4 Impostazione di utenti, ruoli di accesso e autorizzazioni

Uno dei primi task da completare dopo aver impostato un servizio con Oracle Blockchain Platform consiste nell'aggiungere gli account utente in Oracle Identity Cloud Service (IDCS) o nel dominio di Identity and Access Management (IAM) per tutti gli utenti che si prevede di utilizzare il servizio e di assegnargli le autorizzazioni appropriate nel servizio.

Se sei un cliente esistente o un nuovo cliente la cui area non supporta ancora i domini di Identity IAM, IDCS è disponibile con il tuo account Oracle Blockchain Platform. Utilizzare IDCS per aggiungere utenti e gruppi, quindi assegnare loro ruoli per controllare l'uso di Oracle Blockchain Platform. Vedere Gestire gli utenti di Oracle Identity Cloud Service e Gestire i gruppi di Oracle Identity Cloud Service

Se sei un nuovo cliente e la tua area OCI è stata migrata per utilizzare i domini di Identity IAM, con la tua istanza viene creato un dominio predefinito. È possibile utilizzarlo per aggiungere utenti e gruppi, quindi assegnare loro ruoli per controllarne l'uso di Oracle Blockchain Platform. Vedere Gestione di utenti e Gestione di gruppi.

Utilizzare Oracle Identity Cloud Service per l'autenticazione

Oracle Blockchain Platform utilizza Oracle Identity Cloud Service per la gestione e l'autenticazione delle identità.

Oracle Identity Cloud Service offre agli amministratori di Oracle Cloud una piattaforma di sicurezza centrale per gestire le relazioni degli utenti con le applicazioni, anche con altri servizi Oracle Cloud come Oracle Blockchain Platform. Con Oracle Identity Cloud Service è possibile creare criteri password e notifiche e-mail personalizzati, inserire nuovi utenti, assegnare utenti e gruppi alle applicazioni ed eseguire report di sicurezza. Vedere gli argomenti riportati di seguito nella guida Amministrazione di Oracle Identity Cloud Service.

Ogni istanza del servizio Oracle Cloud nel proprio account è associata a un'applicazione di sicurezza Oracle Identity Cloud Service. Ogni applicazione di sicurezza definisce uno o più ruoli applicazione. Assegnare utenti e gruppi a questi ruoli applicazione per concedere loro l'accesso amministrativo a un servizio. Vedere gli argomenti riportati di seguito nella guida Amministrazione di Oracle Identity Cloud Service.

Connessione a Oracle Identity Cloud Service nella console di Oracle Cloud Infrastructure

Le tenancy di Oracle Blockchain Platform vengono federate automaticamente con Oracle Identity Cloud Service e configurate per eseguire il provisioning degli utenti federati in Oracle Cloud Infrastructure.

È possibile gestire utenti e gruppi mediante Oracle Identity Cloud Service come descritto nella sezione Gestione degli utenti e dei gruppi di Oracle Identity Cloud Service nella console di Oracle Cloud Infrastructure.

Nota

Nelle versioni precedenti di Oracle Identity Cloud Service, le applicazioni Blockchain Platform si trovavano nel Cassetto di navigazione in Applicazioni. Ora che Oracle Identity Cloud Service è stato integrato con Oracle Cloud Infrastructure, non dispone più di un URL separato. Le applicazioni Blockchain Platform sono ora disponibili in Oracle Cloud Services nel cassetto di navigazione in Identità e sicurezza, quindi in Domini.
Panoramica del processo di creazione e autorizzazioni utente:
  1. In Oracle Cloud Infrastructure, vai a Identità e sicurezza e seleziona Domini. Creare gli utenti necessari.
  2. Creare uno o più gruppi e assegnare gli utenti ai gruppi appropriati in base alle esigenze.
  3. Definire i criteri necessari per controllare l'accesso.
  4. Concedi agli utenti in Oracle Cloud Infrastructure le autorizzazioni appropriate per accedere a compartimenti specifici e a istanze di Oracle Blockchain Platform.

Aggiungere gli utenti di Oracle Identity Cloud Service

Per accedere a un'istanza di Oracle Blockchain Platform che utilizza Oracle Identity Cloud Service per l'autenticazione, gli utenti di Oracle Blockchain Platform devono prima disporre di credenziali Oracle Identity Cloud Service valide. Gli amministratori gestiscono il provisioning degli utenti in Oracle Identity Cloud Service ed eseguono il task di aggiunta degli utenti.

