4 設定使用者、存取角色和權限

在使用 Oracle Blockchain Platform 設定服務後要完成的首要任務之一，就是在 Oracle Identity Cloud Service (IDCS) 或您的 Identity and Access Management (IAM) 識別網域中新增使用者帳戶，讓預期使用該服務，並在服務中指定適當的權限。

如果您是現有客戶或區域尚未支援 IAM 識別網域的新客戶，則您的 Oracle Blockchain Platform 帳戶可以使用 IDCS。使用 IDCS 新增使用者和群組，然後指定角色來控制 Oracle Blockchain Platform 的使用。請參閱管理 Oracle Identity Cloud Service 使用者和管理 Oracle Identity Cloud Service 群組

如果您是新客戶，且您的 OCI 區域已移轉為使用 IAM 識別網域，系統就會使用您的執行處理建立預設網域。您可以使用此項目來新增使用者和群組，然後指派角色來控制 Oracle Blockchain Platform 的使用。請參閱管理使用者和管理群組。

使用 Oracle Identity Cloud Service 進行認證

Oracle Blockchain Platform 使用 Oracle Identity Cloud Service 進行身分識別管理和驗證。

Oracle Identity Cloud Service 為 Oracle Cloud 管理員提供集中式安全平台，以管理使用者與您應用程式之間的關係，包括其他 Oracle Cloud 服務 (例如 Oracle Blockchain Platform)。您可以使用 Oracle Identity Cloud Service 建立自訂密碼制定原則和電子郵件通知、新增使用者、指定應用程式的使用者和群組，以及執行安全報表。請參閱管理 Oracle Identity Cloud Service 中的下列主題：

• 關於 Oracle Identity Cloud Service 概念

• 如何存取 Oracle Identity Cloud Service

您帳戶中的每個 Oracle Cloud 服務執行處理都與一個 Oracle Identity Cloud Service 安全應用程式關聯。每個安全性應用程式都會定義一或多個應用程式角色。將使用者和群組指定給這些應用程式角色，以授予他們服務的管理存取權。請參閱管理 Oracle Identity Cloud Service 中的下列主題：

• 建立使用者帳戶

• 建立群組

• 指定使用者至 Oracle Applications

• 指派群組至 Oracle Applications

在 Oracle Cloud Infrastructure 主控台中連線至 Oracle Identity Cloud Service

Oracle Blockchain Platform 租用戶會自動與 Oracle Identity Cloud Service 聯合，並設定為在 Oracle Cloud Infrastructure 中佈建同盟使用者。

您可以透過 Oracle Identity Cloud Service 管理使用者和群組，如管理 Oracle Cloud Infrastructure 主控台中的 Oracle Identity Cloud Service 使用者和群組中所述。

附註：

在舊版的 Oracle Identity Cloud Service 中，區塊鏈平台應用程式位於應用程式下的導覽側邊功能表中。Oracle Identity Cloud Service 現在已與 Oracle Cloud Infrastructure 整合，不再有個別的 URL。區塊鏈平台應用程式現在可以在身分識別與安全性下方的導覽側邊功能表的 Oracle Cloud Services 下找到，然後在網域下找到。

使用者建立和權限處理作業的簡介：

1. 在 Oracle Cloud Infrastructure 中，前往身分識別與安全性並選取網域。建立必要的使用者。
2. 建立一或多個群組，並視需要將使用者指派給適當的群組。
3. 定義控制存取的必要原則。
4. 將 Oracle Cloud Infrastructure 中的使用者授予群組存取特定區間和 Oracle Blockchain Platform 執行處理的適當權限。

新增 Oracle Identity Cloud Service 使用者

若要存取使用 Oracle Identity Cloud Service 進行認證的 Oracle Blockchain Platform 執行處理，Oracle Blockchain Platform 使用者必須先具備有效的 Oracle Identity Cloud Service 證明資料。管理員在 Oracle Identity Cloud Service 中管理使用者的佈建，並執行新增使用者的任務。

