Controlo de acesso baseado em funções no Serviço de Créditos Ambientais (pré-visualização)
Importante
Algumas ou todas estas funcionalidades estão disponíveis como parte de uma versão de pré-visualização. O conteúdo e a funcionalidade estão sujeitos a alterações. Pode aceder ao ambiente de sandbox do Serviço de Créditos Ambientais (pré-visualização) para obter uma versão de avaliação de 30 dias. Para usar o Serviço de Créditos Ambientais (pré-visualização) num ambiente de produção, preencha o formulário de subscrição Serviço de Créditos Ambientais (pré-visualização).
O controlo de acesso baseado em funções permite controlar o acesso a diferentes operações na aplicação, com base nas permissões presentes nas funções atribuídas aos utilizadores na organização. Permite conceder e remover funções atribuídas aos utilizadores na organização para um maior controlo.
Cada organização do ecossistema de mercados ecológicos voluntários desempenha uma função específica, denominada função de mercado no Serviço de Créditos Ambientais (pré-visualização). Cada organização irá integrar os utilizadores no Serviço de Créditos Ambientais (pré-visualização) e atribuir funções de utilizador. Os recursos como projetos ou programas modulares, projetos de benefícios modulares, afirmações e tokens pertencem a uma organização, em vez de a um utilizador.
Atribuir funções de utilizador
Uma função de utilizador é definida como uma coleção de permissões que permite operações específicas na aplicação. Pode atribuir estas funções de utilizador a nível de uma organização ou a um nível de ativo no contexto de uma função de mercado específica. As seguintes funções de utilizador são suportadas por Serviço de Créditos Ambientais (pré-visualização):
Função do utilizador | Permissões |
---|---|
Admin | Um administrador pode efetuar todas as operações do plano de dados suportadas nos recursos associados, tais como criar, atualizar, ler e eliminar. Também podem efetuar operações de plano de gestão, como a integração de utilizadores na organização e a criação ou atualização de atribuições de funções para eles. |
Contribuidor | Um contribuidor pode efetuar todas as operações do plano de dados suportadas nos recursos associados, tais como criar, atualizar, ler e eliminar. Também recebem acesso de leitura a nível do plano de gestão. |
Leitor | Um leitor pode efetuar operações de leitura a nível do plano de dados associado e nos recursos a nível do plano de gestão. |
Gerir funções a nível da organização no contexto de uma função de mercado
As seguintes funcionalidades são suportadas para controlo de acesso baseado em funções a nível da organização no contexto de um nível de função de mercado específico. Por exemplo, se uma organização operar como um comprador, tem uma função do mercado (comprador). A nível da organização, um utilizador nesta organização pode ter uma função de utilizador Administrador de Compradores, Contribuidor do Comprador ou Leitor do Comprador.
Uma organização pode ter várias funções de mercado. Por exemplo, se outra organização operar como um registo emitente e um mercado, tem duas funções do mercado. Um utilizador nesta organização poderá ter uma função Administrador de Fornecedores no contexto da função de mercado Fornecedor e uma função Leitor do Registo Emitente no contexto da função de registo emitente.
Gerir funções a nível do ativo
Pode gerir os privilégios de utilizador a um nível de ativos na organização. O administrador ou contribuidor a nível da organização pode criar novos ativos. O admin ao nível da organização também pode adicionar utilizadores ao recurso e atribuir-lhes funções.
Administrador a nível dos ativos: é concedida uma função de administrador a nível do ativo a um âmbito de granularidade específico de um ativo na organização. Por exemplo, é atribuída a um utilizador uma função de administrador no âmbito do projeto de benefícios modulares na função de mercado de fornecedor de uma organização. Podem efetuar todas as operações de plano de dados suportadas no ativo, tais como ler e escrever. Também podem efetuar operações de plano de gestão, como a integração de utilizadores na organização no ativo específico do qual são administradores.
Contribuidor a nível do ativo: um contribuidor a nível do ativo pode efetuar todas as operações do plano de dados suportadas no ativo, como ler e atualizar do ativo. Podem ler as atribuições de funções dos outros utilizadores ou grupos no âmbito desse ativo.
Leitor a nível dos ativos: um leitor a nível de ativo pode efetuar operações de leitura no ativo. Podem ler as atribuições de funções dos outros utilizadores ou grupos no âmbito desse ativo.
Nota
A hierarquia de acesso de cima para baixo será mantida. Por exemplo, se um utilizador tiver uma função de utilizador administrador na função de mercado de fornecedor no âmbito da organização, terá acesso a nível do administrador automaticamente em todos os ativos (como projetos ecológicos e projetos de benefícios modulares) para esse fornecedor. Se outro utilizador tiver acesso de administrador a nível dos ativos (por exemplo, num projeto ecológico), terá acesso a todos os ativos da sua responsabilidade.
