
|
Exemple de code de chaîne : appeler |
Oui |
Oui |
|
CRL |
Oui |
No |
Utilisation des droits d'accès et des stratégies pour administrer Oracle Blockchain Platform
Chaque service d'Oracle Cloud Infrastructure s'intègre à Identity and Access Management (IAM) pour l'authentification et l'autorisation, sur toutes les interfaces (console, kit SDK ou interface de ligne de commande, et API REST). Utilisez des stratégies d'autorisation IAM pour contrôler l'accès aux ressources dans votre location. Par exemple, vous pouvez créer une stratégie autorisant les utilisateurs à créer et à gérer des instances Oracle Blockchain Platform.
Pour créer des stratégies, utilisez la console Oracle Cloud Infrastructure. Pour plus d'informations sur les stratégies IAM, reportez-vous à Présentation d'Oracle Cloud Infrastructure Identity and Access Management dans la documentation Oracle Cloud Infrastructure. Pour en savoir plus sur l'écriture de stratégies, reportez-vous à Syntaxe de stratégie et à Référence de stratégie.
Types de ressource pour Oracle Blockchain Platform
| Type de ressource | Autorisations d'accès | Description |
|---|---|---|
|
blockchain-platforms |
|
Instances Oracle Blockchain Platform. |
|
blockchain-platform-work-requests |
|
Demande de travail unique pour Oracle Blockchain Platform.
Chaque opération que vous effectuez sur une instance Oracle Blockchain Platform crée une demande de travail. Par exemple, les opérations de création, de démarrage, d'arrêt, etc. |
Correspondances opération/droit d'accès
Le tableau suivant répertorie les opérations IAM propres à Oracle Blockchain Platform. Vous pouvez écrire une stratégie IAM qui inclut ces opérations ou écrire une stratégie utilisant un verbe défini qui encapsule ces opérations.
| ID d'opération | Droits d'accès requis pour utiliser l'opération | Opération d'API |
|---|---|---|
| createBlockchainPlatform | BLOCKCHAIN_PLATFORM_CREATE | CreateBlockchainPlatform |
| deleteBlockchainPlatform | BLOCKCHAIN_PLATFORM_DELETE | DeleteBlockchainPlatform |
| getAllPlatformsInCompartment | BLOCKCHAIN_PLATFORM_INSPECT | GetBlockchainPlatforms |
| getBlockchainPlatformInformation | BLOCKCHAIN_PLATFORM_READ | GetBlockchainPlatformInformation |
| getWorkRequest | BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ | GetWorkRequest |
| getWorkRequestErrors | BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ | ListWorkRequestErrors |
| getWorkRequestLogs | BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ | ListWorkRequestLogs |
| listWorkRequests | BLOCKCHAIN_PLATFORM_WORK_REQUEST_INSPECT | ListWorkRequests |
| restartBlockchainPlatform | BLOCKCHAIN_PLATFORM_UPDATE | RestartBlockchainPlatform |
| startBlockchainPlatform | BLOCKCHAIN_PLATFORM_UPDATE | StartBlockchainPlatform |
| stopBlockchainPlatform | BLOCKCHAIN_PLATFORM_UPDATE | StopBlockchainPlatform |
| updateBlockchainPlatform | BLOCKCHAIN_PLATFORM_UPDATE | UpdateBlockchainPlatform |
Détails des combinaisons de verbe et de type de ressource
Oracle Cloud Infrastructure propose un ensemble standard de verbes pour définir les droits d'accès sur les ressources Oracle Cloud Infrastructure (Inspect, Read, Use, Manage). Ces tableaux répertorient les droits d'accès Oracle Blockchain Platform associés à chaque verbe. Le niveau d'accès est cumulatif à mesure que vous passez d'un verbe à l'autre, dans l'ordre suivant : Inspect, Read, Use, Manage.
INSPECT
| Type de ressource | Droit d'accès INSPECT |
|---|---|
|
|
|
|
READ
| Type de ressource | Droit d'accès READ |
|---|---|
|
|
|
|
USE
| Type de ressource | Droit d'accès USE |
|---|---|
|
|
|
|
MANAGE
| Type de ressource | Droit d'accès MANAGE |
|---|---|
|
|
|
|
Attributs propres à une opération
Les valeurs de ces variables sont fournies par Oracle Blockchain Platform. En outre, d'autres variables générales sont prises en charge. Reportez-vous à Variables générales pour toutes les demandes.
Pour un type de ressource donné, vous devez disposer du même ensemble d'attributs pour toutes les opérations (get, list, delete, etc.). La seule exception concerne l'opération create. Comme vous n'aurez pas encore l'ID de cet objet, vous ne pourrez pas avoir d'attribut target.RESOURCE-KIND.id pour l'opération create.
| Type de ressource | Nom | Type | Source |
|---|---|---|---|
| blockchain-platforms | |||
| blockchain-platform-work-requests |