若要新增使用者並提供他們對 Oracle Blockchain Platform 的存取權，請執行下列動作：

1. 開啟與 Oracle Identity Cloud Service 中 Oracle Blockchain Platform 執行處理的相關安全性應用程式。
2. 按一下頁面頂端的 Identity Cloud Service 使用者頁籤 (不是 Oracle Blockchain Platform 執行處理的「使用者」頁籤)。
3. 按一下「新增」並提供使用者詳細資訊，然後按一下「完成」。

   就會顯示使用者的「詳細資訊」頁面。系統將會傳送含有登入資訊的電子郵件給使用者。

使用識別與存取管理識別網域進行認證

如果您的執行處理使用識別網域進行識別管理，您可以使用 Oracle Cloud Infrastructure 主控台，為您預期使用 Oracle Blockchain Platform 的每個人設定和管理使用者帳戶。設定使用者和群組之後，您可以指派適當的權限 (也稱為應用程式角色)。

若要判斷您的雲端帳戶是否提供識別網域，請在 Oracle Cloud Infrastructure 主控台中瀏覽至身分識別與安全性。在識別下，尋找網域。

若要存取使用識別網域進行認證的 Oracle Blockchain Platform 執行處理，Oracle Blockchain Platform 使用者必須先具備有效的網域證明資料。識別網域管理員可管理網域中使用者的佈建，以及執行新增使用者的工作。

新增使用者並提供他們 Oracle Blockchain Platform 的存取權：

1. 開啟導覽功能表，然後按一下識別與安全。在 Identity 下，按一下 Domain 。
2. 選取您要使用的識別網域，然後按一下使用者。
3. 按一下建立使用者。輸入使用者資訊。

如需其他詳細資訊，請參閱 Oracle Cloud Infrastructure 文件中的下列主題：

• 管理使用者
• 管理群組

指定 Oracle Blockchain Platform Network 和 REST API 的角色

此簡介描述與 Oracle Blockchain Platform 網路使用者、管理員及主控台 REST API 使用者相關的角色。任何使用或管理 Oracle Blockchain Platform 的人，都必須加入 Oracle Identity Cloud Service 或 Identity and Access Management，並授予正確的使用者角色。

如何建立角色與使用者的關聯

如果您使用的是 IDCS，則必須為 IDCS 中的每個使用者新增適當的角色。如需有關如何在 IDCS 中新增或管理使用者角色的資訊，請參閱管理使用者的 Oracle Identity Cloud Service 角色。

如果您使用 IAM 搭配識別網域，則必須為網域中的每位使用者新增適當的角色。

1. 開啟導覽功能表，然後依序按一下識別與安全和網域。
2. 選取您要使用的識別網域，然後選取 Oracle Cloud Services ，然後從清單中選擇您的服務。
3. 在資源下，選取應用程式角色。
4. 選取您要指派給使用者的角色，按一下角色右側的「其他」圖示，然後選取指派使用者。

需要使用或管理網路或 REST API 的角色

以下是 Oracle Blockchain Platform 提供的角色。

使用者角色	是否自動授予執行處理建立者？	描述
管理	是	此角色是 Oracle Blockchain Platform 雲端應用程式的整體管理員。 如需此使用者角色可用的主控台功能完整清單，請參閱依使用者角色區分之主控台功能的存取控制清單中的表格。 若要使用管理區塊鏈網路 REST API，您必須具有與使用者 ID 關聯的這個角色。 請注意，管理區塊鏈平台 (控制層) REST API 使用 OCI 的認證機制，如下所述：Oracle Cloud Infrastructure 文件：REST API 。此表格中描述的 ADMIN 角色僅適用於網路管理、應用程式作業以及統計資料 REST API 呼叫。
使用者		如需此使用者角色可用的主控台功能完整清單，請參閱依使用者角色區分之主控台功能的存取控制清單中的表格。
CA_USER	是	此使用者角色已指派給 Oracle Blockchain Platform 參與者，以授予使用者呼叫憑證授權 API 的存取權。
REST_CLIENT	是	授予使用者呼叫 REST 代理主機節點上所有可用 REST 代理主機端點的存取權 (編號相同)。 請注意，管理區塊鏈平台 (控制層) REST API 使用 OCI 的認證機制，如下所述：Oracle Cloud Infrastructure 文件：REST API 。此表格中描述的 REST_CLIENT 角色僅適用於網路管理、應用程式作業及統計資料 REST API 呼叫。