Per aggiungere utenti e fornire loro l'accesso a Oracle Blockchain Platform:
  1. Aprire l'applicazione di sicurezza associata all'istanza di Oracle Blockchain Platform in Oracle Identity Cloud Service.
  2. Fare clic sulla scheda Utenti di Identity Cloud Service nella parte superiore della pagina, non sulla scheda Utenti per l'istanza di Oracle Blockchain Platform.
  3. Fare clic su Aggiungi e fornire i dettagli utente, quindi fare clic su Fine.

    Viene visualizzata la pagina Dettagli per l'utente. Verrà inviata un'e-mail all'utente con le informazioni di login.

Utilizzare i domini di Identity and Access Management per l'autenticazione

Se la tua istanza utilizza i domini di Identity per la gestione delle identità, puoi utilizzare la console di Oracle Cloud Infrastructure per impostare e gestire gli account utente per tutti coloro che prevedi di utilizzare Oracle Blockchain Platform. Dopo aver impostato gli utenti e i gruppi, assegnare loro le autorizzazioni appropriate (noti anche come ruoli applicazione)

Per determinare se l'account cloud offre o meno domini di Identity, nella console di Oracle Cloud Infrastructure passare a Identity & Security. In Identità cercare i domini.

Per accedere a un'istanza di Oracle Blockchain Platform che utilizza i domini di Identity per l'autenticazione, gli utenti di Oracle Blockchain Platform devono prima disporre di credenziali di dominio valide. Gli amministratori del dominio di Identity gestiscono il provisioning degli utenti nel dominio ed eseguono il task di aggiunta degli utenti.

Per aggiungere utenti e fornire loro l'accesso a Oracle Blockchain Platform:
  1. Aprire il menu di navigazione e fare clic su Identità e sicurezza. In identità fare clic su Domini.
  2. Selezionare il dominio di Identity in cui si desidera lavorare e fare clic su Utenti.
  3. Fare clic su Crea utente. Immettere le informazioni utente.
Per ulteriori dettagli, consulta questi argomenti nella documentazione di Oracle Cloud Infrastructure:

Assegnazione di ruoli per Oracle Blockchain Platform Network e le API REST

Questa panoramica descrive i ruoli rilevanti per gli utenti della rete Oracle Blockchain Platform, gli amministratori e gli utenti dell'API REST della console. Chiunque utilizzi o amministri Oracle Blockchain Platform deve essere aggiunto in Oracle Identity Cloud Service o Identity and Access Management e ottenere il ruolo utente corretto.

Come associare i ruoli agli utenti

Se si utilizza IDCS, è necessario aggiungere i ruoli appropriati per ogni utente in IDCS. Per informazioni su come aggiungere o gestire il ruolo utente in IDCS, vedere Gestione dei ruoli di Oracle Identity Cloud Service per gli utenti.

Se si utilizza IAM con i domini di Identity, è necessario aggiungere i ruoli appropriati per ciascun utente del dominio.
  1. Aprire il menu di navigazione e fare clic su Id entità e sicurezza, quindi su Domini.
  2. Selezionare il dominio di Identity in cui si desidera lavorare, quindi selezionare Oracle Cloud Services, quindi scegliere il servizio dalla lista.
  3. In Resources selezionare Application Roles.
  4. Selezionare il ruolo che si desidera assegnare a un utente, fare clic sull'icona Altro a destra del ruolo e selezionare Assegna utenti.

Ruoli necessari per utilizzare o amministrare la rete o le API REST

Di seguito sono riportati i ruoli disponibili per Oracle Blockchain Platform.

Ruolo Utente Concesso automaticamente a creatore istanza? Descrizione
ADMIN

Questo ruolo è l'amministratore generale dell'applicazione cloud Oracle Blockchain Platform.

Per un elenco completo delle funzioni della console disponibili per questo ruolo utente, vedere la tabella in Lista di controllo dell'accesso per la funzione della console in base ai ruoli utente.

Per utilizzare le API REST della rete blockchain amministrativa, è necessario disporre di questo ruolo associato all'ID utente.

Tenere presente che le API REST della piattaforma Blockchain amministrativa (piano di controllo) utilizzano il meccanismo di autenticazione di OCI, come descritto qui: Documentazione di Oracle Cloud Infrastructure: API REST. Il ruolo ADMIN descritto in questa tabella si applica solo alle chiamate API REST di amministrazione di rete, alle operazioni dell'applicazione e alle statistiche.

