Řízení přístupu na základě rolí ve Službě emisních povolenek (Preview)

  • Článek

Technický summit Microsoft Cloud for Sustainability v květnu 2024

Důležité

Některé nebo všechny tyto funkce jsou k dispozici jako součást vydání verze Preview. Obsah a funkce se mohou změnit. K prostředí sandbox Služby emisních povolenek (Preview) máte přístup ve 30denní zkušební verzi. Chcete-li používat Službu emisních povolenek (Preview) v produkčním prostředí, vyplňte registrační formulář Služby emisních povolenek (Preview).

Řízení přístupu na základě rolí vám umožňuje řídit přístup k různým operacím v aplikaci na základě oprávnění přítomných v rolích přiřazených uživatelům v organizaci. Umožňuje vám udělovat a odebírat role přiřazené uživatelům v organizaci pro jemnou kontrolu.

Každá dobrovolná organizace ekologického tržního ekosystému hraje specifickou roli, která se ve Službě emisních povolenek (Preview) nazývá tržní role. Každá organizace zapojí uživatele do Službu emisních povolenek (Preview) a přiřadí jim uživatelské role. Zdroje, jako jsou ekologické projekty nebo programy, projekty modulárních výhod, nároky a tokeny, patří organizaci, nikoli uživateli.

Přiřazování rolí uživatelů

Uživatelská role je definována jako kolekce oprávnění umožňujících konkrétní operace v aplikaci. Tyto uživatelské role můžete přiřadit na úrovni organizace nebo na úrovni aktiv v kontextu konkrétní tržní role. Služba emisních povolenek (Preview) podporuje následující uživatelské role:

Role uživatele Oprávnění
Správa Správce může provádět všechny podporované operace datové roviny s přidruženými prostředky, jako je vytváření, aktualizace, čtení a mazání. Může také provádět operace na úrovni správy, jako je registrace uživatelů v organizaci a vytváření nebo aktualizace přiřazení rolí pro ně.
Přispěvatel Přispěvatel může provádět všechny podporované operace datové roviny s přidruženými prostředky, jako je vytváření, aktualizace, čtení a mazání. Získá také přístup pro čtení na úrovni úrovně správy.
Čtenář Čtenář může provádět operace čtení na úrovni související datové roviny a na prostředcích na úrovni správy.

Řízení rolí na úrovni organizace v kontextu tržní role

Následující schopnosti jsou podporovány pro řízení přístupu na základě rolí na úrovni organizace v kontextu konkrétní úrovně tržní role. Pokud například organizace působí jako kupující, pak má jednu tržní roli (kupující). Na úrovni organizace by uživatel v této organizaci mohl mít uživatelskou roli správce kupujícího, přispěvatel kupujícího nebo čtenář kupujícího.

Jedna organizace může mít více tržních rolí. Pokud například jiná organizace působí jako vydávající registr i jako tržiště, má dvě tržní role. Uživatel v této organizaci by mohl mít roli Správce dodavatele v kontextu role dodavatelského trhu a roli čtenář vydávajícího registru v kontextu role vydávajícího registru.

Správa rolí na úrovni prostředku

Uživatelská oprávnění můžete spravovat na úrovni aktiv v rámci organizace. Správce nebo přispěvatel na úrovni organizace může vytvářet nové prostředky. Správce na úrovni organizace může také přidávat uživatele k aktivu a přidělovat jim role.

  • Správce na úrovni prostředku: Správce na úrovni prostředku má přidělenou uživatelskou roli správce v konkrétním podrobném rozsahu prostředku v organizaci. Uživateli je například přidělena role správce dodavatele v rámci projektu modulárních výhod v roli organizace na trhu dodavatelů. Může provádět všechny podporované operace datové roviny s prostředkem, jako je čtení a zápis. Může také provádět operace na úrovni správy, jako je registrace uživatelů v organizaci u konkrétního prostředku, pro který je správcem.

