4 ユーザー、アクセス・ロールおよび権限の設定

Oracle Blockchain Platformでサービスを設定した後に完了する最初のタスクの1つは、サービスを使用するすべてのユーザーに対してOracle Identity Cloud Service (IDCS)またはIdentity and Access Management (IAM)アイデンティティ・ドメインでユーザー・アカウントを追加し、サービスで適切な権限を割り当てることです。

IAMアイデンティティ・ドメインをまだサポートしていないリージョンを持つ既存の顧客または新規顧客の場合、IDCSはOracle Blockchain Platformアカウントで使用できます。IDCSを使用してユーザーおよびグループを追加し、それらにOracle Blockchain Platformの使用を制御するためのロールを割り当てます。Oracle Identity Cloud Serviceユーザーの管理およびOracle Identity Cloud Serviceグループの管理を参照してください

新しいお客様で、OCIリージョンがIAMアイデンティティ・ドメインを使用するように移行されている場合は、インスタンスとともにデフォルト・ドメインが作成されます。これを使用してユーザーおよびグループを追加し、それらにOracle Blockchain Platformの使用を制御するためのロールを割り当てることができます。「ユーザーの管理」および「グループの管理」を参照してください。

認証でのOracle Identity Cloud Serviceの使用

Oracle Blockchain Platformは、アイデンティティ管理および認証にOracle Identity Cloud Serviceを使用します。

Oracle Identity Cloud Serviceは、Oracle Cloud管理者に、ユーザーとアプリケーションとの関係をOracle Blockchain Platformのような他のOracle Cloudサービスとの関係も含めて管理するための一元的なセキュリティ・プラットフォームを提供します。Oracle Identity Cloud Serviceを使用すると、カスタム・パスワード・ポリシーおよび電子メール通知の作成、新規ユーザーのオンボード、アプリケーションへのユーザーおよびグループの割当て、セキュリティ・レポートの実行を行うことができます。『Oracle Identity Cloud Serviceの管理』の次のトピックを参照してください:

• Oracle Identity Cloud Serviceの概念について

• Oracle Identity Cloud Serviceへのアクセス方法

アカウント内の各Oracle Cloudサービス・インスタンスは、Oracle Identity Cloud Serviceセキュリティ・アプリケーションに関連付けられます。各セキュリティ・アプリケーションは、1つ以上のアプリケーション・ロールを定義します。サービスへの管理アクセス権を付与するために、これらのアプリケーション・ロールにユーザーおよびグループを割り当てます。『Oracle Identity Cloud Serviceの管理』の次のトピックを参照してください:

• ユーザー・アカウントの作成

• グループの作成

• Oracleアプリケーションへのユーザーの割当て

• Oracleアプリケーションへのグループの割当て

Oracle Cloud InfrastructureコンソールでのOracle Identity Cloud Serviceへの接続

Oracle Blockchain Platformテナンシは、自動的にOracle Identity Cloud Serviceとフェデレートされ、Oracle Cloud Infrastructureでフェデレーテッド・ユーザーをプロビジョニングするように構成されます。

Oracle Cloud InfrastructureコンソールでのOracle Identity Cloud Serviceユーザーおよびグループの管理の説明に従って、Oracle Identity Cloud Serviceを使用してユーザーおよびグループを管理します。

ノート:

以前のバージョンのOracle Identity Cloud Serviceでは、ブロックチェーン・プラットフォーム・アプリケーションは「アプリケーション」の下のナビゲーション・ドロワーに含まれていました。Oracle Identity Cloud ServiceがOracle Cloud Infrastructureと統合されたため、別のURLがなくなりました。ブロックチェーン・プラットフォーム・アプリケーションは、「アイデンティティとセキュリティ」、「ドメイン」のナビゲーション・ドロワーのOracle Cloud Servicesの下にあります。

ユーザーの作成および権限プロセスの概要:

1. Oracle Cloud Infrastructureで、「アイデンティティとセキュリティ」に移動して「ドメイン」を選択します。必要なユーザーを作成します。
2. 1つ以上のグループを作成し、必要に応じてユーザーを適切なグループに割り当てます。
3. アクセスを制御するために必要なポリシーを定義します。
4. Oracle Cloud Infrastructureのユーザーに、特定のコンパートメントおよびOracle Blockchain Platformインスタンスにアクセスするための適切な権限を付与します。