UTENTE   Per un elenco completo delle funzioni della console disponibili per questo ruolo utente, vedere la tabella in Lista di controllo dell'accesso per la funzione della console in base ai ruoli utente.
CA_USER Questo ruolo utente viene assegnato ai partecipanti di Oracle Blockchain Platform per concedere all'utente l'accesso per chiamare le API dell'autorità di certificazione.
REST_CLIENT

Concede l'accesso utente per chiamare tutti gli endpoint proxy REST disponibili nel nodo proxy REST con lo stesso numero.

Tenere presente che le API REST della piattaforma Blockchain amministrativa (piano di controllo) utilizzano il meccanismo di autenticazione di OCI, come descritto qui: Documentazione di Oracle Cloud Infrastructure: API REST. Il ruolo REST_CLIENT descritto in questa tabella si applica solo alle chiamate API REST di amministrazione di rete, alle operazioni dell'applicazione e alle statistiche.

Lista di controllo dell'accesso per funzione console per ruoli utente

Nella tabella seguente sono elencate le funzioni della console disponibili per i ruoli ADMIN e USER.

Funzione ADMIN USER

Dashboard

Rete: elenca organizzazioni

Rete: aggiungi organizzazioni

N.

Rete: impostazione del servizio di ordinazione

N.

Rete: certificati di esportazione

N.

Rete: impostazioni del programma di esportazione

N.

Rete: aggiungi OSN

N.

Rete: esporta blocco di configurazione di rete

N.

Nodo: lista

Nodo: start/stop/restart

N.

Nodo: aggiungi/rimuovi

N.

Nodo: visualizzare gli attributi

Nodo: modifica attributi

N.

Nodo: visualizza metriche

Nodo: visualizza i log

Nodo: peer di esportazione/importazione

N.

Nodo: mostra posizionamento VM

Nodo peer: elenca i canali

Nodo peer: canale di join

N.

Nodo peer: elencare il codice concatenato

Ordinatore: esporta impostazioni OSN

N.

Orderer: importa blocco configurazione rete

N.

Canale: lista

Canale: crea

N.

Canale: aggiungi organizzazione al canale

N.

Canale: aggiorna le impostazioni del servizio di ordinazione

N.

Canale: visualizza/query libro contabile

Canale: elenco di codici concatenati con istanza creata

Canale: lista di pari livello con join

Canale: set ancoraggio peer

N.

Canale: aggiorna codice concatenato

N.

Canale: gestisci amministratore OSN

N.

Canale: unisci gli ordini al canale

N.

Canale: rimuove gli ordini dal canale

N.

Codice concatenato: elenco

Chaincode: installazione

N.

Chaincode: creazione istanza

N.

Codice concatenato di esempio: installa

N.

Codice concatenato di esempio: creazione istanza

N.

Codice concatenato di esempio: richiama

CRL

N.

Utilizzo di autorizzazioni e criteri per amministrare Oracle Blockchain Platform

Ogni servizio in Oracle Cloud Infrastructure si integra con Identity and Access Management (IAM) per l'autenticazione e l'autorizzazione, per tutte le interfacce (console, SDK o CLI e API REST). I criteri di autorizzazione IAM ti consentono di controllare l'accesso alle risorse nella tua tenancy. Ad esempio, è possibile creare un criterio che consenta agli utenti di creare e gestire le istanze di Oracle Blockchain Platform.

Per creare i criteri si utilizza la console di Oracle Cloud Infrastructure. Per ulteriori informazioni sui criteri IAM, consulta la panoramica di Oracle Cloud Infrastructure Identity and Access Management nella documentazione di Oracle Cloud Infrastructure. Per dettagli sulla scrittura dei criteri, vedere Sintassi dei criteri e Riferimento per i criteri.

Tipi di risorse per Oracle Blockchain Platform

Tipo di risorsa Autorizzazioni Descrizione

piattaforme blockchain

  • BLOCKCHAIN_PLATFORM_CREATE
  • BLOCKCHAIN_PLATFORM_UPDATE
  • BLOCKCHAIN_PLATFORM_INSPECT
  • BLOCKCHAIN_PLATFORM_READ
  • BLOCKCHAIN_PLATFORM_DELETE
Una o più istanze di Oracle Blockchain Platform.

blockchain-piattaforma-richieste di lavoro

  • BLOCKCHAIN_PLATFORM_WORK_REQUEST_INSPECT
  • BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ
  • BLOCKCHAIN_PLATFORM_WORK_REQUEST_DELETE
Una singola richiesta di lavoro per Oracle Blockchain Platform.