Capacidades suportadas para o controlo de acesso baseado em funções
Pré-requisitos para usar a coleção Postman para APIs
Poderá definir a coleção do Postman com a configuração do ambiente das organizações e dos respectivos administradores da seguinte forma:
Defina os detalhes do utilizador nas diferentes variáveis (por exemplo: <marketRole>_admin_username) da coleção do Postman para diferentes funções de mercado que pretende utilizar, juntamente com as respetivas palavras-passe.
Crie um novo ambiente do Postman e mude para ele antes de executar quaisquer APIs na coleção.
Execute a pasta Configurar Organizações para a função de mercado específica que pretende utilizar, para configurar as propriedades da organização (e os respetivos administradores) no ambiente do Postman.
Execute a API Definições de função > Obter todas as Definição de Função para obter os detalhes de todas as definições de função de utilizador integradas no ambiente do Postman. A resposta da API de definição da função pode ser utilizada para conhecer os âmbitos atribuíveis que possam ser atribuídos aos utilizadores.
Adicionar utilizadores
Pode adicionar utilizadores e gerir as respetivas funções na organização mudando para o menu Definições na navegação esquerda.
Nota
Não pode adicionar um utilizador que já tenha sido adicionado.
- No ecrã Acesso de utilizador, selecione Adicionar utilizador.
- No painel Adicionar utilizador, introduza o Utilizador, selecione o Nível de acesso e, em seguida, selecione Guardar.
Via API:
Nota
A pasta Integrar utilizadores da coleção do Postman suporta a execução com um clique. No entanto, recomendamos que utilize APIs individuais para experimentar integrar utilizadores e familiarizar-se com as APIs.
Para qualquer pasta organizacional, tal como Fornecedor,, na pasta Integrar Utilizadores da coleção do Postman, configure a organização e o respetivo administrador ao chamar as APIs Obter detalhes da organização e Obter detalhes do Utilizador Administrador.
Para integrar um utilizador contribuidor, poderá verificar se a autorização necessária para a API corresponde ao utilizador administrador. A carga útil do pedido tenta adicionar um novo utilizador com a função de utilizador contribuidor, como a função de utilizador contribuidor do fornecedor. O envio do pedido integra o contribuidor.
Da mesma forma, pode integrar um utilizador leitor na organização com uma função de leitor correspondente, como a função de utilizador leitor do fornecedor.
Alterar atribuições de função
Depois de adicionar utilizadores, pode alterar a função de utilizador que lhe está atribuída.
Nota
Não pode editar o seu próprio acesso.
- No ecrã Acesso de utilizador, selecione os três pontos junto do utilizador e, em seguida, selecione Editar.
- No painel Editar acesso, selecione a nova função na lista pendente Nível de acesso e, em seguida, selecione Guardar.
Via API:
Navegue para a pasta Atribuições de Função na coleção.
Utilize a API Criar atribuição de função num recurso. Por predefinição, a função de contribuidor do fornecedor é atribuída ao utilizador leitor do fornecedor através do token de acesso de administradores do fornecedor.
Nota
Este exemplo realça como a API para a atribuição de função funciona. Poderá atribuir uma função de utilizador diferente aos utilizadores a partir de diferentes organizações pelas respectivas contas de administrador. Pode alterar o URI do recurso do âmbito para um URI de recurso válido para a definição de função. Substitua as variáveis de ambiente no payload do pedido (roleDefinitionId e userId), altere o parâmetro do corpo do pedido resourceUri e altere a variável de ambiente de token de acesso de administrador para corresponder à respetiva conta de utilizador administrador.
Pode enviar a API de criação de atribuições de função com valores diferentes do identificador de definição de função (roleDefinitionId) para ser atribuído aos diferentes utilizadores na organização (userId) num âmbito diferente (resourceUri). Poderá alterar o cabeçalho de autorização para corresponder ao token de acesso do respetivo utilizador administrador.
Os administradores da organização não podem atribuir funções de utilizador fora da respetiva organização e não podem atribuir funções a utilizadores fora da respetiva organização.Utilize a API Atualizar atribuição de função para atualizar um acesso de utilizador. Por exemplo, poderá elevar um utilizador para admin fornecedor. Certifique-se de que verifica roleassignment_id no parâmetro da API.
Eliminar atribuições de função
O utilizador administrador pode eliminar atribuições de funções existentes para os participantes, conforme necessário.
