Uz lomām balstīta piekļuves kontrole vides kredītu pakalpojumā (priekšskatījums)

  • Raksts

Microsoft Cloud for Sustainability Tehniskais samits 2024. gada maijs

Svarīgi

Daļa vai visa šī funkcionalitāte ir pieejama kā daļa no priekšskatījuma laidiena. Saturs un funkcionalitāte var mainīties. Varat piekļūt Vides kredītu pakalpojuma (priekšskatījuma) smilškastes videi 30 dienu izmēģinājumam. Lai izmantotu vides kredītu pakalpojumu (priekšskatījumu) ražošanas vidē, aizpildiet vides kredītu pakalpojuma (priekšskatījuma) reģistrācijas veidlapu.

Uz lomām balstīta piekļuves kontrole ļauj kontrolēt piekļuvi dažādām operācijām lietojumprogrammā, pamatojoties uz atļaujām, kas atrodas organizācijas lietotājiem piešķirtajās lomās. Tas ļauj piešķirt un noņemt lomas, kas piešķirtas organizācijas lietotājiem smalkgraudainai kontrolei.

Katrai brīvprātīgai ekoloģiskā tirgus ekosistēmas organizācijai ir īpaša loma, ko sauc par tirgus lomu vides kredītu pakalpojumā (priekšskatījums). Katra organizācija pievienos lietotājus vides kredītu pakalpojumam (priekšskatījums) un piešķirs lietotāju lomas. Resursi, piemēram, ekoloģiskie projekti vai programmas, modulārie pabalstu projekti, prasības un marķieri, pieder organizācijai, nevis lietotājam.

Lietotāju lomu piešķiršana

Lietotāja loma tiek definēta kā atļauju kolekcija, kas ļauj veikt noteiktas darbības lietojumprogrammā. Šīs lietotāju lomas var piešķirt organizācijas vai līdzekļu līmenī noteiktas tirgus lomas kontekstā. Vides kredītu pakalpojums (priekšskatījums) atbalsta šādas lietotāju lomas:

Lietotāja loma Atļaujas
Admin. Administrators var veikt visas atbalstītās datu plaknes darbības saistītajos resursos, piemēram, izveidi, atjaunināšanu, lasīšanu un dzēšanu. Viņi var arī veikt vadības plaknes operācijas, piemēram, pievienot lietotājus organizācijā un izveidot vai atjaunināt viņiem lomu piešķires.
Līdzstrādnieks Līdzstrādnieks var veikt visas atbalstītās datu plāna darbības saistītajos resursos, piemēram, izveidot, atjaunināt, lasīt un dzēst. Viņi arī saņem lasīšanas piekļuvi vadības plaknes līmenī.
Lasītājs Lasītājs var veikt lasīšanas operācijas saistītajā datu plaknes līmenī un vadības plaknes līmeņa resursos.

Lomu pārvaldība organizācijas līmenī tirgus lomas kontekstā

Tālāk norādītās iespējas tiek atbalstītas uz lomām balstītai piekļuves kontrolei organizācijas līmenī noteikta tirgus lomu līmeņa kontekstā. Piemēram, ja organizācija darbojas kā pircējs, tad tai ir viena tirgus loma (pircējs). Organizācijas līmenī lietotājam šajā organizācijā var būt pircēja administratora, pircēja līdzstrādnieka vai pircēja lasītāja lietotāja loma.

Vienai organizācijai var būt vairākas tirgus lomas. Piemēram, ja cita organizācija darbojas gan kā izdevēju reģistrs, gan kā tirgus, tai ir divas tirgus lomas. Šīs organizācijas lietotājam var būt piegādātāja administratora loma piegādātāja tirgus lomas kontekstā un izdevēja reģistra lasītāja loma izdevēja reģistra lomas kontekstā.

Lomu pārvaldība līdzekļu līmenī

Lietotāju privilēģijas var pārvaldīt līdzekļa līmenī organizācijā. Organizācijas līmeņa administrators vai līdzstrādnieks var izveidot jaunus līdzekļus. Organizācijas līmeņa administrators var arī pievienot lietotājus līdzeklim un piešķirt viņiem lomas.

