Udostępnij za pośrednictwem

Usługa upoważnienia

  • Artykuł

Zarządzanie dostępem jest krytyczną funkcją dla dowolnej usługi lub zasobu. Usługa uprawnień umożliwia kontrolowanie, kto może korzystać z wystąpienia usługi Azure Data Manager for Energy, co może zobaczyć lub zmienić, oraz które usługi lub dane mogą z nich korzystać.

Struktura i nazewnictwo grup OSDU

Usługa upoważnienia usługi Azure Data Manager for Energy umożliwia tworzenie grup i zarządzanie członkostwem w grupach. Grupa uprawnień definiuje uprawnienia do usług lub źródeł danych dla określonej partycji danych w wystąpieniu usługi Azure Data Manager for Energy. Użytkownicy dodani do określonej grupy uzyskują skojarzone uprawnienia. Wszystkie identyfikatory grup (wiadomości e-mail) mają postać {groupType}.{serviceName|resourceName}.{permission}@{partition}.{domain}.

Dla każdej nowej partycji danych należy ustawić różne grupy i skojarzone uprawnienia użytkowników, nawet w tym samym wystąpieniu usługi Azure Data Manager for Energy.

Typy grup OSDU

Usługa upoważnienia umożliwia trzy przypadki użycia autoryzacji:

Grupy danych

  • Grupy danych służą do włączania autoryzacji dla danych.
  • Grupy danych zaczynają się od słowa "data", takiego jak data.welldb.viewers i data.welldb.owners.
  • Indywidualni użytkownicy są dodawani do grup danych, które są dodawane do listy ACL poszczególnych rekordów danych w celu włączenia viewer i owner dostępu do danych po załadowaniu danych w systemie.
  • Do upload danych potrzebne są uprawnienia różnych usług OSDU, które są używane podczas procesu pozyskiwania. Połączenie usług OSDU zależy od metody pozyskiwania. Na przykład w przypadku pozyskiwania manifestu zobacz Pojęcia dotyczące pozyskiwania oparte na manifeście, aby zrozumieć usługi OSDU używane przez interfejsy API. Aby przekazać dane, użytkownik nie musi być częścią listy ACL .

Grupy usług

  • Grupy usług są używane do włączania autoryzacji dla usług.
  • Grupy usług zaczynają się od słowa "usługa", takiego jak service.storage.user i service.storage.admin.
  • Grupy usług są wstępnie zdefiniowane , gdy usługi OSDU są aprowizowane w każdej partycji danych wystąpienia usługi Azure Data Manager for Energy.
  • Te grupy umożliwiają wywoływanie viewereditorinterfejsów API OSDU odpowiadających usługom OSDU oraz admin dostęp do nich.

Grupy użytkowników

  • Grupy użytkowników są używane do hierarchicznego grupowania grup użytkowników i usług.
  • Grupy usług zaczynają się od słowa "użytkownicy", takiego jak users.datalake.viewers i users.datalake.editors.

Hierarchia zagnieżdżona

  • Jeśli user_1 jest częścią data_group_1 i data_group_1 jest dodawany jako członek do user_group_1, kod OSDU sprawdza członkostwo zagnieżdżone i autoryzuje user_1 dostępu do uprawnień dla user_group_1. Zostało to wyjaśnione w interfejsie API sprawdzania uprawnień OSDU i interfejsie API pobierania grupy OSDU.

  • Możesz dodać poszczególnych użytkowników do elementu user group. Element user group jest następnie dodawany do elementu data group. Grupa danych jest dodawana do listy ACL rekordu danych. Umożliwia abstrakcję dla grup danych, ponieważ do grupy danych nie trzeba dodawać pojedynczych użytkowników. Zamiast tego możesz dodać użytkowników do elementu user group. Następnie można użyć user group wielokrotnie dla wielu data groups. Struktura zagnieżdżona pomaga zapewnić skalowalność do zarządzania członkostwem w jednostkach OSDU.

Domyślne grupy

  • Niektóre grupy OSDU są tworzone domyślnie po aprowizacji partycji danych.
  • Grupy data.default.viewers danych i data.default.owners są domyślnie tworzone.
  • Grupy usług do wyświetlania, edytowania i administratora każdej usługi, takiej jak service.entitlement.admin i service.legal.editor są tworzone domyślnie.
  • Grupy użytkowników , users, users.datalake.viewersusers.datalake.editors, users.datalake.admins, users.datalake.opsi users.data.root są tworzone domyślnie.
  • Wykres domyślnych członków i grup w grupach uprawnień bootstrapped OSDU przedstawia grupy nagłówków kolumn jako składowe nagłówków wierszy. Na przykład users grupa jest domyślnie członkiem data.default.viewers i data.default.owners . users.datalake.admins i users.datalake.ops są członkami service.entitlement.admin grupy.
  • Jednostka usługi lub lub client-idapp-id jest domyślnym właścicielem wszystkich grup.

Osobliwość users@ grupy

  • Istnieje jeden wyjątek od tej reguły nazewnictwa grup dla grupy "użytkowników". Zostanie ona utworzona, gdy zostanie aprowizowana nowa partycja danych, a jej nazwa jest zgodna ze wzorcem .users@{partition}.{domain}
  • Zawiera listę wszystkich użytkowników z dowolnym typem dostępu w określonej partycji danych. Przed dodaniem nowego użytkownika do wszystkich grup uprawnień należy również dodać nowego użytkownika do users@{partition}.{domain} grupy.

Osobliwość users.data.root@ grupy

  • users.data.root entitlement group jest domyślnym członkiem wszystkich grup danych podczas tworzenia grup. Jeśli spróbujesz usunąć element users.data.root z dowolnej grupy danych, wystąpi błąd, ponieważ to członkostwo jest wymuszane przez OSDU.
  • użytkownik.data.root staje się automatycznie domyślnym i trwałym właścicielem wszystkich rekordów danych podczas tworzenia rekordów w systemie zgodnie z opisem w artykule OSDU validate owner access API and OSDU users data root check API (Weryfikowanie interfejsu API dostępu właściciela oSDU i interfejs API sprawdzania głównego danych użytkowników OSDU). W związku z tym, wraz z sprawdzeniem członkostwa użytkownika OSDU, system sprawdza również, czy użytkownik jest "DataManager", tj. częścią grupy data.root, aby ocenić dostęp do rekordu danych.
  • Domyślne członkostwo w folderze users.data.root jest używane tylko app-id do konfigurowania wystąpienia. Możesz jawnie dodać innych użytkowników do tej grupy, aby przyznać im domyślny dostęp do rekordów danych.

Jako przykład w scenariuszu,

  • Data_record_1 ma 2 listy ACL: ACL_1 i ACL_2.
  • User_1 jest członkiem ACL_1 i users.data.root.

Teraz, jeśli usuniesz user_1 z ACL_1, user_1 pozostanie mieć dostęp do data_record_1 za pośrednictwem grupy users.data.root.

Jeśli ACL_1 i ACL_2 zostaną usunięte z data_record_1, użytkownik.data.root nadal ma dostęp właściciela do danych. Dzięki temu rekord danych zostanie nigdy oddzielony.

Nieznany OID

Zobaczysz jeden nieznany identyfikator OID we wszystkich grupach OSDU dodanych domyślnie. Ten identyfikator OID odnosi się do wewnętrznego identyfikatora GUID usługi Azure Data Manager for Energy, który jest używany w systemie wewnętrznym do komunikacji systemowej. Ten identyfikator GUID jest tworzony unikatowo dla każdego wystąpienia i jest wymuszany przez system, aby nie został usunięty ani usunięty przez Użytkownika.

Użytkownicy

Dla każdej grupy OSDU można dodać użytkownika jako WŁAŚCICIELA lub CZŁONKA:

  • Jeśli jesteś właścicielem grupy OSDU, możesz dodać lub usunąć członków tej grupy lub usunąć grupę.
  • Jeśli jesteś członkiem grupy OSDU, możesz wyświetlać, edytować lub usuwać usługę lub dane w zależności od zakresu grupy OSDU. Jeśli na przykład jesteś członkiem service.legal.editor grupy OSDU, możesz wywołać interfejsy API, aby zmienić usługę prawną.

Uwaga

Nie usuwaj właściciela grupy, chyba że istnieje inny właściciel do zarządzania użytkownikami.

Interfejsy API uprawnień

Aby uzyskać pełną listę punktów końcowych interfejsu API uprawnień, zobacz usługa upoważnienia OSDU. Kilka ilustracji dotyczących używania interfejsów API uprawnień jest dostępnych w temacie Zarządzanie użytkownikami.

Uwaga

Dokumentacja OSDU odnosi się do punktów końcowych w wersji 1, ale skrypty opisane w tej dokumentacji odnoszą się do punktów końcowych w wersji 2, które działają i zostały pomyślnie zweryfikowane.

OSDU® jest znakiem towarowym grupy Open.

Następne kroki

Aby zapoznać się z następnym krokiem, zobacz:

Możesz również pozyskiwać dane do wystąpienia usługi Azure Data Manager for Energy: