Compartir vía


Servicio de derechos

La administración de acceso es una función crítica para cualquier servicio o recurso. El servicio de derechos le permite controlar quién puede usar la instancia de Azure Data Manager for Energy, qué pueden ver o cambiar y qué servicios o datos pueden usar.

Estructura y nomenclatura de grupos de OSDU

El servicio de derechos de Azure Data Manager for Energy permite crear grupos y administrar las pertenencias de los grupos. Un grupo de derechos define permisos en servicios u orígenes de datos para una partición de datos específica en la instancia de Azure Data Manager for Energy. Los usuarios agregados a un grupo específico obtienen los permisos asociados. Todos los identificadores de grupo (correos electrónicos) tienen el formato {groupType}.{serviceName|resourceName}.{permission}@{partition}.{domain}.

Se deben establecer distintos grupos y derechos de usuario asociados para cada nueva partición de datos, incluso en la misma instancia de Azure Data Manager for Energy.

Tipos de grupos de OSDU

El servicio de derechos habilita tres casos de uso para la autorización:

Grupos de datos

  • Los grupos de datos se usan para habilitar la autorización de los datos.
  • Los grupos de datos comienzan con la palabra "data", como data.welldb.viewers y data.welldb.owners.
  • Los usuarios individuales se agregan a los grupos de datos, que se agregan en la ACL de registros de datos individuales para habilitar el acceso viewer y owner de los datos una vez cargados los datos en el sistema.
  • Para upload los datos, debe tener derechos de varios servicios de OSDU, que se usan durante el proceso de ingesta. La combinación de servicios OSDU depende del método de ingesta. Por ejemplo, para la ingesta de manifiestos, consulte conceptos de ingesta basados en manifiestos para comprender los servicios de OSDU que usan las API. No es necesario que el usuario forme parte de la ACL para cargar los datos.

Grupos de servicios

  • Los grupos de servicios se usan para habilitar la autorización para los servicios.
  • Los grupos de servicios comienzan con la palabra "servicio", como service.storage.user y service.storage.admin.
  • Los grupos de servicios están predefinidos cuando los servicios OSDU se aprovisionan en cada partición de datos de la instancia de Azure Data Manager for Energy.
  • Estos grupos habilitan el acceso viewer, editor y admin para llamar a las API de OSDU correspondientes a los servicios de OSDU.

Grupos de usuarios

  • Los grupos de usuarios se usan para la agrupación jerárquica de grupos de usuarios y servicios.
  • Los grupos de servicios comienzan con la palabra "usuarios", como users.datalake.viewers y users.datalake.editors.

Jerarquía anidada

  • Si user_1 forma parte de un data_group_1 y data_group_1 se agrega como miembro al user_group_1, el código de OSDU comprueba la pertenencia anidada y autoriza user_1 a acceder a los derechos de user_group_1. Esto se explica en API de comprobación de derechos de OSDU y API de recuperación de grupos de OSDU.

  • Puede agregar usuarios individuales a un user group. A continuación, el user group se agrega a un data group. El grupo de datos se agrega a la ACL del registro de datos. Habilita la abstracción para los grupos de datos porque los usuarios individuales no necesitan agregar uno por uno al grupo de datos. En su lugar, puede agregar usuarios a la user group. A continuación, puede usar el user group repetidamente para varios data groups. La estructura anidada ayuda a proporcionar escalabilidad para administrar las pertenencias en OSDU.

Grupos predeterminados

  • Algunos grupos de OSDU se crean de forma predeterminada cuando se aprovisiona una partición de datos.
  • Los grupos de datos de data.default.viewers y data.default.owners se crean de forma predeterminada.
  • Los grupos de servicios para ver, editar y administrar cada servicio, como service.entitlement.admin y service.legal.editor, se crean de forma predeterminada.
  • Los grupos de usuarios de users, users.datalake.viewers, users.datalake.editors, users.datalake.admins, users.datalake.ops y users.data.root se crean de forma predeterminada.
  • El gráfico de miembros y grupos predeterminados de grupos de derechos de OSDU de arranque muestra los grupos de encabezados de columna como miembro de los encabezados de fila. Por ejemplo, el grupo users es miembro de data.default.viewers y data.default.owners de forma predeterminada. users.datalake.admins y users.datalake.ops son miembros del grupo service.entitlement.admin.
  • La entidad de servicio o el client-id o el app-id es el propietario predeterminado de todos los grupos.

Peculiaridad del grupo users@

  • Hay una excepción de esta regla de nomenclatura de grupos para el grupo "usuarios". Se crea cuando se aprovisiona una nueva partición de datos y su nombre sigue el patrón de users@{partition}.{domain}.
  • Tiene la lista de todos los usuarios con cualquier tipo de acceso en una partición de datos específica. Antes de agregar un nuevo usuario a cualquier grupo de derechos, también debe agregar el nuevo usuario al grupo users@{partition}.{domain}.

Peculiaridad del grupo users.data.root@

  • el grupo de derechos users.data.root es el miembro predeterminado de todos los grupos de datos cuando se crean grupos. Si intenta quitar users.data.root de cualquier grupo de datos, se produce un error porque OSDU aplica esta pertenencia.
  • users.data.root se convierte automáticamente en el propietario predeterminado y permanente de todos los registros de datos cuando los registros se crean en el sistema, como se explica en la API de acceso al propietario de validación de OSDU y la API de comprobación raíz de datos de usuarios de OSDU. Como resultado, junto con la comprobación de la pertenencia de OSDU del usuario, el sistema también comprueba si el usuario es "DataManager", es decir, parte del grupo data.root, para evaluar el acceso del registro de datos.
  • La pertenencia predeterminada a users.data.root es solo la app-id que se usa para configurar la instancia. Puede agregar otros usuarios explícitamente a este grupo para concederles acceso predeterminado a los registros de datos.

Como ejemplo en el escenario,

  • Un data_record_1 tiene 2 ACL: ACL_1 y ACL_2.
  • User_1 es miembro de ACL_1 y users.data.root.

Ahora, si quita user_1 de ACL_1, user_1 sigue teniendo acceso al data_record_1 a través del grupo users.data.root.

Y si ACL_1 y ACL_2 se quitan de data_record_1, users.data.root seguirá teniendo acceso de propietario de los datos. Esto conserva el registro de datos de convertirse en huérfano alguna vez.

OID desconocido

Verá un OID desconocido en todos los grupos de OSDU agregados de manera predeterminada, este OID hace referencia a un GUID interno de Azure Data Manager for Energy que se usa para la comunicación interna del sistema al sistema. Este GUID se crea de forma única para cada instancia y el sistema no lo elimina ni quita.

Usuarios

Para cada grupo de OSDU, puede agregar un usuario como PROPIETARIO o MIEMBRO:

  • Si es propietario de un grupo de OSDU, puede agregar o quitar los miembros de ese grupo o eliminarlo.
  • Si es miembro de un grupo de OSDU, puede ver, editar o eliminar el servicio o los datos en función del ámbito del grupo de OSDU. Por ejemplo, si es miembro del grupo OSDU de service.legal.editor, puede llamar a las API para cambiar el servicio legal.

Nota:

No elimine el PROPIETARIO de un grupo, a menos que exista otro PROPIETARIO para administrar los usuarios.

API de derechos

Para obtener una lista completa de los puntos de conexión de la API de derechos, consulte servicio de derechos de OSDU. Algunas ilustraciones de cómo usar las API de derechos están disponibles en Administrar usuarios.

Nota:

La documentación de OSDU hace referencia a los puntos de conexión v1, pero los scripts que se indican en esta documentación se refieren a los puntos de conexión v2, que funcionan y se han validado correctamente.

OSDU® es una marca comercial de The Open Group.

Pasos siguientes

Para el siguiente paso, consulte:

También puede ingerir datos en la instancia de Azure Data Manager for Energy: