4 用户管理
Blockchain Platform Manager 在安装期间使用集成的 OpenLDAP 服务器进行初始身份和访问管理 (Identity and Access Management,IAM)。此 OpenLDAP 服务器使用预配置的组管理用户凭证并强制实施基于角色的访问控制 (Role-Based Access Control,RBAC)。身份证明和组成员身份等所有用户信息都存储在此 OpenLDAP 服务器上。
除了基于 LDAP 的身份验证,Blockchain Platform Manager 还支持通过 OpenID Connect (OIDC) 与外部身份管理系统 (IdMs) 集成。这允许使用行业标准的身份验证协议来增强互操作性。
LDAP 配置管理
Blockchain Platform Manager 提供了一个用于管理 LDAP 服务器的专用配置页面。支持以下操作:
- 添加新项:为 Blockchain Platform Manager 配置外部 LDAP 服务器,作为内置 OpenLDAP 服务器的替代项。
- 保存:保存新的或更新的 LDAP 服务器配置。
- Set Active(设置为活动):将现有 LDAP 配置指定为活动。
- 保存并设置活动:保存更改并立即将更新的配置设置为活动。
- 测试配置:从 Blockchain Platform Manager 验证指定 LDAP 服务器的连接性和可访问性。
组创建和管理
对于创建的每个区块链平台管理器实例,在 OpenLDAP 服务器中预配以下组:
| 用户角色 | LDAP 组名称 | 说明 |
|---|---|---|
| 平台管理 | OBP_Blockchain Platform Manager<id>_CP_ADMIN |
此组中的用户可以预配实例、配置现有实例、设置 LDAP 配置以及完成实例的生命周期操作。
用户必须是此组的成员,才能登录到区块链平台管理器或创建实例。 |
| 实例管理员 | BESU_ADMIN_<instance_uuid> |
此组中的用户可以使用控制台 UI 管理实例。 |
| 实例运算符 | BESU_OPERATOR_<instance_uuid> |
操作员是只读用户。操作员无权访问服务控制台中的帐户页。 |
| RPC 代理客户机 | BESU_RPC_GW_<instance_uuid> |
RPC 代理用户通常是客户机应用程序。 |
通过区块链平台管理器预配的所有用户将自动添加到所有四个组中。
令牌发布和组成员身份传播
创建新实例时,Blockchain Platform Manager 会配置验证服务器,以便通过所需的声明(包括用户身份和相关的客户端/交易方信息)启用令牌发布。每个令牌包括封装在有效负载声明中的组成员资格信息。实例组件使用这些声明对工作负载云池进行授权或阻止外部访问。
可以使用 OpenLDAP 浏览器(例如 jXplorer)将用户直接添加到 OpenLDAP 服务器。Blockchain Platform Manager 管理员可以使用安装期间提供的管理员用户名和密码连接到启用了 SSL 的 openldap.<cp-name>.<cp-domain>:443。连接后,管理员可以添加用户并分配或修改组以提供适当的访问级别。