  • Přispěvatel na úrovni prostředku: Přispěvatel na úrovni prostředku může provádět všechny podporované operace datové roviny s prostředkem, jako je čtení a aktualizace prostředku. Může číst přiřazení rolí ostatních uživatelů nebo skupin v rozsahu daného prostředku.

  • Čtenář na úrovni prostředku: Čtenář na úrovni prostředku může provádět operace čtení s prostředkem. Může číst přiřazení rolí ostatních uživatelů nebo skupin v rozsahu daného prostředku.

Poznámka:

Hierarchie přístupu shora dolů bude zachována. Pokud má uživatel například roli správce v roli dodavatele na trhu v rámci organizace, bude mít automaticky přístup na úrovni správce ke všem prostředkům (jako jsou ekologické projekty a projekty modulárních výhod) pro daného dodavatele. Pokud má jiný uživatel přístup správce na úrovni prostředku (například v ekologickém projektu), bude mít přístup ke všem prostředkům, které spadají pod něj.

Podporované schopnosti pro řízení přístupu na základě rolí

Předpoklady pro používání kolekce Postman u rozhraní API

Kolekci Postman můžete nastavit s konfigurací prostředí organizací a jejich správců následovně:

  • Nastavte údaje uživatele v různých proměnných (například: <marketRole>_admin_username) kolekce Postman pro různé role na trhu, které chcete použít, spolu s jejich příslušnými hesly.

  • Vytvořte nové prostředí Postman a přepněte do něj před spuštěním jakéhokoli rozhraní API v kolekci.

  • Spusťte složku Setup Organizations pro konkrétní tržní roli, kterou chcete použít, a nastavte vlastnosti organizace (a jejich příslušných správců) v prostředí Postman.

  • Spusťte rozhraní API Definice rolí > Načíst všechny definice rolí, abyste získali údaje o všech vestavěných definicích uživatelských rolí v prostředí Postman. Odpověď z rozhraní API pro definici role lze použít k získání informací o přiřaditelných rozsazích, které lze přiřadit uživatelům.

Přidat uživatele

Uživatele můžete přidávat a spravovat jejich role v rámci organizace po přepnutí do nabídky Nastavení v levé navigaci.

Poznámka:

Nemůžete přidat uživatele, který již byl přidán.

  1. Na obrazovce Přístup uživatele vyberte položku Přidat uživatele.
  2. V podokně Přidat uživatele zadejte Uživatele, vyberte Úroveň přístupu a poté vyberte Uložit. Snímek obrazovky přidání uživatele v podokně Přidat uživatele.

Přes rozhraní API:

Poznámka:

Složka Onboard Users v kolekci Postman podporuje spuštění jedním kliknutím. Doporučujeme však používat jednotlivá rozhraní API, abyste si vyzkoušeli zavádění uživatelů a seznámili se s rozhraními API.

  • Pro libovolnou organizační složku, jako je Supplier, ve složce Onboard Users v kolekci Postman nastavte organizace a jejího správce zavoláním rozhraní API Získat údaje o organizaci a Získat údaje uživatele správce.

  • Chcete-li zavést uživatele přispěvatele, můžete ověřit, že autorizace požadovaná pro rozhraní API odpovídá uživateli správce. Datová část požadavku se pokusí přidat nového uživatele s vestavěnou uživatelskou rolí přispěvatele, jako je uživatelská role dodavatele přispěvatel. Odeslání požadavku zavede přispěvatele.

  • Podobně můžete v organizaci zavést uživatele Čtenář s odpovídající rolí Čtenář, jako je například uživatelská role dodavatele Čtenář.

Změna přiřazení rolí

Po přidání uživatelů můžete změnit uživatelskou roli, která jim byla přiřazena.

Poznámka:

Nemůžete upravit svůj vlastní přístup.

  1. Na obrazovce Uživatelský přístup vyberte tři tečky vedle uživatele a poté vyberte Upravit.
  2. V podokně Upravit přístup vyberte novou roli v rozevíracím seznamu Úroveň přístupu a poté vyberte Uložit. Snímek obrazovky Upravit přístup s odebráním uživatele.

Přes rozhraní API:

  1. Přejděte do složky Role Assignments v kolekci.

  2. Použijte rozhraní API Vytvořte přiřazení role u majetku. Ve výchozím nastavení je role dodavatele přispěvatel přiřazena uživateli Čtenář pomocí přístupového tokenu správce dodavatele.

    Poznámka:

    Tento příklad pouze zdůrazňuje, jak funguje rozhraní API pro přiřazení rolí. Pomocí příslušných účtů správce můžete uživatelům z různých organizací přiřadit jinou uživatelskou roli. Identifikátor URI zdroje oboru můžete změnit na platný identifikátor URI majetku pro definici role. Nahraďte proměnné prostředí v datové části požadavku (roleDefinitionId a participantId), změňte parametr těla požadavku resourceUri a změňte proměnnou prostředí přístupového tokenu správce, aby odpovídala příslušnému uživatelskému účtu správce.

    Rozhraní API pro vytváření přiřazení rolí můžete odeslat s různými hodnotami identifikátoru definice role (roleDefinitionId), který má být přiřazen různým uživatelům v organizaci (userId) v různém rozsahu (resourceUri). Autorizační hlavičku můžete změnit tak, aby odpovídala přístupovému tokenu příslušného správce.

    Správci organizace nemohou přidělovat uživatelské role mimo svou organizaci a nemůže přidělovat role uživatelům mimo svou organizaci.

  3. K aktualizaci přístupu uživatele použijte rozhraní API Aktualizovat přiřazení role. Můžete například povýšit uživatele na správce dodavatele. Nezapomeňte ověřit roleassignment_idparametru API.

Odstranění přiřazení rolí

Uživatel správce může podle potřeby odstranit existující přiřazení rolí pro účastníky.

Poznámka:

Nemůžete odstranit svůj vlastní přístup.

  1. Na obrazovce Uživatelský přístup vyberte tři tečky vedle uživatele a poté vyberte Upravit.
  2. V podokně Upravit přístup vyberte Žádná v rozevíracím seznamu Úroveň přístupu a poté vyberte Uložit. Snímek obrazovky Upravit přístup s odebráním uživatele.

Přes rozhraní API:

  1. Nastavte roli správce odpovídající organizaci uživatele, jehož přiřazení role je třeba odstranit.

  2. Přejděte do složky Role Assignments a vyberte rozhraní API Odstranit přiřazení role.

  3. Do parametru API zadejte správné id_roleassignment_id.

  4. Zavolejte akci DELETE/roleAssignments/{{roleassignment_id}} nastavením autorizační hlavičky s přístupovým tokenem příslušného správce (proměnné z prostředí Postman lze použít k vyzkoušení uživatelů s různými rolemi z různých organizací).

Zobrazení a změna podrobností profilu

Chcete-li zobrazit podrobnosti svého profilu, vyberte Můj účet v levé navigaci.

Chcete-li upravit předvolby, vyberte ikonu Upravit v části Předvolby a vyberte domovskou stránku, kterou chcete použít. V seznamu budou uvedeny různé tržní role, ke kterým má aktuálně přihlášený uživatel přístup.

Snímek obrazovky s předvolbami úprav.

Přes rozhraní API:

  1. Použijte rozhraní API POST /organizations/{organizationId}/users/{userId}/setMyDefaultMarketRole k přepnutí výchozí tržní role uživatele. Autorizační hlavička musí používat přístupový token stejného uživatele, který byl předán v parametru userId adresy URL. Uživatel musí mít určitý přístup v nové tržní roli, která je nastavena jako výchozí.

Zobrazení definic rolí

Uživatel s jakoukoli rolí může zobrazit různé definice rolí.

Postup zobrazení všech definic rolí přes API:

  1. Přejděte do složky Definice rolí a vyberte rozhraní API Načíst všechny definice role.

  2. Zavolejte GET /roleDefinitions nastavením autorizační hlavičky s přístupovým tokenem příslušného uživatele (proměnné z prostředí Postman lze použít k vyzkoušení uživatelů s různými rolemi z různých organizací).

