다음을 통해 공유


권한 서비스

액세스 관리는 모든 서비스 또는 리소스에 중요한 기능입니다. 권한 서비스를 사용하면 Azure Data Manager for Energy 인스턴스를 사용할 수 있는 사용자, 보거나 변경할 수 있는 항목, 사용할 수 있는 서비스 또는 데이터를 제어할 수 있습니다.

OSDU 그룹 구조 및 명명

Azure Data Manager for Energy의 권한 서비스를 사용하면 그룹을 만들고 그룹의 멤버 권한을 관리할 수 있습니다. 권한 그룹은 Azure Data Manager for Energy 인스턴스의 특정 데이터 파티션에 대한 서비스 또는 데이터 원본에 대한 권한을 정의합니다. 특정 그룹에 추가된 사용자는 관련 권한을 가져옵니다. 모든 그룹 식별자(이메일)는 {groupType}.{serviceName|resourceName}.{permission}@{partition}.{domain} 형식입니다.

동일한 Azure Data Manager for Energy 인스턴스에서도 새 데이터 파티션마다 서로 다른 그룹 및 관련 사용자 권한을 설정해야 합니다.

OSDU 그룹 유형

권한 서비스는 권한 부여를 위한 세 가지 사용 사례를 지원합니다.

데이터 그룹

  • 데이터 그룹은 데이터에 대한 권한 부여를 사용하도록 설정하는 데 사용됩니다.
  • 데이터 그룹은 data.welldb.viewersdata.welldb.owners와 같이 "data"라는 단어로 시작합니다.
  • 개별 사용자는 데이터가 시스템에 로드된 후 데이터에 대한 viewerowner 액세스를 사용하도록 설정하기 위해 개별 데이터 레코드의 ACL에 추가되는 데이터 그룹에 추가됩니다.
  • 데이터를 upload하려면 수집 프로세스 중에 사용되는 다양한 OSDU 서비스에 대한 권한이 필요합니다. OSDU 서비스의 조합은 수집 방법에 따라 다릅니다. 예를 들어, 매니페스트 수집의 경우 API가 사용하는 OSDU 서비스를 이해하려면 매니페스트 기반 수집 개념을 참조하세요. 사용자는 데이터를 업로드하기 위해 ACL에 속할 필요는 없습니다.

서비스 그룹

  • 서비스 그룹은 서비스에 대한 권한 부여를 사용하도록 설정하는 데 사용됩니다.
  • 서비스 그룹은 service.storage.userservice.storage.admin과 같이 "service"라는 단어로 시작합니다.
  • 서비스 그룹은 OSDU 서비스가 Azure Data Manager for Energy 인스턴스의 각 데이터 파티션에 프로비전될 때 사전 정의됩니다.
  • 이러한 그룹은 OSDU 서비스에 해당하는 OSDU API를 호출하기 위한 viewer, editoradmin 액세스를 사용하도록 설정합니다.

사용자 그룹

  • 사용자 그룹은 사용자 및 서비스 그룹을 계층적으로 그룹화하는 데 사용됩니다.
  • 서비스 그룹은 users.datalake.viewersusers.datalake.editors와 같이 "사용자"라는 단어로 시작합니다.

중첩 계층 구조

  • user_1이 data_group_1의 일부이고 data_group_1이 user_group_1의 멤버로 추가된 경우 OSDU 코드는 중첩된 멤버 자격을 확인하고 user_1에게 user_group_1에 대한 권한에 액세스할 수 있는 권한을 부여합니다. 이에 대한 자세한 내용은 OSDU 권한 확인 APIOSDU 그룹 검색 API에 설명되어 있습니다.

  • user group에 개별 사용자를 추가할 수 있습니다. 합니다 user group 에 추가 되는 data group합니다. 데이터 그룹은 데이터 레코드의 ACL에 추가됩니다. 개별 사용자를 데이터 그룹에 하나씩 추가할 필요가 없기 때문에 데이터 그룹에 대한 추상화가 가능합니다. 대신 user group에 사용자를 추가할 수 있습니다. 그런 다음 여러 data groups에 대해 user group을 반복적으로 사용할 수 있습니다. 중첩된 구조는 OSDU에서 멤버 자격을 관리하기 위한 확장성을 제공하는 데 도움이 됩니다.

