4 設定使用者、存取角色和權限

使用 Oracle Blockchain Platform 設定服務後要完成的首要任務之一是在 Oracle Identity Cloud Service (IDCS) 或您的身分識別與存取管理 (IAM) 識別網域中為您預期使用服務的所有人新增使用者帳戶，並在服務中指定適當的權限。

如果您是現有客戶或區域尚未支援 IAM 識別網域的新客戶，則可在您的 Oracle Blockchain Platform 帳戶使用 IDCS。使用 IDCS 新增使用者和群組，然後指定這些角色來控制使用 Oracle Blockchain Platform 。請參閱管理 Oracle Identity Cloud Service 使用者和管理 Oracle Identity Cloud Service 群組

如果您是新客戶，且您的 OCI 區域已移轉為使用 IAM 識別網域，系統就會使用您的執行處理建立預設網域。您可以使用此方法新增使用者和群組，然後指定角色來控制 Oracle Blockchain Platform 的使用情況。請參閱管理使用者與管理群組。

使用 Oracle Identity Cloud Service 進行認證

Oracle Blockchain Platform 使用 Oracle Identity Cloud Service 進行身分識別管理和驗證。

Oracle Identity Cloud Service 為 Oracle Cloud 管理員提供中央安全平台，以管理您的使用者與您應用程式之間的關係，包括與其他 Oracle Cloud 服務 (例如 Oracle Blockchain Platform)。您可以使用 Oracle Identity Cloud Service 建立自訂密碼原則和電子郵件通知、新增使用者、指派應用程式的使用者和群組，以及執行安全報表。請參閱管理 Oracle Identity Cloud Service 中的下列主題：

• 關於 Oracle Identity Cloud Service 概念

• 如何存取 Oracle Identity Cloud Service

您帳戶中的每個 Oracle Cloud 服務例項都與 Oracle Identity Cloud Service 安全性應用程式相關聯。每個安全性應用程式都會定義一或多個應用程式角色。將使用者和群組指派給這些應用程式角色，以授予他們服務的管理存取權。請參閱管理 Oracle Identity Cloud Service 中的下列主題：

• 建立使用者帳戶

• 建立群組

• 將使用者指定至 Oracle Applications

• 指定 Oracle Applications 的群組

在 Oracle Cloud Infrastructure 主控台中連線至 Oracle Identity Cloud Service

Oracle Blockchain Platform 租用戶會自動與 Oracle Identity Cloud Service 聯合，並設定為在 Oracle Cloud Infrastructure 中佈建同盟使用者。

您可以透過 Oracle Identity Cloud Service 管理使用者和群組，如管理 Oracle Cloud Infrastructure 主控台中的 Oracle Identity Cloud Service 使用者和群組中所述。

附註：

在舊版的 Oracle Identity Cloud Service 中，區塊鏈平台應用程式位於應用程式下的導覽側邊功能表中。Oracle Identity Cloud Service 現在已與 Oracle Cloud Infrastructure 整合，不再有個別的 URL。區塊鏈平台應用程式現在可以在身分識別與安全性下方的導覽側邊功能表的 Oracle Cloud Services 下找到，然後在網域下找到。

使用者建立和權限處理作業的簡介：

1. 在 Oracle Cloud Infrastructure 中，前往身分識別與安全性並選取網域。建立必要的使用者。
2. 建立一或多個群組，並視需要將使用者指派給適當的群組。
3. 定義控制存取的必要原則。
4. 將 Oracle Cloud Infrastructure 中的使用者授予群組適當的權限，以存取特定區間和 Oracle Blockchain Platform 執行處理。

新增 Oracle Identity Cloud Service 使用者

若要存取使用 Oracle Identity Cloud Service 進行驗證的 Oracle Blockchain Platform 執行處理，Oracle Blockchain Platform 使用者必須先具有有效的 Oracle Identity Cloud Service 憑證。管理員可管理 Oracle Identity Cloud Service 中使用者的佈建，並執行新增使用者的作業。

