4 Gestion des utilisateurs
Blockchain Platform Manager utilise un serveur OpenLDAP intégré pour Identity and Access Management (IAM) initial lors de l'installation. Ce serveur OpenLDAP gère les informations d'identification utilisateur et applique le contrôle d'accès basé sur les rôles (RBAC) à l'aide de groupes préconfigurés. Toutes les informations utilisateur telles que les informations d'identification et de connexion et les appartenances à un groupe sont stockées sur ce serveur OpenLDAP.
Outre l'authentification basée sur LDAP, Blockchain Platform Manager prend en charge l'intégration avec des systèmes de gestion des identités externes (IdMs) via OpenID Connect (OIDC). Cela permet d'utiliser des protocoles d'authentification standard pour une interopérabilité améliorée.
Gestion de la configuration LDAP
Blockchain Platform Manager fournit une page de configuration dédiée pour la gestion des serveurs LDAP. Les actions suivantes sont prises en charge :
- Ajouter un nouveau : configurez un serveur LDAP externe pour Blockchain Platform Manager, à la place du serveur OpenLDAP intégré.
- Enregistrer : enregistrez une configuration de serveur LDAP nouvelle ou mise à jour.
- Définir comme actif : désigne une configuration LDAP existante comme active.
- Enregistrer et activer : enregistrez les modifications et définissez immédiatement la configuration mise à jour comme active.
- Configuration du test : vérifiez la connectivité et l'accessibilité au serveur LDAP spécifié à partir de Blockchain Platform Manager.
Création et gestion de groupes
Pour chaque instance Blockchain Platform Manager créée, les groupes suivants sont provisionnés dans le serveur OpenLDAP :
| Rôle Utilisateur | Nom du groupe LDAP | Description |
|---|---|---|
| Gestion de plate-forme | OBP_Blockchain Platform Manager<id>_CP_ADMIN |
Les utilisateurs de ce groupe peuvent provisionner une instance, configurer des instances existantes, définir la configuration LDAP et effectuer des opérations de cycle de vie sur les instances.
Un utilisateur doit être membre de ce groupe pour pouvoir se connecter à Blockchain Platform Manager ou créer une instance. |
| Administrateur d'instance | BESU_ADMIN_<instance_uuid> |
Les utilisateurs de ce groupe peuvent gérer les instances à l'aide de l'interface utilisateur de console. |
| Opérateur d'instance | BESU_OPERATOR_<instance_uuid> |
Les opérateurs sont des utilisateurs en lecture seule. Les opérateurs n'ont pas accès à la page Comptes dans la console de service. |
| Client proxy RPC | BESU_RPC_GW_<instance_uuid> |
Les utilisateurs proxy RPC sont généralement des applications client. |
Tous les utilisateurs provisionnés via Blockchain Platform Manager sont automatiquement ajoutés aux quatre groupes.
Emission de jeton et propagation d'appartenance à un groupe
Lorsqu'une instance est créée, Blockchain Platform Manager configure le serveur d'authentification pour activer l'émission de jetons avec les demandes requises, y compris l'identité de l'utilisateur et les informations client/partie pertinentes. Chaque jeton inclut des informations d'appartenance à un groupe, encapsulées dans une demande de charge utile. Les composants d'instance utilisent ces demandes pour autoriser ou bloquer l'accès externe aux pods de charge globale.
Vous pouvez ajouter des utilisateurs directement au serveur OpenLDAP à l'aide de navigateurs OpenLDAP tels que jXplorer. Les administrateurs de Blockchain Platform Manager peuvent utiliser le nom utilisateur et le mot de passe de l'administrateur fournis lors de l'installation pour se connecter à openldap.<cp-name>.<cp-domain>:443 avec SSL activé. Une fois connectés, les administrateurs peuvent ensuite ajouter des utilisateurs et affecter ou modifier des groupes pour donner les niveaux d'accès appropriés.