4 Impostazione di utenti, ruoli di accesso e autorizzazioni

Uno dei primi task da completare dopo aver impostato un servizio con Oracle Blockchain Platform consiste nell'aggiungere gli account utente in Oracle Identity Cloud Service (IDCS) o nel dominio di Identity and Access Management (IAM) per tutti gli utenti che si prevede di utilizzare il servizio e di assegnargli le autorizzazioni appropriate nel servizio.

Se sei un cliente esistente o un nuovo cliente la cui area non supporta ancora i domini di Identity IAM, IDCS è disponibile con il tuo account Oracle Blockchain Platform. Utilizzare IDCS per aggiungere utenti e gruppi, quindi assegnare loro ruoli per controllare l'uso di Oracle Blockchain Platform. Vedere Gestire gli utenti di Oracle Identity Cloud Service e Gestire i gruppi di Oracle Identity Cloud Service

Se sei un nuovo cliente e la tua area OCI è stata migrata per utilizzare i domini di Identity IAM, con la tua istanza viene creato un dominio predefinito. È possibile utilizzarlo per aggiungere utenti e gruppi, quindi assegnare loro ruoli per controllarne l'uso di Oracle Blockchain Platform. Vedere Gestione di utenti e Gestione di gruppi.

Utilizzare Oracle Identity Cloud Service per l'autenticazione

Oracle Blockchain Platform utilizza Oracle Identity Cloud Service per la gestione e l'autenticazione delle identità.

Oracle Identity Cloud Service offre agli amministratori di Oracle Cloud una piattaforma di sicurezza centrale per gestire le relazioni degli utenti con le applicazioni, anche con altri servizi Oracle Cloud come Oracle Blockchain Platform. Con Oracle Identity Cloud Service è possibile creare criteri password e notifiche e-mail personalizzati, inserire nuovi utenti, assegnare utenti e gruppi alle applicazioni ed eseguire report di sicurezza. Vedere gli argomenti riportati di seguito nella guida Amministrazione di Oracle Identity Cloud Service.

• Informazioni sui concetti di Oracle Identity Cloud Service

• Come accedere a Oracle Identity Cloud Service

Ogni istanza del servizio Oracle Cloud nel proprio account è associata a un'applicazione di sicurezza Oracle Identity Cloud Service. Ogni applicazione di sicurezza definisce uno o più ruoli applicazione. Assegnare utenti e gruppi a questi ruoli applicazione per concedere loro l'accesso amministrativo a un servizio. Vedere gli argomenti riportati di seguito nella guida Amministrazione di Oracle Identity Cloud Service.

• Creazione degli account utente

• Creazione dei gruppi

• Assegnazione di utenti a Oracle Applications

• Assegnazione di gruppi a Oracle Applications

Connessione a Oracle Identity Cloud Service nella console di Oracle Cloud Infrastructure

Le tenancy di Oracle Blockchain Platform vengono federate automaticamente con Oracle Identity Cloud Service e configurate per eseguire il provisioning degli utenti federati in Oracle Cloud Infrastructure.

È possibile gestire utenti e gruppi mediante Oracle Identity Cloud Service come descritto nella sezione Gestione degli utenti e dei gruppi di Oracle Identity Cloud Service nella console di Oracle Cloud Infrastructure.

Nota

Nelle versioni precedenti di Oracle Identity Cloud Service, le applicazioni Blockchain Platform si trovavano nel Cassetto di navigazione in Applicazioni. Ora che Oracle Identity Cloud Service è stato integrato con Oracle Cloud Infrastructure, non dispone più di un URL separato. Le applicazioni Blockchain Platform sono ora disponibili in Oracle Cloud Services nel cassetto di navigazione in Identità e sicurezza, quindi in Domini.

Panoramica del processo di creazione e autorizzazioni utente:

1. In Oracle Cloud Infrastructure, vai a Identità e sicurezza e seleziona Domini. Creare gli utenti necessari.
2. Creare uno o più gruppi e assegnare gli utenti ai gruppi appropriati in base alle esigenze.
3. Definire i criteri necessari per controllare l'accesso.
4. Concedi agli utenti in Oracle Cloud Infrastructure le autorizzazioni appropriate per accedere a compartimenti specifici e a istanze di Oracle Blockchain Platform.

Aggiungere gli utenti di Oracle Identity Cloud Service

Per accedere a un'istanza di Oracle Blockchain Platform che utilizza Oracle Identity Cloud Service per l'autenticazione, gli utenti di Oracle Blockchain Platform devono prima disporre di credenziali Oracle Identity Cloud Service valide. Gli amministratori gestiscono il provisioning degli utenti in Oracle Identity Cloud Service ed eseguono il task di aggiunta degli utenti.

