4 Configurar Usuários, Funções de Acesso e Permissões
Uma das primeiras tarefas a serem concluídas após a configuração de um serviço com o Oracle Blockchain Platform é adicionar contas de usuário no Oracle Identity Cloud Service (IDCS) ou no domínio de identidades do IAM (Identity and Access Management) para todos que você quiser usar o serviço e designar a eles permissões adequadas no serviço.
Se você for um cliente existente ou um novo cliente cuja região ainda não suporta domínios de identidades do serviço IAM, o IDCS estará disponível com sua conta do Oracle Blockchain Platform. Use o IDCS para adicionar usuários e grupos e designar-lhes atribuições para controlar o uso do Oracle Blockchain Platform. Consulte Gerenciar Usuários do Oracle Identity Cloud Service e Gerenciar Grupos do Oracle Identity Cloud Service
Se você for um novo cliente e sua região do OCI tiver sido migrada para usar domínios de identidade do IAM, um domínio padrão será criado com sua instância. Você pode usar isso para adicionar usuários e grupos e designar-lhes atribuições para controlar o uso do Oracle Blockchain Platform. Consulte Managing Users e Managing Groups.
Usar o Oracle Identity Cloud Service para Autenticação
O Oracle Blockchain Platform usa o Oracle Identity Cloud Service para gerenciamento e autenticação de identidades.
O Oracle Identity Cloud Service fornece aos administradores do Oracle Cloud uma plataforma de segurança central para gerenciar os relacionamentos que seus usuários têm com seus aplicativos, inclusive com outros serviços Oracle Cloud, como o Oracle Blockchain Platform. Com o Oracle Identity Cloud Service, você pode criar políticas de senha personalizadas e notificações por e-mail, integrar novos usuários, designar usuários e grupos a aplicativos e executar relatórios de segurança. Consulte estes tópicos em Administrando o Oracle Identity Cloud Service:
Cada instância de serviço do Oracle Cloud em sua conta está associada a um aplicativo de segurança do Oracle Identity Cloud Service. Cada aplicativo de segurança define uma ou mais atribuições de aplicativo. Designe usuários e grupos a essas atribuições de aplicativo para conceder a eles acesso administrativo a um serviço. Consulte estes tópicos em Administrando o Oracle Identity Cloud Service:
Estabelecendo Conexão com o Oracle Identity Cloud Service na Console do Oracle Cloud Infrastructure
As tenancies do Oracle Blockchain Platform são automaticamente federadas junto ao Oracle Identity Cloud Service e configuradas para provisionar usuários federados no Oracle Cloud Infrastructure.
Você gerencia usuários e grupos por meio do Oracle Identity Cloud Service conforme descrito em Gerenciando Usuários e Grupos do Oracle Identity Cloud Service na Console do Oracle Cloud Infrastructure.
Observação:
Em versões anteriores do Oracle Identity Cloud Service, os aplicativos do Blockchain Platform estavam na Gaveta de Navegação em Aplicativos. Agora eles podem ser encontrados na Gaveta de Navegação no Oracle Cloud Services.Adicionar Usuários do Oracle Identity Cloud Service
Para acessar uma instância do Oracle Blockchain Platform que usa o Oracle Identity Cloud Service para autenticação, os usuários do Oracle Blockchain Platform devem primeiro ter credenciais válidas do Oracle Identity Cloud Service. Os administradores gerenciam o provisionamento de usuários no Oracle Identity Cloud Service e executam a tarefa de adicionar usuários.
Usar Domínios de Identidade e Gerenciamento de Acesso para Autenticação
Se sua instância usar domínios de identidade para o gerenciamento de identidades, use a Console do Oracle Cloud Infrastructure para configurar e gerenciar contas de usuário para todos que você espera que usem o Oracle Blockchain Platform. Após configurar os usuários e grupos, você atribui a eles permissões adequadas (também conhecidas como atribuições de aplicativo)
Para determinar se sua conta na nuvem oferece ou não domínios de identidade, na Console do Oracle Cloud Infrastructure, navegue até Identidade e Segurança. Em Identidade, procure Domínios.
Para acessar uma instância do Oracle Blockchain Platform que usa domínios de identidade para autenticação, os usuários do Oracle Blockchain Platform devem primeiro ter credenciais de domínio válidas. Os Administradores de Domínio de Identidades gerenciam o provisionamento de usuários no domínio e executam a tarefa de adicionar usuários.
- Abra o menu de navegação e clique em Identidade e Segurança. Em Identidade, clique em Domínios.
- Selecione o domínio de identidades no qual você deseja trabalhar e clique em Usuários.
- Clique em Criar usuário. Especifique as informações do usuário.