기본 그룹

  • 일부 OSDU 그룹은 데이터 파티션이 프로비전될 때 기본적으로 만들어집니다.
  • data.default.viewersdata.default.owners 데이터 그룹은 기본적으로 만들어집니다.
  • service.entitlement.adminservice.legal.editor와 같은 각 서비스를 보고, 편집하고, 관리하는 서비스 그룹은 기본적으로 만들어집니다.
  • users, users.datalake.viewers, users.datalake.editors, users.datalake.admins, users.datalake.ops, users.data.root 사용자 그룹은 기본적으로 만들어집니다.
  • 부트스트랩된 OSDU 권한 그룹의 기본 멤버 및 그룹 차트는 열 머리글 그룹을 행 머리글의 멤버로 표시합니다. 예를 들어 users 그룹은 기본적으로 data.default.viewersdata.default.owners의 멤버입니다. users.datalake.adminsusers.datalake.opsservice.entitlement.admin 그룹의 멤버입니다.
  • 서비스 주체 또는 client-id 또는 app-id은(는) 모든 그룹의 기본 소유자입니다.

users@ 그룹의 특징

  • "사용자" 그룹에 대한 이 그룹 명명 규칙에는 한 가지 예외가 있습니다. 새 데이터 파티션이 프로비전되면 만들어지며 해당 이름은 users@{partition}.{domain} 패턴을 따릅니다.
  • 여기에는 특정 데이터 파티션에 대한 모든 형식의 액세스 권한이 있는 모든 사용자 목록이 있습니다. 권한 그룹에 새 사용자를 추가하기 전에 새 사용자를 users@{partition}.{domain} 그룹에도 추가해야 합니다.

users.data.root@ 그룹의 특징

  • users.data.root 권한 그룹은 그룹이 만들어질 때 모든 데이터 그룹의 기본 멤버입니다. 데이터 그룹에서 users.data.root를 제거하려고 하면 이 멤버 자격이 OSDU에 의해 적용되므로 오류가 발생합니다.
  • users.data.root는 OSDU 소유자 액세스 유효성 검사 APIOSDU 사용자 데이터 루트 유효성 검사 API에 설명된 대로 시스템에서 레코드가 만들어지면 자동으로 모든 데이터 레코드의 기본 및 영구 소유자가 됩니다. 결과적으로 시스템은 사용자의 OSDU 멤버 자격을 확인하는 것과 함께 사용자가 "DataManager"(예: data.root 그룹의 일부)인지 확인하여 데이터 레코드에 대한 액세스를 평가합니다.
  • users.data.root의 기본 멤버 자격은 인스턴스를 설정하는 데 사용되는 app-id가 유일합니다. 이 그룹에 다른 사용자를 명시적으로 추가하여 데이터 레코드에 대한 기본 액세스 권한을 부여할 수 있습니다.

시나리오의 예를 들면,

  • data_record_1에는 ACL_1과 ACL_2라는 2개의 ACL이 있습니다.
  • User_1은 ACL_1 및 users.data.root의 멤버입니다.

이제 ACL_1에서 user_1을 제거하면 user_1은 users.data.root 그룹을 통해 data_record_1에 계속 액세스할 수 있습니다.

ACL_1 및 ACL_2가 data_record_1에서 제거되면 users.data.root는 계속해서 데이터에 대한 소유자 액세스 권한을 갖습니다. 이렇게 하면 데이터 레코드가 분리가 되는 것을 방지할 수 있습니다.

알 수 없는 OID

기본적으로 추가된 모든 OSDU 그룹에는 알 수 없는 OID가 하나 표시됩니다. 이 OID는 내부 시스템 간 통신에 사용되는 내부 Azure Data Manager for Energy GUID를 나타냅니다. 이 GUID는 각 인스턴스에 대해 고유하게 만들어지며 시스템에서 사용자가 삭제하거나 제거하지 못하도록 강제 적용합니다.

사용자

각 OSDU 그룹에 대해 사용자를 OWNER 또는 MEMBER로 추가할 수 있습니다.

  • OSDU 그룹의 소유자인 경우 해당 그룹의 멤버를 추가 또는 제거하거나 그룹을 삭제할 수 있습니다.
  • OSDU 그룹의 멤버인 경우 OSDU 그룹의 범위에 따라 서비스 또는 데이터를 보거나 편집하거나 삭제할 수 있습니다. 예를 들어, service.legal.editor OSDU 그룹의 멤버이라면 API를 호출하여 법률 서비스를 변경할 수 있습니다.

참고 항목

사용자를 관리할 다른 소유자가 없는 한 그룹의 소유자를 삭제하지 마세요.

권한 API

권한 API 엔드포인트의 전체 목록은 OSDU 권한 서비스를 참조하세요. 권한 API 사용 방법에 대한 몇 가지 그림은 사용자 관리에서 확인할 수 있습니다.

참고 항목

OSDU 설명서는 v1 엔드포인트를 참조하지만 이 설명서에 설명된 스크립트는 작동하며 성공적으로 유효성을 검사한 v2 엔드포인트를 참조합니다.

OSDU®는 The Open Group의 상표입니다.

다음 단계

다음 단계를 참조하세요.

Azure Data Manager for Energy 인스턴스로 데이터를 수집할 수도 있습니다.