Nota
Não pode eliminar o seu próprio acesso.
- No ecrã Acesso de utilizador, selecione os três pontos junto do utilizador e, em seguida, selecione Editar.
- No painel Editar acesso, selecione Nenhum na lista pendente Nível de acesso e, em seguida, selecione Guardar.
Via API:
Configure a função de administrador correspondente à organização do utilizador cuja atribuição de função tem de ser eliminada.
Navegue para a pasta Atribuições de Funções e selecione a API Eliminar Atribuição de Função.
Introduza o roleassignment_id correto no Parâmetro da API.
Chame DELETE /roleAssignments/{{roleassignment_id}} ao definir o cabeçalho de autorização com o token de acesso do utilizador administrador (as variáveis do ambiente do Postman podem ser utilizadas para experimentar utilizadores com diferentes funções de diferentes organizações).
Ver e alterar detalhes do perfil
Para ver os detalhes do seu perfil, selecione A minha conta na navegação esquerda.
Para editar as suas preferências, selecione o ícone Editar na secção Preferências e selecione a home page que pretende usar. A lista indicará as diferentes funções de mercado a que o utilizador com sessão atualmente iniciada tem acesso.
Via API:
- Utilize a API POST /organizations/{organizationId}/users/{userId}/setMyDefaultMarketRole para alterar a função de mercado predefinida de um utilizador. O cabeçalho de autorização tem de utilizar o token de acesso do mesmo utilizador que foi aprovado no parâmetro de URL userId. O utilizador tem de ter algum acesso na nova função de mercado que seja predefinida.
Ver definições de funções
Um utilizador com qualquer função pode ver diferentes definições de funções.
Para ver todas as definições de funções através da API:
Navegue para a pasta Definições de funções e selecione a API Obter todas as definições de funções.
Chame GET /roleDefinitions ao definir o cabeçalho de autorização com o token de acesso do respetivo utilizador (as variáveis do ambiente do Postman podem ser utilizadas para experimentar utilizadores com diferentes funções de diferentes organizações).
Para ver todas as definições por ID:
Navegue para a pasta Definições de funções e escolha a API Obter definição de função por ID.
Chame GET /roleDefinitions/{{id}} ao definir o identificador da definição de função no URL do pedido e o cabeçalho de autorização com o token de acesso dos respetivos utilizadores (as variáveis do ambiente do Postman podem ser utilizadas para experimentar utilizadores com diferentes funções de diferentes organizações).
Ver utilizadores e funções atribuídas
Um utilizador com qualquer função pode ver os utilizadores da organização juntamente com as respetivas funções atribuídas.
Navegue para o ecrã Acesso de utilizador e veja que utilizadores têm acesso.
Via API:
- Navegue para a pasta Utilizadores.
- Chame Obter todos os utilizadores na minha organização ao definir o cabeçalho de autorização com o token de acesso do utilizador a partir da organização respetiva (as variáveis do ambiente do Postman podem ser utilizadas para experimentar utilizadores com diferentes funções de diferentes organizações).
- Navegue para a pasta Atribuições de função.
- Chame Obter todas as atribuições de função na minha função de mercado predefinida para obter as atribuições de função na função de mercado predefinida da identidade do chamador com base no parâmetro de consulta resourceUri.
Gerir controlos de acesso entre organizações para os seus recursos
O admin pode gerir o acesso de recursos entre organizações. Isto pode ser utilizado em vários cenários, por exemplo, se um fornecedor tivesse créditos pré-comprometidos para um comprador e não querem que outros compradores vejam o crédito. Outro exemplo são as inserções que serão utilizadas na mesma cadeia de valor.
Para suportar estes cenários, o Serviço de Créditos Ambientais (pré-visualização) tem as seguintes capacidades:
Um administrador pode gerir se quer que o ativo seja visível para todas as funções de mercado ou não. Por exemplo, um fornecedor que pretende utilizar os créditos para inserções pode optar por ocultar a visibilidade dos créditos de todos os compradores. Por predefinição, o ativo estará visível para todas as funções de mercado, que o administrador pode alternar.
Um administrador pode gerir se quer que o ativo seja visível para todas as organizações de uma função de mercado ou não. Por exemplo, um fornecedor pode ter créditos pré-comprometidos para um comprador. O administrador pode gerir a visibilidade para os créditos não serem visíveis para nenhum outro comprador, exceto o pretendido.
