4 Impostazione di utenti, ruoli di accesso e autorizzazioni
Uno dei primi task da completare dopo aver impostato un servizio con Oracle Blockchain Platform consiste nell'aggiungere gli account utente in Oracle Identity Cloud Service (IDCS) o nel dominio di Identity and Access Management (IAM) per tutti gli utenti che si prevede di utilizzare il servizio e di assegnargli le autorizzazioni appropriate nel servizio.
Se sei un cliente esistente o un nuovo cliente la cui area non supporta ancora i domini di Identity IAM, IDCS è disponibile con il tuo account Oracle Blockchain Platform. Utilizzare IDCS per aggiungere utenti e gruppi, quindi assegnare loro ruoli per controllare l'uso di Oracle Blockchain Platform. Vedere Gestire gli utenti di Oracle Identity Cloud Service e Gestire i gruppi di Oracle Identity Cloud Service
Se sei un nuovo cliente e la tua area OCI è stata migrata per utilizzare i domini di Identity IAM, con la tua istanza viene creato un dominio predefinito. È possibile utilizzarlo per aggiungere utenti e gruppi, quindi assegnare loro ruoli per controllarne l'uso di Oracle Blockchain Platform. Vedere Gestione di utenti e Gestione di gruppi.
Utilizzare Oracle Identity Cloud Service per l'autenticazione
Oracle Blockchain Platform utilizza Oracle Identity Cloud Service per la gestione e l'autenticazione delle identità.
Oracle Identity Cloud Service offre agli amministratori di Oracle Cloud una piattaforma di sicurezza centrale per gestire le relazioni degli utenti con le applicazioni, anche con altri servizi Oracle Cloud come Oracle Blockchain Platform. Con Oracle Identity Cloud Service è possibile creare criteri password e notifiche e-mail personalizzati, inserire nuovi utenti, assegnare utenti e gruppi alle applicazioni ed eseguire report di sicurezza. Vedere gli argomenti riportati di seguito nella guida Amministrazione di Oracle Identity Cloud Service.
Ogni istanza del servizio Oracle Cloud nel proprio account è associata a un'applicazione di sicurezza Oracle Identity Cloud Service. Ogni applicazione di sicurezza definisce uno o più ruoli applicazione. Assegnare utenti e gruppi a questi ruoli applicazione per concedere loro l'accesso amministrativo a un servizio. Vedere gli argomenti riportati di seguito nella guida Amministrazione di Oracle Identity Cloud Service.
Connessione a Oracle Identity Cloud Service nella console di Oracle Cloud Infrastructure
Le tenancy di Oracle Blockchain Platform vengono federate automaticamente con Oracle Identity Cloud Service e configurate per eseguire il provisioning degli utenti federati in Oracle Cloud Infrastructure.
È possibile gestire utenti e gruppi mediante Oracle Identity Cloud Service come descritto nella sezione Gestione degli utenti e dei gruppi di Oracle Identity Cloud Service nella console di Oracle Cloud Infrastructure.
Nota
Nelle versioni precedenti di Oracle Identity Cloud Service, le applicazioni Blockchain Platform si trovavano nel Cassetto di navigazione in Applicazioni. Ora che Oracle Identity Cloud Service è stato integrato con Oracle Cloud Infrastructure, non dispone più di un URL separato. Le applicazioni Blockchain Platform sono ora disponibili in Oracle Cloud Services nel cassetto di navigazione in Identità e sicurezza, quindi in Domini.- In Oracle Cloud Infrastructure, vai a Identità e sicurezza e seleziona Domini. Creare gli utenti necessari.
- Creare uno o più gruppi e assegnare gli utenti ai gruppi appropriati in base alle esigenze.
- Definire i criteri necessari per controllare l'accesso.
- Concedi agli utenti in Oracle Cloud Infrastructure le autorizzazioni appropriate per accedere a compartimenti specifici e a istanze di Oracle Blockchain Platform.
Aggiungere gli utenti di Oracle Identity Cloud Service
Per accedere a un'istanza di Oracle Blockchain Platform che utilizza Oracle Identity Cloud Service per l'autenticazione, gli utenti di Oracle Blockchain Platform devono prima disporre di credenziali Oracle Identity Cloud Service valide. Gli amministratori gestiscono il provisioning degli utenti in Oracle Identity Cloud Service ed eseguono il task di aggiunta degli utenti.
Utilizzare i domini di Identity and Access Management per l'autenticazione
Se la tua istanza utilizza i domini di Identity per la gestione delle identità, puoi utilizzare la console di Oracle Cloud Infrastructure per impostare e gestire gli account utente per tutti coloro che prevedi di utilizzare Oracle Blockchain Platform. Dopo aver impostato gli utenti e i gruppi, assegnare loro le autorizzazioni appropriate (noti anche come ruoli applicazione)
Per determinare se l'account cloud offre o meno domini di Identity, nella console di Oracle Cloud Infrastructure passare a Identity & Security. In Identità cercare i domini.
Per accedere a un'istanza di Oracle Blockchain Platform che utilizza i domini di Identity per l'autenticazione, gli utenti di Oracle Blockchain Platform devono prima disporre di credenziali di dominio valide. Gli amministratori del dominio di Identity gestiscono il provisioning degli utenti nel dominio ed eseguono il task di aggiunta degli utenti.
- Aprire il menu di navigazione e fare clic su Identità e sicurezza. In identità fare clic su Domini.
- Selezionare il dominio di Identity in cui si desidera lavorare e fare clic su Utenti.
- Fare clic su Crea utente. Immettere le informazioni utente.
Assegnazione di ruoli per Oracle Blockchain Platform Network e le API REST
Questa panoramica descrive i ruoli rilevanti per gli utenti della rete Oracle Blockchain Platform, gli amministratori e gli utenti dell'API REST della console. Chiunque utilizzi o amministri Oracle Blockchain Platform deve essere aggiunto in Oracle Identity Cloud Service o Identity and Access Management e ottenere il ruolo utente corretto.
Come associare i ruoli agli utenti
Se si utilizza IDCS, è necessario aggiungere i ruoli appropriati per ogni utente in IDCS. Per informazioni su come aggiungere o gestire il ruolo utente in IDCS, vedere Gestione dei ruoli di Oracle Identity Cloud Service per gli utenti.
- Aprire il menu di navigazione e fare clic su Id entità e sicurezza, quindi su Domini.
- Selezionare il dominio di Identity in cui si desidera lavorare, quindi selezionare Oracle Cloud Services, quindi scegliere il servizio dalla lista.
- In Resources selezionare Application Roles.
- Selezionare il ruolo che si desidera assegnare a un utente, fare clic sull'icona Altro a destra del ruolo e selezionare Assegna utenti.
Ruoli necessari per utilizzare o amministrare la rete o le API REST
Di seguito sono riportati i ruoli disponibili per Oracle Blockchain Platform.
Ruolo Utente | Concesso automaticamente a creatore istanza? | Descrizione |
---|---|---|
ADMIN | Sì |
Questo ruolo è l'amministratore generale dell'applicazione cloud Oracle Blockchain Platform. Per un elenco completo delle funzioni della console disponibili per questo ruolo utente, vedere la tabella in Lista di controllo dell'accesso per la funzione della console in base ai ruoli utente. Per utilizzare le API REST della rete blockchain amministrativa, è necessario disporre di questo ruolo associato all'ID utente. Tenere presente che le API REST della piattaforma Blockchain amministrativa (piano di controllo) utilizzano il meccanismo di autenticazione di OCI, come descritto qui: Documentazione di Oracle Cloud Infrastructure: API REST. Il ruolo ADMIN descritto in questa tabella si applica solo alle chiamate API REST di amministrazione di rete, alle operazioni dell'applicazione e alle statistiche. |
UTENTE | Per un elenco completo delle funzioni della console disponibili per questo ruolo utente, vedere la tabella in Lista di controllo dell'accesso per la funzione della console in base ai ruoli utente. | |
CA_USER | Sì | Questo ruolo utente viene assegnato ai partecipanti di Oracle Blockchain Platform per concedere all'utente l'accesso per chiamare le API dell'autorità di certificazione. |
REST_CLIENT | Sì |
Concede l'accesso utente per chiamare tutti gli endpoint proxy REST disponibili nel nodo proxy REST con lo stesso numero. Tenere presente che le API REST della piattaforma Blockchain amministrativa (piano di controllo) utilizzano il meccanismo di autenticazione di OCI, come descritto qui: Documentazione di Oracle Cloud Infrastructure: API REST. Il ruolo REST_CLIENT descritto in questa tabella si applica solo alle chiamate API REST di amministrazione di rete, alle operazioni dell'applicazione e alle statistiche. |
Lista di controllo dell'accesso per funzione console per ruoli utente
Nella tabella seguente sono elencate le funzioni della console disponibili per i ruoli ADMIN e USER.
