Controllo degli accessi basato sui ruoli in Servizio di credito ambientale (anteprima)

  • Articolo

Microsoft Cloud for Sustainability Technical Summit - Maggio 2024

Importante

Alcune o tutte queste funzionalità sono disponibili come parte di una versione di anteprima. Il contenuto e la funzionalità sono soggetti a modifiche. Puoi accedere all'ambiente sandbox di Servizio di credito ambientale (anteprima) per una versione di valutazione di 30 giorni. Per usare Servizio di credito ambientale (anteprima) in un ambiente di produzione, riempi un modulo di iscrizione a Servizio di credito ambientale (anteprima).

Il controllo degli accessi in base al ruolo consente di controllare l'accesso a diverse operazioni nell'applicazione, in base alle autorizzazioni presenti nei ruoli assegnati agli utenti nell'organizzazione. Consente di concedere e rimuovere i ruoli assegnati agli utenti nell'organizzazione per un controllo granulare.

Ogni organizzazione volontaria dell'ecosistema del mercato ecologico svolge un ruolo specifico, chiamato ruolo di mercato in Servizio di credito ambientale (anteprima). Ogni organizzazione eseguirà l'onboarding degli utenti in Servizio di credito ambientale (anteprima) e assegnerà ruoli utente. Risorse come progetti o programmi ecologici, progetti di benefit modulari, attestazioni e token appartengono a un'organizzazione invece che a un utente.

Assegnazione dei ruoli utente

Un ruolo utente è definito come una raccolta di autorizzazioni che consentono operazioni specifiche nell'applicazione. È possibile assegnare questi ruoli utente a livello di organizzazione o a livello di cespite nel contesto di uno specifico ruolo di mercato. I seguenti ruoli utente sono supportati da Servizio di credito ambientale (anteprima):

Ruolo utente Autorizzazioni
Amministratore Un amministratore può eseguire tutte le operazioni del piano dati supportate sulle risorse associate, come la creazione, l'aggiornamento, la lettura e l'eliminazione. Possono anche eseguire operazioni sul piano di gestione come l'onboarding degli utenti nell'organizzazione e la creazione o l'aggiornamento delle loro assegnazioni di ruolo.
Collaboratore Un collaboratore può eseguire tutte le operazioni del piano dati supportate sulle risorse associate, come la creazione, l'aggiornamento, la lettura e l'eliminazione. Ricevono inoltre l'accesso in lettura a livello di piano di gestione.
Lettore Un lettore può eseguire operazioni di lettura sul livello del piano dati associato e sulle risorse a livello del piano di gestione.

Gestire i ruoli a livello di organizzazione nel contesto di un ruolo di mercato

Le seguenti funzionalità sono supportate per il controllo degli accessi basato sui ruoli a livello di organizzazione nel contesto di uno specifico livello di ruolo di mercato. Ad esempio, se un'organizzazione opera come acquirente, ha un ruolo di mercato (acquirente). A livello di organizzazione, un utente di questa organizzazione potrebbe avere un ruolo utente Amministratore acquirente, Collaboratore acquirente o Lettore acquirente.

Un'organizzazione può avere più ruoli di mercato. Ad esempio, se un'altra organizzazione opera sia come registro di emissione che come mercato, ha due ruoli di mercato. Un utente di questa organizzazione potrebbe avere un ruolo di amministratore del fornitore nel contesto del ruolo del mercato del fornitore e un ruolo di lettore del registro dell'emissione nel contesto del ruolo del registro di emissione.

Gestisci i ruoli a livello di risorsa

cespite in prestitoÈ possibile gestire i privilegi utente a livello di risorsa all'interno dell'organizzazione. L'amministratore a livello di organizzazione o contributore può creare nuove risorse. L'amministratore a livello di organizzazione può anche aggiungere utenti alla risorsa e assegnare loro dei ruoli.

  • Amministratore a livello di risorsa: a un amministratore a livello di risorsa viene concesso il ruolo utente amministratore in un ambito granulare specifico di una risorsa nell'organizzazione. Ad esempio, a un utente viene assegnato un ruolo di amministratore fornitore nell'ambito del progetto di vantaggi modulare nel ruolo di mercato fornitore di un'organizzazione. Possono eseguire tutte le operazioni del piano dati supportate sull'asset, come la lettura e la scrittura. Possono anche eseguire operazioni sul piano di gestione come l'onboarding degli utenti nell'organizzazione sulla risorsa specifica per cui sono amministratori.

