4 Gestione utenti
Blockchain Platform Manager utilizza un server OpenLDAP integrato per IAM (Identity and Access Management) iniziale durante l'installazione. Questo server OpenLDAP gestisce le credenziali utente e applica il controllo dell'accesso basato sui ruoli (RBAC, Role-Based Access Control) utilizzando gruppi preconfigurati. Tutte le informazioni sull'utente, ad esempio le credenziali e le appartenenze ai gruppi, vengono memorizzate in questo server OpenLDAP.
Oltre all'autenticazione basata su LDAP, Blockchain Platform Manager supporta l'integrazione con sistemi di gestione delle identità esterni (IdMs) tramite OpenID Connect (OIDC). Ciò consente l'uso di protocolli di autenticazione standard del settore per una maggiore interoperabilità.
Gestione configurazione LDAP
Blockchain Platform Manager fornisce una pagina di configurazione dedicata per la gestione dei server LDAP. Sono supportate le seguenti azioni:
- Aggiungi nuovo: configurare un server LDAP esterno per Blockchain Platform Manager, in alternativa al server OpenLDAP integrato.
- Salva: consente di salvare una configurazione server LDAP nuova o aggiornata.
- Imposta attivo: designare una configurazione LDAP esistente come attiva.
- Salva e imposta come attivo: consente di salvare le modifiche e impostare immediatamente la configurazione aggiornata come attiva.
- Test della configurazione: verificare la connettività e l'accesso facilitato al server LDAP specificato da Blockchain Platform Manager.
Creazione e gestione di gruppi
Per ogni istanza di Blockchain Platform Manager creata, viene eseguito il provisioning dei gruppi riportati di seguito nel server OpenLDAP.
| Ruolo Utente | Nome gruppo LDAP | Descrizione |
|---|---|---|
| Gestione della piattaforma | OBP_Blockchain Platform Manager<id>_CP_ADMIN |
Gli utenti di questo gruppo possono eseguire il provisioning di un'istanza, configurare le istanze esistenti, impostare la configurazione LDAP e completare le operazioni del ciclo di vita sulle istanze.
Un utente deve essere membro di questo gruppo per poter eseguire il login a Blockchain Platform Manager o creare un'istanza. |
| Amministratore istanza | BESU_ADMIN_<instance_uuid> |
Gli utenti di questo gruppo possono gestire le istanze utilizzando l'interfaccia utente della console. |
| Operatore istanza | BESU_OPERATOR_<instance_uuid> |
Gli operatori sono utenti di sola lettura. Gli operatori non hanno accesso alla pagina Account nella console del servizio. |
| Client proxy RPC | BESU_RPC_GW_<instance_uuid> |
Gli utenti proxy RPC sono in genere applicazioni client. |
Tutti gli utenti di cui è stato eseguito il provisioning tramite Blockchain Platform Manager vengono aggiunti automaticamente a tutti e quattro i gruppi.
Emissione token e propagazione appartenenza gruppo
Quando viene creata una nuova istanza, Blockchain Platform Manager configura il server di autenticazione per abilitare l'emissione di token con richieste di rimborso obbligatorie, tra cui l'identità utente e le informazioni rilevanti su client/parte. Ogni token include informazioni sull'appartenenza al gruppo, incapsulate in una richiesta di payload. I componenti dell'istanza utilizzano queste richieste per autorizzare o bloccare l'accesso esterno ai pod del carico di lavoro.
È possibile aggiungere utenti direttamente al server OpenLDAP utilizzando i browser OpenLDAP come jXplorer. Gli amministratori di Blockchain Platform Manager possono utilizzare il nome utente e la password dell'amministratore forniti durante l'installazione per connettersi a openldap.<cp-name>.<cp-domain>:443 con SSL abilitato. Una volta connessi, gli amministratori possono quindi aggiungere utenti e assegnare o modificare gruppi per fornire i livelli di accesso appropriati.