Služba nároků

Správa přístupu je kritická funkce pro jakoukoli službu nebo prostředek. Služba nároků umožňuje řídit, kdo může používat Azure Data Manager pro energii, co může zobrazit nebo změnit a jaké služby nebo data můžou používat.

Struktura a pojmenování skupin OSDU

Služba nároků Azure Data Manageru pro energii umožňuje vytvářet skupiny a spravovat členství ve skupinách. Skupina nároků definuje oprávnění ke službám nebo zdrojům dat pro konkrétní datový oddíl ve vaší instanci Azure Data Manageru pro energii. Uživatelé přidaní do konkrétní skupiny získají přidružená oprávnění. Všechny identifikátory skupin (e-maily) jsou ve formuláři {groupType}.{serviceName|resourceName}.{permission}@{partition}.{domain}.

Pro každý nový datový oddíl musí být nastaveny různé skupiny a přidružené uživatelské nároky, a to i ve stejném Azure Data Manageru pro energetickou instanci.

Typy skupin OSDU

Služba nároků umožňuje autorizaci třemi případy použití:

Skupiny dat

• Skupiny dat slouží k povolení autorizace dat.
• Skupiny dat začínají slovem "data", například data.welldb.viewers a data.welldb.owners.
• Jednotliví uživatelé se přidají do skupin dat, které se přidají do seznamu ACL jednotlivých datových záznamů, aby bylo možné povolit viewer a owner získat přístup k datům po načtení dat v systému.
• K upload datům musíte mít nároky na různé služby OSDU, které se používají během procesu příjmu dat. Kombinace služeb OSDU závisí na metodě příjmu dat. Například pro příjem manifestu si přečtěte koncepty příjmu dat založené na manifestu , abyste porozuměli službám OSDU, které rozhraní API používala. Uživatel nemusí být součástí seznamu ACL pro nahrání dat.

Skupiny služeb

• Skupiny služeb slouží k povolení autorizace pro služby.
• Skupiny služeb začínají slovem "služba", například service.storage.user a service.storage.admin.
• Skupiny služeb jsou předdefinované při zřizování služeb OSDU v jednotlivých datových oddílech Azure Data Manageru pro energetické instance.
• Tyto skupiny umožňují viewereditora admin přístup k volání rozhraní API OSDU odpovídající službám OSDU.

Skupiny uživatelů

• Skupiny uživatelů se používají pro hierarchické seskupení uživatelů a skupin služeb.
• Skupiny služeb začínají slovem "users", například users.datalake.viewers a users.datalake.editors.

Vnořená hierarchie

• Pokud je user_1 součástí data_group_1 a data_group_1 se do user_group_1 přidá jako člen, kód OSDU zkontroluje vnořené členství a autorizuje user_1 pro přístup k nárokům pro user_group_1. Toto je vysvětleno v rozhraní API pro kontrolu nároků OSDU a rozhraní API pro načtení skupiny OSDU.

• Do souboru user groupmůžete přidat jednotlivé uživatele . Poté user group se přidá do .data group Skupina dat se přidá do seznamu ACL datového záznamu. Umožňuje abstrakci pro skupiny dat, protože jednotliví uživatelé nemusí být do skupiny dat přidáni jeden po druhém. Místo toho můžete přidat uživatele do souboru user group. Pak můžete opakovaně použít user group více data groups. Vnořená struktura pomáhá poskytovat škálovatelnost pro správu členství v OSDU.

Výchozí skupiny

• Některé skupiny OSDU se ve výchozím nastavení vytvářejí při zřizování datového oddílu.
• Ve výchozím nastavení se vytvářejí skupiny data.default.viewers dat a data.default.owners jsou vytvořeny.
• Skupiny služeb pro zobrazení, úpravu a správu jednotlivých služeb, jako service.entitlement.admin jsou a service.legal.editor které se vytvářejí ve výchozím nastavení.
• Skupiny uživatelů , users, users.datalake.viewersusers.datalake.editors, users.datalake.adminsusers.datalake.ops, a users.data.root jsou vytvořeny ve výchozím nastavení.
• Graf výchozích členů a skupin ve skupinách nároků OSDU bootstrapped zobrazuje skupiny záhlaví sloupců jako člen záhlaví řádků. Například users skupina je členem data.default.viewers a data.default.owners ve výchozím nastavení. users.datalake.admins a users.datalake.ops jsou členy service.entitlement.admin skupiny.
• Instanční objekt nebo instanční objekt nebo client-id je app-id výchozím vlastníkem všech skupin.

Specifika users@ skupiny

• Existuje jedna výjimka z tohoto pravidla pojmenování skupiny pro skupinu "uživatelé". Vytvoří se při zřízení nového datového oddílu a jeho název se řídí vzorem users@{partition}.{domain}.
• Obsahuje seznam všech uživatelů s libovolným typem přístupu v konkrétním datovém oddílu. Než přidáte nového uživatele do skupin nároků, musíte do users@{partition}.{domain} skupiny přidat i nového uživatele.

Specifika users.data.root@ skupiny

• users.data.root entitlement group je výchozím členem všech skupin dat při vytváření skupin. Pokud se pokusíte odebrat uživatele.data.root z jakékoli skupiny dat, zobrazí se chyba, protože toto členství vynucuje OSDU.
• users.data.root se automaticky stane výchozím a trvalým vlastníkem všech datových záznamů, když se záznamy vytvoří v systému, jak je vysvětleno v rozhraní API pro ověřování přístupu vlastníka a rozhraní API pro kontrolu uživatele OSDU. V důsledku toho systém bez ohledu na členství uživatele OSDU zkontroluje, jestli je uživatel "DataManager", tj. součást skupiny data.root, aby udělil přístup k datovému záznamu.
• Výchozí členství v users.data.root je pouze app-id to, které se používá k nastavení instance. Do této skupiny můžete přidat další uživatele explicitně, aby měli výchozí přístup k datovým záznamům.

Jako příklad v tomto scénáři:

• Data_record_1 má 2 seznamy ACL: ACL_1 a ACL_2.
• User_1 je členem ACL_1 a users.data.root.

Když teď odeberete user_1 z ACL_1, user_1 zůstane přístup k data_record_1 prostřednictvím skupiny users.data.root.

A pokud ACL_1 a ACL_2 odeberou z data_record_1, uživatelé.data.root budou mít k datům nadále přístup vlastníka. Tím se datový záznam zachová před tím, než se stane osiřelým.

Neznámý identifikátor OID

Ve všech skupinách OSDU přidaných ve výchozím nastavení se zobrazí jeden neznámý identifikátor OID. Tento identifikátor odkazuje na interní ID instance Azure Data Manageru pro energetické instance, které se používá pro systémovou komunikaci. Tento identifikátor OID se pro každou instanci vytvoří jedinečně.

Uživatelé

Pro každou skupinu OSDU můžete přidat uživatele jako vlastníka nebo člena:

• Pokud jste vlastníkem skupiny OSDU, můžete přidat nebo odebrat členy této skupiny nebo skupinu odstranit.
• Pokud jste členem skupiny OSDU, můžete službu nebo data zobrazit, upravit nebo odstranit v závislosti na rozsahu skupiny OSDU. Pokud jste například členem service.legal.editor skupiny OSDU, můžete volat rozhraní API a změnit právní službu.

Poznámka:

Neodstraňujte vlastníka skupiny, pokud není k dispozici jiný VLASTNÍK pro správu uživatelů.

Rozhraní API pro nároky

Úplný seznam koncových bodů rozhraní API nároků najdete v tématu Služba nároků OSDU. Několik ilustrací použití rozhraní API nároků jsou k dispozici ve správě uživatelů.

Poznámka:

Dokumentace k OSDU odkazuje na koncové body v1, ale skripty uvedené v této dokumentaci odkazují na koncové body verze 2, které fungují a byly úspěšně ověřeny.

OSDU® je ochranná známka the Open Group.

Další kroky

Další krok najdete tady:

• Spravovat uživatele
• Správa značek z právních důvodů
• Správa seznamů ACL

Data můžete také ingestovat do azure Data Manageru pro energetické instance:

• Kurz příjmu dat analyzátoru CSV
• Kurz příjmu manifestu