  • Līdzekļa līmeņa administrators: līdzekļa līmeņa administratoram tiek piešķirta administratora lietotāja loma noteiktā detalizētā organizācijas līdzekļa tvērumā. Piemēram, lietotājam modulārās priekšrocības projekta ietvaros tiek piešķirta piegādātāja administratora loma organizācijas piegādātāju tirgus lomā. Viņi var veikt visas atbalstītās datu plaknes operācijas ar aktīvu, piemēram, lasīšanu un rakstīšanu. Viņi var arī veikt vadības plaknes operācijas, piemēram, pievienot lietotājus organizācijai konkrētā līdzeklī, kuram viņi ir administratori.

  • Aktīva līmeņa līdzstrādnieks: aktīva līmeņa ieguldītājs var veikt visas atbalstītās datu plāna darbības ar aktīvu, piemēram, nolasīt un atjaunināt aktīvu. Viņi var lasīt citu lietotāju vai grupu lomu piešķiršanu, kas ietilpst šī līdzekļa tvērumā.

  • Līdzekļa līmeņa lasītājs: līdzekļa līmeņa lasītājs var veikt līdzekļa lasīšanas darbības. Viņi var lasīt citu lietotāju vai grupu lomu piešķiršanu, kas ietilpst šī līdzekļa tvērumā.

Piezīmes

Tiks saglabāta lejupvērstā piekļuves hierarhija. Piemēram, ja lietotājam ir administratora lietotāja loma piegādātāja tirgus lomā organizācijas tvērumā, tad viņam būs administratora līmeņa automātiska piekļuve visiem šī piegādātāja līdzekļiem (piemēram, ekoloģiskajiem projektiem un modulārajiem pabalstu projektiem). Ja citam lietotājam ir aktīva līmeņa administratora piekļuve (piemēram, ekoloģiskā projektā), tad viņam būs piekļuve visiem tajā esošajiem aktīviem.

Iespējas, kas tiek atbalstītas uz lomām balstītai piekļuves kontrolei

Priekšnosacījumi pastnieku kolekcijas izmantošanai API

Pastnieku kolekciju ar organizāciju un to administratoru vides konfigurāciju var iestatīt šādi:

  • Iestatiet lietotāja informāciju dažādos pastnieku kolekcijas mainīgajos lielumos (piemēram: <marketRole>_admin_username) dažādām tirgus lomām, kuras vēlaties izmantot, kā arī to attiecīgās paroles.

  • Izveidojiet jaunu pastnieka vidi un pārslēdzieties uz to, pirms izpildāt visus kolekcijas API.

  • Palaidiet mapi Iestatīšanas organizācijas konkrētajai tirgus lomai, kuru vēlaties izmantot, lai pastnieka vidē iestatītu organizācijas (un tās attiecīgo administratoru) rekvizītus.

  • Palaidiet funkciju definīcijas > Iegūstiet visas lomu definīcijas API, lai iegūtu detalizētu informāciju par visām iebūvētajām lietotāju lomu definīcijām pastnieka vidē. Atbildi no lomas definīcijas API var izmantot, lai uzzinātu par piešķiramajiem tvērumiem, kurus var piešķirt lietotājiem.

Lietotāju pievienošana

Varat pievienot lietotājus un pārvaldīt viņu lomas organizācijā, kreisajā navigācijas rūtī pārslēdzoties uz izvēlni Iestatījumi .

Piezīmes

Jūs nevarat pievienot lietotāju, kas jau ir pievienots.

  1. Ekrānā Lietotāja piekļuve atlasiet Pievienot lietotāju.
  2. Rūtī Pievienot lietotāju ievadiet Lietotājs , atlasiet piekļuves līmeni un pēc tam atlasiet Saglabāt. Ekrānuzņēmums, kurā redzama lietotāja pievienošana lietotāja pievienošanas rūtī.

