4 Configuration d'utilisateurs, de rôles d'accès et de droits d'accès
Une des premières tâches à effectuer après la configuration d'un service avec Oracle Blockchain Platform est l'ajout de comptes utilisateur dans Oracle Identity Cloud Service (IDCS) ou dans votre domaine d'identité Identity and Access Management (IAM) pour toutes les personnes qui, selon vous, utiliseront le service et leur affecteront les droits d'accès appropriés dans le service.
Si vous êtes un client existant ou un nouveau client dont la région ne prend pas encore en charge les domaines d'identité IAM, IDCS est disponible avec votre compte Oracle Blockchain Platform. Utilisez IDCS pour ajouter des utilisateurs et des groupes, puis pour leur affecter des rôles afin de contrôler leur utilisation d'Oracle Blockchain Platform. Reportez-vous à Gestion des utilisateurs Oracle Identity Cloud Service et à Gestion des groupes Oracle Identity Cloud Service.
Si vous êtes un nouveau client et que votre région OCI a été migrée pour utiliser des domaines d'identité IAM, un domaine par défaut est créé avec votre instance. Vous pouvez l'utiliser pour ajouter des utilisateurs et des groupes, puis pour leur affecter des rôles afin de contrôler leur utilisation d'Oracle Blockchain Platform. Voir Managing Users et Managing Groups.
Utilisation d'Oracle Identity Cloud Service pour l'authentification
Oracle Blockchain Platform utilise Oracle Identity Cloud Service pour la gestion des identités et l'authentification.
Oracle Identity Cloud Service fournit aux administrateurs Oracle Cloud une plate-forme de sécurité centrale pour gérer les relations que les utilisateurs ont avec les applications, y compris avec d'autres services Oracle Cloud comme Oracle Blockchain Platform. Avec Oracle Identity Cloud Service, vous pouvez créer des notifications par courriel et des stratégies de mot de passe personnalisées, intégrer de nouveaux utilisateurs, affecter des utilisateurs et des groupes à des applications, et exécuter des rapports de sécurité. Reportez-vous aux rubriques suivantes dans Administration d'Oracle Identity Cloud Service :
Chaque instance de service Oracle Cloud de votre compte est associée à une application de sécurité Oracle Identity Cloud Service. Chaque application de sécurité définit des rôles d'application. Affectez des utilisateurs et des groupes à ces rôles d'application afin de leur accorder un accès administrateur à un service. Reportez-vous aux rubriques suivantes dans Administration d'Oracle Identity Cloud Service :
Connexion à Oracle Identity Cloud Service dans la console Oracle Cloud Infrastructure
Les locations Oracle Blockchain Platform sont automatiquement fédérées avec Oracle Identity Cloud Service et configurées pour provisionner les utilisateurs fédérés dans Oracle Cloud Infrastructure.
Vous gérez les utilisateurs et les groupes via Oracle Identity Cloud Service comme décrit dans Gestion des utilisateurs et des groupes Oracle Identity Cloud Service dans la console Oracle Cloud Infrastructure.
Remarque :
Dans les versions antérieures d'Oracle Identity Cloud Service, les applications Blockchain Platform se trouvaient dans le volet de navigation sous Applications. Elles se trouvent désormais dans le volet de navigation sous Oracle Cloud Services.Ajout d'utilisateurs Oracle Identity Cloud Service
Afin d'accéder à une instance Oracle Blockchain Platform qui utilise Oracle Identity Cloud Service pour l'authentification, les utilisateurs Oracle Blockchain Platform doivent d'abord disposer d'informations d'identification Oracle Identity Cloud Service valides. Les administrateurs gèrent le provisionnement des utilisateurs dans Oracle Identity Cloud Service et se chargent d'en ajouter.
Utilisation des domaines d'identité Identity and Access Management pour l'authentification
Si votre instance utilise des domaines d'identité pour la gestion des identités, utilisez la console Oracle Cloud Infrastructure afin de configurer et de gérer les comptes utilisateur pour toutes les personnes qui, selon vous, utiliseront Oracle Blockchain Platform. Après avoir configuré les utilisateurs et les groupes, vous leur affectez des droits d'accès appropriés (ou rôles d'application).
Pour déterminer si votre compte cloud propose ou non des domaines d'identité, dans la console Oracle Cloud Infrastructure, accédez à Identité et sécurité. Sous Identité, recherchez Domaines.
Afin d'accéder à une instance Oracle Blockchain Platform qui utilise des domaines d'identité pour l'authentification, les utilisateurs Oracle Blockchain Platform doivent d'abord avoir des informations d'identification de domaine valides. Les administrateurs de domaine d'identité gèrent le provisionnement des utilisateurs dans le domaine et effectuent la tâche d'ajout d'utilisateurs.
- Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Domaines.
- Sélectionnez le domaine d'identité dans lequel vous souhaitez travailler, puis cliquez sur Utilisateurs.
- Cliquez sur Créer un utilisateur. Saisissez les informations de l'utilisateur.
Affectation de rôles pour le réseau Oracle Blockchain Platform et les API REST
Cette présentation décrit les rôles pertinents pour les utilisateurs réseau, les administrateurs et les utilisateurs d'API REST Oracle Blockchain Platform. Toutes les personnes qui utilisent ou administrent Oracle Blockchain Platform doivent être ajoutées dans Oracle Identity Cloud Service ou Identity and Access Management et disposer du rôle utilisateur approprié.
Association de rôles aux utilisateurs
Si vous utilisez IDCS, vous devez ajouter les rôles appropriés pour chaque utilisateur dans IDCS. Pour plus d'informations sur l'ajout ou la gestion de rôles utilisateur dans IDCS, reportez-vous à Gestion des rôles Oracle Identity Cloud Service pour les utilisateurs.
- Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Domaines.
- Sélectionnez le domaine d'identité dans lequel vous souhaitez travailler, puis sélectionnez Oracle Cloud Services, puis choisissez votre service dans la liste.
- Sous Ressources, sélectionnez Rôles d'application.
- Sélectionnez le rôle à affecter à un utilisateur, cliquez sur l'icône Plus à droite du rôle et sélectionnez Affecter des utilisateurs.
Rôles requis pour utiliser ou administrer les API réseau ou REST
Vous trouverez ci-dessous les rôles disponibles pour Oracle Blockchain Platform.
| Rôle utilisateur | Accordé automatiquement au créateur de l'instance ? | Description |
|---|---|---|
| ADMIN | Oui |
Ce rôle est l'administrateur général de l'application cloud Oracle Blockchain Platform. Afin d'obtenir la liste complète des fonctionnalités de console disponibles pour ce rôle utilisateur, reportez-vous au tableau dans Liste de contrôle d'accès pour les fonctionnalités de console par rôle utilisateur. |
| UTILISATEUR | Afin d'obtenir la liste complète des fonctionnalités de console disponibles pour ce rôle utilisateur, reportez-vous au tableau dans Liste de contrôle d'accès pour les fonctionnalités de console par rôle utilisateur. | |
| CA_USER | Oui | Ce rôle utilisateur est affecté aux participants Oracle Blockchain Platform afin de leur permettre d'appeler des API d'autorité de certification. |
| REST_CLIENT | Oui | Ce rôle permet à l'utilisateur d'appeler toutes les adresses de proxy REST disponibles sur le noeud de proxy REST avec le même numéro. |
Liste de contrôle d'accès pour les fonctionnalités de console par rôle utilisateur
Le tableau suivant répertorie les fonctionnalités de console accessibles aux rôles ADMIN et USER.
| Fonctionnalité | ADMIN | USER |
|---|---|---|
|
Tableau de bord |
Oui |
Oui |
|
Réseau : répertorier les organisations |
Oui |
Oui |
|
Réseau : ajouter des organisations |
Oui |
Non |
|
Réseau : paramètre de service de tri |
Oui |
Non |
|
Réseau : exporter des certificats |
Oui |
Non |
|
Réseau : exporter des paramètres de noeud de tri |
Oui |
Non |
|
Réseau : ajouter un noeud de service de tri |
Oui |
Non |
|
Réseau : exporter un bloc de configuration réseau |
Oui |
Non |
|
Noeud : répertorier |
Oui |
Oui |
|
Noeud : démarrer/arrêter/redémarrer |
Oui |
Non |
|
Noeud : ajouter/supprimer |
Oui |
Non |
|
Noeud : afficher les attributs |
Oui |
Oui |
|
Noeud : modifier les attributs |
Oui |
Non |
|
Noeud : afficher les mesures |
Oui |
Oui |
|
Noeud : afficher les journaux |
Oui |
Oui |
|
Noeud : exporter/importer des homologues |
Oui |
Non |
|
Noeud : afficher le placement de machine virtuelle |
Oui |
Oui |
|
Noeud homologue : répertorier les canaux |
Oui |
Oui |
|
Noeud homologue : rejoindre un canal |
Oui |
Non |
|
Noeud homologue : répertorier le code de chaîne |
Oui |
Oui |
|
Noeud de tri : exporter les paramètres de noeud de service de tri |
Oui |
Non |
|
Noeud de tri : importer le bloc de configuration réseau |
Oui |
Non |
|
Canal : répertorier |
Oui |
Oui |
|
Canal : créer |
Oui |
Non |
|
Canal : ajouter une organisation au canal |
Oui |
Non |
|
Canal : mettre à jour les paramètres du service de tri |
Oui |
Non |
|
Canal : afficher/interroger le registre |
Oui |
Oui |
|
Canal : répertorier le code de chaîne instancié |
Oui |
Oui |
|
Canal : répertorier les homologues joints |
Oui |
Oui |
|
Canal : définir un homologue d'ancrage |
Oui |
Non |
|
Canal : mettre à niveau le code de chaîne |
Oui |
Non |
|
Canal : gérer l'administrateur de noeud de service de tri |
Oui |
Non |
|
Canal : joindre des noeuds de tri au canal |
Oui |
Non |
| Canal : enlever des noeuds de tri du canal |
Oui |
Non |
|
Code de chaîne : répertorier |
Oui |
Oui |
|
Code de chaîne : installer |
Oui |
Non |
|
Code de chaîne : instancier |
Oui |
Non |
|
Exemple de code de chaîne : installer |
Oui |
Non |
|
Exemple de code de chaîne : instancier |
Oui |
Non |
|
Exemple de code de chaîne : appeler |
Oui |
Oui |
|
CRL |
Oui |
Non |
Utilisation des droits d'accès et des stratégies pour administrer Oracle Blockchain Platform
Chaque service d'Oracle Cloud Infrastructure s'intègre à Identity and Access Management (IAM) pour l'authentification et l'autorisation, sur toutes les interfaces (console, kit SDK ou interface de ligne de commande, et API REST). Utilisez des stratégies d'autorisation IAM pour contrôler l'accès aux ressources dans votre location. Par exemple, vous pouvez créer une stratégie autorisant les utilisateurs à créer et à gérer des instances Oracle Blockchain Platform.
