Jak skonfigurować kontrolę dostępu opartą na rolach w Usłudze kredytowania na cele ekologiczne (wersja zapoznawcza)

Ważne

Niektóre lub wszystkie te funkcje są dostępne w wersji zapoznawczej. Zawartość i funkcjonalność mogą ulec zmianie. 30-dniowa wersja próbna umożliwia dostęp do środowiska piaskownicy Usługi kredytowania na cele ekologiczne (wersja zapoznawcza). Aby używać usługi kredytowania na cele ekologiczne (wersja zapoznawcza) w środowisku produkcyjnym, wypełnij formularza tworzenia konta Usługi kredytowania na cele ekologiczne (wersja zapoznawcza).

Kontrola dostępu oparta na rolach umożliwia kontrolowanie dostępu do różnych operacji w aplikacji na podstawie uprawnień występujących w rolach przypisanych do użytkowników w organizacji. Umożliwia przyznawanie i usuwanie ról przypisanych do użytkowników w organizacji, co zapewnia precyzyjną kontrolę.

Każda dobrowolna organizacja ekosystemu rynku ekologicznego odgrywa określoną rolę, zwaną rolą rynkową w Usłudze kredytowania na cele ekologiczne (wersja zapoznawcza). Każda organizacja wprowadzi użytkowników do usługi kredytowania na cele ekologiczne (wersja zapoznawcza) i przydzieli im role. Zasoby takie jak projekty lub programy ekologiczne, projekty korzyści modułowych, roszczenia i tokeny należą do organizacji, a nie do użytkownika.

Przypisywanie ról użytkowników

Rola użytkownika jest zdefiniowana jako zbiór uprawnień umożliwiających wykonywanie określonych operacji w aplikacji. Role użytkownika można przypisać na poziomie organizacji lub na poziomie aktywów w kontekście określonej roli rynkowej. Następujące role użytkowników są obsługiwane przez usługę kredytowania na cele ekologiczne (wersja zapoznawcza):

Rola użytkownika Uprawnienia
Administrator Administrator może wykonywać wszystkie obsługiwane operacje na płaszczyźnie danych na powiązanych zasobach, takie jak tworzenie, aktualizowanie, czytanie i usuwanie. Mogą również wykonywać operacje związane z zarządzaniem, takie jak przyjmowanie użytkowników do organizacji i tworzenie lub aktualizowanie przypisanych im ról.
Współautor Współtwórca może wykonywać wszystkie obsługiwane operacje na płaszczyźnie danych na powiązanych zasobach, takie jak tworzenie, aktualizowanie, czytanie i usuwanie. Otrzymują również dostęp do odczytu na poziomie płaszczyzny zarządzania.
Czytelnik użytkownik z dostępem do odczytu może wykonywać operacje odczytu na powiązanym poziomie płaszczyzny danych oraz na poziomie zasobów płaszczyzny zarządzania.

Zarządzaj rolami na poziomie organizacji w kontekście roli rynkowej

W ramach kontroli dostępu opartej na rolach na poziomie organizacji w kontekście określonego poziomu roli rynkowej obsługiwane są następujące możliwości. Na przykład, jeśli organizacja działa jako kupiec, to ma jedną rolę rynkową (kupiec). Na poziomie organizacji użytkownik w tej organizacji może mieć rolę użytkownika Administrator Kupującego, Dostawca Kupującego lub Czytający Kupującego.

Jedna organizacja może pełnić wiele ról rynkowych. Na przykład, jeśli inna organizacja działa zarówno jako rejestr wydający, jak i rynek, pełni dwie role rynkowe. Użytkownik w tej organizacji może mieć rolę Administrator Dostawcy w kontekście roli rynku dostawców oraz rolę użytkownik z dostępem do odczytu Rejestru Wydającego w kontekście roli rejestru wydającego.

Zarządzaj rolami na poziomie aktywów

Możesz zarządzać uprawnieniami użytkowników na poziomie zasobów w organizacji. Administrator na poziomie organizacji lub współtwórca może tworzyć nowe zasoby. Administrator na poziomie organizacji może również dodawać użytkowników do zasobów i przypisywać im role.

  • Administrator na poziomie zasobu: Administrator na poziomie zasobu ma przyznaną rolę użytkownika administratora w określonym szczegółowym zakresie składnika majątku w organizacji. Na przykład, użytkownik otrzymuje rolę administratora dostawcy w zakresie projektu korzyści modułowych w roli rynku dostawcy organizacji. Mogą one wykonywać wszystkie obsługiwane operacje na aktywach w płaszczyźnie danych, takie jak odczyt i zapis. Mogą również wykonywać operacje związane z zarządzaniem, takie jak wprowadzanie użytkowników w organizacji do konkretnego zasobu, którego są administratorami.

  • Współautor na poziomie zasobu: współautor na poziomie zasobu może wykonywać wszystkie obsługiwane operacje na płaszczyźnie danych na składniku majątku, takie jak odczytywanie i aktualizowanie składnika majątku. Mogą czytać przypisania ról innych użytkowników lub grup w zakresie tego zasobu.

  • Czytelnik na poziomie zasobu: Czytelnik na poziomie zasobu może wykonywać operacje odczytu na składniku majątku. Mogą czytać przypisania ról innych użytkowników lub grup w zakresie tego zasobu.

Uwaga

Zostanie zachowana odgórna hierarchia dostępu. Na przykład, jeśli użytkownik ma rolę administratora w roli dostawcy na poziomie organizacji, będzie miał automatycznie dostęp na poziomie administratora do wszystkich aktywów (takich jak projekty ekologiczne i projekty korzyści modułowych) tego dostawcy. Jeśli inny użytkownik ma dostęp administracyjny na poziomie aktywów (na przykład w projekcie ekologicznym), będzie miał dostęp do wszystkich aktywów w ramach tego projektu.

Możliwości obsługiwane przez kontrolę dostępu opartą na rolach

Warunki wstępne używania kolekcji Postman dla interfejsów API

Możesz ustawić kolekcję Postman w konfiguracji środowiska organizacji i ich administratorów w następujący sposób:

  • Ustaw dane użytkownika w różnych zmiennych (na przykład: <marketRole>_admin_username) kolekcji postman dla różnych ról rynkowych, których chcesz używać, wraz z ich odpowiednimi hasłami.

  • Utwórz nowe środowisko Postman i przełącz się do niego przed wykonaniem jakiegokolwiek API z kolekcji.

  • Uruchom folder Organizacji ustawień dla konkretnej roli rynkowej, której chcesz użyć, aby skonfigurować właściwości organizacji (i ich odpowiednich administratorów) w środowisku Postman.

  • Uruchom interfejs API Definicje ról > Pobierz wszystkie definicje ról, aby uzyskać szczegółowe informacje o wszystkich wbudowanych definicjach ról użytkownika w środowisku Postman. Odpowiedź z interfejsu API definiującego role może być użyta do poznania zakresów, które można przypisać użytkownikom.

Dodaj użytkowników

Po przełączeniu się do menu Ustawienia w lewym obszarze nawigacji można dodać użytkowników i zarządzać ich rolami w organizacji.

Uwaga

Nie można dodać użytkownika, który został już dodany.

  1. Na ekranie Dostęp użytkownika wybierz opcję Dodaj użytkownika.
  2. W okienku Dodaj użytkownika wprowadź użytkownika, wybierz poziom dostępu, a następnie wybierz pozycję Zapisz. Zrzut ekranu przedstawiający dodawanie użytkownika w okienku dodawania użytkownika.

Za pośrednictwem API:

Uwaga

Folder Wdrażanie użytkowników w kolekcji Postman obsługuje wykonanie jednym kliknięciem. Zalecamy jednak korzystanie z poszczególnych interfejsów API, aby wypróbować ich działanie i zapoznać się z nimi.

  • Dla dowolnego folderu organizacyjnego, takiego jak Dostawca, w folderze Wdrażanie użytkowników kolekcji Postman, skonfiguruj organizację i jej administratora, wywołując interfejsy API Uzyskaj szczegóły organizacji i Uzyskaj informacje o administratorze.

  • Aby włączyć współautora możesz sprawdzić, czy uprawnienia wymagane do korzystania z API odpowiadają administratorowi. Żądanie próbuje dodać nowego użytkownika z wbudowaną rolą współautora, taką jak rola dostawca-współautor. Wysłanie żądania wdrożenia współautora.

  • Podobnie można włączyć do organizacji użytkownika-użytkownik z dostępem do odczytua z odpowiednią rolą, np. rolą użytkownika użytkownik z dostępem do odczytua dostawcy.

Zmiana przydziału ról

Po dodaniu użytkowników możesz zmienić przypisane do nich role użytkownika.

Uwaga

Nie możesz edytować własnego dostępu.

  1. Na ekranie dostępu użytkownika wybierz trzy kropki obok użytkownika, a następnie wybierz opcję Edytuj.
  2. W okienku edytowania dostępu wybierz nową rolę na liście rozwijanej Poziom dostępu, a następnie wybierz opcję Zapisz. Zrzut ekranu z ekranem edytowania dostępu i usuwanym użytkownikiem.

Za pośrednictwem API:

  1. Przejdź do folderu Przypisania ról w kolekcji.

  2. Użyj interfejsu API Tworzenie przypisania zasobu na poziomie zasobu. Domyślnie rola dostawcy jest przypisana do użytkownika dostawca użytkownik z dostępem do odczytu za pomocą tokena dostępu administratora dostawcy.

    Uwaga

    Ten przykład wyróżnia sposób działania interfejsu API podczas przypisywania ról. Możesz przypisać różne role użytkownikom z różnych organizacji za pomocą odpowiednich kont administracyjnych. URI zasobu dla zakresu można zmienić na prawidłową wartość URI zasobu dla definicji roli. Zastąp zmienne środowiskowe w treści żądania (roleDefinitionId i participantId), zmień parametr treści żądania resourceUri i zmodyfikuj zmienną środowiskową tokenu dostępu administratora, aby dopasować ją do odpowiedniego konta administratora.

    Możesz wysłać interfejs API tworzenia przypisania roli z różnymi wartościami identyfikatora definicji roli (roleDefinitionId), który ma zostać przypisany do różnych użytkowników w organizacji (userId) w innym zakresie (resourceUri). Możesz zmienić nagłówek autoryzacji tak, aby odpowiadał tokenowi dostępu danego użytkownika.

    Administratorzy organizacji nie mogą przypisywać ról użytkowników spoza swojej organizacji ani przypisywać ról użytkownikom spoza organizacji.

  3. Interfejs API aktualizowania przypisania roli umożliwia zaktualizowanie dostępu użytkownika. Można na przykład podnieść poziom użytkownika do administratora dostawcy. Należy sprawdzić parametr roleassignment_id w parametrze interfejsu API.

Usuń przypisanie roli

W razie potrzeby administrator może usunąć istniejące przypisania ról dla uczestników.

Uwaga

Nie możesz usuwać własnego dostępu.

  1. Na ekranie dostępu użytkownika wybierz trzy kropki obok użytkownika, a następnie wybierz opcję Edytuj.
  2. W okienku edytowania dostępu wybierz Brak na liście rozwijanej Poziom dostępu, a następnie wybierz opcję Zapisz. Zrzut ekranu z ekranem edytowania dostępu i usuwanym użytkownikiem.

Za pośrednictwem API:

  1. Ustaw rolę administratora odpowiadającą organizacji użytkownika, którego przypisanie do roli ma zostać usunięte.

  2. Przejdź do folderu Przypisania ról i wybierz API Usuń przypisanie roli.

  3. Wprowadź prawidłowe roleassignment_id w parametrach API.

  4. Wywołaj DELETE /roleAssignments/{{roleassignment_id}}, ustawiając w nagłówku autoryzacji token dostępu odpowiedniego administratora (można użyć zmiennych ze środowiska Postmana, aby wypróbować użytkowników z różnymi rolami z różnych organizacji).

Wyświetlanie i zmienianie szczegółów profilu

Aby wyświetlić szczegóły swojego profilu, wybierz Moje konto w lewym obszarze aplikacji.

Aby edytować preferencje, wybierz ikonę Edytuj w sekcji Preferencje i wybierz stronę główną, której chcesz użyć. Lista będzie wskazywać różne role rynku, do których obecnie ma dostęp zalogowany użytkownik.

Zrzut ekranu przedstawiający edytowanie preferencji.

Za pośrednictwem API:

  1. Użyj interfejsu API POST /organizations/{organizationId}/users/{userId}/setMyDefaultMarketRole, aby przełączyć domyślną rolę rynku użytkownika. Nagłówek autoryzacji musi używać tokenu dostępu tego samego użytkownika, co przekazany w parametrze userId adresu URL. Użytkownik musi mieć pewien dostęp do nowej roli rynku ustawionej jako domyślna.

Zobacz definicje ról

Użytkownik z dowolną rolą może przeglądać różne definicje ról.

Aby wyświetlić wszystkie definicje ról za pośrednictwem interfejsu API:

  1. Przejdź do folderu Definicje ról i wybierz interfejs API Pobierz wszystkie definicje ról.

  2. Wywołaj GET /roleDefinitions, ustawiając w nagłówku autoryzacji token dostępu odpowiedniego użytkownika (można użyć zmiennych ze środowiska Postmana, aby wypróbować użytkowników z różnymi rolami z różnych organizacji).

Aby wyświetlić definicje ról według ID:

  1. Przejdź do folderu Definicje ról i wybierz interfejs API Pobierz definicje roli według ID.

  2. Wywołaj GET /roleDefinitions/{{id}}, ustawiając identyfikator definicji roli w adresie URL żądania i nagłówek autoryzacji z tokenem dostępu odpowiedniego użytkownika (można użyć zmiennych ze środowiska Postmana, aby wypróbować użytkowników z różnymi rolami z różnych organizacji).

Wyświetlanie użytkowników i przypisanych im ról

Użytkownik o dowolnej roli może przeglądać użytkowników organizacji wraz z przypisanymi im rolami.

  • Przejdź do ekranu Dostęp użytkownika i wyświetl użytkowników, którzy mają dostęp.

    Zrzut ekranu z ekranem dostępu użytkownika przedstawiający użytkowników i ich role.

Za pośrednictwem API:

  1. Przejdź do folderu Użytkownicy.
  2. Wywołaj polecenie Pobierz wszystkich użytkowników w mojej organizacji, ustawiając w nagłówku autoryzacji token dostępu użytkownika z odpowiedniej organizacji (można użyć zmiennych ze środowiska Postman, aby wypróbować użytkowników z różnymi rolami z różnych organizacji).
  3. Przejdź do folderu Przypisania ról.
  4. Wywołaj polecenie Pobierz wszystkie przypisania ról w mojej domyślnej roli rynku, aby pobrać przypisania ról w domyślnej roli rynku tożsamości elementu wywołującego w parciu o parametr zapytania resourceUri.

Zarządzanie kontrolami dostępu między organizacjami dla zasobów

Administrator może zarządzać dostępem do zasobów w różnych organizacjach. Można to wykorzystać w wielu scenariuszach, na przykład gdy dostawca ma wstępnie przyznane kredyty dla kupującego i nie chce, aby inni kupujący widzieli te kredyty. Innym przykładem są wkładki, które mają być używane w tym samym łańcuchu wartości.

Aby wspierać te scenariusze, Usługa kredytowania na cele ekologiczne (wersja zapoznawcza) ma następujące możliwości:

  • Administrator może zdecydować, czy ma on być widoczny dla wszystkich ról rynkowych, czy nie. Na przykład dostawca, który chce wykorzystać kredyty na wstawki, może zdecydować się na ukrycie widoczności kredytów przed wszystkimi kupującymi. Domyślnie zasób będzie widoczny dla wszystkich ról rynkowych, co administrator może zmienić.

  • Administrator może decydować, czy dany zasób ma być widoczny dla wszystkich organizacji z danej roli rynkowej, czy nie. Na przykład dostawca może mieć wstępnie przyznane kredyty dla kupującego. Administrator aktywów może zarządzać widocznością, tak aby kredyty nie były widoczne dla innych kupujących, poza wybranym.

Domyślnie zasoby, takie jak projekty ekologiczne, modułowe projekty świadczeń i środki, będą widoczne dla wszystkich organizacji, które administrator może przełączać. Administrator może ustawić dla tej zasady dostępu między organizacjami na różnych poziomach od najniższego do najwyższego priorytetu w następujący sposób:

  • Organizacje: Zasady obejmujące wiele organizacji na poziomie organizacji oznaczają, że kontrola dostępu między organizacjami jest stosowana do wszystkich zasobów w organizacjach.

  • Projekty ekologiczne: Polityka obejmująca wiele organizacji na poziomie projektu ekologicznego ma wyższy priorytet niż poprzednia warstwa. Obejmuje to kontrolę dostępu między organizacjami w ramach tego projektu i wszystkich jego zasobów. Jeśli zasady między organizacjami są ustawione na tym poziomie, oznacza to, że mają pierwszeństwo przed wszystkimi zasadami ustawionymi na poziomie organizacji. Ta wartość może zostać ustawiona przez użytkownika, który ma uprawnienia dostępu administratora w zakresie projektu ekologicznego.

  • Modułowe projekty świadczeń: Zasady obejmujące wiele organizacji na poziomie modułowego projektu świadczeń mają wyższy priorytet niż poprzednie warstwy. Obejmuje to kontrolę dostępu między organizacjami w ramach tego modułowego projektu świadczeń i wszystkich jego zasobów. Jeśli zasady między organizacjami są ustawione na tym poziomie, oznacza to, że mają pierwszeństwo przed wszystkimi zasadami ustawionymi na jednej z powyższych warstw. Ta wartość może zostać ustawiona przez użytkownika, który ma uprawnienia dostępu administratora w zakresie modułowego projektu świadczeń.

  • Kredyty: Zasady obejmujące wiele organizacji na poziomie punktów mają wyższy priorytet niż poprzednie warstwy. Obejmuje to kontrolę dostępu między organizacjami w odniesieniu do konkretnych środków. Jeśli zasady między organizacjami są ustawione na tym poziomie, oznacza to, że mają pierwszeństwo przed wszystkimi zasadami ustawionymi na jednej z powyższych warstw. Ta wartość może zostać ustawiona przez użytkownika, który ma uprawnienia dostępu administratora w zakresie modułowego projektu świadczeń.

Uwaga

Administratorzy mogą określić zasady między organizacjami dla posiadanych zasobów. Dostawca i nabywca to dwie role rynkowe, które mogą ustalać zasady międzyorganizacyjne. Dostawca może ustawić go w swoich projektach ekologicznych, modułowych projektach świadczeń i kredytach. Kupujący może ustawić go na swoich własnych kredytach. Podczas wywoływania interfejsów API nagłówek x-ms-marketRole wskazuje usługę dotyczącą kontekstu roli rynku, w której administrator je wywołuje.

Za pośrednictwem środowiska użytkownika:

Obecnie administrator ze środowiska użytkownika na poziomie organizacji może ustawić zasady między organizacjami na poziomie organizacji.

  1. W lewym obszarze nawigacji wybierz pozycję Dostęp organizacji.

  2. Wybierz pozycję Edytuj dla organizacji, którą chcesz zmienić i zaktualizować w razie potrzeby.

    Zrzut ekranu przedstawiający ekran dostępu organizacji przedstawiający zmiany dostępu między organizacjami.

Za pośrednictwem API:

  1. Przejdź do folderu Organizacje na w rozwiązaniu Postman i użyj interfejsu API Ustaw zasady dostępu między organizacjami na poziomie organizacji, w celu ustawienia zasad na poziomie organizacji w obszarze domyślnej roli rynku.
  2. Przejdź do folderu Tworzenie projektu ekologicznego w rozwiązaniu Postman i użyj interfejsu API Ustaw zasady dostępu między organizacjami dla projektu ekologicznego w celu ustawienia zasad na określonym poziomie projektu ekologicznego.
  3. Przejdź do folderu Tworzenie projektu ekologicznego w rozwiązaniu Postman i użyj interfejsu API Ustaw zasady dostępu między organizacjami dla MBP w celu ustawienia zasad na określonym poziomie modułowego projektu świadczeń.
  4. Przejdź do folderu Środki w rozwiązaniu Postman i użyj interfejsu API Ustaw zasady dostępu między organizacjami dla środków w celu ustawienia zasad na określonym poziomie środków.

Wykorzystanie grup do zarządzania dostępem

Administrator może tworzyć grupy, zarządzać użytkownikami w grupie i przydzielać role do grup. Ta funkcja jest obecnie obsługiwana wyłącznie przez interfejsy API.

  • Utwórz grupę użytkowników i dodaj do niej użytkowników:

    POST /organizations/{{organization_id}}/groups  
    
  • Pobierz wszystkie grupy użytkowników w organizacji:

    GET /organizations/{{organization_id}}/groups
    
  • Pobierz grupę użytkowników według identyfikatora:

    GET /organizations/{{organization_id}}/groups/{{group_id}} 
    
  • Pobierz użytkowników w grupie użytkowników:

    GET /organizations/{{organization_id}}/groups/{{group_id}}/users  
    
  • Dodawanie użytkowników do grupy użytkowników:

    POST /organizations/{{organization_id}}/groups/{{group_id}}/addUsers  
    
  • Usuwanie użytkownika z grupy użytkowników:

    DELETE /organizations/{{organization_id}}/groups/{{group_id}}/users/{{user_id}}  
    
  • Dołączanie użytkowników do grupy użytkowników:

    POST /organizations/{{organization_id}}/groups/{{group_id}}/addNewUsers  
    
  • Tworzenie przypisania roli dla grupy użytkowników:

    POST /roleAssignments  
    
  • Usuwanie przypisania roli do grupy użytkowników:

    DELETE /roleAssignments/{{roleAssignmentId}}  
    

Omówienie
Usługi kredytowania na cele ekologiczne (wersja zapoznawcza) Słownik
Usługi kredytowania na cele ekologiczne (wersja zapoznawcza) Omówienie interfejsu API dla Usługi kredytowania na cele ekologiczne (wersja zapoznawcza)