Izmantojot API:

Piezīmes

Postman kolekcijas borta lietotāju mape atbalsta izpildi ar vienu klikšķi. Tomēr ieteicams izmantot atsevišķus API, lai mēģinātu piesaistīt lietotājus un iepazīties ar API.

  • Jebkurai organizācijas mapei, piemēram , Piegādātājs, kolekcijas Pastnieks mapē Borta lietotāji iestatiet organizāciju un tās administratoru, izsaucot API Iegūt detalizētu informāciju par organizāciju un Iegūt administratora lietotāja informāciju .

  • Lai pievienotu līdzstrādnieku, varat pārbaudīt, vai API nepieciešamā autorizācija atbilst administratora lietotājam. Pieprasījuma lietderīgā slodze mēģina pievienot jaunu lietotāju ar iebūvēto līdzstrādnieka lietotāja lomu, piemēram, piegādātāja līdzstrādnieka lietotāja lomu. Pieprasījuma nosūtīšana pievienojas līdzstrādniekam.

  • Tāpat varat pievienot lasītāja lietotāju organizācijā ar atbilstošu lasītāja lomu, piemēram, piegādātāja lasītāja lietotāja lomu.

Lomu piešķires maiņa

Pēc lietotāju pievienošanas varat mainīt viņiem piešķirto lietotāja lomu.

Piezīmes

Jūs nevarat rediģēt savu piekļuvi.

  1. Ekrānā Lietotāja piekļuve atlasiet trīs punktus blakus lietotājam un pēc tam atlasiet Rediģēt.
  2. Rūtī Piekļuves rediģēšana atlasiet jauno lomu nolaižamajā izvēlnē Piekļuves līmenis un pēc tam atlasiet Saglabāt. Ekrānuzņēmums, kurā redzams ekrāns Rediģēt piekļuvi, noņemot lietotāju.

Izmantojot API:

  1. Naviģējiet uz kolekcijas mapi Lomu piešķiršana.

  2. Izmantojiet funkciju piešķiršanas izveidi līdzekļa API. Pēc noklusējuma piegādātāja līdzstrādnieka loma tiek piešķirta piegādātāja lasītāja lietotājam, izmantojot piegādātāju administratoru piekļuves pilnvaru.

    Piezīmes

    Šajā piemērā ir parādīts, kā darbojas lomu piešķiršanai paredzētais API. Varat piešķirt citu lietotāja lomu lietotājiem no dažādām organizācijām, izmantojot attiecīgos administratora kontus. Varat mainīt tvēruma resursa URI uz derīgu līdzekļa URI lomas definīcijai. Aizstājiet vides mainīgos pieprasījuma lietderīgajā slodzē (roleDefinitionId un userId), mainiet parametru resourceUri pieprasījuma pamatteksts un mainiet administratora piekļuves pilnvaras vides mainīgo, lai tas atbilstu attiecīgajam administratora lietotāja kontam.

    Varat nosūtīt lomu piešķiršanas izveides API ar dažādām lomas definīcijas identifikatora (roleDefinitionId) vērtībām, kas jāpiešķir dažādiem organizācijas lietotājiem (userId) citā tvērumā (resourceUri). Varat mainīt autorizācijas galveni, lai tā atbilstu attiecīgā administratora lietotāja piekļuves pilnvarai.

    Organizācijas administratori nevar piešķirt lietotāju lomas ārpus savas organizācijas, un viņi nevar piešķirt lomas lietotājiem ārpus savas organizācijas.

  3. Izmantojiet atjaunināšanas lomu piešķiršanas API, lai atjauninātu lietotāja piekļuvi. Piemēram, jūs varat paaugstināt lietotāju par piegādātāja administratoru. Noteikti pārbaudiet API parametra roleassignment_id.

Lomu piešķires dzēšana

Administratora lietotājs pēc nepieciešamības var dzēst esošās lomu piešķires dalībniekiem.

Piezīmes

Jūs nevarat izdzēst savu piekļuvi.

