4 使用者管理
Blockchain Platform Manager 在安裝期間使用整合式 OpenLDAP 伺服器進行初始身分識別與存取管理 (IAM)。此 OpenLDAP 伺服器管理使用者憑證,並使用預先設定的群組強制執行以角色為基礎的存取控制 (RBAC)。所有使用者資訊 (例如證明資料和群組成員身分) 都會儲存在此 OpenLDAP 伺服器上。
LDAP 組態管理
Blockchain Platform Manager 提供用於管理 LDAP 伺服器的專用組態頁面。支援下列動作:
- 新增:將 Blockchain Platform Manager 的外部 LDAP 伺服器設定為內建 OpenLDAP 伺服器的替代伺服器。
- 儲存:儲存新的或更新的 LDAP 伺服器組態。
- 設為作用中:將現有的 LDAP 組態指定為作用中。
- 儲存並設定作用中:儲存變更並立即將更新的組態設為作用中。
- 測試組態:從 Blockchain Platform Manager 驗證指定之 LDAP 伺服器的連線和輔助功能。
群組建立與管理
對於建立的每個 Blockchain Platform Manager 執行處理,會在 OpenLDAP 伺服器中佈建下列群組:
| 使用者角色 | LDAP 群組名稱 | 描述 |
|---|---|---|
| 平台管理 | OBP_Blockchain Platform Manager<id>_CP_ADMIN |
此群組中的使用者可以在執行處理上啟動設定、設定現有執行處理、設定 LDAP 組態,以及完成執行處理的週期作業。
使用者必須是此群組的成員,才能登入區塊鏈平台管理程式或建立執行處理。 |
| 執行處理管理員 | BESU_ADMIN_<instance_uuid> |
此群組中的使用者可以使用主控台 UI 來管理執行處理。 |
| 執行處理運算子 | BESU_OPERATOR_<instance_uuid> |
運算子是唯讀使用者。操作員沒有服務主控台中帳戶頁面的存取權。 |
| RPC 代理主機從屬端 | BESU_RPC_GW_<instance_uuid> |
RPC 代理使用者通常是用戶端應用程式。 |
所有透過 Blockchain Platform Manager 佈建的使用者都會自動新增至這四個群組。
權杖發行與群組成員傳輸
建立新的執行處理時,Blockchain Platform Manager 會設定認證伺服器,以啟用必要宣告的權杖發出,包括使用者識別和相關的從屬端 / 關係人資訊。每個權杖都包含包含在有效負載宣告中的群組成員身分資訊。執行處理元件會使用這些宣告來授權或封鎖對工作負載 Pod 的外部存取。
您可以使用 OpenLDAP 瀏覽器 (例如 jXplorer),直接將使用者新增至 OpenLDAP 伺服器。Blockchain Platform Manager 管理員可以使用安裝期間提供的管理員使用者名稱和密碼,以啟用 SSL 連線至 openldap.<cp-name>.<cp-domain>:443。連線之後,管理員就可以新增使用者並指派或修改群組,以提供適當的存取層次。