Oracle Identity Cloud Serviceユーザーの追加

認証にOracle Identity Cloud Serviceを使用するOracle Blockchain Platformインスタンスにアクセスするには、Oracle Blockchain Platformユーザーはまず有効なOracle Identity Cloud Service資格証明を持っている必要があります。管理者は、Oracle Identity Cloud Serviceでユーザーのプロビジョニングを管理し、ユーザーを追加するタスクを実行します。

ユーザーを追加してOracle Blockchain Platformへのアクセス権を付与するには:

1. Oracle Identity Cloud ServiceでOracle Blockchain Platformインスタンスに関連付けられているセキュリティ・アプリケーションを開きます。
2. ページ上部の「Identity Cloud Service」「Users」タブをクリックします(Oracle Blockchain Platformインスタンスの「Users」タブではありません)。
3. 「Add」をクリックしてユーザー詳細を指定し、「Finish」をクリックします。

   ユーザーの「詳細」ページが表示されます。ログイン情報を含む電子メールがユーザーに送信されます。

認証のためのIdentity and Access Managementアイデンティティ・ドメインの使用

インスタンスでアイデンティティ管理にアイデンティティ・ドメインを使用している場合は、Oracle Cloud Infrastructure Consoleを使用して、Oracle Blockchain Platformを使用する予定の全員についてユーザー・アカウントを設定および管理します。ユーザーおよびグループを設定した後、適切な権限(アプリケーション・ロールとも呼ばれる)を割り当てます

クラウド・アカウントでアイデンティティ・ドメインを提供するかどうかを確認するには、Oracle Cloud Infrastructure Consoleで「アイデンティティとセキュリティ」に移動します。「アイデンティティ」で、「ドメイン」を検索します。

認証にアイデンティティ・ドメインを使用するOracle Blockchain Platformインスタンスにアクセスするには、まずOracle Blockchain Platformユーザーが有効なドメイン資格証明を持っている必要があります。アイデンティティ・ドメイン管理者は、ドメイン内のユーザーのプロビジョニングを管理し、ユーザーを追加するタスクを実行します。

ユーザーを追加してOracle Blockchain Platformへのアクセス権を付与するには:

1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ドメイン」をクリックします。
2. 作業するアイデンティティ・ドメインを選択し、「ユーザー」をクリックします。
3. 「ユーザーの作成」をクリックします。ユーザー情報を入力します。

詳細は、Oracle Cloud Infrastructureドキュメントの次のトピックを参照してください:

• ユーザーの管理
• グループの管理

Oracle Blockchain PlatformネットワークおよびREST APIのロールの割当て

この概要では、Oracle Blockchain Platformネットワーク・ユーザー、管理者およびコンソールREST APIユーザーに関連するロールについて説明します。Oracle Blockchain Platformを使用または管理するすべてのユーザーは、Oracle Identity Cloud ServiceまたはIdentity and Access Managementで追加し、適切なユーザー・ロールを付与する必要があります。

ユーザーへの役割の関連付け方法

IDCSを使用している場合は、IDCSの各ユーザーに適切なロールを追加する必要があります。IDCSでユーザー・ロールを追加または管理する方法の詳細は、ユーザーのOracle Identity Cloud Serviceロールの管理を参照してください。

アイデンティティ・ドメインでIAMを使用している場合は、ドメイン内の各ユーザーに適切なロールを追加する必要があります。

1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」、「ドメイン」の順にクリックします。
2. 作業するアイデンティティ・ドメインを選択し、「Oracle Cloud Services」を選択してから、リストからサービスを選択します。
3. 「リソース」で、「アプリケーション・ロール」を選択します。
4. ユーザーに割り当てるロールを選択し、ロールの右側にある「詳細」アイコンをクリックして、ユーザーの割当てを選択します。