  1. Ekrānā Lietotāja piekļuve atlasiet trīs punktus blakus lietotājam un pēc tam atlasiet Rediģēt.
  2. Rūtī Piekļuves rediģēšana nolaižamajā izvēlnē Piekļuves līmenis atlasiet Nav , un pēc tam atlasiet Saglabāt. Ekrānuzņēmums, kurā redzams ekrāns Rediģēt piekļuvi, noņemot lietotāju.

Izmantojot API:

  1. Iestatiet administratora lomu, kas atbilst tā lietotāja organizācijai, kura lomu piešķiršana ir jādzēš.

  2. Naviģējiet uz mapi Lomu piešķires un atlasiet dzēst lomu piešķiršanas API.

  3. API parametrā ievadiet pareizo roleassignment_id.

  4. Zvaniet DELETE /roleAssignments/{{roleassignment_id}} iestatot autorizācijas galveni ar attiecīgā administratora lietotāja piekļuves pilnvaru (mainīgos lielumus no Postman vides var izmantot, lai izmēģinātu lietotājus ar dažādām lomām no dažādām organizācijām).

Profila detalizētas informācijas skatīšana un mainīšana

Lai skatītu detalizētu informāciju par savu profilu, kreisajā navigācijas rūtī atlasiet Mans konts .

Lai rediģētu preferences, sadaļā Preferences atlasiet ikonu Rediģēt un atlasiet sākumlapu, kuru vēlaties izmantot. Sarakstā tiks norādītas dažādas tirgus lomas, kurām var piekļūt lietotājs, kurš pašlaik ir pierakstījies.

Rediģēšanas preferenču ekrānuzņēmums.

Izmantojot API:

  1. Izmantojiet API POST /organizations/{organizationId}/users/{userId}/setMyDefaultMarketRole API, lai pārslēgtu lietotāja noklusējuma tirgus lomu. Autorizācijas galvenē ir jāizmanto tā paša lietotāja piekļuves pilnvara, kas nodota parametrā userId URL. Lietotājam ir jābūt zināmai piekļuvei jaunajai tirgus lomai, kas tiek iestatīta kā noklusējums.

Lomu definīciju skatīšana

Lietotājs ar jebkuru lomu var skatīt dažādas lomu definīcijas.

Lai skatītu visas lomu definīcijas, izmantojot API, veiciet tālāk norādītās darbības.

  1. Naviģējiet uz mapi Lomu definīcijas un atlasiet API Iegūt visas lomu definīcijas .

  2. Zvaniet uz GET /roleDefinitions , iestatot autorizācijas galveni ar attiecīgā lietotāja piekļuves pilnvaru (mainīgos lielumus no Postman vides var izmantot, lai izmēģinātu lietotājus ar dažādām lomām no dažādām organizācijām).

Lai skatītu lomu definīcijas pēc ID:

  1. Naviģējiet uz mapi Lomu definīcijas un izvēlieties Iegūt lomas definīciju, izmantojot ID API.

  2. Zvaniet GET /roleDefinitions/{{id}} , iestatot lomas definīcijas identifikatoru pieprasījuma vietrādī URL un autorizācijas galvenē ar attiecīgo lietotāju piekļuves pilnvaru (mainīgos lielumus no Postman vides var izmantot, lai izmēģinātu lietotājus ar dažādām lomām no dažādām organizācijām).

Lietotāju un piešķirto lomu skatīšana

Lietotājs ar jebkuru lomu var skatīt organizācijas lietotājus kopā ar viņiem piešķirtajām lomām.

  • Naviģējiet uz ekrānu Lietotāja piekļuve un skatiet lietotājus, kuriem ir piekļuve.

    Lietotāja piekļuves ekrāna ekrānuzņēmums, kurā redzami lietotāji un viņu lomas.

