4 사용자 관리
Blockchain Platform Manager는 설치 중에 초기 IAM(ID 및 액세스 관리)에 통합 OpenLDAP 서버를 사용합니다. 이 OpenLDAP 서버는 사용자 자격 증명을 관리하고 미리 구성된 그룹을 사용하여 RBAC(역할 기반 액세스 제어)를 적용합니다. 인증서 및 그룹 멤버쉽과 같은 모든 사용자 정보는 이 OpenLDAP 서버에 저장됩니다.
블록체인 플랫폼 관리자는 LDAP 기반 인증 외에도 OIDC(OpenID Connect)를 통해 외부 ID 관리 시스템(IdMs)과의 통합을 지원합니다. 이를 통해 향상된 상호 운용성을 위해 산업 표준 인증 프로토콜을 사용할 수 있습니다.
LDAP 구성 관리
Blockchain Platform Manager는 LDAP 서버 관리를 위한 전용 구성 페이지를 제공합니다. 지원되는 작업은 다음과 같습니다.
- 새로 추가: 내장된 OpenLDAP 서버의 대안으로 Blockchain Platform Manager에 대한 외부 LDAP 서버를 구성합니다.
- 저장: 새 LDAP 서버 구성 또는 업데이트된 LDAP 서버 구성을 저장합니다.
- 활성 설정: 기존 LDAP 구성을 활성으로 지정합니다.
- 저장 및 활성 설정: 변경 사항을 저장하고 업데이트된 구성을 활성으로 즉시 설정합니다.
- 구성 테스트: Blockchain Platform Manager에서 지정된 LDAP 서버에 대한 연결 및 접근성을 확인합니다.
그룹 만들기 및 관리
생성된 각 Blockchain Platform Manager 인스턴스에 대해 다음 그룹이 OpenLDAP 서버에서 프로비저닝됩니다.
| 사용자 롤 | LDAP 그룹 이름 | 설명 |
|---|---|---|
| 플랫폼 관리 | OBP_Blockchain Platform Manager<id>_CP_ADMIN |
이 그룹의 사용자는 인스턴스를 프로비전하고, 기존 인스턴스를 구성하고, LDAP 구성을 설정하고, 인스턴스에 대한 수명 주기 작업을 완료할 수 있습니다.
블록체인 플랫폼 관리자에 로그인하거나 인스턴스를 생성하려면 사용자가 이 그룹의 멤버여야 합니다. |
| 인스턴스 관리자 | BESU_ADMIN_<instance_uuid> |
이 그룹의 사용자는 콘솔 UI를 사용하여 인스턴스를 관리할 수 있습니다. |
| 인스턴스 연산자 | BESU_OPERATOR_<instance_uuid> |
연산자는 읽기 전용 사용자입니다. 운영자는 서비스 콘솔의 계정 페이지에 액세스할 수 없습니다. |
| RPC 프록시 클라이언트 | BESU_RPC_GW_<instance_uuid> |
RPC 프록시 사용자는 일반적으로 클라이언트 응용 프로그램입니다. |
Blockchain Platform Manager를 통해 프로비저닝된 모든 사용자는 네 그룹 모두에 자동으로 추가됩니다.
토큰 발행 및 그룹 멤버쉽 전파
새 인스턴스가 생성되면 Blockchain Platform Manager는 사용자 ID 및 관련 클라이언트/당사자 정보를 포함하여 필수 클레임으로 토큰 발행을 사용하도록 인증 서버를 구성합니다. 각 토큰에는 페이로드 클레임에 캡슐화된 그룹 멤버쉽 정보가 포함됩니다. 인스턴스 구성요소는 이러한 클레임을 사용하여 워크로드 POD에 대한 외부 액세스를 승인하거나 차단합니다.
jXplorer과 같은 OpenLDAP 브라우저를 사용하여 사용자를 OpenLDAP 서버에 직접 추가할 수 있습니다. Blockchain Platform Manager 관리자는 설치 중에 제공된 관리자 사용자 이름과 암호를 사용하여 SSL이 사용으로 설정된 openldap.<cp-name>.<cp-domain>:443에 연결할 수 있습니다. 연결되면 관리자는 사용자를 추가하고 그룹을 지정하거나 수정하여 적절한 액세스 레벨을 제공할 수 있습니다.