4 设置用户、访问角色和权限

使用 Oracle Blockchain Platform 设置服务后要完成的首要任务之一是在 Oracle Identity Cloud Service (IDCS) 或身份和访问管理 (Identity and Access Management，IAM) 身份域中为您希望使用该服务的所有用户添加用户账户并在服务中为其分配合适的权限。

如果您是现有客户或所在区域尚不支持 IAM 身份域的新客户，则可在您的 Oracle Blockchain Platform 账户中使用 IDCS。使用 IDCS 添加用户和组，然后为其分配角色以控制其使用 Oracle Blockchain Platform 。请参阅管理 Oracle Identity Cloud Service 用户和管理 Oracle Identity Cloud Service 组

如果您是新客户，并且您的 OCI 区域已迁移到使用 IAM 身份域，则会使用您的实例创建默认域。您可以使用此项添加用户和组，然后为其分配角色以控制 Oracle Blockchain Platform 的使用情况。请参阅管理用户和管理组。

使用 Oracle Identity Cloud Service 进行验证

Oracle Blockchain Platform 使用 Oracle Identity Cloud Service 进行身份管理和验证。

Oracle Identity Cloud Service 为 Oracle Cloud 管理员提供了一个集中安全平台，用于管理用户与应用程序之间的关系，包括与其他 Oracle Cloud 服务（例如 Oracle Blockchain Platform ）之间的关系。使用 Oracle Identity Cloud Service ，您可以创建定制密码策略和电子邮件通知，引导新用户，将用户和组分配给应用程序，以及运行安全报告。请参阅管理 Oracle Identity Cloud Service 中的以下主题：

• 关于 Oracle Identity Cloud Service 的概念

• 如何访问 Oracle Identity Cloud Service

您账户中的每个 Oracle Cloud 服务实例都与 Oracle Identity Cloud Service 安全应用程序关联。每个安全应用程序定义一个或多个应用程序角色。将用户和组分配给这些应用程序角色，以便向其授予对服务的管理访问权限。请参阅管理 Oracle Identity Cloud Service 中的以下主题：

• 创建用户账户

• 创建组

• 向 Oracle Applications 分配用户

• 将组分配给 Oracle Applications

在 Oracle Cloud Infrastructure 控制台中连接到 Oracle Identity Cloud Service

Oracle Blockchain Platform 租户会自动与 Oracle Identity Cloud Service 联合，并配置为在 Oracle Cloud Infrastructure 中预配联合用户。

您可以通过 Oracle Identity Cloud Service 管理用户和组，如在 Oracle Cloud Infrastructure 控制台中管理 Oracle Identity Cloud Service 用户和组中所述。

注：

在早期版本的 Oracle Identity Cloud Service 中，区块链平台应用程序位于应用程序下的导航抽屉中。现在，可以在 Oracle Cloud Services 下的导航抽屉中找到这些抽屉。

添加 Oracle Identity Cloud Service 用户

要访问使用 Oracle Identity Cloud Service 进行验证的 Oracle Blockchain Platform 实例，Oracle Blockchain Platform 用户必须首先具有有效的 Oracle Identity Cloud Service 身份证明。管理员在 Oracle Identity Cloud Service 中管理用户的预配并执行添加用户的任务。

要添加用户并提供对 Oracle Blockchain Platform 的访问权限，请执行以下操作：

1. 打开与 Oracle Identity Cloud Service 中的 Oracle Blockchain Platform 实例关联的安全应用程序。
2. 单击页面顶部的 Identity Cloud Service 用户选项卡（而不是 Oracle Blockchain Platform 实例的“用户”选项卡）。
3. 单击添加并提供用户详细信息，然后单击完成。

   此时将显示用户的“详细信息”页。将向用户发送一封包含登录信息的电子邮件。

使用身份和访问管理身份域进行验证

如果您的实例使用身份域进行身份管理，则可以使用 Oracle Cloud Infrastructure 控制台为您希望使用 Oracle Blockchain Platform 的每个人设置和管理用户账户。设置用户和组后，可以为其分配合适的权限（也称为应用程序角色）

要确定您的云账户是否提供身份域，请在 Oracle Cloud Infrastructure 控制台中导航到身份和安全。在身份下，查找域。

要访问使用身份域进行验证的 Oracle Blockchain Platform 实例，Oracle Blockchain Platform 用户必须首先具有有效的域身份证明。身份域管理员管理域中用户的预配并执行添加用户的任务。

