4 Impostare utenti, ruoli di accesso e autorizzazioni

Uno dei primi task da completare dopo aver impostato un servizio con Oracle Blockchain Platform consiste nell'aggiungere account utente in Oracle Identity Cloud Service (IDCS) o nel dominio di identità IAM (Identity and Access Management) per tutti coloro che si prevede di utilizzare il servizio e assegnare loro le autorizzazioni appropriate nel servizio.

Se sei un cliente esistente o un nuovo cliente la cui area non supporta ancora i domini di identità IAM, IDCS è disponibile con il tuo account Oracle Blockchain Platform. Utilizzare IDCS per aggiungere utenti e gruppi, quindi assegnare loro ruoli per controllare l'uso di Oracle Blockchain Platform. Vedere Gestire gli utenti di Oracle Identity Cloud Service e Gestire i gruppi di Oracle Identity Cloud Service

Se sei un nuovo cliente e la tua area OCI è stata migrata per utilizzare i domini di Identity IAM, viene creato un dominio predefinito con la tua istanza. È possibile utilizzarlo per aggiungere utenti e gruppi, quindi assegnare loro ruoli per controllarne l'uso di Oracle Blockchain Platform. Vedere Gestione degli utenti e Gestione dei gruppi.

Usa Oracle Identity Cloud Service per l'autenticazione

Oracle Blockchain Platform utilizza Oracle Identity Cloud Service per la gestione e l'autenticazione delle identità.

Oracle Identity Cloud Service offre agli amministratori di Oracle Cloud una piattaforma di sicurezza centrale per gestire le relazioni che gli utenti hanno con le applicazioni, anche con altri servizi Oracle Cloud come Oracle Blockchain Platform. Con Oracle Identity Cloud Service è possibile creare criteri password personalizzati e notifiche e-mail, inserire nuovi utenti, assegnare utenti e gruppi alle applicazioni ed eseguire report di sicurezza. Fare riferimento ai seguenti argomenti in Amministrazione di Oracle Identity Cloud Service:

• Informazioni sui concetti di Oracle Identity Cloud Service

• Come accedere a Oracle Identity Cloud Service

Ogni istanza del servizio Oracle Cloud nell'account è associata a un'applicazione di sicurezza Oracle Identity Cloud Service. Ogni applicazione di sicurezza definisce uno o più ruoli applicazione. Assegnare utenti e gruppi a questi ruoli applicazione per concedere loro l'accesso amministrativo a un servizio. Fare riferimento ai seguenti argomenti in Amministrazione di Oracle Identity Cloud Service:

• Creazione degli account utente

• Creazione dei gruppi

• Assegnazione di utenti a Oracle Applications

• Assegnazione di gruppi a Oracle Applications

Connessione a Oracle Identity Cloud Service nella console di Oracle Cloud Infrastructure

Le tenancy di Oracle Blockchain Platform vengono federate automaticamente con Oracle Identity Cloud Service e configurate per eseguire il provisioning degli utenti federati in Oracle Cloud Infrastructure.

È possibile gestire utenti e gruppi tramite Oracle Identity Cloud Service come descritto in Gestione degli utenti e dei gruppi di Oracle Identity Cloud Service nella console di Oracle Cloud Infrastructure.

Nota

Nelle versioni precedenti di Oracle Identity Cloud Service, le applicazioni Blockchain Platform si trovavano nel Cassetto di navigazione in Applicazioni. Ora che Oracle Identity Cloud Service è stato integrato con Oracle Cloud Infrastructure, non dispone più di un URL separato. Le applicazioni Blockchain Platform sono ora disponibili in Oracle Cloud Services nel cassetto di navigazione in Identità e sicurezza, quindi in Domini.

Panoramica del processo di creazione e autorizzazioni utente:

1. In Oracle Cloud Infrastructure, vai a Identità e sicurezza e seleziona Domini. Creare gli utenti necessari.
2. Creare uno o più gruppi e assegnare gli utenti ai gruppi appropriati in base alle esigenze.
3. Definire i criteri necessari per controllare l'accesso.
4. Concedi agli utenti in Oracle Cloud Infrastructure le autorizzazioni appropriate per accedere a compartimenti specifici e a istanze di Oracle Blockchain Platform.

Aggiungi utenti di Oracle Identity Cloud Service

Per accedere a un'istanza di Oracle Blockchain Platform che utilizza Oracle Identity Cloud Service per l'autenticazione, gli utenti di Oracle Blockchain Platform devono prima disporre di credenziali Oracle Identity Cloud Service valide. Gli amministratori gestiscono il provisioning degli utenti in Oracle Identity Cloud Service ed eseguono il task di aggiunta degli utenti.

