4 使用者管理
Blockchain Platform Manager 在安裝期間使用整合式 OpenLDAP 伺服器進行初始身分識別與存取管理 (IAM)。此 OpenLDAP 伺服器管理使用者憑證,並使用預先設定的群組強制執行以角色為基礎的存取控制 (RBAC)。所有使用者資訊 (例如證明資料和群組成員身分) 都會儲存在此 OpenLDAP 伺服器上。
除了以 LDAP 為基礎的驗證之外,Blockchain Platform Manager 還支援透過 OpenID Connect (OIDC) 與外部身分識別管理系統 (IdMs) 整合。這樣便可以使用業界標準的認證協定來增強互通性。
LDAP 組態管理
Blockchain Platform Manager 提供用於管理 LDAP 伺服器的專用組態頁面。支援下列動作:
- 新增:將 Blockchain Platform Manager 的外部 LDAP 伺服器設定為內建 OpenLDAP 伺服器的替代伺服器。
- 儲存:儲存新的或更新的 LDAP 伺服器組態。
- 設為作用中:將現有的 LDAP 組態指定為作用中。
- 儲存並設定作用中:儲存變更並立即將更新的組態設為作用中。
- 測試組態:從 Blockchain Platform Manager 驗證指定之 LDAP 伺服器的連線和輔助功能。
群組建立與管理
對於建立的每個 Blockchain Platform Manager 執行處理,會在 OpenLDAP 伺服器中佈建下列群組:
| 使用者角色 | LDAP 群組名稱 | 描述 |
|---|---|---|
| 平台管理 | OBP_Blockchain Platform Manager<id>_CP_ADMIN |
此群組中的使用者可以在執行處理上啟動設定、設定現有執行處理、設定 LDAP 組態,以及完成執行處理的週期作業。
使用者必須是此群組的成員,才能登入區塊鏈平台管理程式或建立執行處理。 |
| 執行處理管理員 | BESU_ADMIN_<instance_uuid> |
此群組中的使用者可以使用主控台 UI 來管理執行處理。 |
| 執行處理運算子 | BESU_OPERATOR_<instance_uuid> |
運算子是唯讀使用者。操作員沒有服務主控台中帳戶頁面的存取權。 |
| RPC 代理主機從屬端 | BESU_RPC_GW_<instance_uuid> |
RPC 代理使用者通常是用戶端應用程式。 |
所有透過 Blockchain Platform Manager 佈建的使用者都會自動新增至這四個群組。
權杖發行與群組成員傳輸
建立新的執行處理時,Blockchain Platform Manager 會設定認證伺服器,以啟用必要宣告的權杖發出,包括使用者識別和相關的從屬端 / 關係人資訊。每個權杖都包含包含在有效負載宣告中的群組成員身分資訊。執行處理元件會使用這些宣告來授權或封鎖對工作負載 Pod 的外部存取。
您可以使用 OpenLDAP 瀏覽器 (例如 jXplorer),直接將使用者新增至 OpenLDAP 伺服器。Blockchain Platform Manager 管理員可以使用安裝期間提供的管理員使用者名稱和密碼,以啟用 SSL 連線至 openldap.<cp-name>.<cp-domain>:443。連線之後,管理員就可以新增使用者並指派或修改群組,以提供適當的存取層次。