Designando Atribuições para a Rede do Oracle Blockchain Platform e APIs REST
Esta visão geral descreve as atribuições relevantes para usuários de rede, administradores e usuários da API REST do Oracle Blockchain Platform. Qualquer pessoa que use ou administre o Oracle Blockchain Platform deve ser adicionada ao Oracle Identity Cloud Service ou ao Identity and Access Management e receber a atribuição de usuário correta.
Como Associar Atribuições a Usuários
Se você estiver usando o IDCS, precisará adicionar as atribuições apropriadas para cada usuário no IDCS. Para obter informações sobre como adicionar ou gerenciar a atribuição de usuário no IDCS, consulte Gerenciando Atribuições do Oracle Identity Cloud Service para Usuários.
- Abra o menu de navegação e clique em Identidade e Segurança. Em Identidade, clique em Domínios.
- Selecione o domínio de identidades no qual você deseja trabalhar e, em seguida, selecione Oracle Cloud Services e escolha seu serviço na lista.
- Em Recursos, selecione Atribuições de aplicativo.
- Selecione a atribuição que você deseja designar a um usuário, clique no ícone Mais à direita da atribuição e selecione Designar Usuários.
Atribuições Necessárias para Usar ou Administrar a Rede ou as APIs REST
Abaixo estão as atribuições disponíveis para o Oracle Blockchain Platform.
Atribuição de Usuário | Concedido Automaticamente para o Criador da Instância? | Descrição |
---|---|---|
ADMIN | Sim |
Esta atribuição é o administrador geral do aplicativo Oracle Blockchain Platform na nuvem. Consulte a tabela na Lista de Controle de Acesso para Função da Console por Atribuições de Usuário para obter uma lista completa de funções da console disponíveis para esta atribuição de usuário. |
USUÁRIO | Consulte a tabela na Lista de Controle de Acesso para Função da Console por Atribuições de Usuário para obter uma lista completa de funções da console disponíveis para esta atribuição de usuário. | |
CA_USER | Sim | Esta atribuição de usuário é designada aos participantes do Oracle Blockchain Platform para conceder ao usuário acesso para chamar APIs de autoridade de certificação. |
REST_CLIENT | Sim | Concede ao usuário acesso para chamar todos os pontos finais proxy do REST disponíveis no nó proxy do REST com o mesmo número. |
Lista de Controle de Acesso para Função da Console por Atribuições de Usuário
A tabela a seguir lista quais recursos da console estão disponíveis para as atribuições ADMIN e USER.
Recurso | ADMIN | USER |
---|---|---|
Painel |
Sim |
Sim |
Rede: listar organizações |
Sim |
Sim |
Rede: adicionar organizações |
Sim |
Não |
Rede: definição de serviço de ordenamento |
Sim |
Não |
Rede: certificados de exportação |
Sim |
Não |
Rede: definições do ordenador de exportação |
Sim |
Não |
Rede: adicionar OSN |
Sim |
Não |
Rede: exportar bloco de configuração de rede |
Sim |
Não |
Nó: listar |
Sim |
Sim |
Nó: iniciar/interromper/reiniciar |
Sim |
Não |
Nó: adicionar/remover |
Sim |
Não |
Nó: exibir atributos |
Sim |
Sim |
Nó: editar atributos |
Sim |
Não |
Nó: exibir métricas |
Sim |
Sim |
Nó: exibir logs |
Sim |
Sim |
Nó: exportar/importar pares |
Sim |
Não |
Nó: mostrar o posicionamento da VM |
Sim |
Sim |
Nó de Mesmo Nível: listar canais |
Sim |
Sim |
Nó de Mesmo Nível: unir canal |
Sim |
Não |
Nó de Mesmo Nível: listar chaincode |
Sim |
Sim |
Ordenador: exportar definições de OSN |
Sim |
Não |
Ordenador: importar bloco de configuração de rede |
Sim |
Não |
Canal: listar |
Sim |
Sim |
Canal: criar |
Sim |
Não |
Canal: adicionar org ao canal |
Sim |
Não |
Canal: atualizar definições de serviço de ordenamento |
Sim |
Não |
Canal: verificar/consultar registro |
Sim |
Sim |
Canal: listar chaincode instanciado |
Sim |
Sim |
Canal: listar pares unidos |
Sim |
Sim |
Canal: definir par âncora |
Sim |
Não |
Canal: fazer upgrade do chaincode |
Sim |
Não |
Canal: gerenciar administrador do OSN |
Sim |
Não |
Canal: juntar ordenadores ao canal |
Sim |
Não |
Canal: remover ordenadores do canal |
Sim |
Não |
Chaincode: listar |
Sim |
Sim |
Chaincode: instalar |
Sim |
Não |
Chaincode: instanciar |
Sim |
Não |
Amostra de chaincode: instalar |
Sim |
Não |
Amostra de chaincod: instanciar |
Sim |
Não |
Amostra de chaincode: chamar |
Sim |
Sim |
CRL |
Sim |
Não |
Usando Permissões e Políticas para Administrar o Oracle Blockchain Platform
Cada serviço no Oracle Cloud Infrastructure integra-se ao serviço IAM (Identity and Access Management) para autenticação e autorização, em todas as interfaces (Console, SDK ou CLI e API REST). Você usa as políticas de autorização do serviço IAM para controlar o acesso a recursos em sua tenancy. Por exemplo, você pode criar uma política que autorize os usuários a criar e gerenciar instâncias do Oracle Blockchain Platform.