Per aggiungere utenti e fornire loro l'accesso a Oracle Blockchain Platform, effettuare le operazioni riportate di seguito.

1. Aprire l'applicazione di sicurezza associata all'istanza di Oracle Blockchain Platform in Oracle Identity Cloud Service.
2. Fare clic sulla scheda Utenti di Identity Cloud Service nella parte superiore della pagina (non sulla scheda Utenti per l'istanza di Oracle Blockchain Platform).
3. Fare clic su Aggiungi e fornire i dettagli utente, quindi fare clic su Fine.

   Viene visualizzata la pagina Dettagli per l'utente. Verrà inviata un'e-mail all'utente con le informazioni di login.

Usa domini di Identity and Access Management per autenticazione

Se l'istanza utilizza i domini di identità per la gestione delle identità, utilizzare la console di Oracle Cloud Infrastructure per impostare e gestire gli account utente per tutti quelli che si prevede di utilizzare Oracle Blockchain Platform. Dopo aver impostato gli utenti e i gruppi, è possibile assegnare loro le autorizzazioni appropriate (note anche come ruoli applicazione)

Per determinare se il tuo account cloud offre o meno domini di identità, nella console di Oracle Cloud Infrastructure, vai a Identità e sicurezza. In Identità, cercare Domini.

Per accedere a un'istanza di Oracle Blockchain Platform che utilizza i domini di Identity per l'autenticazione, gli utenti di Oracle Blockchain Platform devono prima disporre di credenziali di dominio valide. Gli amministratori del dominio di Identity gestiscono il provisioning degli utenti nel dominio ed eseguono il task di aggiunta degli utenti.

Per aggiungere utenti e fornire loro l'accesso a Oracle Blockchain Platform, effettuare le operazioni riportate di seguito.

1. Aprire il menu di navigazione e fare clic su Identity e sicurezza. In Identità fare clic su Domini.
2. Selezionare il dominio di Identity in cui si desidera lavorare e fare clic su Utenti.
3. Fare clic su Crea utente, Immettere le informazioni sull'utente.

Per ulteriori dettagli, consulta questi argomenti nella documentazione di Oracle Cloud Infrastructure:

• Gestione degli utenti
• Gestione dei gruppi

Assegnazione di ruoli per la rete Oracle Blockchain Platform e le API REST

Questa panoramica descrive i ruoli rilevanti per gli utenti della rete, gli amministratori e gli utenti dell'API REST della console di Oracle Blockchain Platform. Chiunque utilizzi o amministri Oracle Blockchain Platform deve essere aggiunto in Oracle Identity Cloud Service o Identity and Access Management e ottenere il ruolo utente corretto.

Come associare i ruoli agli utenti

Se stai utilizzando IDCS, devi aggiungere i ruoli appropriati per ogni utente in IDCS. Per informazioni su come aggiungere o gestire il ruolo utente in IDCS, vedere Gestione dei ruoli di Oracle Identity Cloud Service per gli utenti.

Se si utilizza IAM con i domini di Identity, è necessario aggiungere i ruoli appropriati per ciascun utente nel dominio.

1. Aprire il menu di navigazione e fare clic su Id entità e sicurezza, quindi su Domini.
2. Selezionare il dominio di Identity in cui si desidera lavorare, quindi selezionare Oracle Cloud Services, quindi scegliere il servizio dall'elenco.
3. In Risorse selezionare Ruoli applicazione.
4. Selezionare il ruolo che si desidera assegnare a un utente, fare clic sull'icona Altro a destra del ruolo e selezionare Assegna utenti.

Ruoli necessari per utilizzare o amministrare la rete o le API REST

Di seguito sono riportati i ruoli disponibili per Oracle Blockchain Platform.

Ruolo Utente	Concesso automaticamente all'autore istanza?	Descrizione
ADMIN	Sì	Questo ruolo è l'amministratore generale dell'applicazione cloud Oracle Blockchain Platform. Per un elenco completo delle funzioni della console disponibili per questo ruolo utente, vedere la tabella riportata in Elenco di controllo dell'accesso per la funzione della console per ruoli utente. Per utilizzare le API REST della rete blockchain amministrativa, è necessario disporre di questo ruolo associato all'ID utente. Tenere presente che le API REST della piattaforma Blockchain amministrativa (piano di controllo) utilizzano il meccanismo di autenticazione di OCI, come descritto qui: Documentazione di Oracle Cloud Infrastructure: API REST. Il ruolo ADMIN descritto in questa tabella si applica solo alle chiamate API REST di amministrazione di rete, alle operazioni dell'applicazione e alle statistiche.
UTENTE		Per un elenco completo delle funzioni della console disponibili per questo ruolo utente, vedere la tabella riportata in Elenco di controllo dell'accesso per la funzione della console per ruoli utente.
CA_USER	Sì	Questo ruolo utente è assegnato ai partecipanti di Oracle Blockchain Platform per concedere all'utente l'accesso per chiamare le API dell'autorità di certificazione.
REST_CLIENT	Sì	Concede all'utente l'accesso per chiamare tutti gli endpoint proxy REST disponibili nel nodo proxy REST con lo stesso numero. Tenere presente che le API REST della piattaforma Blockchain amministrativa (piano di controllo) utilizzano il meccanismo di autenticazione di OCI, come descritto qui: Documentazione di Oracle Cloud Infrastructure: API REST. Il ruolo REST_CLIENT descritto in questa tabella si applica solo alle chiamate API REST di amministrazione di rete, alle operazioni dell'applicazione e alle statistiche.