若要新增使用者並提供他們 Oracle Blockchain Platform 的存取權：

1. 開啟與 Oracle Identity Cloud Service 中 Oracle Blockchain Platform 執行處理關聯的安全應用程式。
2. 按一下頁面頂端的 Identity Cloud Service 使用者頁籤 (不是 Oracle Blockchain Platform 執行處理的「使用者」頁籤)。
3. 按一下新增並提供使用者詳細資訊，然後按一下完成。

   會顯示使用者的「詳細資訊」頁面。系統將會傳送內含登入資訊的電子郵件給使用者。

使用識別與存取管理識別網域進行認證

如果您的執行個體使用識別網域進行身分識別管理，則可以使用 Oracle Cloud Infrastructure 控制台為預期使用 Oracle Blockchain Platform 的每個人設定和管理使用者帳戶。設定使用者和群組之後，您可以指派適當的權限 (也稱為應用程式角色)

若要判斷您的雲端帳戶是否提供識別網域，請在 Oracle Cloud Infrastructure 主控台中瀏覽至身分識別與安全。在識別底下，尋找網域。

若要存取使用識別網域進行認證的 Oracle Blockchain Platform 執行處理，Oracle Blockchain Platform 使用者必須先具備有效的網域證明資料。識別網域管理員管理網域中使用者的佈建，並執行新增使用者的作業。

若要新增使用者並提供使用者對 Oracle Blockchain Platform 的存取權：

1. 開啟導覽功能表，然後按一下識別與安全。在識別底下，按一下網域。
2. 選取您要使用的識別網域，然後按一下使用者。
3. 按一下「建立使用者」。輸入使用者資訊。

如需其他詳細資訊，請參閱 Oracle Cloud Infrastructure 文件中的下列主題：

• 管理使用者
• 管理群組

指定 Oracle Blockchain Platform Network 和 REST API 的角色

此簡介描述與 Oracle Blockchain Platform 網路使用者、管理員及主控台 REST API 使用者相關的角色。任何使用或管理 Oracle Blockchain Platform 的人，都必須加入 Oracle Identity Cloud Service 或 Identity and Access Management，並授予正確的使用者角色。

如何建立角色與使用者的關聯

如果您使用 IDCS，則需要為 IDCS 中的每個使用者新增適當的角色。如需有關如何在 IDCS 中新增或管理使用者角色的資訊，請參閱管理使用者的 Oracle Identity Cloud Service 角色。

如果您使用 IAM 搭配識別網域，則必須為網域中的每位使用者新增適當的角色。

1. 開啟導覽功能表，然後依序按一下識別與安全和網域。
2. 選取您要使用的識別網域，然後選取 Oracle Cloud Services ，然後從清單中選擇您的服務。
3. 在資源下，選取應用程式角色。
4. 請選取您要指派給使用者的角色，按一下角色右側的「更多」圖示，然後選取指派使用者。

使用或管理網路或 REST API 所需的角色

以下是適用於 Oracle Blockchain Platform 的角色。

使用者角色	已自動授予執行處理建立者？	描述
管理	是	這個角色是 Oracle Blockchain Platform 雲端應用程式的整體管理員。 如需此使用者角色可用的主控台功能完整清單，請參閱使用者角色的主控台功能存取控制清單中的表格。 若要使用管理區塊鏈網路 REST API，您必須具有與使用者 ID 關聯的這個角色。 請注意，管理區塊鏈平台 (控制層) REST API 使用 OCI 的認證機制，如下所述：Oracle Cloud Infrastructure 文件：REST API 。此表格中描述的 ADMIN 角色僅適用於網路管理、應用程式作業以及統計資料 REST API 呼叫。
使用者		如需此使用者角色可用的主控台功能完整清單，請參閱使用者角色的主控台功能存取控制清單中的表格。
CA_USER	是	此使用者角色會指派給 Oracle Blockchain Platform 參與者，以授予使用者呼叫憑證授權機構 API 的存取權。
REST_CLIENT	是	授予使用者呼叫相同編號之 REST 代理主機節點上所有可用 REST 代理主機端點的存取權。 請注意，管理區塊鏈平台 (控制層) REST API 使用 OCI 的認證機制，如下所述：Oracle Cloud Infrastructure 文件：REST API 。此表格中描述的 REST_CLIENT 角色僅適用於網路管理、應用程式作業及統計資料 REST API 呼叫。

