4 Configurar Usuários, Atribuições de Acesso e Permissões

Uma das primeiras tarefas a serem concluídas após a configuração de um serviço com o Oracle Blockchain Platform é adicionar contas de usuário no Oracle Identity Cloud Service (IDCS) ou no seu domínio de identidades do IAM (Identity and Access Management) para todos que você espera que vão usar o serviço e designar a eles permissões adequadas no serviço.

Se você for um cliente existente ou um novo cliente cuja região ainda não suporta domínios de identidade do IAM, o IDCS estará disponível com sua conta do Oracle Blockchain Platform. Use o IDCS para adicionar usuários e grupos e designar-lhes atribuições para controlar o uso do Oracle Blockchain Platform. Consulte Gerenciar Usuários do Oracle Identity Cloud Service e Gerenciar Grupos do Oracle Identity Cloud Service

Se você for um novo cliente e sua região do OCI tiver sido migrada para usar domínios de identidades do serviço IAM, um domínio padrão será criado com sua instância. Você pode usar isso para adicionar usuários e grupos e designar-lhes atribuições para controlar o uso do Oracle Blockchain Platform. Consulte Gerenciando Usuários e Gerenciando Grupos.

Usar o Oracle Identity Cloud Service para Autenticação

O Oracle Blockchain Platform usa o Oracle Identity Cloud Service para gerenciamento e autenticação de identidades.

O Oracle Identity Cloud Service fornece aos administradores do Oracle Cloud uma plataforma de segurança central para gerenciar os relacionamentos que seus usuários têm com seus aplicativos, inclusive com outros serviços Oracle Cloud, como o Oracle Blockchain Platform. Com o Oracle Identity Cloud Service, você pode criar políticas de senha personalizadas e notificações por e-mail, integrar novos usuários, designar usuários e grupos a aplicativos e executar relatórios de segurança. Consulte estes tópicos em Administrando o Oracle Identity Cloud Service:

Cada instância de serviço do Oracle Cloud em sua conta está associada a um aplicativo de segurança do Oracle Identity Cloud Service. Cada aplicativo de segurança define uma ou mais atribuições de aplicativo. Designe usuários e grupos a essas atribuições de aplicativo para conceder a eles acesso administrativo a um serviço. Consulte estes tópicos em Administrando o Oracle Identity Cloud Service:

Estabelecendo Conexão com o Oracle Identity Cloud Service na Console do Oracle Cloud Infrastructure

As tenancies do Oracle Blockchain Platform são automaticamente federadas junto ao Oracle Identity Cloud Service e configuradas para provisionar usuários federados no Oracle Cloud Infrastructure.

Você gerencia usuários e grupos por meio do Oracle Identity Cloud Service conforme descrito em Gerenciando Usuários e Grupos do Oracle Identity Cloud Service na Console do Oracle Cloud Infrastructure.

Observação:

Em versões anteriores do Oracle Identity Cloud Service, os aplicativos da Plataforma Blockchain estavam na Gaveta de Navegação em Aplicativos. Agora que o Oracle Identity Cloud Service foi integrado ao Oracle Cloud Infrastructure, ele não tem mais um URL separado. Os aplicativos do Blockchain Platform agora podem ser encontrados no Oracle Cloud Services na Gaveta de Navegação em Identidade e Segurança e, em seguida, em Domínios.
Visão geral do processo de criação e permissões do usuário:
  1. No Oracle Cloud Infrastructure, vá para Identidade e Segurança e selecione Domínios. Crie os usuários necessários.
  2. Crie um ou mais grupos e atribua usuários aos grupos apropriados, conforme necessário.
  3. Defina as políticas necessárias para controlar o acesso.
  4. Conceda aos usuários dos grupos do Oracle Cloud Infrastructure as permissões apropriadas para acessar compartimentos específicos e instâncias do Oracle Blockchain Platform.

Adicionar Usuários do Oracle Identity Cloud Service

Para acessar uma instância do Oracle Blockchain Platform que usa o Oracle Identity Cloud Service para autenticação, os usuários do Oracle Blockchain Platform devem primeiro ter credenciais válidas do Oracle Identity Cloud Service. Os administradores gerenciam o provisionamento de usuários no Oracle Identity Cloud Service e executam a tarefa de adicionar usuários.