Pour créer des stratégies, utilisez la console Oracle Cloud Infrastructure. Pour plus d'informations sur les stratégies IAM, reportez-vous à Présentation d'Oracle Cloud Infrastructure Identity and Access Management dans la documentation Oracle Cloud Infrastructure. Pour en savoir plus sur l'écriture de stratégies, reportez-vous à Syntaxe de stratégie et à Référence de stratégie.
Types de ressource pour Oracle Blockchain Platform
| Type de ressource | Autorisations | Description |
|---|---|---|
|
blockchain-platforms |
|
Instances Oracle Blockchain Platform. |
|
blockchain-platform-work-requests |
|
Demande de travail unique pour Oracle Blockchain Platform.
Chaque opération que vous effectuez sur une instance Oracle Blockchain Platform crée une demande de travail. Par exemple, les opérations de création, de démarrage, d'arrêt, etc. |
Correspondances opération/droit d'accès
Le tableau suivant répertorie les opérations IAM propres à Oracle Blockchain Platform. Vous pouvez écrire une stratégie IAM qui inclut ces opérations ou écrire une stratégie utilisant un verbe défini qui encapsule ces opérations.
| ID d'opération | Droits d'accès requis pour utiliser l'opération | Opération d'API |
|---|---|---|
| createBlockchainPlatform | BLOCKCHAIN_PLATFORM_CREATE | CreateBlockchainPlatform |
| deleteBlockchainPlatform | BLOCKCHAIN_PLATFORM_DELETE | DeleteBlockchainPlatform |
| getAllPlatformsInCompartment | BLOCKCHAIN_PLATFORM_INSPECT | GetBlockchainPlatforms |
| getBlockchainPlatformInformation | BLOCKCHAIN_PLATFORM_READ | GetBlockchainPlatformInformation |
| getWorkRequest | BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ | GetWorkRequest |
| getWorkRequestErrors | BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ | ListWorkRequestErrors |
| getWorkRequestLogs | BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ | ListWorkRequestLogs |
| listWorkRequests | BLOCKCHAIN_PLATFORM_WORK_REQUEST_INSPECT | ListWorkRequests |
| restartBlockchainPlatform | BLOCKCHAIN_PLATFORM_UPDATE | RestartBlockchainPlatform |
| startBlockchainPlatform | BLOCKCHAIN_PLATFORM_UPDATE | StartBlockchainPlatform |
| stopBlockchainPlatform | BLOCKCHAIN_PLATFORM_UPDATE | StopBlockchainPlatform |
| updateBlockchainPlatform | BLOCKCHAIN_PLATFORM_UPDATE | UpdateBlockchainPlatform |
Détails des combinaisons de verbe et de type de ressource
Oracle Cloud Infrastructure propose un ensemble standard de verbes pour définir les droits d'accès sur les ressources Oracle Cloud Infrastructure (Inspect, Read, Use, Manage). Ces tableaux répertorient les droits d'accès Oracle Blockchain Platform associés à chaque verbe. Le niveau d'accès est cumulatif à mesure que vous passez d'un verbe à l'autre, dans l'ordre suivant : Inspect, Read, Use, Manage.
INSPECT
| Type de ressource | Droit d'accès INSPECT |
|---|---|
|
|
|
|
READ
| Type de ressource | Droit d'accès READ |
|---|---|
|
|
|
|
USE
| Type de ressource | Droit d'accès USE |
|---|---|
|
|
|
|
MANAGE
| Type de ressource | Droit d'accès MANAGE |
|---|---|
|
|
|
|
Attributs propres à une opération
Les valeurs de ces variables sont fournies par Oracle Blockchain Platform. En outre, d'autres variables générales sont prises en charge. Reportez-vous à Variables générales pour toutes les demandes.
Pour un type de ressource donné, vous devez disposer du même ensemble d'attributs pour toutes les opérations (get, list, delete, etc.). La seule exception concerne l'opération create. Comme vous n'aurez pas encore l'ID de cet objet, vous ne pourrez pas avoir d'attribut target.RESOURCE-KIND.id pour l'opération create.
| Type de ressource | Nom | Type | Source |
|---|---|---|---|
| blockchain-platforms | |||
| blockchain-platform-work-requests |