Lista di controllo dell'accesso per funzione console in base ai ruoli utente

Nella tabella seguente sono elencate le funzioni della console disponibili per i ruoli ADMIN e USER.

Funzione	ADMIN	USER
Dashboard	Sì	Sì
Rete: elenco organizzazioni	Sì	Sì
Rete: aggiungi organizzazioni	Sì	N.
Rete: impostazione del servizio di ordinazione	Sì	N.
Rete: certificati di esportazione	Sì	N.
Rete: impostazioni del programma di ordinazione dell'esportazione	Sì	N.
Rete: aggiungi OSN	Sì	N.
Rete: esporta blocco di configurazione di rete	Sì	N.
Nodo: lista	Sì	Sì
Nodo: avvio/arresto/riavvio	Sì	N.
Nodo: aggiungi/rimuovi	Sì	N.
Nodo: visualizza attributi	Sì	Sì
Nodo: modifica attributi	Sì	N.
Nodo: visualizza metriche	Sì	Sì
Nodo: visualizza log	Sì	Sì
Nodo: esporta/import peer	Sì	N.
Nodo peer: elencare i canali	Sì	Sì
Nodo peer: unisci canale	Sì	N.
Nodo peer: elencare il codice concatenato	Sì	Sì
Ordinatore: esporta impostazioni OSN	Sì	N.
Ordinatore: importa blocco configurazione rete	Sì	N.
Canale: elenco	Sì	Sì
Canale: crea	Sì	N.
Canale: aggiungi organizzazione al canale	Sì	N.
Canale: aggiorna le impostazioni del servizio di ordinazione	Sì	N.
Canale: Visualizza/query libro contabile	Sì	Sì
Canale: codice concatenato con istanza elenco	Sì	Sì
Canale: lista di pari livello uniti	Sì	Sì
Canale: impostare il peer di ancoraggio	Sì	N.
Canale: aggiornamento codice concatenato	Sì	N.
Canale: gestisci amministratore OSN	Sì	N.
Canale: unisci gli ordini al canale	Sì	N.
Canale: rimuovere gli ordini dal canale	Sì	N.
Codice catena: elenco	Sì	Sì
Codice concatenato: installa	Sì	N.
Codice concatenato: creazione istanza	Sì	N.
Codice catena di esempio: install	Sì	N.
Codice catena di esempio: creazione di un'istanza	Sì	N.
Codice concatenato di esempio: richiamo	Sì	Sì
CRL	Sì	N.

Uso di autorizzazioni e criteri per amministrare Oracle Blockchain Platform

Ogni servizio in Oracle Cloud Infrastructure è integrato con Identity and Access Management (IAM) per l'autenticazione e l'autorizzazione, per tutte le interfacce (console, SDK o CLI e API REST). I criteri di autorizzazione IAM consentono di controllare l'accesso alle risorse nella tenancy. Ad esempio, è possibile creare un criterio che autorizzi gli utenti a creare e gestire istanze Oracle Blockchain Platform.

Puoi creare criteri utilizzando la console di Oracle Cloud Infrastructure. Per ulteriori informazioni sui criteri IAM, consulta la panoramica di Oracle Cloud Infrastructure Identity and Access Management nella documentazione di Oracle Cloud Infrastructure. Per informazioni dettagliate sulla scrittura dei criteri, vedere Sintassi dei criteri e Riferimento dei criteri.

Tipi di risorse per Oracle Blockchain Platform

Tipo di risorsa	Autorizzazioni	Descrizione
piattaforme blockchain	BLOCKCHAIN_PLATFORM_CREATE BLOCKCHAIN_PLATFORM_UPDATE BLOCKCHAIN_PLATFORM_INSPECT BLOCKCHAIN_PLATFORM_READ BLOCKCHAIN_PLATFORM_DELETE	Una o più istanze di Oracle Blockchain Platform.
blockchain-piattaforma-richieste di lavoro	BLOCKCHAIN_PLATFORM_WORK_REQUEST_INSPECT BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ BLOCKCHAIN_PLATFORM_WORK_REQUEST_DELETE	Una singola richiesta di lavoro per Oracle Blockchain Platform. Per ogni operazione eseguita in un'istanza di Oracle Blockchain Platform viene creata una richiesta di lavoro. Ad esempio, operazioni quali creazione, avvio, arresto e così via.

