4 Gerenciamento de Usuários
O Blockchain Platform Manager usa um servidor OpenLDAP integrado para o IAM (Identity and Access Management) inicial durante a instalação. Esse servidor OpenLDAP gerencia credenciais de usuário e impõe o RBAC (Role-Based Access Control) usando grupos pré-configurados. Todas as informações do usuário, como credenciais e associações de grupo, são armazenadas neste servidor OpenLDAP.
Além da autenticação baseada em LDAP, o Blockchain Platform Manager suporta integração com sistemas externos de Gerenciamento de Identidades (IdMs) via OpenID Connect (OIDC). Isso permite o uso de protocolos de autenticação padrão do setor para maior interoperabilidade.
Gerenciamento de Configuração LDAP
O Blockchain Platform Manager fornece uma página de configuração dedicada para gerenciar servidores LDAP. Estas ações têm suporte:
- Adicionar Novo: Configure um servidor LDAP externo para o Blockchain Platform Manager, como uma alternativa ao servidor OpenLDAP incorporado.
- Salvar: Salve uma configuração de servidor LDAP nova ou atualizada.
- Definir Ativo: Designe uma configuração LDAP existente como ativa.
- Salvar e Definir Ativo: Salve as alterações e defina imediatamente a configuração atualizada como ativa.
- Testar Configuração: Verifique a conectividade e a acessibilidade ao servidor LDAP especificado no Blockchain Platform Manager.
Criação e Gerenciamento de Grupos
Para cada instância do Gerenciador do Blockchain Platform criada, os seguintes grupos são provisionados no servidor OpenLDAP:
| Atribuição do Usuário | Nome do Grupo LDAP | Descrição |
|---|---|---|
| Gerenciamento de Plataforma | OBP_Blockchain Platform Manager<id>_CP_ADMIN |
Os usuários desse grupo podem provisionar uma instância, configurar instâncias existentes, definir a configuração LDAP e concluir operações de ciclo de vida em instâncias.
Um usuário deve ser membro deste grupo para poder fazer log-in no Blockchain Platform Manager ou criar uma instância. |
| Administrador da Instância | BESU_ADMIN_<instance_uuid> |
Os usuários desse grupo podem gerenciar instâncias usando a interface do usuário da console. |
| Operador da Instância | BESU_OPERATOR_<instance_uuid> |
Os operadores são usuários somente leitura. Os operadores não têm acesso à página Contas no console de serviço. |
| Cliente Proxy RPC | BESU_RPC_GW_<instance_uuid> |
Os usuários de proxy RPC geralmente são aplicativos clientes. |
Todos os usuários provisionados por meio do Blockchain Platform Manager são adicionados automaticamente aos quatro grupos.
Emissão de Token e Propagação de Associação de Grupo
Quando uma nova instância é criada, o Blockchain Platform Manager configura o servidor de autenticação para ativar a emissão de token com as reivindicações necessárias, incluindo a identidade do usuário e as informações relevantes do cliente/parte. Cada token inclui informações de associação do grupo, encapsuladas em uma reivindicação de payload. Os componentes da instância usam essas reivindicações para autorizar ou bloquear o acesso externo aos pods de carga de trabalho.
Você pode adicionar usuários diretamente ao servidor OpenLDAP usando navegadores OpenLDAP, como jXplorer. Os administradores do Blockchain Platform Manager podem usar o nome de usuário e a senha do administrador fornecidos durante a instalação para estabelecer conexão com openldap.<cp-name>.<cp-domain>:443 com SSL ativado. Depois de conectados, os administradores podem adicionar usuários e atribuir ou modificar grupos para fornecer os níveis de acesso apropriados.