依使用者角色區分之主控台功能的存取控制清單

下表列出 ADMIN 與 USER 角色可使用哪些主控台功能。

功能	管理	USER
儀表板	是	是
網路：列出組織	是	是
網路：新增組織	是	編號
網路：訂購服務設定	是	編號
網路：匯出憑證	是	編號
網路：匯出排序器設定值	是	編號
網路：新增 OSN	是	編號
網路：匯出網路組態區塊	是	編號
節點：清單	是	是
節點：Start/stop/restart	是	編號
節點：新增 / 移除	是	編號
節點：檢視屬性	是	是
節點：編輯屬性	是	編號
節點：檢視度量	是	是
節點：檢視日誌	是	是
節點：匯出 / 匯入對等	是	編號
對等節點：清單通道	是	是
對等節點：結合通道	是	編號
對等節點：清單鏈碼	是	是
排序器：匯出 OSN 設定值	是	編號
Orderer：匯入網路組態區塊	是	編號
管道：清單	是	是
頻道：建立	是	編號
管道：新增組織至管道	是	編號
通路：更新訂購服務設定	是	編號
管道：檢視 / 查詢分類帳	是	是
通道：列出已建立的鏈碼	是	是
頻道：列出已加入的端點	是	是
頻道：設定錨點端點	是	編號
通道：升級鏈碼	是	編號
通道：管理 OSN 管理員	是	編號
頻道：將接單者加入頻道	是	編號
通路：從通路移除訂購者	是	編號
Chaincode：列表	是	是
Chaincode：安裝	是	編號
鏈碼：建立	是	編號
樣本鏈碼：安裝	是	編號
樣本鏈碼：建立	是	編號
鏈碼範例：呼叫	是	是
CRL	是	編號

使用權限和原則來管理 Oracle Blockchain Platform

Oracle Cloud Infrastructure 中的每個服務都與身分識別與存取管理 (IAM) 整合，以進行所有介面 (主控台、SDK 或 CLI 及 REST API) 的驗證與授權。您使用 IAM 授權原則來控制對租用戶資源的存取。例如，您可以建立授權使用者建立和管理 Oracle Blockchain Platform 執行處理的原則。

您可以使用 Oracle Cloud Infrastructure 主控台建立原則。如需有關 IAM 原則的詳細資訊，請參閱 Oracle Cloud Infrastructure 文件中的Oracle Cloud Infrastructure Identity and Access Management 概要。如需撰寫原則的詳細資訊，請參閱原則語法和原則參照。

Oracle Blockchain Platform 的資源類型

資源種類	權限	描述
區塊鏈平臺	BLOCKCHAIN_PLATFORM_CREATE BLOCKCHAIN_PLATFORM_UPDATE BLOCKCHAIN_PLATFORM_INSPECT BLOCKCHAIN_PLATFORM_READ BLOCKCHAIN_PLATFORM_DELETE	一或多個 Oracle Blockchain Platform 執行處理。
區塊鏈平台工作要求	BLOCKCHAIN_PLATFORM_WORK_REQUEST_INSPECT BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ BLOCKCHAIN_PLATFORM_WORK_REQUEST_DELETE	Oracle Blockchain Platform 的單一工作要求。 您在 Oracle Blockchain Platform 執行處理的每項作業都會建立工作要求。例如，像是 create、start、stop 等的作業。