Mappa operazioni-autorizzazioni

Nella tabella seguente sono elencate le operazioni IAM specifiche di Oracle Blockchain Platform. È possibile scrivere un criterio IAM che includa queste operazioni oppure è possibile scrivere un criterio che utilizza un verbo definito che incapsula queste operazioni.

ID operazione	Autorizzazioni necessarie per utilizzare l'operazione	Operazione API
createBlockchainPlatform	BLOCKCHAIN_PLATFORM_CREATE	CreateBlockchainPlatform
deleteBlockchainPlatform	BLOCKCHAIN_PLATFORM_DELETE	DeleteBlockchainPlatform
getAllPlatformsInCompartment	BLOCKCHAIN_PLATFORM_INSPECT	GetBlockchainPlatforms
getBlockchainPlatformInformation	BLOCKCHAIN_PLATFORM_READ	GetBlockchainPlatformInformation
getWorkRequest	BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ	GetWorkRequest
getWorkRequestErrors	BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ	ListWorkRequestErrors
getWorkRequestLogs	BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ	ListWorkRequestLogs
listWorkRequests	BLOCKCHAIN_PLATFORM_WORK_REQUEST_INSPECT	ListWorkRequests
restartBlockchainPlatform	BLOCKCHAIN_PLATFORM_UPDATE	RestartBlockchainPlatform
startBlockchainPlatform	BLOCKCHAIN_PLATFORM_UPDATE	StartBlockchainPlatform
stopBlockchainPlatform	BLOCKCHAIN_PLATFORM_UPDATE	StopBlockchainPlatform
updateBlockchainPlatform	BLOCKCHAIN_PLATFORM_UPDATE	UpdateBlockchainPlatform

Dettagli per le combinazioni verbo-tipo di risorsa

Nell'infrastruttura Oracle Cloud è disponibile un set standard di verbi che consente di definire le autorizzazioni di ispezione, lettura, uso e gestione (Inspect, Read, Use, Manage) nelle varie risorse. Queste tabelle elencano le autorizzazioni di Oracle Blockchain Platform associate a ciascun verbo. Il livello di accesso è cumulativo quando si passa da Inspect a Read a Use a Manage.

INSPECT

Risorsa - Tipo	Autorizzazione INSPECT
piattaforme blockchain	BLOCKCHAIN_PLATFORM_INSPECT
blockchain-piattaforma-richieste di lavoro	BLOCKCHAIN_PLATFORM_WORK_REQUEST_INSPECT

READ

Risorsa - Tipo	Autorizzazione READ
piattaforme blockchain	BLOCKCHAIN_PLATFORM_INSPECT BLOCKCHAIN_PLATFORM_READ
blockchain-piattaforma-richieste di lavoro	BLOCKCHAIN_PLATFORM_WORK_REQUEST_INSPECT BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ

USE

Risorsa - Tipo	Autorizzazione USE
piattaforme blockchain	BLOCKCHAIN_PLATFORM_READ BLOCKCHAIN_PLATFORM_UPDATE
blockchain-piattaforma-richieste di lavoro	BLOCKCHAIN_PLATFORM_WORK_REQUEST_INSPECT BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ

GESTISCI

Risorsa - Tipo	Autorizzazione MANAGE
piattaforme blockchain	BLOCKCHAIN_PLATFORM_READ BLOCKCHAIN_PLATFORM_UPDATE BLOCKCHAIN_PLATFORM_CREATE BLOCKCHAIN_PLATFORM_DELETE
blockchain-piattaforma-istanza-richieste di lavoro	BLOCKCHAIN_PLATFORM_WORK_REQUEST_INSPECT BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ BLOCKCHAIN_PLATFORM_WORK_REQUEST_DELETE

Attributi specifici operazione

I valori di queste variabili vengono forniti da Oracle Blockchain Platform. Sono inoltre supportate altre variabili generali. Vedere Variabili generali per tutte le richieste.

Per un determinato tipo di risorsa, è necessario disporre dello stesso set di attributi in tutte le operazioni (get, list, delete e così via). L'unica eccezione riguarda un'operazione create, in cui non si dispone ancora dell'ID per l'oggetto, pertanto non è possibile disporre di un attributo target.RESOURCE-KIND.id per create.

Tipo di risorsa	Nome	Type	Origine
piattaforme blockchain
blockchain-piattaforma-richieste di lavoro