  • Contributore a livello di asset un contributore a livello di asset può eseguire tutte le operazioni del piano dati supportate sull'asset, come la lettura e l'aggiornamento dell'asset. Possono leggere le assegnazioni dei ruoli degli altri utenti o gruppi nell'ambito di quella risorsa.

  • Lettore a livello di risorsa: un lettore a livello di risorsa può eseguire operazioni di lettura sulla risorsa. Possono leggere le assegnazioni dei ruoli degli altri utenti o gruppi nell'ambito di quella risorsa.

Nota

La gerarchia di accesso dall'alto verso il basso verrà mantenuta. Ad esempio, se un utente ha un ruolo utente amministratore nel ruolo di mercato del fornitore nell'ambito dell'organizzazione, avrà automaticamente accesso a livello di amministratore a tutte le risorse (come progetti ecologici e progetti di vantaggi modulari) per quel fornitore. Se un altro utente dispone dell'accesso amministrativo a livello di risorsa (ad esempio, su un progetto ecologico), avrà accesso a tutte le risorse sottostanti.

Funzionalità supportate per il controllo degli accessi basato sui ruoli

Prerequisiti per l'utilizzo della raccolta Postman per le API

Puoi impostare la raccolta Postman con la configurazione dell'ambiente delle organizzazioni e dei relativi amministratori come segue:

  • Imposta i dettagli dell'utente nelle diverse variabili (ad esempio: <marketRole>_admin_username) della raccolta Postman per i diversi ruoli di mercato che desideri utilizzare, insieme alle rispettive password.

  • Crea un nuovo ambiente Postman e passa a esso prima di eseguire qualsiasi API nella raccolta.

  • Esegui la cartella Configura organizzazioni per il ruolo di mercato specifico che si desidera utilizzare, per configurare le proprietà dell'organizzazione (e i rispettivi amministratori) nell'ambiente Postman.

  • Esegui l'API Definizioni dei ruoli > Ottieni tutte le definizioni dei ruoli per ottenere i dettagli di tutte le definizioni dei ruoli utente integrate nell'ambiente Postman. La risposta dall'API di definizione del ruolo può essere utilizzata per conoscere gli ambiti assegnabili che possono essere assegnati agli utenti.

Aggiungere utenti

Puoi aggiungere utenti e gestire i loro ruoli all'interno dell'organizzazione passando al menu Impostazioni nel riquadro di spostamento a sinistra.

Nota

Non puoi aggiungere un utente che è già stato aggiunto.

  1. Nella schermata Accesso utente seleziona Aggiungi utente.
  2. Nel riquadro Aggiungi utente, immetti l'Utente, seleziona il Livello di accesso, quindi seleziona Salva. Screenshot dell'aggiunta di un utente nel riquadro Aggiungi utente.

Tramite API:

Nota

La cartella Esegui l'onboarding degli utenti della raccolta Postman supporta l'esecuzione con un solo clic. Tuttavia, ti consigliamo di utilizzare singole API per provare a eseguire l'onboarding degli utenti e acquisire familiarità con le API.

  • Per qualsiasi cartella organizzativa, ad esempio Fornitore, nella cartella Esegui l'onboarding dei clienti della raccolta Postman, imposta l'organizzazione e il relativo amministratore chiamando le API Ottieni dettagli organizzazione e Ottieni dettagli utente amministratore .

  • Per eseguire l'onboarding di un utente contributore, puoi verificare che l'autorizzazione richiesta per l'API corrisponda all'utente amministratore. Il payload della richiesta tenta di aggiungere un nuovo utente con il ruolo utente contributore integrato, ad esempio il ruolo utente contributore fornitore. L'invio della richiesta esegue l'onboarding del contributore.

  • Analogamente, puoi eseguire l'onboarding di un utente Lettore nell'organizzazione con il ruolo Lettore corrispondente, ad esempio il ruolo utente Lettore del fornitore.

Modifica delle assegnazioni di ruolo

Dopo aver aggiunto gli utenti, puoi modificare il ruolo utente a loro assegnato.

Nota

Non puoi modificare il tuo accesso.