要添加用户并提供对 Oracle Blockchain Platform 的访问，请执行以下操作：

1. 打开导航菜单，然后单击身份和安全性。在身份下，单击域。
2. 选择要使用的身份域，然后单击用户。
3. 单击创建用户。输入用户信息。

有关其他详细信息，请参阅 Oracle Cloud Infrastructure 文档中的以下主题：

• 管理用户
• 管理组

为 Oracle Blockchain Platform 网络和 REST API 分配角色

此概览介绍与 Oracle Blockchain Platform 网络用户、管理员和 REST API 用户相关的角色。任何使用或管理 Oracle Blockchain Platform 的用户都必须添加到 Oracle Identity Cloud Service 或 Identity and Access Management 中，并授予正确的用户角色。

如何将角色关联到用户

如果使用 IDCS，则需要为 IDCS 中的每个用户添加适当的角色。有关如何在 IDCS 中添加或管理用户角色的信息，请参阅管理用户的 Oracle Identity Cloud Service 角色。

如果将 IAM 用于身份域，则需要为域中的每个用户添加适当的角色。

1. 打开导航菜单，然后单击身份和安全性。在身份下，单击域。
2. 选择要使用的身份域，然后选择 Oracle Cloud Services ，然后从列表中选择您的服务。
3. 在资源下，选择应用程序角色。
4. 选择要分配给用户的角色，单击角色右侧的“更多”图标，然后选择分配用户。

使用或管理网络或 REST API 所需的角色

下面是可用于 Oracle Blockchain Platform 的角色。

用户角色	是否自动授予实例创建者？	说明
ADMIN	是	此角色是 Oracle Blockchain Platform 云应用程序的整体管理员。 有关此用户角色可用的控制台功能的完整列表，请参阅按用户角色列出的控制台功能的访问控制列表中的表。
用户		有关此用户角色可用的控制台功能的完整列表，请参阅按用户角色列出的控制台功能的访问控制列表中的表。
CA_USER	是	此用户角色分配给 Oracle Blockchain Platform 参与者，以授予用户对呼叫证书颁发机构 API 的访问权限。
REST_CLIENT	是	授予用户调用 REST 代理节点上具有相同编号的所有可用 REST 代理端点的访问权限。

按用户角色列出的控制台功能的访问控制列表

下表列出了哪些控制台功能可用于 ADMIN 和 USER 角色。

功能	ADMIN	USER
仪表盘	是	是
网络：列出组织	是	是
网络：添加组织	是	不
网络：订购服务设置	是	不
网络：导出证书	是	不
网络：导出排序者设置	是	不
网络：添加 OSN	是	不
网络：导出网络配置块	是	不
节点：列表	是	是
节点：启动/停止/重新启动	是	不
节点：添加/删除	是	不
节点：查看属性	是	是
节点：编辑属性	是	不
节点：查看度量	是	是
节点：查看日志	是	是
节点：导出/导入对等节点	是	不
节点：显示 VM 位置	是	是
对等节点：列出渠道	是	是
对等节点：联接通道	是	不
对等节点：列表链代码	是	是
排序者：导出 OSN 设置	是	不
排序者：导入网络配置块	是	不
通道：列表	是	是
通道：创建	是	不
渠道：将组织添加至渠道	是	不
渠道：更新订购服务设置	是	不
渠道：查看/查询分类账	是	是
渠道：列表实例化链代码	是	是
渠道：列出加入的对等节点	是	是
渠道：设置锚点对等	是	不
渠道：升级链代码	是	不
渠道：管理 OSN 管理员	是	不
Channel（渠道）：将 orderers 联接到渠道	是	不
渠道：从渠道中删除排序者	是	不
链代码：列表	是	是
链代码：安装	是	不
链代码：实例化	是	不
示例链代码：安装	是	不
示例链代码：实例化	是	不
示例链代码：调用	是	是
CRL	是	不

使用权限和策略管理 Oracle Blockchain Platform

Oracle Cloud Infrastructure 中的每个服务都与身份和访问管理 (Identity and Access Management，IAM) 集成，用于验证和授权，适用于所有接口（控制台、SDK 或 CLI 以及 REST API）。您使用 IAM 授权策略来控制租户中资源的访问权限。例如，您可以创建策略以授权用户创建和管理 Oracle Blockchain Platform 实例。

可以使用 Oracle Cloud Infrastructure 控制台创建策略。有关 IAM 策略的详细信息，请参阅 Oracle Cloud Infrastructure 文档中的Oracle Cloud Infrastructure Identity and Access Management 概览。有关编写策略的详细信息，请参见 Policy Syntax 和 Policy Reference 。