Para adicionar usuários e fornecer a eles acesso ao Oracle Blockchain Platform:
  1. Abra o aplicativo de segurança associado à instância do Oracle Blockchain Platform no Oracle Identity Cloud Service.
  2. Clique na guia Usuários do Identity Cloud Service na parte superior da página (não na guia Usuários da instância do Oracle Blockchain Platform).
  3. Clique em Adicionar e forneça os detalhes do usuário; clique em Finalizar.

    A página Detalhes é exibida para o usuário. Um e-mail será enviado ao usuário com informações de login.

Usar Domínios de Identidade do Identity and Access Management para Autenticação

Se sua instância usar domínios de identidade para o gerenciamento de identidades, use a Console do Oracle Cloud Infrastructure para configurar e gerenciar contas de usuário para todos que você espera que usem o Oracle Blockchain Platform. Após configurar os usuários e grupos, você atribui a eles permissões adequadas (também conhecidas como atribuições de aplicativo)

Para determinar se sua conta da nuvem oferece ou não domínios de identidade, na Console do Oracle Cloud Infrastructure, navegue até Identidade e Segurança. Em Identidade, procure Domínios.

Para acessar uma instância do Oracle Blockchain Platform que usa domínios de identidade para autenticação, os usuários do Oracle Blockchain Platform devem primeiro ter credenciais de domínio válidas. Os Administradores de Domínio de Identidades gerenciam o provisionamento de usuários no domínio e executam a tarefa de adicionar usuários.

Para adicionar usuários e fornecer a eles acesso ao Oracle Blockchain Platform:
  1. Abra o menu de navegação e clique em Identidade e Segurança. Em Identidade, clique em Domínios.
  2. Selecione o domínio de identidades no qual você deseja trabalhar e clique em Usuários.
  3. Clique em Criar usuário. Especifique as informações do usuário.
Para obter detalhes adicionais, consulte estes tópicos na documentação do Oracle Cloud Infrastructure:

Designando Atribuições para a Rede do Oracle Blockchain Platform e APIs REST

Esta visão geral descreve as atribuições relevantes para usuários de rede, administradores e usuários da API REST do Oracle Blockchain Platform da console. Qualquer pessoa que usa ou administra o Oracle Blockchain Platform deve ser adicionada ao Oracle Identity Cloud Service ou Identity and Access Management e com a atribuição correta do usuário.

Como associar funções a usuários

Se você estiver usando o IDCS, precisará adicionar as atribuições apropriadas para cada usuário no IDCS. Para obter informações sobre como adicionar ou gerenciar a atribuição de usuário no IDCS, consulte Gerenciando Atribuições do Oracle Identity Cloud Service para Usuários.

Se você estiver usando o serviço IAM com domínios de identidades, precisará adicionar as atribuições apropriadas para cada usuário no domínio.
  1. Abra o menu de navegação e clique em Identidade & Segurança; em seguida, em Domínios.
  2. Selecione o domínio de identidades no qual você deseja trabalhar e, em seguida, selecione Oracle Cloud Services e, em seguida, escolha seu serviço na lista.
  3. Em Recursos, selecione Funções de aplicativo.
  4. Selecione a atribuição que deseja designar a um usuário, clique no ícone Mais à direita da atribuição e selecione Designar Usuários.

Atribuições Necessárias para Usar ou Administrar a Rede ou APIs REST

Abaixo estão as atribuições disponíveis para o Oracle Blockchain Platform.

Atribuição do Usuário Concedido Automaticamente para o Criador da Instância? Descrição
ADMIN Sim

Esta atribuição é o administrador geral do aplicativo Oracle Blockchain Platform na nuvem.

Consulte a tabela na Lista de Controle de Acesso para Função da Console por Atribuições de Usuário para obter uma lista completa de funções da console disponíveis para esta atribuição de usuário.

Para usar as APIs REST da rede blockchain administrativa, você deve ter essa atribuição associada ao seu ID de usuário.

Observe que as APIs REST administrativas do Blockchain Platform (plano de controle) usam o mecanismo de autenticação do OCI, conforme descrito aqui: Documentação do Oracle Cloud Infrastructure: APIs REST. A atribuição ADMIN descrita nesta tabela só se aplica a chamadas de API REST de administração de rede, operações de aplicativo e estatísticas.

USUÁRIO   Consulte a tabela na Lista de Controle de Acesso para Função da Console por Atribuições de Usuário para obter uma lista completa de funções da console disponíveis para esta atribuição de usuário.
CA_USER Sim Esta atribuição de usuário é designada aos participantes do Oracle Blockchain Platform para conceder ao usuário acesso para chamar APIs de autoridade de certificação.
REST_CLIENT Sim

Concede ao usuário acesso para chamar todos os pontos finais proxy do REST disponíveis no nó proxy do REST com o mesmo número.