  1. Nella schermata Accesso utente, seleziona i tre punti accanto all'utente, quindi seleziona Modifica.
  2. Nel riquadro Modifica accesso, seleziona il nuovo ruolo nell'elenco a discesa Livello di accesso, quindi seleziona Salva. Screenshot della schermata Modifica accesso per la rimozione di un utente.

Tramite API:

  1. Accedi alla cartella Assegnazioni di ruoli nella raccolta.

  2. Utilizza l'API Crea un'assegnazione di ruolo in una risorsa. Per impostazione predefinita, il ruolo contributore fornitore viene assegnato all'utente lettore fornitore utilizzando il token di accesso degli amministratori del fornitore.

    Nota

    Questo esempio evidenzia il funzionamento dell'API per le assegnazioni di ruolo. È possibile assegnare un ruolo utente diverso agli utenti di diverse organizzazioni in base ai rispettivi account amministratore. Puoi sostituire l'URI risorsa dell'ambito con un URI risorsa valido per la definizione del ruolo. Sostituisci le variabili di ambiente nel payload della richiesta (roleDefinitionId e userId), modifica il parametro del corpo della richiesta resourceUri e modifica la variabile di ambiente del token di accesso dell'amministratore di modo che corrisponda al rispettivo account utente amministratore.

    Puoi inviare l'API di creazione delle assegnazioni di ruolo con valori diversi dell'identificatore della definizione del ruolo (roleDefinitionId) da assegnare ai diversi utenti nell'organizzazione (userId) in un ambito differente (resourceUri). È possibile modificare l'intestazione dell'autorizzazione in modo che corrisponda al token di accesso del rispettivo utente amministratore.

    Gli amministratori dell'organizzazione non possono assegnare ruoli utente al di fuori della propria organizzazione e non possono assegnare ruoli a utenti esterni alla propria organizzazione.

  3. Utilizza l'API Aggiorna assegnazione di ruolo per aggiornare l'accesso di un utente. Ad esempio, potresti elevare un utente ad amministratore fornitore. Assicurati di verificare roleassignment_id in Parametro API.

Elimina assegnazione dei ruoli

L'utente amministratore può eliminare le assegnazioni dei ruoli esistenti per i partecipanti come richiesto.

Nota

Non puoi eliminare il tuo accesso.

  1. Nella schermata Accesso utente, seleziona i tre punti accanto all'utente, quindi seleziona Modifica.
  2. Nel riquadro Modifica accesso, seleziona Nessuno nell'elenco a discesa Livello di accesso, quindi seleziona Salva. Screenshot della schermata Modifica accesso per la rimozione di un utente.

Tramite API:

  1. Configurare il ruolo di amministratore corrispondente all'organizzazione dell'utente la cui assegnazione dei ruoli deve essere eliminata.

  2. Accedi alla cartella Assegnazioni dei ruoli e seleziona l'API Elimina assegnazione dei ruoli.

  3. Inserisci il roleassignment_id corretto nel parametro API.

  4. Chiama DELETE/roleAssignments/{{roleassignment_id}} impostando l'intestazione dell'autorizzazione con il token di accesso del rispettivo utente amministratore (le variabili dell'ambiente Postman possono essere utilizzate per provare utenti con ruoli diversi da organizzazioni differenti).

Visualizzare e modificare i dettagli del profilo

Per visualizzare i dettagli del tuo profilo, seleziona Account personale nel riquadro di spostamento a sinistra.

Per modificare le preferenze, seleziona l'icona Modifica nella sezione Preferenze e seleziona la home page che vuoi utilizzare. L'elenco indicherà i diversi ruoli di mercato a cui ha accesso l'utente attualmente connesso.

Screenshot delle preferenze di modifica.

Tramite API:

  1. Usa l'API POST /organizations/{organizationId}/users/{userId}/setMyDefaultMarketRole per cambiare il ruolo di mercato predefinito di un utente. L'intestazione dell'autorizzazione deve utilizzare il token di accesso dello stesso utente passato nel parametro URL userId. L'utente deve avere accesso al nuovo ruolo di mercato impostato come predefinito.

Visualizza definizioni dei ruoli

Un utente con un qualsiasi ruolo può visualizzare differenti definizioni dei ruoli.

