Partage via

Service de droits d’utilisation

  • Article

La gestion des accès est une fonction critique pour n’importe quel service ou ressource. Le service de droits vous permet de contrôler qui peut utiliser votre instance Azure Data Manager pour Energy, ce qu'il peut voir ou modifier, et quels services ou données il peut utiliser.

Structure et dénomination des groupes OSDU

Le service d'habilitation d’Azure Data Manager pour Energy vous permet de créer des groupes et de gérer les membres de ces groupes. Un groupe de droits définit les autorisations sur les services ou les sources de données pour une partition de données spécifique dans votre instance Azure Data Manager pour Energy. Les utilisateurs ajoutés à un groupe spécifique obtiennent les autorisations associées. Tous les identificateurs de groupe (e-mails) sont de la forme {groupType}.{serviceName|resourceName}.{permission}@{partition}.{domain}.

Différents groupes et droits d’utilisateur associés doivent être définis pour chaque nouvelle partition de données, même dans la même instance Azure Data Manager pour Energy.

Types de groupes OSDU

Le service de droits d’utilisation active trois cas d’utilisation pour l’autorisation :

Groupes de données

  • Les groupes de données sont utilisés pour permettre l’autorisation des données.
  • Les groupes de données commencent par le mot « données », comme data.welldb.viewers et data.welldb.owners.
  • Les utilisateurs individuels sont ajoutés aux groupes de données, qui sont ajoutés dans la liste de contrôle d’accès des enregistrements de données individuels pour autoriser viewer et owner à accéder aux données une fois les données chargées dans le système.
  • Pour upload les données, vous devez disposer de droits d’utilisation de différents services OSDU, qui sont utilisés pendant le processus d’ingestion. La combinaison des services OSDU dépend de la méthode d’ingestion. Par exemple, pour l’ingestion de manifeste, consultez les concepts d’ingestion basés sur le manifeste pour comprendre les services OSDU utilisés par les API. L’utilisateur n’a pas besoin de faire partie de la liste de contrôle d’accès pour charger les données.

Groupes de services

  • Les groupes de services sont utilisés pour permettre l’autorisation des services.
  • Les groupes de services commencent par le mot « service », comme service.storage.user et service.storage.admin.
  • Les groupes de services sont prédéfinis lorsque les services OSDU sont provisionnés dans chaque partition de données de l’instance Azure Data Manager pour Energy.
  • Ces groupes autorisent viewer, editor et admin à accéder à l’appel des API OSDU correspondant aux services OSDU.

Groupes d’utilisateurs

  • Les groupes d'utilisateurs sont utilisés pour le regroupement hiérarchique des groupes d'utilisateurs et de services.
  • Les groupes de services commencent par le mot « utilisateurs », comme users.datalake.viewers et users.datalake.editors.

Hiérarchie imbriquée

  • Si user_1 fait partie d’un data_group_1 et data_group_1 est ajouté en tant que membre au user_group_1, le code OSDU vérifie l’appartenance imbriquée et autorise user_1 à accéder aux droits de user_group_1. Cela est expliqué dans l’API OSDU Entitlement Check et l’API de groupe de récupération OSDU.

  • Vous pouvez ajouter des utilisateurs individuels à un user group. Le user group est ensuite ajouté à un data group. Le groupe de données est ajouté à la liste de contrôle d’accès de l’enregistrement de données. Il permet l'abstraction pour les groupes de données car les utilisateurs individuels n'ont pas besoin d'être ajoutés un par un au groupe de données. Au lieu de cela, vous pouvez ajouter des utilisateurs au user group. Vous pouvez ensuite utiliser le user group à plusieurs reprises pour plusieurs data groups. La structure imbriquée permet d’assurer la scalabilité de la gestion des appartenances à l’OSDU.

Groupes par défaut

  • Certains groupes OSDU sont créés par défaut lors de l’approvisionnement d’une partition de données.
  • Les groupes de données de data.default.viewers et data.default.owners sont créés par défaut.
  • Les groupes de services servant à afficher, modifier et administrer chaque service, tels que service.entitlement.admin et service.legal.editor, sont créés par défaut.
  • Les groupes d’utilisateurs de users, users.datalake.viewers, users.datalake.editors, users.datalake.admins, users.datalake.ops et users.data.root sont créés par défaut.
  • Le graphique des membres et groupes par défaut dans les groupes de droits OSDU de démarrage affiche les groupes d’en-têtes de colonne en tant que membre des en-têtes de ligne. Par exemple, le groupe users est membre de data.default.viewers et data.default.owners par défaut. users.datalake.admins et users.datalake.ops sont membres du groupe service.entitlement.admin.
  • Le principal de service ou le client-id ou le app-id est le propriétaire par défaut de tous les groupes.

Particularité du groupe users@

  • Il existe une exception de cette règle de nommage de groupe pour le groupe « utilisateurs ». Elle est créée lorsqu’une nouvelle partition de données est provisionnée et son nom suit le modèle de users@{partition}.{domain}.
  • Il contient la liste de tous les utilisateurs ayant un accès quelconque à une partition de données spécifique. Avant d’ajouter un nouvel utilisateur à tous les groupes de droits d’utilisation, vous devez également ajouter le nouvel utilisateur au groupe users@{partition}.{domain}.

Particularité du groupe users.data.root@

  • Le groupe de droits users.data.root est le membre par défaut de tous les groupes de données lors de la création des groupes. Si vous essayez de supprimer users.data.root d'un groupe de données, vous obtiendrez une erreur car cette appartenance est imposée par l'OSDU.
  • users.data.root devient automatiquement le propriétaire par défaut et permanent de tous les enregistrements de données lorsque les enregistrements sont créés dans le système, comme expliqué dans l’API de validation d’accès au propriétaire OSDU et l’API de vérification racine des données des utilisateurs OSDU. Par conséquent, en plus de vérifier l’appartenance de l’utilisateur à l’OSDU, le système vérifie également si l’utilisateur est « DataManager », c’est-à-dire s’il fait partie du groupe data.root, afin d’évaluer l’accès à l’enregistrement de données.
  • L’appartenance par défaut à users.data.root est uniquement le app-id qui est utilisé pour configurer l’instance. Vous pouvez ajouter explicitement d'autres utilisateurs à ce groupe pour leur donner un accès par défaut aux enregistrements de données.

Par exemple, dans le scénario,

  • Un data_record_1 a 2 listes de contrôle d’accès : ACL_1 et ACL_2.
  • User_1 est membre de ACL_1 et users.data.root.

Maintenant, si vous supprimez user_1 de ACL_1, user_1 reste à avoir accès au data_record_1 via le groupe users.data.root.

Et si ACL_1 et ACL_2 sont supprimés de data_record_1, users.data.root continue d’avoir un accès propriétaire aux données. Cela permet d’éviter que l’enregistrement des données ne devienne orphelin.

OID inconnu

Vous verrez un OID inconnu dans tous les groupes OSDU ajoutés par défaut, cet OID fait référence à un ID d’instance Azure Data Manager for Energy interne utilisé pour la communication de système à système. Cet OID est créé de manière unique pour chaque instance.

Utilisateurs

Pour chaque groupe OSDU, vous pouvez ajouter un utilisateur en tant que PROPRIÉTAIRE ou MEMBRE :

  • Si vous êtes le PROPRIÉTAIRE d'un groupe OSDU, vous pouvez ajouter ou supprimer les membres de ce groupe ou supprimer le groupe.
  • Si vous êtes MEMBRE d'un groupe OSDU, vous pouvez consulter, modifier ou supprimer le service ou les données en fonction de la portée du groupe OSDU. Par exemple, si vous êtes MEMBRE du groupe OSDU service.legal.editor, vous pouvez appeler les API pour modifier le service juridique.

Remarque

Ne supprimez pas le PROPRIÉTAIRE d’un groupe, sauf s’il existe un autre PROPRIÉTAIRE pour gérer les utilisateurs.

API du droit d'utilisation

Pour obtenir la liste complète des points de terminaison de l’API de droits d’utilisation, consultez le service de droits d’utilisation OSDU. Quelques illustrations de l’utilisation des API de droits d’utilisation sont disponibles dans Gérer les utilisateurs.

Remarque

La documentation OSDU fait référence aux points de terminaison v1, mais les scripts notés dans cette documentation font référence aux points de terminaison v2, qui fonctionnent et ont été validés avec succès.

OSDU® est une marque déposée de The Open Group.

Étapes suivantes

Pour la prochaine étape, consultez :

Vous pouvez également ingérer les données dans votre instance Azure Data Manager pour Energy :