Per aggiungere utenti e fornire loro l'accesso a Oracle Blockchain Platform:

1. Aprire l'applicazione di sicurezza associata all'istanza di Oracle Blockchain Platform in Oracle Identity Cloud Service.
2. Fare clic sulla scheda Utenti di Identity Cloud Service nella parte superiore della pagina, non sulla scheda Utenti per l'istanza di Oracle Blockchain Platform.
3. Fare clic su Aggiungi e fornire i dettagli utente, quindi fare clic su Fine.

   Viene visualizzata la pagina Dettagli per l'utente. Verrà inviata un'e-mail all'utente con le informazioni di login.

Utilizzare i domini di Identity and Access Management per l'autenticazione

Se la tua istanza utilizza i domini di Identity per la gestione delle identità, puoi utilizzare la console di Oracle Cloud Infrastructure per impostare e gestire gli account utente per tutti coloro che prevedi di utilizzare Oracle Blockchain Platform. Dopo aver impostato gli utenti e i gruppi, assegnare loro le autorizzazioni appropriate (noti anche come ruoli applicazione)

Per determinare se l'account cloud offre o meno domini di Identity, nella console di Oracle Cloud Infrastructure passare a Identity & Security. In Identità cercare i domini.

Per accedere a un'istanza di Oracle Blockchain Platform che utilizza i domini di Identity per l'autenticazione, gli utenti di Oracle Blockchain Platform devono prima disporre di credenziali di dominio valide. Gli amministratori del dominio di Identity gestiscono il provisioning degli utenti nel dominio ed eseguono il task di aggiunta degli utenti.

Per aggiungere utenti e fornire loro l'accesso a Oracle Blockchain Platform:

1. Aprire il menu di navigazione e fare clic su Identità e sicurezza. In identità fare clic su Domini.
2. Selezionare il dominio di Identity in cui si desidera lavorare e fare clic su Utenti.
3. Fare clic su Crea utente. Immettere le informazioni utente.

Per ulteriori dettagli, consulta questi argomenti nella documentazione di Oracle Cloud Infrastructure:

• Gestione degli utenti
• Gestione dei gruppi

Assegnazione di ruoli per Oracle Blockchain Platform Network e le API REST

Questa panoramica descrive i ruoli rilevanti per gli utenti della rete Oracle Blockchain Platform, gli amministratori e gli utenti dell'API REST della console. Chiunque utilizzi o amministri Oracle Blockchain Platform deve essere aggiunto in Oracle Identity Cloud Service o Identity and Access Management e ottenere il ruolo utente corretto.

Come associare i ruoli agli utenti

Se si utilizza IDCS, è necessario aggiungere i ruoli appropriati per ogni utente in IDCS. Per informazioni su come aggiungere o gestire il ruolo utente in IDCS, vedere Gestione dei ruoli di Oracle Identity Cloud Service per gli utenti.

Se si utilizza IAM con i domini di Identity, è necessario aggiungere i ruoli appropriati per ciascun utente del dominio.

1. Aprire il menu di navigazione e fare clic su Id entità e sicurezza, quindi su Domini.
2. Selezionare il dominio di Identity in cui si desidera lavorare, quindi selezionare Oracle Cloud Services, quindi scegliere il servizio dalla lista.
3. In Resources selezionare Application Roles.
4. Selezionare il ruolo che si desidera assegnare a un utente, fare clic sull'icona Altro a destra del ruolo e selezionare Assegna utenti.

Ruoli necessari per utilizzare o amministrare la rete o le API REST

Di seguito sono riportati i ruoli disponibili per Oracle Blockchain Platform.

Ruolo Utente	Concesso automaticamente a creatore istanza?	Descrizione
ADMIN	Sì	Questo ruolo è l'amministratore generale dell'applicazione cloud Oracle Blockchain Platform. Per un elenco completo delle funzioni della console disponibili per questo ruolo utente, vedere la tabella in Lista di controllo dell'accesso per la funzione della console in base ai ruoli utente. Per utilizzare le API REST della rete blockchain amministrativa, è necessario disporre di questo ruolo associato all'ID utente. Tenere presente che le API REST della piattaforma Blockchain amministrativa (piano di controllo) utilizzano il meccanismo di autenticazione di OCI, come descritto qui: Documentazione di Oracle Cloud Infrastructure: API REST. Il ruolo ADMIN descritto in questa tabella si applica solo alle chiamate API REST di amministrazione di rete, alle operazioni dell'applicazione e alle statistiche.
UTENTE		Per un elenco completo delle funzioni della console disponibili per questo ruolo utente, vedere la tabella in Lista di controllo dell'accesso per la funzione della console in base ai ruoli utente.
CA_USER	Sì	Questo ruolo utente viene assegnato ai partecipanti di Oracle Blockchain Platform per concedere all'utente l'accesso per chiamare le API dell'autorità di certificazione.
REST_CLIENT	Sì	Concede l'accesso utente per chiamare tutti gli endpoint proxy REST disponibili nel nodo proxy REST con lo stesso numero. Tenere presente che le API REST della piattaforma Blockchain amministrativa (piano di controllo) utilizzano il meccanismo di autenticazione di OCI, come descritto qui: Documentazione di Oracle Cloud Infrastructure: API REST. Il ruolo REST_CLIENT descritto in questa tabella si applica solo alle chiamate API REST di amministrazione di rete, alle operazioni dell'applicazione e alle statistiche.

Lista di controllo dell'accesso per funzione console per ruoli utente

Nella tabella seguente sono elencate le funzioni della console disponibili per i ruoli ADMIN e USER.

Funzione	ADMIN	USER
Dashboard	Sì	Sì
Rete: elenca organizzazioni	Sì	Sì
Rete: aggiungi organizzazioni	Sì	N.
Rete: impostazione del servizio di ordinazione	Sì	N.
Rete: certificati di esportazione	Sì	N.
Rete: impostazioni del programma di esportazione	Sì	N.
Rete: aggiungi OSN	Sì	N.
Rete: esporta blocco di configurazione di rete	Sì	N.
Nodo: lista	Sì	Sì
Nodo: start/stop/restart	Sì	N.
Nodo: aggiungi/rimuovi	Sì	N.
Nodo: visualizzare gli attributi	Sì	Sì
Nodo: modifica attributi	Sì	N.
Nodo: visualizza metriche	Sì	Sì
Nodo: visualizza i log	Sì	Sì
Nodo: peer di esportazione/importazione	Sì	N.
Nodo: mostra posizionamento VM	Sì	Sì
Nodo peer: elenca i canali	Sì	Sì
Nodo peer: canale di join	Sì	N.
Nodo peer: elencare il codice concatenato	Sì	Sì
Ordinatore: esporta impostazioni OSN	Sì	N.
Orderer: importa blocco configurazione rete	Sì	N.
Canale: lista	Sì	Sì
Canale: crea	Sì	N.
Canale: aggiungi organizzazione al canale	Sì	N.
Canale: aggiorna le impostazioni del servizio di ordinazione	Sì	N.
Canale: visualizza/query libro contabile	Sì	Sì
Canale: elenco di codici concatenati con istanza creata	Sì	Sì
Canale: lista di pari livello con join	Sì	Sì
Canale: set ancoraggio peer	Sì	N.
Canale: aggiorna codice concatenato	Sì	N.
Canale: gestisci amministratore OSN	Sì	N.
Canale: unisci gli ordini al canale	Sì	N.
Canale: rimuove gli ordini dal canale	Sì	N.
Codice concatenato: elenco	Sì	Sì
Chaincode: installazione	Sì	N.
Chaincode: creazione istanza	Sì	N.
Codice concatenato di esempio: installa	Sì	N.
Codice concatenato di esempio: creazione istanza	Sì	N.
Codice concatenato di esempio: richiama	Sì	Sì
CRL	Sì	N.

Utilizzo di autorizzazioni e criteri per amministrare Oracle Blockchain Platform

Ogni servizio in Oracle Cloud Infrastructure si integra con Identity and Access Management (IAM) per l'autenticazione e l'autorizzazione, per tutte le interfacce (console, SDK o CLI e API REST). I criteri di autorizzazione IAM ti consentono di controllare l'accesso alle risorse nella tua tenancy. Ad esempio, è possibile creare un criterio che consenta agli utenti di creare e gestire le istanze di Oracle Blockchain Platform.

Per creare i criteri si utilizza la console di Oracle Cloud Infrastructure. Per ulteriori informazioni sui criteri IAM, consulta la panoramica di Oracle Cloud Infrastructure Identity and Access Management nella documentazione di Oracle Cloud Infrastructure. Per dettagli sulla scrittura dei criteri, vedere Sintassi dei criteri e Riferimento per i criteri.

Tipi di risorse per Oracle Blockchain Platform

Tipo di risorsa	Autorizzazioni	Descrizione
piattaforme blockchain	BLOCKCHAIN_PLATFORM_CREATE BLOCKCHAIN_PLATFORM_UPDATE BLOCKCHAIN_PLATFORM_INSPECT BLOCKCHAIN_PLATFORM_READ BLOCKCHAIN_PLATFORM_DELETE	Una o più istanze di Oracle Blockchain Platform.
blockchain-piattaforma-richieste di lavoro	BLOCKCHAIN_PLATFORM_WORK_REQUEST_INSPECT BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ BLOCKCHAIN_PLATFORM_WORK_REQUEST_DELETE	Una singola richiesta di lavoro per Oracle Blockchain Platform. Per ogni operazione eseguita in un'istanza di Oracle Blockchain Platform viene creata una richiesta di lavoro. Ad esempio, operazioni quali creazione, avvio, arresto e così via.