權限對應作業

下表列出 Oracle Blockchain Platform 特定的 IAM 作業。您可以編寫一個包含這些作業的 IAM 原則，也可以編寫一個使用定義動詞 (封裝這些作業) 的原則。

作業 ID	使用作業所需的許可權	API 作業
createBlockchainPlatform	BLOCKCHAIN_PLATFORM_CREATE	CreateBlockchainPlatform
deleteBlockchainPlatform	BLOCKCHAIN_PLATFORM_DELETE	DeleteBlockchainPlatform
getAllPlatformsInCompartment	BLOCKCHAIN_PLATFORM_INSPECT	GetBlockchainPlatforms
getBlockchainPlatformInformation	BLOCKCHAIN_PLATFORM_READ	GetBlockchainPlatformInformation
getWorkRequest	BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ	GetWorkRequest
getWorkRequestErrors	BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ	ListWorkRequestErrors
getWorkRequestLogs	BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ	ListWorkRequestLogs
listWorkRequests	BLOCKCHAIN_PLATFORM_WORK_REQUEST_INSPECT	ListWorkRequests
restartBlockchainPlatform	BLOCKCHAIN_PLATFORM_UPDATE	RestartBlockchainPlatform
startBlockchainPlatform	BLOCKCHAIN_PLATFORM_UPDATE	StartBlockchainPlatform
stopBlockchainPlatform	BLOCKCHAIN_PLATFORM_UPDATE	StopBlockchainPlatform
updateBlockchainPlatform	BLOCKCHAIN_PLATFORM_UPDATE	UpdateBlockchainPlatform

動詞與資源類型組合的詳細資訊

Oracle Cloud Infrastructure 提供一組標準動詞，用來定義跨 Oracle Cloud Infrastructure 資源的權限 ( 檢查、讀取、使用、管理 )。這些表格列出與每個動詞關聯的 Oracle Blockchain Platform 權限。當您從檢查到讀取到使用到管理時，存取層級是累積的。

INSPECT

資源類型	INSPECT 權限
區塊鏈平臺	BLOCKCHAIN_PLATFORM_INSPECT
區塊鏈平台工作要求	BLOCKCHAIN_PLATFORM_WORK_REQUEST_INSPECT

READ

資源類型	讀取權限
區塊鏈平臺	BLOCKCHAIN_PLATFORM_INSPECT BLOCKCHAIN_PLATFORM_READ
區塊鏈平台工作要求	BLOCKCHAIN_PLATFORM_WORK_REQUEST_INSPECT BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ

USE

資源類型	USE 許可
區塊鏈平臺	BLOCKCHAIN_PLATFORM_READ BLOCKCHAIN_PLATFORM_UPDATE
區塊鏈平台工作要求	BLOCKCHAIN_PLATFORM_WORK_REQUEST_INSPECT BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ

管理

資源類型	管理權限
區塊鏈平臺	BLOCKCHAIN_PLATFORM_READ BLOCKCHAIN_PLATFORM_UPDATE BLOCKCHAIN_PLATFORM_CREATE BLOCKCHAIN_PLATFORM_DELETE
區塊鏈平台實例 - 工作要求	BLOCKCHAIN_PLATFORM_WORK_REQUEST_INSPECT BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ BLOCKCHAIN_PLATFORM_WORK_REQUEST_DELETE

作業特定屬性

這些變數的值是由 Oracle Blockchain Platform 所提供。此外，也支援其他一般變數。請參閱所有要求的一般變數。

對於指定的資源種類，您應該在所有作業 (get、list、delete 等等) 中有相同的屬性集。其中一個例外是針對 create 作業，其中您還沒有該物件的 ID，因此您無法擁有 create 的 target.RESOURCE-KIND.id 屬性。

資源種類	名稱	Type	來源
區塊鏈平臺
區塊鏈平台工作要求