4 ユーザー管理
Blockchain Platform Managerは、インストール中に初期Identity and Access Management (IAM)用に統合OpenLDAPサーバーを使用します。このOpenLDAPサーバーは、ユーザー資格証明を管理し、事前構成済のグループを使用してロール・ベースのアクセス制御(RBAC)を適用します。資格証明やグループ・メンバーシップなどのすべてのユーザー情報は、このOpenLDAPサーバーに格納されます。
Blockchain Platform Managerでは、LDAPベースの認証に加えて、OpenID Connect (OIDC)を介した外部アイデンティティ管理システム(IdMs)との統合もサポートされています。これにより、相互運用性を高めるために業界標準の認証プロトコルを使用できます。
LDAP構成管理
Blockchain Platform Managerには、LDAPサーバーを管理するための専用の構成ページが用意されています。次のアクションがサポートされます。
- 新規追加:組込みのOpenLDAPサーバーの代替として、Blockchain Platform Manager用の外部LDAPサーバーを構成します。
- 保存:新規または更新済のLDAPサーバー構成を保存します。
- Set Active:既存のLDAP構成をアクティブとして指定します。
- Save and Set Active:変更を保存し、更新した構成をすぐにアクティブに設定します。
- 構成のテスト: Blockchain Platform Managerから、指定されたLDAPサーバーへの接続性およびアクセシビリティを確認します。
グループの作成および管理
作成されたBlockchain Platform Managerインスタンスごとに、次のグループがOpenLDAPサーバーにプロビジョニングされます。
| ユーザー・ロール | LDAPグループ名 | 説明 |
|---|---|---|
| プラットフォーム管理 | OBP_Blockchain Platform Manager<id>_CP_ADMIN |
このグループのユーザーは、インスタンスをプロビジョニングし、既存のインスタンスを構成し、LDAP構成を設定し、インスタンスに対するライフサイクル操作を完了できます。
ユーザーがBlockchain Platform Managerにログインしたり、インスタンスを作成できるようにするには、このグループのメンバーである必要があります。 |
| インスタンス管理者 | BESU_ADMIN_<instance_uuid> |
このグループのユーザーは、コンソールUIを使用してインスタンスを管理できます。 |
| インスタンス演算子 | BESU_OPERATOR_<instance_uuid> |
演算子は読取り専用ユーザーです。オペレータは、サービス・コンソールの「アカウント」ページにアクセスできません。 |
| RPCプロキシ・クライアント | BESU_RPC_GW_<instance_uuid> |
通常、RPCプロキシ・ユーザーはクライアント・アプリケーションです。 |
Blockchain Platform Managerを介してプロビジョニングされたすべてのユーザーが、4つのグループすべてに自動的に追加されます。
トークン発行およびグループ・メンバーシップ伝播
新しいインスタンスが作成されると、Blockchain Platform Managerは認証サーバーを構成して、ユーザー・アイデンティティや関連するクライアント/パーティ情報など、必要な要求によるトークン発行を有効にします。各トークンには、ペイロード要求にカプセル化されたグループ・メンバーシップ情報が含まれます。インスタンス・コンポーネントは、これらの要求を使用して、ワークロード・ポッドへの外部アクセスを認可またはブロックします。
OpenLDAPブラウザ(jXplorerなど)を使用して、ユーザーをOpenLDAPサーバーに直接追加できます。Blockchain Platform Manager管理者は、インストール時に提供された管理者のユーザー名とパスワードを使用して、SSLを有効にしてopenldap.<cp-name>.<cp-domain>:443に接続できます。接続すると、管理者はユーザーを追加したり、グループを割り当てたり変更したりして、適切なアクセス・レベルを与えることができます。