Mapping tra operazioni e autorizzazioni

Nella tabella riportata di seguito vengono elencate le operazioni IAM specifiche di Oracle Blockchain Platform. È possibile scrivere un criterio IAM che include queste operazioni oppure un criterio che utilizza un verbo definito che incapsula queste operazioni.

ID operazione	Autorizzazioni necessarie per utilizzare l'operazione	Operazione API
createBlockchainPlatform	BLOCKCHAIN_PLATFORM_CREATE	CreateBlockchainPlatform
deleteBlockchainPlatform	BLOCKCHAIN_PLATFORM_DELETE	DeleteBlockchainPlatform
getAllPlatformsInCompartment	BLOCKCHAIN_PLATFORM_INSPECT	GetBlockchainPlatforms
getBlockchainPlatformInformation	BLOCKCHAIN_PLATFORM_READ	GetBlockchainPlatformInformation
getWorkRequest	BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ	GetWorkRequest
getWorkRequestErrors	BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ	ListWorkRequestErrors
getWorkRequestLogs	BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ	ListWorkRequestLogs
listWorkRequests	BLOCKCHAIN_PLATFORM_WORK_REQUEST_INSPECT	ListWorkRequests
restartBlockchainPlatform	BLOCKCHAIN_PLATFORM_UPDATE	RestartBlockchainPlatform
startBlockchainPlatform	BLOCKCHAIN_PLATFORM_UPDATE	StartBlockchainPlatform
stopBlockchainPlatform	BLOCKCHAIN_PLATFORM_UPDATE	StopBlockchainPlatform
updateBlockchainPlatform	BLOCKCHAIN_PLATFORM_UPDATE	UpdateBlockchainPlatform

Dettagli per le combinazioni verbo-tipo di risorsa

Nell'infrastruttura Oracle Cloud è disponibile un set standard di verbi che consente di definire le autorizzazioni di ispezione, lettura, uso e gestione (Inspect, Read, Use, Manage) nelle varie risorse. In queste tabelle sono elencate le autorizzazioni Oracle Blockchain Platform associate a ogni verbo. Il livello di accesso è cumulativo quando si passa da Inspect a Read a Use a Manage.

INSPECT

Risorsa - Tipo	Autorizzazione INSPECT
piattaforme blockchain	BLOCKCHAIN_PLATFORM_INSPECT
blockchain-piattaforma-richieste di lavoro	BLOCKCHAIN_PLATFORM_WORK_REQUEST_INSPECT

READ

Risorsa - Tipo	Autorizzazione READ
piattaforme blockchain	BLOCKCHAIN_PLATFORM_INSPECT BLOCKCHAIN_PLATFORM_READ
blockchain-piattaforma-richieste di lavoro	BLOCKCHAIN_PLATFORM_WORK_REQUEST_INSPECT BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ

USE

Risorsa - Tipo	Autorizzazione USE
piattaforme blockchain	BLOCKCHAIN_PLATFORM_READ BLOCKCHAIN_PLATFORM_UPDATE
blockchain-piattaforma-richieste di lavoro	BLOCKCHAIN_PLATFORM_WORK_REQUEST_INSPECT BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ

GESTISCI

Risorsa - Tipo	Autorizzazione MANAGE
piattaforme blockchain	BLOCKCHAIN_PLATFORM_READ BLOCKCHAIN_PLATFORM_UPDATE BLOCKCHAIN_PLATFORM_CREATE BLOCKCHAIN_PLATFORM_DELETE
blockchain-platform-instance-work-requests	BLOCKCHAIN_PLATFORM_WORK_REQUEST_INSPECT BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ BLOCKCHAIN_PLATFORM_WORK_REQUEST_DELETE

Attributi specifici dell'operazione

I valori di queste variabili vengono forniti da Oracle Blockchain Platform. Sono inoltre supportate altre variabili generali. Vedere Variabili generali per tutte le richieste.

Per un determinato tipo di risorsa, è necessario disporre dello stesso set di attributi in tutte le operazioni (get, list, delete e così via). L'unica eccezione riguarda un'operazione create, in cui non si dispone ancora dell'ID per l'oggetto, pertanto non è possibile disporre di un attributo target.RESOURCE-KIND.id per create.

Tipo di risorsa	Nome	Type	Origine
piattaforme blockchain
blockchain-piattaforma-richieste di lavoro