Per visualizzare tutte le definizioni dei ruoli via l'API:

  1. Accedi alla cartella Definizioni dei ruoli e seleziona l'API Ottieni tutte le definizioni dei ruoli.

  2. Chiama GET/roleDefinitions impostando l'intestazione dell'autorizzazione con il token di accesso del rispettivo utente (le variabili dell'ambiente Postman possono essere utilizzate per provare utenti con ruoli diversi da organizzazioni diverse).

Per visualizzare tutte le definizioni dei ruoli per ID:

  1. Accedi alla cartella Definizioni dei ruoli e scegli l'API Ottieni tutte le definizioni dei ruoli per ID.

  2. Chiama GET /roleDefinitions/{{id}} impostando l'identificatore della definizione dei ruoli nell'URL della richiesta e l'intestazione dell'autorizzazione con il token di accesso dei rispettivi utenti (le variabili dell'ambiente Postman possono essere utilizzate per provare utenti con ruoli diversi da organizzazioni diverse).

Visualizza utenti e ruoli assegnati

Un utente con qualsiasi ruolo può visualizzare gli utenti dell'organizzazione insieme ai ruoli loro assegnati.

  • Accedi alla schermata Accesso utente e visualizza gli utenti che hanno accesso.

    Screenshot della schermata Accesso utente che mostra gli utenti e i loro ruoli.

Tramite API:

  1. Vai alla cartella Utenti.
  2. Chiama Ottiene tutti gli utenti dell'organizzazione impostando l'intestazione dell'autorizzazione con il token di accesso dell'utente dalla rispettiva organizzazione (le variabili dell'ambiente Postman possono essere utilizzate per provare utenti con ruoli diversi da organizzazioni differenti).
  3. Accedi alla cartella Assegnazioni di ruolo.
  4. Chiama Ottieni tutte le assegnazioni di ruolo nel ruolo di mercato predefinito personale per ottenere le assegnazioni di ruolo nel ruolo di mercato predefinito dell'identità del chiamante in base al parametro di ricerca resourceUri.

Gestire controlli di accesso tra organizzazioni per le risorse

L'amministratore utente può gestire l'accesso per le risorse nelle organizzazioni. Questa funzionalità può essere utilizzata in più scenari, ad esempio se un fornitore aveva crediti preimpegnati per un acquirente e non desidera che altri acquirenti visualizzino il credito. Un altro esempio sono gli inserti che devono essere utilizzati all'interno della stessa catena del valore.

Per supportare questi scenari, Servizio di credito ambientale (anteprima) ha le seguenti funzionalità:

  • Un amministratore può scegliere se rendere la risorsa visibile o meno a tutti i ruoli di mercato. Ad esempio, un fornitore che vuole utilizzare i crediti per gli inserti può decidere di nascondere la visibilità dei crediti a tutti gli acquirenti. Per impostazione predefinita, la risorsa sarà visibile a tutti i ruoli di mercato, ma l'amministratore può modificare tale impostazione.

  • Un amministratore può scegliere se rendere la risorsa visibile o meno a tutte le organizzazioni di un ruolo di mercato. Ad esempio, un fornitore può disporre di crediti preimpegnati per un acquirente. L'amministratore può gestire la visibilità in modo che i crediti non siano visibili a nessun altro acquirente tranne quello previsto.

Per impostazione predefinita, le risorse come progetti ecologici, progetti di vantaggi modulari e crediti saranno visibili a tutte le organizzazioni, ma l'amministratore può modificare tale impostazione. A questo proposito, l'amministratore può impostare un criterio di accesso tra organizzazioni a diversi livelli dalla priorità più bassa a quella più alta come segue:

  • Organizzazioni: un criterio tra organizzazioni a livello di organizzazione implica che il controllo dell'accesso tra organizzazioni venga applicato a tutte le risorse nelle organizzazioni.

  • Progetti ecologici: un criterio tra organizzazioni a livello di progetto ecologico ha una priorità maggiore rispetto al livello precedente. Implica il controllo dell'accesso tra organizzazioni nel progetto ecologico specifico e in tutte le risorse nel progetto. Se un criterio tra organizzazioni viene impostato a questo livello ha la precedenza su qualsiasi criterio impostato a livello di organizzazione. Ciò può essere definito da un utente che dispone di un'accesso amministratore idoneo all'ambito del progetto ecologico.