Funzione | ADMIN | USER |
---|---|---|
Dashboard |
Sì |
Sì |
Rete: elenca organizzazioni |
Sì |
Sì |
Rete: aggiungi organizzazioni |
Sì |
N. |
Rete: impostazione del servizio di ordinazione |
Sì |
N. |
Rete: certificati di esportazione |
Sì |
N. |
Rete: impostazioni del programma di esportazione |
Sì |
N. |
Rete: aggiungi OSN |
Sì |
N. |
Rete: esporta blocco di configurazione di rete |
Sì |
N. |
Nodo: lista |
Sì |
Sì |
Nodo: start/stop/restart |
Sì |
N. |
Nodo: aggiungi/rimuovi |
Sì |
N. |
Nodo: visualizzare gli attributi |
Sì |
Sì |
Nodo: modifica attributi |
Sì |
N. |
Nodo: visualizza metriche |
Sì |
Sì |
Nodo: visualizza i log |
Sì |
Sì |
Nodo: peer di esportazione/importazione |
Sì |
N. |
Nodo: mostra posizionamento VM |
Sì |
Sì |
Nodo peer: elenca i canali |
Sì |
Sì |
Nodo peer: canale di join |
Sì |
N. |
Nodo peer: elencare il codice concatenato |
Sì |
Sì |
Ordinatore: esporta impostazioni OSN |
Sì |
N. |
Orderer: importa blocco configurazione rete |
Sì |
N. |
Canale: lista |
Sì |
Sì |
Canale: crea |
Sì |
N. |
Canale: aggiungi organizzazione al canale |
Sì |
N. |
Canale: aggiorna le impostazioni del servizio di ordinazione |
Sì |
N. |
Canale: visualizza/query libro contabile |
Sì |
Sì |
Canale: elenco di codici concatenati con istanza creata |
Sì |
Sì |
Canale: lista di pari livello con join |
Sì |
Sì |
Canale: set ancoraggio peer |
Sì |
N. |
Canale: aggiorna codice concatenato |
Sì |
N. |
Canale: gestisci amministratore OSN |
Sì |
N. |
Canale: unisci gli ordini al canale |
Sì |
N. |
Canale: rimuove gli ordini dal canale |
Sì |
N. |
Codice concatenato: elenco |
Sì |
Sì |
Chaincode: installazione |
Sì |
N. |
Chaincode: creazione istanza |
Sì |
N. |
Codice concatenato di esempio: installa |
Sì |
N. |
Codice concatenato di esempio: creazione istanza |
Sì |
N. |
Codice concatenato di esempio: richiama |
Sì |
Sì |
CRL |
Sì |
N. |
Utilizzo di autorizzazioni e criteri per amministrare Oracle Blockchain Platform
Ogni servizio in Oracle Cloud Infrastructure si integra con Identity and Access Management (IAM) per l'autenticazione e l'autorizzazione, per tutte le interfacce (console, SDK o CLI e API REST). I criteri di autorizzazione IAM ti consentono di controllare l'accesso alle risorse nella tua tenancy. Ad esempio, è possibile creare un criterio che consenta agli utenti di creare e gestire le istanze di Oracle Blockchain Platform.