Observe que as APIs REST administrativas do Blockchain Platform (plano de controle) usam o mecanismo de autenticação do OCI, conforme descrito aqui: Documentação do Oracle Cloud Infrastructure: APIs REST. A atribuição REST_CLIENT descrita nesta tabela só se aplica a chamadas de API REST de administração de rede, operações de aplicativo e estatísticas.

Lista de Controle de Acesso para Função da Console por Atribuições de Usuário

A tabela a seguir lista quais recursos da console estão disponíveis para as atribuições ADMIN e USER.

Recurso ADMIN USER

Dashboard

Sim

Sim

Rede: listar organizações

Sim

Sim

Rede: adicionar organizações

Sim

No

Rede: definição de serviço de ordenamento

Sim

No

Rede: certificados de exportação

Sim

No

Rede: definições do ordenador de exportação

Sim

No

Rede: adicionar OSN

Sim

No

Rede: exportar bloco de configuração de rede

Sim

No

Nó: listar

Sim

Sim

Nó: iniciar/interromper/reiniciar

Sim

No

Nó: adicionar/remover

Sim

No

Nó: exibir atributos

Sim

Sim

Nó: editar atributos

Sim

No

Nó: exibir métricas

Sim

Sim

Nó: exibir logs

Sim

Sim

Nó: exportar/importar pares

Sim

No

Nó: mostrar o posicionamento da VM

Sim

Sim

Nó de Mesmo Nível: listar canais

Sim

Sim

Nó de Mesmo Nível: unir canal

Sim

No

Nó de Mesmo Nível: listar chaincode

Sim

Sim

Ordenador: exportar definições de OSN

Sim

No

Ordenador: importar bloco de configuração de rede

Sim

No

Canal: listar

Sim

Sim

Canal: criar

Sim

No

Canal: adicionar org ao canal

Sim

No

Canal: atualizar definições de serviço de ordenamento

Sim

No

Canal: verificar/consultar registro

Sim

Sim

Canal: listar chaincode instanciado

Sim

Sim

Canal: listar pares unidos

Sim

Sim

Canal: definir par âncora

Sim

No

Canal: fazer upgrade do chaincode

Sim

No

Canal: gerenciar administrador do OSN

Sim

No

Canal: juntar ordenadores ao canal

Sim

No
Canal: remover ordenadores do canal

Sim

No

Chaincode: listar

Sim

Sim

Chaincode: instalar

Sim

No

Chaincode: instanciar

Sim

No

Amostra de chaincode: instalar

Sim

No

Amostra de chaincod: instanciar

Sim

No

Amostra de chaincode: chamar

Sim

Sim

CRL

Sim

No

Usando Permissões e Políticas para Administrar o Oracle Blockchain Platform

Cada serviço no Oracle Cloud Infrastructure integra-se ao serviço IAM (Identity and Access Management) para autenticação e autorização, em todas as interfaces (Console, SDK ou CLI e API REST). Você usa as políticas de autorização do serviço IAM para controlar o acesso a recursos em sua tenancy. Por exemplo, você pode criar uma política que autorize os usuários a criar e gerenciar instâncias do Oracle Blockchain Platform.

Você cria políticas usando a Console do Oracle Cloud Infrastructure. Para obter mais informações sobre políticas do IAM, consulte Visão Geral do Oracle Cloud Infrastructure Identity and Access Management na documentação do Oracle Cloud Infrastructure. Para obter detalhes sobre a gravação de políticas, consulte Sintaxe da Política e Referência da Política.

Tipos de Recursos para o Oracle Blockchain Platform

Tipo de Recurso Permissões Descrição

blockchain-plataforms
  • BLOCKCHAIN_PLATFORM_CREATE
  • BLOCKCHAIN_PLATFORM_UPDATE
  • BLOCKCHAIN_PLATFORM_INSPECT
  • BLOCKCHAIN_PLATFORM_READ
  • BLOCKCHAIN_PLATFORM_DELETE
 Uma ou mais instâncias do Oracle Blockchain Platform.

blockchain-platform-work-requests
  • BLOCKCHAIN_PLATFORM_WORK_REQUEST_INSPECT
  • BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ
  • BLOCKCHAIN_PLATFORM_WORK_REQUEST_DELETE
 Uma única solicitação de serviço para o Oracle Blockchain Platform.