  • Progetti di vantaggi modulari: un criterio tra organizzazioni a un livello di progetto di vantaggi modulare ha una priorità maggiore rispetto ai livelli precedenti. Implica il controllo dell'accesso tra organizzazioni nel progetto di vantaggi modulare specifico e in tutte le risorse nel progetto. Se un criterio tra organizzazioni viene impostato a questo livello, ha la precedenza su qualsiasi criterio impostato in uno dei livelli superiori. Ciò può essere definito da un utente con un accesso amministratore idoneo all'ambito del progetto di vantaggi modulare.

  • Crediti: un criterio tra organizzazioni a un livello di credito ha una priorità maggiore rispetto ai livelli precedenti. Implica il controllo dell'accesso tra organizzazioni nel credito specifico. Se un criterio tra organizzazioni viene impostato a questo livello, ha la precedenza su qualsiasi criterio impostato in uno dei livelli superiori. Ciò può essere definito da un utente con un accesso amministratore idoneo all'ambito del progetto di vantaggi modulare.

Nota

Gli amministratori possono impostare criteri tra organizzazioni per le risorse di cui sono proprietari. Fornitore e Acquirente sono i due ruoli di mercato che possono impostare criteri tra organizzazioni. Il fornitore può impostarlo nei propri progetti ecologici, progetti di vantaggi modulari e crediti. L'acquirente può impostarlo nei crediti di cui è proprietario. Quando si chiamano le API, l'intestazione x-ms-marketRole indica il servizio relativo al contesto del ruolo di mercato in cui l'utente amministratore le sta chiamando.

Tramite UX:

Attualmente, da UX l'amministratore a livello di organizzazione può impostare il criterio tra organizzazioni a livello di organizzazione.

  1. Seleziona Accesso organizzazione nel riquadro di spostamento a sinistra.

  2. Seleziona Modifica per l'organizzazione che desideri modificare e aggiorna come necessario.

    Screenshot della schermata Accesso organizzazione che mostra le modifiche all'accesso tra organizzazioni.

Tramite API:

  1. Vai alla cartella Organizzazioni in Postman e utilizza l'API Imposta criteri di accesso tra organizzazioni a livello di organizzazione per impostare un criterio a livello di organizzazione sotto il ruolo di mercato predefinito.
  2. Vai alla cartella Creazione progetto ecologico in Postman e utilizza l'API Imposta criteri di accesso tra organizzazioni nel progetto ecologico per impostare un criterio a livello del progetto ecologico specifico.
  3. Vai alla cartella Creazione progetto ecologico in Postman e utilizza l'API Imposta criteri di accesso tra organizzazioni in MBP per impostare un criterio a livello del progetto di vantaggi modulare specifico.
  4. Vai alla cartella Crediti in Postman e utilizza l'API Imposta criteri di accesso tra organizzazioni nel credito per impostare un criterio a livello del credito specifico.

Sfruttare i gruppi per gestire l'accesso

Un amministratore può creare gruppi, gestire gli utenti in un gruppo e assegnare gruppi con ruoli. Questa funzionalità è al momento supportata solo tramite API.

  • Creare un gruppo utenti e aggiungervi utenti:

    POST /organizations/{{organization_id}}/groups

  • Ottieni tutti i gruppi di utenti nell'organizzazione:

    GET /organizations/{{organization_id}}/groups

  • Ottieni un gruppo di utenti per ID:

    GET /organizations/{{organization_id}}/groups/{{group_id}}

  • Ottieni utenti in un gruppo di utenti:

    GET /organizations/{{organization_id}}/groups/{{group_id}}/users

  • Aggiungi utenti a un gruppo di utenti:

    POST /organizations/{{organization_id}}/groups/{{group_id}}/addUsers

  • Elimina un utente da un gruppo di utenti:

    DELETE /organizations/{{organization_id}}/groups/{{group_id}}/users/{{user_id}}

  • Esegui l'onboarding di utenti in un gruppo di utenti:

    POST /organizations/{{organization_id}}/groups/{{group_id}}/addNewUsers

  • Crea un'assegnazione di ruolo per un gruppo di utenti:

    POST /roleAssignments

  • Elimina un'assegnazione dei ruoli del gruppo di utenti:

    DELETE /roleAssignments/{{roleAssignmentId}}

Vedi anche

Panoramica di Servizio di credito ambientale (anteprima)
Glossario di Servizio di credito ambientale (anteprima)
Panoramica del riferimento API per Servizio di credito ambientale (anteprima)