Per ogni operazione eseguita in un'istanza di Oracle Blockchain Platform viene creata una richiesta di lavoro. Ad esempio, operazioni quali creazione, avvio, arresto e così via.

Mapping tra operazioni e autorizzazioni

Nella tabella riportata di seguito vengono elencate le operazioni IAM specifiche di Oracle Blockchain Platform. È possibile scrivere un criterio IAM che include queste operazioni oppure un criterio che utilizza un verbo definito che incapsula queste operazioni.

ID operazione Autorizzazioni necessarie per utilizzare l'operazione Operazione API
createBlockchainPlatform BLOCKCHAIN_PLATFORM_CREATE CreateBlockchainPlatform
deleteBlockchainPlatform BLOCKCHAIN_PLATFORM_DELETE DeleteBlockchainPlatform
getAllPlatformsInCompartment BLOCKCHAIN_PLATFORM_INSPECT GetBlockchainPlatforms
getBlockchainPlatformInformation BLOCKCHAIN_PLATFORM_READ GetBlockchainPlatformInformation
getWorkRequest BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ GetWorkRequest
getWorkRequestErrors BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ ListWorkRequestErrors
getWorkRequestLogs BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ ListWorkRequestLogs
listWorkRequests BLOCKCHAIN_PLATFORM_WORK_REQUEST_INSPECT ListWorkRequests
restartBlockchainPlatform BLOCKCHAIN_PLATFORM_UPDATE RestartBlockchainPlatform
startBlockchainPlatform BLOCKCHAIN_PLATFORM_UPDATE StartBlockchainPlatform
stopBlockchainPlatform BLOCKCHAIN_PLATFORM_UPDATE StopBlockchainPlatform
updateBlockchainPlatform BLOCKCHAIN_PLATFORM_UPDATE UpdateBlockchainPlatform

Dettagli per le combinazioni verbo-tipo di risorsa

Nell'infrastruttura Oracle Cloud è disponibile un set standard di verbi che consente di definire le autorizzazioni di ispezione, lettura, uso e gestione (Inspect, Read, Use, Manage) nelle varie risorse. In queste tabelle sono elencate le autorizzazioni Oracle Blockchain Platform associate a ogni verbo. Il livello di accesso è cumulativo quando si passa da Inspect a Read a Use a Manage.

INSPECT

Risorsa - Tipo Autorizzazione INSPECT
  • piattaforme blockchain
  • BLOCKCHAIN_PLATFORM_INSPECT
  • blockchain-piattaforma-richieste di lavoro
  • BLOCKCHAIN_PLATFORM_WORK_REQUEST_INSPECT

READ

Risorsa - Tipo Autorizzazione READ
  • piattaforme blockchain
  • BLOCKCHAIN_PLATFORM_INSPECT
  • BLOCKCHAIN_PLATFORM_READ
  • blockchain-piattaforma-richieste di lavoro
  • BLOCKCHAIN_PLATFORM_WORK_REQUEST_INSPECT
  • BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ

USE

Risorsa - Tipo Autorizzazione USE
  • piattaforme blockchain
  • BLOCKCHAIN_PLATFORM_READ
  • BLOCKCHAIN_PLATFORM_UPDATE
  • blockchain-piattaforma-richieste di lavoro
  • BLOCKCHAIN_PLATFORM_WORK_REQUEST_INSPECT
  • BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ

GESTISCI

Risorsa - Tipo Autorizzazione MANAGE
  • piattaforme blockchain
  • BLOCKCHAIN_PLATFORM_READ
  • BLOCKCHAIN_PLATFORM_UPDATE
  • BLOCKCHAIN_PLATFORM_CREATE
  • BLOCKCHAIN_PLATFORM_DELETE
  • blockchain-platform-instance-work-requests
  • BLOCKCHAIN_PLATFORM_WORK_REQUEST_INSPECT
  • BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ
  • BLOCKCHAIN_PLATFORM_WORK_REQUEST_DELETE

Attributi specifici dell'operazione

I valori di queste variabili vengono forniti da Oracle Blockchain Platform. Sono inoltre supportate altre variabili generali. Vedere Variabili generali per tutte le richieste.

Per un determinato tipo di risorsa, è necessario disporre dello stesso set di attributi in tutte le operazioni (get, list, delete e così via). L'unica eccezione riguarda un'operazione create, in cui non si dispone ancora dell'ID per l'oggetto, pertanto non è possibile disporre di un attributo target.RESOURCE-KIND.id per create.

Tipo di risorsa Nome Type Origine
piattaforme blockchain      
blockchain-piattaforma-richieste di lavoro