Izmantojot API:

  1. Naviģējiet uz mapi Lietotāji .
  2. Zvans Iegūstiet visus lietotājus manā organizācijā , iestatot autorizācijas galveni ar lietotāju piekļuves pilnvaru no attiecīgās organizācijas (mainīgos lielumus no Postman vides var izmantot, lai izmēģinātu lietotājus ar dažādām lomām no dažādām organizācijām).
  3. Naviģējiet uz mapi Lomu piešķires .
  4. Zvans Iegūstiet visas lomu piešķires manā noklusējuma tirgus lomā , lai iegūtu lomu piešķires zvanītāja identitātes noklusējuma tirgus lomā, pamatojoties uz vaicājuma parametru resourceUri .

Starporganizāciju piekļuves vadīklu pārvaldība saviem līdzekļiem

Administrators lietotājs var pārvaldīt piekļuvi līdzekļiem dažādās organizācijās. To var izmantot vairākos scenārijos, piemēram, ja piegādātājs ir iepriekš piešķīris kredītus pircējam un viņš nevēlas, lai citi pircēji skatītu kredītu. Vēl viens piemērs ir ieliktņi, kas jāizmanto tajā pašā vērtības ķēdē.

Lai atbalstītu šos scenārijus, vides kredītu pakalpojumam (priekšskatījums) ir šādas iespējas:

  • Administrators var pārvaldīt, vai viņš vēlas, lai līdzeklis būtu redzams visām tirgus lomām. Piemēram, piegādātājs, kas vēlas izmantot kredītus ieliktņiem, var nolemt slēpt kredītu redzamību no visiem pircējiem. Pēc noklusējuma aktīvs būs redzams visām tirgus lomām, kuras administrators var pārslēgt.

  • Administrators var pārvaldīt, vai viņš vēlas, lai līdzeklis būtu redzams visām tirgus lomas organizācijām. Piemēram, piegādātājam var būt iepriekš piešķirti kredīti pircējam. Administrators var pārvaldīt redzamību tā, lai kredīti nebūtu redzami citiem pircējiem, izņemot paredzēto.

Pēc noklusējuma tādi aktīvi kā ekoloģiskie projekti, modulārie pabalstu projekti un kredīti būs redzami visām organizācijām, kurus administrators var pārslēgt. Administrators tam var iestatīt starporganizāciju piekļuves politiku dažādos līmeņos no zemākās līdz augstākajai prioritātei, kā norādīts tālāk.

  • Organizācijas: starporganizāciju politika organizācijas līmenī nozīmē, ka starporganizāciju piekļuves kontrole tiek piemērota visiem organizācijas līdzekļiem.

  • Ekoloģiskie projekti: starporganizāciju politikai ekoloģisko projektu līmenī ir augstāka prioritāte nekā iepriekšējam slānim. Tas nozīmē starporganizāciju piekļuves kontroli konkrētajam ekoloģiskajam projektam un visiem tajā esošajiem aktīviem. Ja starporganizāciju politika ir iestatīta šajā līmenī, tai ir prioritāte pār jebkuru politiku, kas iestatīta organizācijas līmenī. To var iestatīt lietotājs ar administratora piekļuvi, kas ir piemērota ekoloģiskā projekta tvērumam.

  • Modulāri pabalstu projekti: starporganizāciju politikai modulāru pabalstu projektu līmenī ir augstāka prioritāte nekā iepriekšējiem līmeņiem. Tas nozīmē starporganizāciju piekļuves kontroli konkrētajam modulārajam ieguvumu projektam un visiem tā aktīviem. Ja starporganizāciju politika ir iestatīta šajā līmenī, tad tai ir prioritāte pār jebkuru politiku, kas noteikta kādā no iepriekš minētajiem slāņiem. To var iestatīt lietotājs ar administratora piekļuvi, kas ir piemērota modulāro priekšrocību projekta tvērumā.

  • Kredīti: starporganizāciju politikai kredītu līmenī ir augstāka prioritāte nekā iepriekšējiem līmeņiem. Tas nozīmē starporganizāciju piekļuves kontroli konkrētajam kredītam. Ja starporganizāciju politika ir iestatīta šajā līmenī, tad tai ir prioritāte pār jebkuru politiku, kas noteikta kādā no iepriekš minētajiem slāņiem. To var iestatīt lietotājs ar administratora piekļuvi, kas ir piemērota modulāro priekšrocību projekta tvērumā.

Piezīmes

Administratori var iestatīt starporganizāciju politiku saviem īpašumā esošajiem līdzekļiem. Piegādātājs un pircējs ir divas tirgus lomas, kas var iestatīt starporganizāciju politikas. Piegādātājs to var iestatīt uz saviem ekoloģiskajiem projektiem, modulārajiem pabalstu projektiem un kredītiem. Pircējs to var iestatīt uz saviem kredītiem. Zvanot uz API, x-ms-marketRole galvene norāda pakalpojumu par tirgus lomas kontekstu, kurā administrators tos izsauc.

Izmantojot UX:

Pašlaik no UX organizācijas līmeņa administrators var iestatīt starporganizāciju politiku organizācijas līmenī.

  1. Kreisajā navigācijas rūtī atlasiet Organizācijas piekļuve .

  2. Atlasiet rediģēt organizācijai, kuru vēlaties mainīt, un pēc vajadzības atjaunināt.

    Organizācijas piekļuves ekrāna ekrānuzņēmums, kurā redzamas starporganizāciju piekļuves izmaiņas.

Izmantojot API:

  1. Naviģējiet uz pastnieka mapi Organizācijas un izmantojiet API Iestatiet starporganizāciju piekļuves politiku organizācijas līmenī , lai iestatītu politiku organizācijas līmenī saskaņā ar noklusējuma tirgus lomu.
  2. Pastniekā dodieties uz mapi Ekoloģiskā projekta izveide un izmantojiet API Set cross-org piekļuves politiku ekoloģiskajam projektam , lai iestatītu politiku konkrētā ekoloģiskā projekta līmenī.
  3. Naviģējiet uz mapi Ekoloģiskā projekta izveide pastniekā un izmantojiet API Set cross-org piekļuves politiku MBP , lai iestatītu politiku konkrētā modulārā labuma projekta līmenī.
  4. Naviģējiet uz pastnieka mapi Kredīti un izmantojiet API Iestatiet starporganizāciju piekļuves politiku kredītam , lai iestatītu politiku konkrētā kredīta līmenī.

Izmantojiet grupas, lai pārvaldītu piekļuvi

Administrators var izveidot grupas, pārvaldīt lietotājus grupā un piešķirt grupas ar lomām. Šis līdzeklis pašlaik tiek atbalstīts, izmantojot tikai API.

  • Izveidojiet lietotāju grupu un pievienojiet tai lietotājus:

    POST /organizations/{{organization_id}}/groups

  • Iegūstiet visas lietotāju grupas organizācijā:

    GET /organizations/{{organization_id}}/groups

  • Lietotāju grupas iegūšana pēc ID:

    GET /organizations/{{organization_id}}/groups/{{group_id}}

  • Iegūstiet lietotājus lietotāju grupā:

    GET /organizations/{{organization_id}}/groups/{{group_id}}/users

  • Lietotāju pievienošana lietotāju grupai

    POST /organizations/{{organization_id}}/groups/{{group_id}}/addUsers

  • Lietotāja dzēšana no lietotāju grupas:

    DELETE /organizations/{{organization_id}}/groups/{{group_id}}/users/{{user_id}}

  • Lietotāju pievienošanai lietotāju grupai:

    POST /organizations/{{organization_id}}/groups/{{group_id}}/addNewUsers

  • Izveidojiet lomu piešķiršanu lietotāju grupai:

    POST /roleAssignments

  • Lietotāju grupas lomas piešķiršanas dzēšana:

    DELETE /roleAssignments/{{roleAssignmentId}}

Skatiet arī:

Vides kredītu pakalpojuma (priekšskatījums) pārskats
Vides kredītu pakalpojums (priekšskatījums) glosārijs
API atsauces pārskats par vides kredītu pakalpojumu (priekšskatījums)