Per creare i criteri si utilizza la console di Oracle Cloud Infrastructure. Per ulteriori informazioni sui criteri IAM, consulta la panoramica di Oracle Cloud Infrastructure Identity and Access Management nella documentazione di Oracle Cloud Infrastructure. Per dettagli sulla scrittura dei criteri, vedere Sintassi dei criteri e Riferimento per i criteri.
Tipi di risorse per Oracle Blockchain Platform
Tipo di risorsa | Autorizzazioni | Descrizione |
---|---|---|
piattaforme blockchain |
|
Una o più istanze di Oracle Blockchain Platform. |
blockchain-piattaforma-richieste di lavoro |
|
Una singola richiesta di lavoro per Oracle Blockchain Platform.
Per ogni operazione eseguita in un'istanza di Oracle Blockchain Platform viene creata una richiesta di lavoro. Ad esempio, operazioni quali creazione, avvio, arresto e così via. |
Mapping tra operazioni e autorizzazioni
Nella tabella riportata di seguito vengono elencate le operazioni IAM specifiche di Oracle Blockchain Platform. È possibile scrivere un criterio IAM che include queste operazioni oppure un criterio che utilizza un verbo definito che incapsula queste operazioni.
ID operazione | Autorizzazioni necessarie per utilizzare l'operazione | Operazione API |
---|---|---|
createBlockchainPlatform | BLOCKCHAIN_PLATFORM_CREATE | CreateBlockchainPlatform |
deleteBlockchainPlatform | BLOCKCHAIN_PLATFORM_DELETE | DeleteBlockchainPlatform |
getAllPlatformsInCompartment | BLOCKCHAIN_PLATFORM_INSPECT | GetBlockchainPlatforms |
getBlockchainPlatformInformation | BLOCKCHAIN_PLATFORM_READ | GetBlockchainPlatformInformation |
getWorkRequest | BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ | GetWorkRequest |
getWorkRequestErrors | BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ | ListWorkRequestErrors |
getWorkRequestLogs | BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ | ListWorkRequestLogs |
listWorkRequests | BLOCKCHAIN_PLATFORM_WORK_REQUEST_INSPECT | ListWorkRequests |
restartBlockchainPlatform | BLOCKCHAIN_PLATFORM_UPDATE | RestartBlockchainPlatform |
startBlockchainPlatform | BLOCKCHAIN_PLATFORM_UPDATE | StartBlockchainPlatform |
stopBlockchainPlatform | BLOCKCHAIN_PLATFORM_UPDATE | StopBlockchainPlatform |
updateBlockchainPlatform | BLOCKCHAIN_PLATFORM_UPDATE | UpdateBlockchainPlatform |
Dettagli per le combinazioni verbo-tipo di risorsa
Nell'infrastruttura Oracle Cloud è disponibile un set standard di verbi che consente di definire le autorizzazioni di ispezione, lettura, uso e gestione (Inspect, Read, Use, Manage) nelle varie risorse. In queste tabelle sono elencate le autorizzazioni Oracle Blockchain Platform associate a ogni verbo. Il livello di accesso è cumulativo quando si passa da Inspect a Read a Use a Manage.
INSPECT
Risorsa - Tipo | Autorizzazione INSPECT |
---|---|
|
|
|
|
READ
Risorsa - Tipo | Autorizzazione READ |
---|---|
|
|
|
|
USE
Risorsa - Tipo | Autorizzazione USE |
---|---|
|
|
|
|
GESTISCI
Risorsa - Tipo | Autorizzazione MANAGE |
---|---|
|
|
|
|
Attributi specifici dell'operazione
I valori di queste variabili vengono forniti da Oracle Blockchain Platform. Sono inoltre supportate altre variabili generali. Vedere Variabili generali per tutte le richieste.
Per un determinato tipo di risorsa, è necessario disporre dello stesso set di attributi in tutte le operazioni (get, list, delete e così via). L'unica eccezione riguarda un'operazione create
, in cui non si dispone ancora dell'ID per l'oggetto, pertanto non è possibile disporre di un attributo target.RESOURCE-KIND.id
per create
.
Tipo di risorsa | Nome | Type | Origine |
---|---|---|---|
piattaforme blockchain | |||
blockchain-piattaforma-richieste di lavoro |