依使用者角色區分的主控台功能的存取控制清單

下表列出 ADMIN 和 USER 角色可用的主控台功能。

功能	管理	USER
儀表板	是	是
網路：列出組織	是	是
網路：新增組織	是	編號
網路：訂購服務設定	是	編號
網路：匯出憑證	是	編號
網路：匯出排序器設定值	是	編號
網路：新增 OSN	是	編號
網路：匯出網路組態區塊	是	編號
節點：清單	是	是
節點：啟動 / 停止 / 重新啟動	是	編號
節點：新增 / 移除	是	編號
節點：檢視屬性	是	是
節點：編輯屬性	是	編號
節點：檢視度量	是	是
節點：檢視日誌	是	是
節點：匯出 / 匯入對等	是	編號
節點：顯示 VM 位置	是	是
對等節點：清單通道	是	是
對等節點：結合通道	是	編號
對等節點：清單鏈碼	是	是
排序器：匯出 OSN 設定值	是	編號
Orderer：匯入網路組態區塊	是	編號
通道：清單	是	是
頻道：建立	是	編號
通道：新增組織至通道	是	編號
管道：更新訂購服務設定值	是	編號
管道：檢視 / 查詢分類帳	是	是
通道：列出已建立的鏈碼	是	是
通道：列出結合的對等項目	是	是
頻道：設定錨點對等	是	編號
管道：升級鏈碼	是	編號
通道：管理 OSN 管理員	是	編號
通路：將訂購者加入通路	是	編號
通道：移除通道的排序器	是	編號
鏈碼：列表	是	是
Chaincode：安裝	是	編號
Chaincode：建立	是	編號
鏈碼範例：安裝	是	編號
範例鏈碼：建立	是	編號
範例鏈碼：呼叫	是	是
CRL	是	編號

使用權限和政策來管理 Oracle Blockchain Platform

Oracle Cloud Infrastructure 中的每項服務都與身分識別和存取管理 (IAM) 整合，以進行所有介面 (主控台、SDK 或 CLI 及 REST API) 的認證和授權。您可以使用 IAM 授權原則來控制對租用戶中資源的存取權。例如，您可以建立授權使用者建立及管理 Oracle Blockchain Platform 執行處理的原則。

您可以使用 Oracle Cloud Infrastructure 主控台來建立原則。如需有關 IAM 原則的詳細資訊，請參閱 Oracle Cloud Infrastructure 文件中的 Overview of Oracle Cloud Infrastructure Identity and Access Management 。如需有關寫入原則的詳細資訊，請參閱原則語法和原則參照。

Oracle Blockchain Platform 的資源類型

資源種類	權限	描述
區塊鏈平台	BLOCKCHAIN_PLATFORM_CREATE BLOCKCHAIN_PLATFORM_UPDATE BLOCKCHAIN_PLATFORM_INSPECT BLOCKCHAIN_PLATFORM_READ BLOCKCHAIN_PLATFORM_DELETE	一或多個 Oracle Blockchain Platform 執行處理。
區塊鏈平台工作要求	BLOCKCHAIN_PLATFORM_WORK_REQUEST_INSPECT BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ BLOCKCHAIN_PLATFORM_WORK_REQUEST_DELETE	Oracle Blockchain Platform 的單一工作要求。 您對 Oracle Blockchain Platform 執行處理執行的每項作業都會建立工作要求。例如，建立、啟動、停止等作業。