Oracle Blockchain Platform 的资源类型

资源种类	权限	说明
区块链平台	BLOCKCHAIN_PLATFORM_CREATE BLOCKCHAIN_PLATFORM_UPDATE BLOCKCHAIN_PLATFORM_INSPECT BLOCKCHAIN_PLATFORM_READ BLOCKCHAIN_PLATFORM_DELETE	一个或多个 Oracle Blockchain Platform 实例。
区块链平台 - 工作请求	BLOCKCHAIN_PLATFORM_WORK_REQUEST_INSPECT BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ BLOCKCHAIN_PLATFORM_WORK_REQUEST_DELETE	针对 Oracle Blockchain Platform 的单个工作请求。 在 Oracle Blockchain Platform 实例上执行的每个操作都会创建一个工作请求。例如，创建、启动、停止等操作。

权限映射的操作

下表列出了特定于 Oracle Blockchain Platform 的 IAM 操作。您可以编写包括这些操作的 IAM 策略，也可以编写使用封装这些操作的已定义动词的策略。

操作 ID	使用操作所需的权限	API 操作
createBlockchainPlatform	BLOCKCHAIN_PLATFORM_CREATE	CreateBlockchainPlatform
deleteBlockchainPlatform	BLOCKCHAIN_PLATFORM_DELETE	DeleteBlockchainPlatform
getAllPlatformsInCompartment	BLOCKCHAIN_PLATFORM_INSPECT	GetBlockchainPlatforms
getBlockchainPlatformInformation	BLOCKCHAIN_PLATFORM_READ	GetBlockchainPlatformInformation
getWorkRequest	BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ	GetWorkRequest
getWorkRequestErrors	BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ	ListWorkRequestErrors
getWorkRequestLogs	BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ	ListWorkRequestLogs
listWorkRequests	BLOCKCHAIN_PLATFORM_WORK_REQUEST_INSPECT	ListWorkRequests
restartBlockchainPlatform	BLOCKCHAIN_PLATFORM_UPDATE	RestartBlockchainPlatform
startBlockchainPlatform	BLOCKCHAIN_PLATFORM_UPDATE	StartBlockchainPlatform
stopBlockchainPlatform	BLOCKCHAIN_PLATFORM_UPDATE	StopBlockchainPlatform
updateBlockchainPlatform	BLOCKCHAIN_PLATFORM_UPDATE	UpdateBlockchainPlatform

有关动词和资源类型组合的详细信息

Oracle Cloud Infrastructure 提供了一组标准动词来定义各种 Oracle Cloud Infrastructure 资源的权限（ Inspect 、 Read 、 Use 、 Manage ）。下表列出了与每个动词关联的 Oracle Blockchain Platform 权限。从 Inspect（检查）到 Read（读取）到 Use（使用）到 Manage（管理），访问级别是累加的。

INSPECT

资源 - 类型	INSPECT 权限
区块链平台	BLOCKCHAIN_PLATFORM_INSPECT
区块链平台 - 工作请求	BLOCKCHAIN_PLATFORM_WORK_REQUEST_INSPECT

READ

资源 - 类型	READ 权限
区块链平台	BLOCKCHAIN_PLATFORM_INSPECT BLOCKCHAIN_PLATFORM_READ
区块链平台 - 工作请求	BLOCKCHAIN_PLATFORM_WORK_REQUEST_INSPECT BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ

使用

资源 - 类型	USE 权限
区块链平台	BLOCKCHAIN_PLATFORM_READ BLOCKCHAIN_PLATFORM_UPDATE
区块链平台 - 工作请求	BLOCKCHAIN_PLATFORM_WORK_REQUEST_INSPECT BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ

管理

资源 - 类型	管理权限
区块链平台	BLOCKCHAIN_PLATFORM_READ BLOCKCHAIN_PLATFORM_UPDATE BLOCKCHAIN_PLATFORM_CREATE BLOCKCHAIN_PLATFORM_DELETE
区块链 - 平台 - 实例 - 工作 - 请求	BLOCKCHAIN_PLATFORM_WORK_REQUEST_INSPECT BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ BLOCKCHAIN_PLATFORM_WORK_REQUEST_DELETE

特定于操作的属性

这些变量的值由 Oracle Blockchain Platform 提供。此外，还支持其他通用变量。请参见 General Variables for All Requests 。

对于给定的资源类型，所有操作（获取、列表、删除等）应具有相同的属性集。一个例外是针对 create 操作，您还没有该对象的 ID，因此不能有 create 的 target.RESOURCE-KIND.id 属性。

资源种类	名称	类型	源
区块链平台
区块链平台 - 工作请求