Por predefinição, os recursos, como projetos ecológicos, projetos de benefícios modulares e créditos, estarão visíveis para todas as organizações, os quais o admin pode alternar. O administrador pode definir uma política de acesso entre organizações para isto com diferentes níveis, de prioridade mais baixa para a prioridade mais alta, da seguinte forma:
Organizações: uma política entre organizações ao nível da organização implica que o controlo de acesso entre organizações é aplicado a todos os recursos nas organizações.
Projetos ecológicos: uma política entre organizações ao nível de um projeto ecológico tem uma prioridade maior do que a camada anterior. Implica o controlo de acesso entre organizações no projeto ecológico específico e de todos os recursos nele. Se uma política entre organizações estiver definida a este nível, tem precedência sobre qualquer política definida ao nível da organização. Isto pode ser definido por um utilizador com acesso de administrador elegível no âmbito do projeto ecológico.
Projetos de benefícios modulares: uma política entre organizações ao nível de um projeto de benefícios modulares tem uma prioridade maior do que as camadas anteriores. Implica o controlo de acesso entre organizações no projeto de benefícios modulares específico e de todos os recursos nele. Se uma política entre organizações estiver definida a este nível, tem precedência sobre qualquer política definida ao nível de uma das camadas acima. Isto pode ser definido por um utilizador com acesso de administrador elegível no âmbito do projeto de benefícios modulares.
Créditos: uma política entre organizações ao nível de um crédito tem uma prioridade maior do que as camadas anteriores. Implica o controlo de acesso entre organizações no crédito específico. Se uma política entre organizações estiver definida a este nível, tem precedência sobre qualquer política definida ao nível de uma das camadas acima. Isto pode ser definido por um utilizador com acesso de administrador elegível no âmbito do projeto de benefícios modulares.
Nota
Os admins podem definir uma política entre organizações para os recursos de que são proprietários. Fornecedor e Comprador são as duas funções de mercado que podem definir políticas entre organizações. Fornecedor pode defini-la nos respetivos projetos, projetos de benefícios modulares e créditos. Comprador pode defini-la nos créditos que possui. Quando chama as APIs, o cabeçalho x-ms-marketRole indica o serviço acerca do contexto da função de mercado em que o utilizador administrador as está a chamar.
Através de UX:
Atualmente, a partir de UX, o admin ao nível da organização pode definir a política entre organizações ao nível da organização.
Selecione Acesso da organização na navegação esquerda.
Selecione Editar para a organização que pretende alterar e atualize, conforme necessário.
Via API:
- Navegue para a pasta Organizações no Postman e utilize a API Definir política de acesso entre organizações ao nível da organização para definir uma política ao nível da organização sob a função de mercado predefinida.
- Navegue para a pasta Criação de projeto ecológico no Postman e utilize a API Definir política de acesso no projeto ecológico para definir uma política ao nível específico do projeto ecológico.
- Navegue para a pasta Criação de projeto ecológico no Postman e utilize a API Definir política de acesso no MBP para definir uma política ao nível específico do projeto de benefícios modulares.
- Navegue para a pasta Créditos no Postman e utilize a API Definir política de acesso entre organizações para definir uma política ao nível específico do crédito.
Tirar partido dos grupos para gerir o acesso
Um administrador pode criar grupos, gerir os utilizadores num grupo e atribuir grupos com funções. Atualmente, esta funcionalidade é suportada apenas via APIs.
Criar um grupo de utilizadores e adicionar-lhe utilizadores:
POST /organizations/{{organization_id}}/groups
Obter todos os grupos de utilizador na organização:
GET /organizations/{{organization_id}}/groups
Obter um grupo de utilizadores por ID:
GET /organizations/{{organization_id}}/groups/{{group_id}}
Obter utilizadores num grupo de utilizadores:
GET /organizations/{{organization_id}}/groups/{{group_id}}/users
Adicionar utilizadores a um grupo de utilizadores:
POST /organizations/{{organization_id}}/groups/{{group_id}}/addUsers
Eliminar um utilizador de um grupo de utilizadores:
DELETE /organizations/{{organization_id}}/groups/{{group_id}}/users/{{user_id}}
Integrar utilizadores num grupo de utilizadores:
POST /organizations/{{organization_id}}/groups/{{group_id}}/addNewUsers
Criar uma atribuição de função para um grupo de utilizadores:
POST /roleAssignments
Eliminar uma atribuição de função do grupo de utilizadores:
DELETE /roleAssignments/{{roleAssignmentId}}
Consultar também
Descrição geral do Serviço de Créditos Ambientais (pré-visualização)
Glossário do Serviço de Créditos Ambientais (pré-visualização)
Descrição geral de referência da API para o Serviço de Créditos Ambientais (pré-visualização)