ネットワークまたはREST APIを使用または管理するために必要なロール

Oracle Blockchain Platformで使用可能なロールは次のとおりです。

ユーザー・ロール	インスタンス作成者に自動的に付与されるか	説明
管理	○	このロールは、Oracle Blockchain Platformクラウド・アプリケーションの全体的な管理者です。 このユーザー・ロールで使用可能なコンソール機能の完全なリストは、ユーザー・ロール別コンソール機能のアクセス制御リストの表を参照してください。 管理ブロックチェーン・ネットワークREST APIを使用するには、このロールをユーザーIDに関連付ける必要があります。 管理Blockchain Platform (コントロール・プレーン) REST APIでは、Oracle Cloud Infrastructureドキュメント: REST APIで説明されているように、OCIの認証メカニズムが使用されることに注意してください。この表で説明するADMINロールは、ネットワーク管理、アプリケーション操作および統計REST APIコールにのみ適用されます。
ユーザー		このユーザー・ロールで使用可能なコンソール機能の完全なリストは、ユーザー・ロール別コンソール機能のアクセス制御リストの表を参照してください。
CA_USER	○	このユーザー・ロールは、認証局APIをコールするためのアクセス権をユーザーに付与するために、Oracle Blockchain Platform参加者に割り当てられます。
REST_CLIENT	○	RESTプロキシ・ノードで使用可能なすべてのRESTプロキシ・エンドポイントを同じ番号でコールするためのアクセス権をユーザーに付与します。 管理Blockchain Platform (コントロール・プレーン) REST APIでは、Oracle Cloud Infrastructureドキュメント: REST APIで説明されているように、OCIの認証メカニズムが使用されることに注意してください。この表で説明されているREST_CLIENTロールは、ネットワーク管理、アプリケーション操作および統計REST APIコールにのみ適用されます。

ユーザー・ロール別コンソール機能のアクセス制御リスト

次の表に、ADMINおよびUSERロールで使用可能なコンソール機能を示します。

機能	ADMIN	USER
ダッシュボード	○	○
ネットワーク: 組織のリスト	○	○
ネットワーク: 組織の追加	○	×
ネットワーク: オーダー・サービスの設定	○	×
ネットワーク: 証明書のエクスポート	○	×
ネットワーク: オーダラ設定のエクスポート	○	×
ネットワーク: OSNの追加	○	×
ネットワーク: ネットワーク構成ブロックのエクスポート	○	×
ノード: リスト	○	○
ノード: 起動/停止/再起動	○	×
ノード: 追加/削除	○	×
ノード: 属性の表示	○	○
ノード: 属性の編集	○	×
ノード: メトリックの表示	○	○
ノード: ログの表示	○	○
ノード: ピアのエクスポート/インポート	○	×
ノード: VMの配置の表示	○	○
ピア・ノード: チャネルのリスト	○	○
ピア・ノード: チャネルへの参加	○	×
ピア・ノード: チェーンコードのリスト	○	○
オーダラ: OSN設定のエクスポート	○	×
オーダラ: ネットワーク構成ブロックのインポート	○	×
チャネル: リスト	○	○
チャネル: 作成	○	×
チャネル: チャネルへの組織の追加	○	×
チャネル: オーダリング・サービス設定の更新	○	×
チャネル: 台帳の表示/問合せ	○	○
チャネル: インスタンス化されたチェーンコードのリスト	○	○
チャネル: 参加したピアのリスト	○	○
チャネル: アンカー・ピアの設定	○	×
チャネル: チェーンコードのアップグレード	○	×
チャネル: OSN管理者の管理	○	×
チャネル: チャネルへのオーダラの参加	○	×
チャネル: チャネルからのオーダラの削除	○	×
チェーンコード: リスト	○	○
チェーンコード: インストール	○	×
チェーンコード: インスタンス化	○	×
サンプル・チェーンコード: インストール	○	×
サンプル・チェーンコード: インスタンス化	○	×
サンプル・チェーンコード: 呼出し	○	○
CRL	○	×

権限とポリシーを使用したOracle Blockchain Platformの管理

Oracle Cloud Infrastructureの各サービスは、すべてのインタフェース(コンソール、SDKまたはCLI、およびREST API)で、認証および認可のためにアイデンティティおよびアクセス管理(IAM)と統合されます。IAM認可ポリシーを使用して、テナンシ内のリソースへのアクセスを制御します。たとえば、ユーザーにOracle Blockchain Platformインスタンスの作成と管理を認可するポリシーを作成できます。

ポリシーはOracle Cloud Infrastructureコンソールを使用して作成します。IAMポリシーの詳細は、Oracle Cloud InfrastructureドキュメントのOracle Cloud Infrastructure Identity and Access Managementの概要を参照してください。ポリシーの記述の詳細は、ポリシー構文およびポリシー・リファレンスを参照してください。

Oracle Blockchain Platformのリソース・タイプ

リソースの種類	権限	説明
blockchain-platforms	BLOCKCHAIN_PLATFORM_CREATE BLOCKCHAIN_PLATFORM_UPDATE BLOCKCHAIN_PLATFORM_INSPECT BLOCKCHAIN_PLATFORM_READ BLOCKCHAIN_PLATFORM_DELETE	1つ以上のOracle Blockchain Platformインスタンス。
blockchain-platform-work-requests	BLOCKCHAIN_PLATFORM_WORK_REQUEST_INSPECT BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ BLOCKCHAIN_PLATFORM_WORK_REQUEST_DELETE	Oracle Blockchain Platformの単一の作業リクエスト。 Oracle Blockchain Platformインスタンスで実行する操作ごとに、作業リクエストが作成されます。たとえば、作成、起動、停止などの操作です。

操作と権限のマップ

次の表に、Oracle Blockchain Platformに固有のIAM操作を示します。これらの操作を含むIAMポリシーを記述することも、これらの操作をカプセル化する定義済動詞を使用したポリシーを記述することもできます。

操作ID	操作の使用に必要な権限	API操作
createBlockchainPlatform	BLOCKCHAIN_PLATFORM_CREATE	CreateBlockchainPlatform
deleteBlockchainPlatform	BLOCKCHAIN_PLATFORM_DELETE	DeleteBlockchainPlatform
getAllPlatformsInCompartment	BLOCKCHAIN_PLATFORM_INSPECT	GetBlockchainPlatforms
getBlockchainPlatformInformation	BLOCKCHAIN_PLATFORM_READ	GetBlockchainPlatformInformation
getWorkRequest	BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ	GetWorkRequest
getWorkRequestErrors	BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ	ListWorkRequestErrors
getWorkRequestLogs	BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ	ListWorkRequestLogs
listWorkRequests	BLOCKCHAIN_PLATFORM_WORK_REQUEST_INSPECT	ListWorkRequests
restartBlockchainPlatform	BLOCKCHAIN_PLATFORM_UPDATE	RestartBlockchainPlatform
startBlockchainPlatform	BLOCKCHAIN_PLATFORM_UPDATE	StartBlockchainPlatform
stopBlockchainPlatform	BLOCKCHAIN_PLATFORM_UPDATE	StopBlockchainPlatform
updateBlockchainPlatform	BLOCKCHAIN_PLATFORM_UPDATE	UpdateBlockchainPlatform

動詞とリソース・タイプの組合せの詳細

Oracle Cloud Infrastructureでは、Oracle Cloud Infrastructureリソース全体の権限を定義する動詞の標準セットを提供しています(Inspect、Read、Use、Manage)。次の表は、各動詞に関連付けられているOracle Blockchain Platform権限を示しています。アクセスのレベルは、InspectからRead、Use、Manageの順に累積します。

INSPECT

リソース・タイプ	INSPECT権限
blockchain-platforms	BLOCKCHAIN_PLATFORM_INSPECT
blockchain-platform-work-requests	BLOCKCHAIN_PLATFORM_WORK_REQUEST_INSPECT

読取り

リソース・タイプ	READ権限
blockchain-platforms	BLOCKCHAIN_PLATFORM_INSPECT BLOCKCHAIN_PLATFORM_READ
blockchain-platform-work-requests	BLOCKCHAIN_PLATFORM_WORK_REQUEST_INSPECT BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ

使用

リソース・タイプ	USE権限
blockchain-platforms	BLOCKCHAIN_PLATFORM_READ BLOCKCHAIN_PLATFORM_UPDATE
blockchain-platform-work-requests	BLOCKCHAIN_PLATFORM_WORK_REQUEST_INSPECT BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ

管理

リソース・タイプ	MANAGE権限
blockchain-platforms	BLOCKCHAIN_PLATFORM_READ BLOCKCHAIN_PLATFORM_UPDATE BLOCKCHAIN_PLATFORM_CREATE BLOCKCHAIN_PLATFORM_DELETE
blockchain-platform-instance-work-requests	BLOCKCHAIN_PLATFORM_WORK_REQUEST_INSPECT BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ BLOCKCHAIN_PLATFORM_WORK_REQUEST_DELETE

操作固有の属性

これらの変数の値は、Oracle Blockchain Platformによって提供されます。さらに、他の一般的な変数もサポートされています。すべてのリクエストの一般的な変数を参照してください。

特定のリソースの種類について、すべての操作(get、list、deleteなど)で同じ属性セットを使用する必要があります。ただし、create操作の場合は例外で、そのオブジェクトのIDはまだないため、createでtarget.RESOURCE-KIND.ID属性を使用することはできません。

リソースの種類	名前	タイプ	ソース:
blockchain-platforms
blockchain-platform-work-requests