Cada operação executada em uma instância do Oracle Blockchain Platform cria uma solicitação de serviço. Por exemplo, operações como criar, iniciar, interromper etc.

Mapa de Operações para Permissões

A tabela a seguir lista as operações do serviço IAM que são específicas do Oracle Blockchain Platform. Você pode gravar uma política do serviço IAM que inclua essas operações ou pode gravar uma política que use um verbo definido que encapsule essas operações.

ID da Operação Permissões Obrigatórias para Usar a Operação Operação de API
createBlockchainPlatform BLOCKCHAIN_PLATFORM_CREATE CreateBlockchainPlatform
deleteBlockchainPlatform BLOCKCHAIN_PLATFORM_DELETE DeleteBlockchainPlatform
getAllPlatformsInCompartment BLOCKCHAIN_PLATFORM_INSPECT GetBlockchainPlatforms
getBlockchainPlatformInformation BLOCKCHAIN_PLATFORM_READ GetBlockchainPlatformInformation
getWorkRequest BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ GetWorkRequest
getWorkRequestErrors BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ ListWorkRequestErrors
getWorkRequestLogs BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ ListWorkRequestLogs
listWorkRequests BLOCKCHAIN_PLATFORM_WORK_REQUEST_INSPECT ListWorkRequests
restartBlockchainPlatform BLOCKCHAIN_PLATFORM_UPDATE RestartBlockchainPlatform
startBlockchainPlatform BLOCKCHAIN_PLATFORM_UPDATE StartBlockchainPlatform
stopBlockchainPlatform BLOCKCHAIN_PLATFORM_UPDATE StopBlockchainPlatform
updateBlockchainPlatform BLOCKCHAIN_PLATFORM_UPDATE UpdateBlockchainPlatform

Detalhes das Combinações de Verbo e Tipo de Recurso

O Oracle Cloud Infrastructure oferece um conjunto padrão de verbos para definir permissões entre os recursos do Oracle Cloud Infrastructure (Inspecionar, Ler, Usar, Gerenciar). Essas tabelas listam as permissões do Oracle Blockchain Platform associadas a cada verbo. O nível de acesso é cumulativo conforme você vai de Inspecionar para Ler, Usar e Gerenciar.

INSPECT

Resource- Type Permissão INSPECT
  • blockchain-plataforms
  • BLOCKCHAIN_PLATFORM_INSPECT
  • blockchain-platform-work-requests
  • BLOCKCHAIN_PLATFORM_WORK_REQUEST_INSPECT

READ

Resource- Type Permissão READ
  • blockchain-plataforms
  • BLOCKCHAIN_PLATFORM_INSPECT
  • BLOCKCHAIN_PLATFORM_READ
  • blockchain-platform-work-requests
  • BLOCKCHAIN_PLATFORM_WORK_REQUEST_INSPECT
  • BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ

USE

Resource- Type Permissão USE
  • blockchain-plataforms
  • BLOCKCHAIN_PLATFORM_READ
  • BLOCKCHAIN_PLATFORM_UPDATE
  • blockchain-platform-work-requests
  • BLOCKCHAIN_PLATFORM_WORK_REQUEST_INSPECT
  • BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ

MANAGE

Resource- Type Permissão MANAGE
  • blockchain-plataforms
  • BLOCKCHAIN_PLATFORM_READ
  • BLOCKCHAIN_PLATFORM_UPDATE
  • BLOCKCHAIN_PLATFORM_CREATE
  • BLOCKCHAIN_PLATFORM_DELETE
  • blockchain-platform-instance-work-requests
  • BLOCKCHAIN_PLATFORM_WORK_REQUEST_INSPECT
  • BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ
  • BLOCKCHAIN_PLATFORM_WORK_REQUEST_DELETE

Atributos Específicos da Operação

Os valores dessas variáveis são fornecidos pelo Oracle Blockchain Platform. Além disso, outras variáveis gerais são suportadas. Consulte Variáveis Gerais para Todas as Solicitações.

Para um determinado tipo de recurso, você deve ter o mesmo conjunto de atributos em todas as operações (obter, listar, excluir etc.). A única exceção é para uma operação create, na qual você ainda não terá o ID desse objeto; portanto, não poderá ter um atributo target.RESOURCE-KIND.id para create.

Tipo de Recurso Nome Tipo Origem
blockchain-plataforms      
blockchain-platform-work-requests