Служба прав

Управление доступом является критической функцией для любой службы или ресурса. Служба прав позволяет контролировать, кто может использовать экземпляр Azure Data Manager для энергетики, то, что они могут видеть или изменять, а также какие службы или данные они могут использовать.

Структура и именование групп OSDU

Служба прав Azure Data Manager для энергетики позволяет создавать группы и управлять членством в группах. Группа прав определяет разрешения на службы или источники данных для определенного раздела данных в экземпляре Azure Data Manager для энергетики. Пользователи, добавленные в определенную группу, получают связанные разрешения. Все идентификаторы групп (сообщения электронной почты) имеют форму {groupType}.{serviceName|resourceName}.{permission}@{partition}.{domain}.

Для каждой новой секции данных необходимо задать разные группы и связанные с ними права пользователей, даже в одном экземпляре Azure Data Manager для energy.

Типы групп OSDU

Служба прав включает три варианта использования для авторизации:

Группы данных

• Группы данных используются для включения авторизации для данных.
• Группы данных начинаются с слова "данные", например data.welldb.viewers и data.welldb.owners.
• Отдельные пользователи добавляются в группы данных, которые добавляются в ACL отдельных записей данных для включения viewer и owner доступа к данным после загрузки данных в системе.
• Для upload данных необходимо иметь права различных служб OSDU, которые используются во время приема. Сочетание служб OSDU зависит от метода приема. Например, сведения о приеме манифеста см . в концепциях приема на основе манифеста, чтобы понять службы OSDU, используемые API. Пользователю не нужно быть частью ACL для отправки данных.

Группы служб

• Группы служб используются для включения авторизации для служб.
• Группы служб начинаются со слова "служба", например service.storage.user и service.storage.admin.
• Группы служб предопределяются при подготовке служб OSDU в каждом разделе данных экземпляра Azure Data Manager для энергетики.
• Эти группы позволяют viewerи editoradmin получают доступ к API OSDU, соответствующим службам OSDU.

Группы пользователей

• Группы пользователей используются для иерархической группировки групп пользователей и служб.
• Группы служб начинаются со слова "пользователи", например users.datalake.viewers и users.datalake.editors.

Вложенные иерархии

• Если user_1 является частью data_group_1 и data_group_1 добавляется в качестве члена в user_group_1, код OSDU проверка для вложенного членства и авторизацию user_1 для доступа к правами для user_group_1. Это объясняется в API проверки прав OSDU и API извлечения группы OSDU.

• Вы можете добавить отдельных пользователей в объект user group. Затем добавляется user group в объект data group. Группа данных добавляется в ACL записи данных. Это позволяет абстрагировать группы данных, так как отдельные пользователи не должны добавляться по одному в группу данных. Вместо этого можно добавить пользователей в .user group Затем можно использовать user group многократно для нескольких data groups. Вложенная структура помогает обеспечить масштабируемость для управления членством в OSDU.

Стандартные группы

• Некоторые группы OSDU создаются по умолчанию при подготовке секции данных.
• