Layanan pemberian izin

Manajemen akses adalah fungsi penting untuk layanan atau sumber daya apa pun. Layanan pemberian izin memungkinkan Anda mengontrol siapa yang dapat menggunakan instans Azure Data Manager for Energy Anda, apa yang dapat mereka lihat atau ubah, dan layanan atau data mana yang dapat mereka gunakan.

Struktur dan penamaan grup OSDU

Layanan pemberian izin Azure Data Manager for Energy memungkinkan Anda membuat grup dan mengelola keanggotaan grup. Grup pemberian hak menentukan izin pada layanan atau sumber data untuk partisi data tertentu di Instans Azure Data Manager for Energy Anda. Pengguna yang ditambahkan ke grup tertentu mendapatkan izin terkait. Semua pengidentifikasi grup (email) adalah dari formulir {groupType}.{serviceName|resourceName}.{permission}@{partition}.{domain}.

Grup yang berbeda dan hak pengguna terkait harus diatur untuk setiap partisi data baru, bahkan dalam instans Azure Data Manager for Energy yang sama.

Jenis grup OSDU

Layanan pemberian izin memungkinkan tiga kasus penggunaan untuk otorisasi:

Grup data

• Grup data digunakan untuk mengaktifkan otorisasi data.
• Grup data dimulai dengan kata "data," seperti data.welldb.viewers dan data.welldb.owners.
• Pengguna individual ditambahkan ke grup data, yang ditambahkan dalam ACL rekaman data individual untuk mengaktifkan viewer dan owner mengakses data setelah data dimuat dalam sistem.
• Untuk upload data, Anda harus memiliki hak dari berbagai layanan OSDU, yang digunakan selama proses penyerapan. Kombinasi layanan OSDU tergantung pada metode penyerapan. Misalnya, untuk penyerapan manifes, lihat Konsep penyerapan berbasis manifes untuk memahami layanan OSDU yang digunakan API. Pengguna tidak perlu menjadi bagian dari ACL untuk mengunggah data.

Grup layanan

• Grup layanan digunakan untuk mengaktifkan otorisasi untuk layanan.
• Grup layanan dimulai dengan kata "layanan," seperti service.storage.user dan service.storage.admin.
• Grup layanan telah ditentukan sebelumnya ketika layanan OSDU disediakan di setiap partisi data instans Azure Data Manager for Energy.
• Grup ini mengaktifkan viewer, editor, dan admin akses untuk memanggil API OSDU yang sesuai dengan layanan OSDU.

Kelompok Pengguna

• Grup pengguna digunakan untuk pengelompokan hierarkis grup pengguna dan layanan.
• Grup layanan dimulai dengan kata "pengguna," seperti users.datalake.viewers dan users.datalake.editors.

Hierarki berlapis

• Jika user_1 adalah bagian dari data_group_1 dan data_group_1 ditambahkan sebagai anggota ke user_group_1, kode OSDU memeriksa keanggotaan berlapis dan mengotorisasi user_1 untuk mengakses hak untuk user_group_1. Ini dijelaskan dalam OSDU Entitlement Check API dan OSDU Retrieve Group API.

• Anda dapat menambahkan pengguna individual ke user group. user group kemudian ditambahkan ke data group. Grup data ditambahkan ke ACL rekaman data. Ini memungkinkan abstraksi untuk grup data karena pengguna individual tidak perlu ditambahkan satu per satu ke grup data. Sebagai gantinya, Anda dapat menambahkan pengguna ke user group. Kemudian Anda dapat menggunakan user group berulang kali untuk beberapa data groups. Struktur berlapis membantu memberikan skalabilitas untuk mengelola keanggotaan di OSDU.

Grup default

• Beberapa grup OSDU dibuat secara default saat partisi data disediakan.
• Grup data dan data.default.viewers data.default.owners dibuat secara default.
• Grup layanan untuk melihat, mengedit, dan mengelola setiap layanan seperti service.entitlement.admin dan service.legal.editor dibuat secara default.
• Grup pengguna dari users, users.datalake.viewers, users.datalake.editors, users.datalake.admins, users.datalake.ops, dan users.data.root dibuat secara default.
• Bagan anggota dan grup default dalam grup pemberian hak OSDU Bootstrapped memperlihatkan grup header kolom sebagai anggota header baris. Misalnya, users grup adalah anggota dan data.default.viewers data.default.owners secara default. users.datalake.admins dan users.datalake.ops merupakan anggota service.entitlement.admin grup.
• Perwakilan layanan atau atau client-id app-id adalah pemilik default dari semua grup.

Keunikan users@ grup

• Ada satu pengecualian aturan penamaan grup ini untuk grup "pengguna". Ini akan dibuat ketika partisi data baru disediakan dan namanya mengikuti pola users@{partition}.{domain}.
• Ini memiliki daftar semua pengguna dengan semua jenis akses dalam partisi data tertentu. Sebelum menambahkan pengguna baru ke grup pemberian izin apa pun, Anda juga perlu menambahkan pengguna baru ke users@{partition}.{domain} grup.

Keunikan users.data.root@ grup

• grup pemberian hak users.data.root adalah anggota default dari semua grup data saat grup dibuat. Jika Anda mencoba menghapus users.data.root dari grup data apa pun, Anda mendapatkan kesalahan karena keanggotaan ini diberlakukan oleh OSDU.
• users.data.root menjadi secara otomatis pemilik default dan permanen dari semua rekaman data ketika rekaman dibuat dalam sistem seperti yang dijelaskan dalam OSDU memvalidasi API akses pemilik dan API pemeriksaan akar data pengguna OSDU. Akibatnya, bersama dengan memeriksa keanggotaan OSDU pengguna, sistem juga memeriksa apakah pengguna adalah "DataManager", yaitu, bagian dari grup data.root, untuk menilai akses rekaman data.
• Keanggotaan default di users.data.root hanyalah app-id yang digunakan untuk menyiapkan instans. Anda dapat menambahkan pengguna lain secara eksplisit ke grup ini untuk memberi mereka akses default rekaman data.

Sebagai contoh dalam skenario,

• Data_record_1 memiliki 2 ACL: ACL_1 dan ACL_2.
• User_1 adalah anggota ACL_1 dan users.data.root.

Sekarang jika Anda menghapus user_1 dari ACL_1, user_1 tetap memiliki akses data_record_1 melalui grup users.data.root.

Dan jika ACL_1 dan ACL_2 dihapus dari data_record_1, users.data.root terus memiliki akses pemilik data. Ini mempertahankan catatan data dari menjadi yatim piatu yang pernah ada.

OID Tidak Diketahui

Anda akan melihat satu OID yang tidak diketahui di semua grup OSDU yang ditambahkan secara default, OID ini mengacu pada Azure Data Manager internal untuk GUID Energi yang digunakan untuk sistem internal ke komunikasi sistem. GUID ini dibuat secara unik untuk setiap instans dan diberlakukan oleh sistem agar tidak dihapus atau dihapus oleh Anda.

Pengguna

Untuk setiap grup OSDU, Anda dapat menambahkan pengguna sebagai PEMILIK atau ANGGOTA:

• Jika Anda adalah PEMILIK grup OSDU, Anda dapat menambahkan atau menghapus anggota grup tersebut atau menghapus grup tersebut.
• Jika Anda adalah anggota grup OSDU, Anda dapat melihat, mengedit, atau menghapus layanan atau data tergantung pada cakupan grup OSDU. Misalnya, jika Anda adalah anggota service.legal.editor grup OSDU, Anda dapat memanggil API untuk mengubah layanan hukum.

Catatan

Jangan hapus PEMILIK grup kecuali ada PEMILIK lain untuk mengelola pengguna.

API Pemberian Izin

Untuk daftar lengkap titik akhir Entitlement API, lihat layanan pemberian izin OSDU. Beberapa ilustrasi tentang cara menggunakan API Pemberian Izin tersedia di Mengelola pengguna.

Catatan

Dokumentasi OSDU mengacu pada titik akhir v1, tetapi skrip yang dicatat dalam dokumentasi ini mengacu pada titik akhir v2, yang berfungsi dan telah berhasil divalidasi.

OSDU® adalah merek dagang dari The Open Group.

Langkah berikutnya

Untuk langkah berikutnya, lihat:

• Mengelola pengguna
• Mengelola tag hukum
• Mengelola ACL

Anda juga dapat menyerap data ke dalam instans Azure Data Manager for Energy Anda:

• Tutorial tentang penyerapan pengurai CSV
• Tutorial tentang penyerapan manifes