Zobrazení definic rolí podle ID:

  1. Přejděte do složky Definice rolí a vyberte rozhraní API Načíst definice role podle ID.

  2. Zavolejte GET /roleDefinitions/{{id}} nastavením identifikátoru definice role v adrese URL požadavku a autorizační hlavičky s přístupovým tokenem příslušného uživatele (proměnné z prostředí Postman lze použít k vyzkoušení uživatelů s různými rolemi z různých organizací).

Zobrazení uživatelů a přiřazených rolí

Uživatel s jakoukoli rolí může zobrazit uživatele organizace spolu s jejich přiřazenými rolemi.

  • Přejděte na Uživatelský přístup a zobrazte uživatele, kteří mají přístup.

    Snímek obrazovky uživatelského přístupu zobrazující uživatele a jejich role.

Přes rozhraní API:

  1. Přejděte do složky Uživatelé.
  2. Zavolejte akci Získat všechny uživatele v organizaci nastavením autorizační hlavičky s přístupovým tokenem uživatelů z příslušné organizace (proměnné z prostředí Postman lze použít k vyzkoušení uživatelů s různými rolemi z různých organizací).
  3. Přejděte do složky Přiřazení rolí.
  4. Zavolejte akci Získat všechna přiřazení rolí v mé výchozí tržní roli a získejte přiřazení rolí ve výchozí tržní roli identity volajícího na základě parametru dotazu resourceUri.

Správa řízení přístupu mezi organizacemi k aktivům

Správce může spravovat přístup k majetkům napříč organizacemi. To lze použít ve více scénářích, například pokud dodavatel předem přislíbil kredity kupujícímu a nechce, aby ostatní kupující viděli kredit. Dalším příkladem jsou vložky, které mají být použity v rámci stejného hodnotového řetězce.

Pro podporu těchto scénářů má Služba emisních povolenek (Preview) následující možnosti:

  • Správce může spravovat, zda chce, aby byl prostředek viditelný pro všechny role na trhu, nebo ne. Například dodavatel, který chce použít kredity pro vložky, se může rozhodnout skrýt viditelnost kreditů před všemi kupujícími. Ve výchozím nastavení bude prostředek viditelný pro všechny role na trhu, které může správce přepínat.

  • Správce může spravovat, zda chce, aby byl prostředek viditelný pro všechny organizace role na trhu, nebo ne. Například dodavatel může mít předem přislíbené kredity kupujícímu. Správce může spravovat viditelnost tak, aby kredity nebyly viditelné pro žádné jiné kupující kromě zamýšleného.

Ve výchozím nastavení budou majetky, jako jsou ekologické projekty, projekty modulárních výhod a kredity, viditelné pro všechny organizace, což může správce přepínat. Správce může nastavit zásady přístupu mezi organizacemi na různých úrovních od nejnižší po nejvyšší prioritu následovně:

  • Organizace: Zásady mezi organizacemi na úrovni organizace znamenají, že řízení přístupu mezi organizacemi je aplikováno na všechny majetky v organizacích.

  • Ekologické projekty: Zásada napříč organizacemi na úrovni ekologických projektů má vyšší prioritu než předchozí vrstva. Znamená to kontrolu přístupu mezi organizacemi ke konkrétnímu ekologickému projektu a ke všem aktivům v něm. Pokud je na této úrovni nastavena zásada mezi organizacemi, má přednost před jakoukoli zásadou nastavenou na úrovni organizace. Toto může nastavit uživatel s přístupem správce způsobilým v rámci ekologického projektu.

  • Projekty modulárních výhod: Zásada napříč organizacemi na úrovni projektů modulárních výhod má vyšší prioritu než předchozí vrstvy. Znamená to kontrolu přístupu mezi organizacemi ke konkrétnímu projektu modulárních výhod a ke všem aktivům v něm. Pokud je na této úrovni nastavena zásada mezi organizacemi, má přednost před jakoukoli zásadou nastavenou na některé z vyšších vrstev. Toto může nastavit uživatel s přístupem správce způsobilým v rámci projektu modulárních výhod.

  • Kredity: Zásada napříč organizacemi na úrovni kreditů má vyšší prioritu než předchozí vrstvy. Znamená to kontrolu přístupu mezi organizacemi ke konkrétnímu kreditu. Pokud je na této úrovni nastavena zásada mezi organizacemi, má přednost před jakoukoli zásadou nastavenou na některé z vyšších vrstev. Toto může nastavit uživatel s přístupem správce způsobilým v rámci projektu modulárních výhod.

Poznámka:

Správci mohou pro aktiva, která vlastní, nastavit zásady napříč organizacemi. Dodavatel a Kupující jsou dvě tržní role, které mohou určovat zásady napříč organizacemi. Dodavatel to může nastavit u svých ekologických projektů, projektů modulárních výhod a kreditů. Kupující to může nastavit u svých vlastních kreditů. Při volání rozhraní API hlavička x-ms-marketRole označuje službu kontextu role trhu, ve které ji uživatel správce volá.

Prostřednictvím uživatelského prostředí:

V současné době může správce na úrovni organizace z uživatelského prostředí nastavit zásady mezi organizacemi na úrovni organizace.

  1. V levé navigaci vyberte Přístup k organizaci.

  2. Vyberte Upravit u organizace, kterou chcete změnit a podle potřeby aktualizovat.

    Snímek obrazovky Přístup k organizaci zobrazující změny přístupu mezi organizacemi.

Přes rozhraní API:

  1. Přejděte do složky Organizace v aplikaci Postman a použijte API Nastavit zásadu přístupu mezi organizacemi na úrovni organizace k nastavení zásady na úrovni organizace pod výchozí tržní rolí.
  2. Přejděte do složky Vytvoření ekologického projektu v aplikaci Postman a použijte API Nastavit zásadu přístupu mezi organizacemi pro ekologický projekt k nastavení zásady na úrovni konkrétního ekologického projektu.
  3. Přejděte do složky Vytvoření ekologického projektu v aplikaci Postman a použijte API Nastavit zásadu přístupu mezi organizacemi pro MBP k nastavení zásady na úrovni konkrétního projektu modulárních výhod.
  4. Přejděte do složky Kredity v aplikaci Postman a použijte API Nastavit zásadu přístupu mezi organizacemi pro kredit k nastavení zásady na úrovni konkrétního kreditu.

Využití skupin pro správu přístupu

Správce může vytvářet skupiny, spravovat uživatele ve skupině a přidělovat skupinám role. Tato funkce je v současnosti podporována pouze prostřednictvím rozhraní API.

  • Vytvořte uživatelskou skupinu a přidejte do ní uživatele:

    POST /organizations/{{organization_id}}/groups

  • Načtení všech skupin uživatelů v organizaci:

    GET /organizations/{{organization_id}}/groups

  • Načtení skupiny uživatelů podle ID:

    GET /organizations/{{organization_id}}/groups/{{group_id}}

  • Načtení uživatelů ve skupině uživatelů:

    GET /organizations/{{organization_id}}/groups/{{group_id}}/users

  • Přidání uživatelů do skupiny uživatelů:

    POST /organizations/{{organization_id}}/groups/{{group_id}}/addUsers

  • Odstranění uživatele ze skupiny uživatelů:

    DELETE /organizations/{{organization_id}}/groups/{{group_id}}/users/{{user_id}}

  • Zařazení uživatelů do skupiny uživatelů:

    POST /organizations/{{organization_id}}/groups/{{group_id}}/addNewUsers

  • Vytvoření přiřazení role pro skupinu uživatelů:

    POST /roleAssignments

  • Odstranění přiřazení role skupiny uživatelů:

    DELETE /roleAssignments/{{roleAssignmentId}}

Viz také

Služba emisních povolenek (Preview) – přehled
Služba emisních povolenek (Preview) – slovníček
Referenční přehled rozhraní API pro Službu emisních povolenek (Preview)