Berechtigungsdienst

Die Zugriffsverwaltung ist eine wichtige Funktion für jeden Dienst oder jede Ressource. Mit dem Berechtigungsdienst können Sie steuern, wer Ihre Azure Data Manager for Energy-Instanz verwenden darf, was sie sehen oder ändern können und welche Dienste oder Daten sie verwenden können.

OSDU-Gruppenstruktur und -benennung

Mit dem Berechtigungsdienst von Azure Data Manager for Energy können Sie Gruppen erstellen und Mitgliedschaften der Gruppen verwalten. Eine Berechtigungsgruppe definiert Berechtigungen für Dienste oder Datenquellen für eine bestimmte Datenpartition in Ihrer Azure Data Manager for Energy-Instanz. Benutzende, die einer bestimmten Gruppe hinzufügt wurden, erhalten die zugeordneten Berechtigungen. Alle Gruppen-Bezeichner (E-Mails) weisen das Format {groupType}.{serviceName|resourceName}.{permission}@{partition}.{domain} auf.

Für jede neue Datenpartition müssen unterschiedliche Gruppen und zugehörige Benutzerberechtigungen festgelegt werden, auch in der selben Azure Data Manager for Energy-Instanz.

Typen von OSDU-Gruppen

Der Berechtigungsdienst ermöglicht drei Anwendungsfälle für die Autorisierung:

Datengruppen

• Datengruppen werden verwendet, um die Autorisierung für Daten zu aktivieren.
• Die Datengruppen beginnen mit dem Wort „data“, z. B. data.welldb.viewers und data.welldb.owners.
• Einzelne Benutzende werden den Datengruppen hinzugefügt, die in der ACL einzelner Datensätze hinzugefügt werden, um viewer- und owner-Zugriff auf die Daten nach dem Laden der Daten im System zu ermöglichen.
• Um für die Daten ein upload durchzuführen, müssen Sie über Berechtigungen verschiedener OSDU-Dienste verfügen, die während des Erfassungsvorgangs verwendet werden. Die Kombination von OSDU-Diensten hängt von der Erfassungsmethode ab. Informationen zum Erfassen von Manifesten finden Sie beispielsweise unter Manifestbasierte Erfassungskonzepte, um die verwendeten OSDU-Dienste zu verstehen. Benutzende müssen nicht Teil der ACL sein, um die Daten hochzuladen.

Dienstgruppen

• Dienstgruppen werden verwendet, um die Autorisierung für Dienste zu aktivieren.
• Die Dienstgruppen beginnen mit dem Wort „service“, z. B. service.storage.user und service.storage.admin.
• Die Dienstgruppen sind vordefiniert, wenn OSDU-Dienste in jeder Datenpartition der Azure Data Manager for Energy-Instanz bereitgestellt werden.
• Diese Gruppen ermöglichen viewer-, editor- und admin-Zugriff auf die OSDU-APIs, die den OSDU-Diensten entsprechen.

Benutzergruppen

• Benutzergruppen werden für die hierarchische Gruppierung von Benutzer- und Dienstgruppen verwendet.
• Die Dienstgruppen beginnen mit dem Wort „users“, z. B. users.datalake.viewers und users.datalake.editors.

Geschachtelte Hierarchie

• Wenn user_1 Teil von data_group_1 ist und data_group_1 als Mitglied zu user_group_1 hinzugefügt wird, überprüft der OSDU-Code, ob die geschachtelte Mitgliedschaft vorhanden ist, und autorisiert user_1 für den Zugriff auf die Berechtigungen für user_group_1. Dies wird in der OSDU-API zum Überprüfen von Berechtigungen und OSDU-API zum Abrufen von Gruppen erläutert.

• Sie können einzelne Benutzende zu einer user group hinzufügen. Die user group wird dann einer data group hinzugefügt. Die Datengruppe wird der ACL des Datensatzes hinzugefügt. Dies ermöglicht die Abstraktion für die Datengruppen, da einzelne Benutzende der Datengruppe nicht einzeln hinzugefügt werden müssen. Stattdessen können Sie der user group Benutzende hinzufügen. Anschließend können Sie die user group wiederholt für mehrere data groups verwenden. Die geschachtelte Struktur unterstützt die Skalierbarkeit zum Verwalten von Mitgliedschaften in OSDU.

Standardgruppen

• Einige OSDU-Gruppen werden standardmäßig erstellt, wenn eine Datenpartition bereitgestellt wird.
• Datengruppen von data.default.viewers und data.default.owners werden standardmäßig erstellt.
• Dienstgruppen zum Anzeigen, Bearbeiten und Verwalten jedes Diensts, z. B. service.entitlement.admin und service.legal.editor, werden standardmäßig erstellt.
• Benutzergruppen von users, users.datalake.viewers, users.datalake.editors, users.datalake.admins, users.datalake.ops und users.data.root werden standardmäßig erstellt.
• Das Diagramm der Standardmitglieder und -gruppen in OSDU-Berechtigungsgruppen, für die ein Bootstrapping-Vorgang ausgeführt wurde, zeigt die Spaltenüberschriftengruppen als Mitglied von Zeilenüberschriften an. Beispielsweise ist die Gruppe „users“ standardmäßig ein Mitglied von data.default.viewers und data.default.owners. users.datalake.admins und users.datalake.ops sind Mitglieder der Gruppe „service.entitlement.admin“.
• Der Dienstprinzipal oder die client-id oder die app-id ist der Standardbesitzer aller Gruppen.

Eigenheit der Gruppe „users@“

• Es gibt eine Ausnahme dieser Gruppenbenennungsregel für die Gruppe „users“. Sie wird erstellt, wenn eine neue Datenpartition bereitgestellt wird, und ihr Name folgt dem Muster von users@{partition}.{domain}.
• Sie enthält die Liste aller Benutzenden mit einem beliebigen Zugriffstyp in einer bestimmten Datenpartition. Bevor Sie beliebigen Berechtigungsgruppen neue Benutzende hinzufügen, müssen Sie die neuen Benutzenden auch der Gruppe „users@{partition}.{domain}“ hinzufügen.

Eigenheit der Gruppe „users.data.root@“

• Die Berechtigungsgruppe „users.data.root“ ist das Standardmitglied aller Datengruppen, wenn Gruppen erstellt werden. Wenn Sie versuchen, users.data.root aus einer beliebigen Datengruppe zu entfernen, wird ein Fehler angezeigt, da diese Mitgliedschaft von OSDU erzwungen wird.
• users.data.root wird automatisch zum Standard- und dauerhaften Besitzer aller Datensätze, wenn die Datensätze im System erstellt werden, wie in der OSDU-API zum Überprüfen des Besitzerzugriffs und OSDU-API zum Überprüfen des Datenstamms von Benutzenden erläutert. Daher überprüft das System unabhängig von der OSDU-Mitgliedschaft der Benutzenden, ob die Benutzenden „DataManager“ sind, d. h. Teil der data.root.group, um Zugriff auf den Datensatz zu gewähren.
• Das Standardmitglied in users.data.root ist nur die app-id, die zum Einrichten der Instanz verwendet wird. Sie können dieser Gruppe explizit andere Benutzende hinzufügen, um ihnen Standardzugriff auf Datensätze zu gewähren.

Beispiel für das Szenario:

• Ein data_record_1 verfügt über 2 ACLs: ACL_1 und ACL_2.
• User_1 ist Mitglied von ACL_1 und users.data.root.

Wenn Sie nun user_1 aus ACL_1 entfernen, hat user_1 weiterhin Zugriff auf den data_record_1 über die Gruppe „users.data.root“.

Und wenn ACL_1 und ACL_2 aus dem„data_record_1 entfernt werden, hat users.data.root weiterhin Besitzerzugriff auf die Daten. Dadurch wird der Datensatz davor bewahrt, jemals verwaist zu werden.

Unbekannte OID

In allen OSDU-Gruppen, die standardmäßig hinzugefügt werden, wird eine unbekannte OID angezeigt. Diese OID bezieht sich auf eine interne Azure Data Manager for Energy-Instanz-ID, die für die Kommunikation zwischen Systemen verwendet wird. Diese OID wird für jede Instanz eindeutig erstellt.

Benutzer

Für jede OSDU-Gruppe können Sie einen Benutzenden bzw. eine Benutzende entweder als BESITZER bzw. BESITZERIN oder als MITGLIED hinzufügen:

• Wenn Sie ein BESITZER bzw. eine BESITZERIN einer OSDU-Gruppe sind, können Sie die Mitglieder dieser Gruppe hinzufügen oder entfernen oder die Gruppe löschen.
• Wenn Sie MITGLIED einer OSDU-Gruppe sind, können Sie den Dienst oder die Daten je nach Umfang der OSDU-Gruppe anzeigen, bearbeiten oder löschen. Wenn Sie beispielsweise MITGLIED der OSDU-Gruppe „service.legal.editor“ sind, können Sie die APIs aufrufen, um den Rechtsdienst zu ändern.

Hinweis

Löschen Sie nicht den BESITZER bzw. die BESITZERIN einer Gruppe, es sei denn, es gibt einen anderen BESITZER bzw. eine andere BESITZERIN, der bzw. die die Benutzenden verwaltet.

Berechtigungs-APIs

Eine vollständige Liste der Berechtigungs-API-Endpunkte finden Sie unter OSDU-Berechtigungsdienst. Einige Abbildungen zur Verwendung von Berechtigungs-APIs finden Sie unter Verwalten von Benutzenden.

Hinweis

Die OSDU-Dokumentation bezieht sich auf v1-Endpunkte, aber die in dieser Dokumentation aufgeführten Skripts beziehen sich auf v2-Endpunkte, die funktionieren und erfolgreich überprüft wurden.

OSDU® ist eine Marke von The Open Group.

Nächste Schritte

Informationen zu den nächsten Schritten erhalten Sie unter:

• Verwalten von Benutzern
• Verwalten von rechtlichen Tags
• Verwalten von ACLs

Sie können Daten auch in Ihrer Azure Data Manager for Energy-Instanz erfassen:

• Tutorial zur Erfassung mit einem CSV-Parser
• Tutorial zur Manifesterfassung