權限對應作業

下表列出 Oracle Blockchain Platform 特定的 IAM 作業。您可以編寫包含這些作業的 IAM 原則，也可以編寫使用已定義動詞的原則來封裝這些作業。

作業 ID	使用作業所需的權限	API 作業
createBlockchainPlatform	BLOCKCHAIN_PLATFORM_CREATE	CreateBlockchainPlatform
deleteBlockchainPlatform	BLOCKCHAIN_PLATFORM_DELETE	DeleteBlockchainPlatform
getAllPlatformsInCompartment	BLOCKCHAIN_PLATFORM_INSPECT	GetBlockchainPlatforms
getBlockchainPlatformInformation	BLOCKCHAIN_PLATFORM_READ	GetBlockchainPlatformInformation
getWorkRequest	BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ	GetWorkRequest
getWorkRequestErrors	BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ	ListWorkRequestErrors
getWorkRequestLogs	BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ	ListWorkRequestLogs
listWorkRequests	BLOCKCHAIN_PLATFORM_WORK_REQUEST_INSPECT	ListWorkRequests
restartBlockchainPlatform	BLOCKCHAIN_PLATFORM_UPDATE	RestartBlockchainPlatform
startBlockchainPlatform	BLOCKCHAIN_PLATFORM_UPDATE	StartBlockchainPlatform
stopBlockchainPlatform	BLOCKCHAIN_PLATFORM_UPDATE	StopBlockchainPlatform
updateBlockchainPlatform	BLOCKCHAIN_PLATFORM_UPDATE	UpdateBlockchainPlatform

動詞與資源類型組合的詳細資訊

Oracle Cloud Infrastructure 提供動詞標準集來定義所有 Oracle Cloud Infrastructure 資源的權限 ( Inspect 、 Read 、 Use 、 Manage)。這些表格列出與每個動詞相關的 Oracle Blockchain Platform 權限。因為您會依序具備檢查、讀取、使用和管理權限，所以存取層次是累加的。

INSPECT

資源類型	INSPECT 權限
區塊鏈平台	BLOCKCHAIN_PLATFORM_INSPECT
區塊鏈平台工作要求	BLOCKCHAIN_PLATFORM_WORK_REQUEST_INSPECT

READ

資源類型	READ 權限
區塊鏈平台	BLOCKCHAIN_PLATFORM_INSPECT BLOCKCHAIN_PLATFORM_READ
區塊鏈平台工作要求	BLOCKCHAIN_PLATFORM_WORK_REQUEST_INSPECT BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ

USE

資源類型	USE 權限
區塊鏈平台	BLOCKCHAIN_PLATFORM_READ BLOCKCHAIN_PLATFORM_UPDATE
區塊鏈平台工作要求	BLOCKCHAIN_PLATFORM_WORK_REQUEST_INSPECT BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ

管理

資源類型	MANAGE 權限
區塊鏈平台	BLOCKCHAIN_PLATFORM_READ BLOCKCHAIN_PLATFORM_UPDATE BLOCKCHAIN_PLATFORM_CREATE BLOCKCHAIN_PLATFORM_DELETE
區塊鏈平台實例工作要求	BLOCKCHAIN_PLATFORM_WORK_REQUEST_INSPECT BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ BLOCKCHAIN_PLATFORM_WORK_REQUEST_DELETE

作業特定屬性

這些變數的值由 Oracle Blockchain Platform 提供。此外，也支援其他一般變數。請參閱所有要求的一般變數。

對於指定的資源種類，在所有作業 (get、list、delete 等等) 中應該要有一組相同的屬性。其中一個例外是用於 create 作業，您還沒有該物件的 ID，因此您無法有 create 的 target.RESOURCE-KIND.id 屬性。

資源種類	名稱	Type	來源
區塊鏈平台
區塊鏈平台工作要求