Você cria políticas usando a Console do Oracle Cloud Infrastructure. Para obter mais informações sobre políticas do IAM, consulte Visão Geral do Oracle Cloud Infrastructure Identity and Access Management na documentação do Oracle Cloud Infrastructure. Para obter detalhes sobre a gravação de políticas, consulte Sintaxe da Política e Referência da Política.
Tipos de Recursos para o Oracle Blockchain Platform
Tipo de Recurso | Permissões | Descrição |
---|---|---|
blockchain-plataforms |
|
Uma ou mais instâncias do Oracle Blockchain Platform. |
blockchain-platform-work-requests |
|
Uma única solicitação de serviço para o Oracle Blockchain Platform.
Cada operação executada em uma instância do Oracle Blockchain Platform cria uma solicitação de serviço. Por exemplo, operações como criar, iniciar, interromper etc. |
Mapa de Operações para Permissões
A tabela a seguir lista as operações do serviço IAM que são específicas do Oracle Blockchain Platform. Você pode gravar uma política do serviço IAM que inclua essas operações ou pode gravar uma política que use um verbo definido que encapsule essas operações.
ID da Operação | permissões necessárias para usar a operação | Operação de API |
---|---|---|
createBlockchainPlatform | BLOCKCHAIN_PLATFORM_CREATE | CreateBlockchainPlatform |
deleteBlockchainPlatform | BLOCKCHAIN_PLATFORM_DELETE | DeleteBlockchainPlatform |
getAllPlatformsInCompartment | BLOCKCHAIN_PLATFORM_INSPECT | GetBlockchainPlatforms |
getBlockchainPlatformInformation | BLOCKCHAIN_PLATFORM_READ | GetBlockchainPlatformInformation |
getWorkRequest | BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ | GetWorkRequest |
getWorkRequestErrors | BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ | ListWorkRequestErrors |
getWorkRequestLogs | BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ | ListWorkRequestLogs |
listWorkRequests | BLOCKCHAIN_PLATFORM_WORK_REQUEST_INSPECT | ListWorkRequests |
restartBlockchainPlatform | BLOCKCHAIN_PLATFORM_UPDATE | RestartBlockchainPlatform |
startBlockchainPlatform | BLOCKCHAIN_PLATFORM_UPDATE | StartBlockchainPlatform |
stopBlockchainPlatform | BLOCKCHAIN_PLATFORM_UPDATE | StopBlockchainPlatform |
updateBlockchainPlatform | BLOCKCHAIN_PLATFORM_UPDATE | UpdateBlockchainPlatform |
Detalhes das Combinações de Verbo e Tipo de Recurso
O Oracle Cloud Infrastructure oferece um conjunto padrão de verbos para definir permissões entre os recursos do Oracle Cloud Infrastructure (Inspecionar, Ler, Usar, Gerenciar). Essas tabelas listam as permissões do Oracle Blockchain Platform associadas a cada verbo. O nível de acesso é cumulativo, conforme você vai de Inspecionar para Ler, Usar e Gerenciar.
INSPECT
Resource- Type | Permissão INSPECT |
---|---|
|
|
|
|
READ
Resource- Type | Permissão READ |
---|---|
|
|
|
|
USE
Resource- Type | Permissão USE |
---|---|
|
|
|
|
MANAGE
Resource- Type | Permissão MANAGE |
---|---|
|
|
|
|
Atributos Específicos da Operação
Os valores dessas variáveis são fornecidos pelo Oracle Blockchain Platform. Além disso, outras variáveis gerais são suportadas. Consulte Variáveis Gerais para Todas as Solicitações.
Para um determinado tipo de recurso, você deve ter o mesmo conjunto de atributos em todas as operações (obter, listar, excluir etc.). A única exceção é para uma operação create
, na qual você ainda não terá o ID desse objeto; portanto, não poderá ter um atributo target.RESOURCE-KIND.id
para create
.
Tipo de Recurso | Nome | Tipo | Origem |
---|---|---|---|
blockchain-plataforms | |||
blockchain-platform-work-requests |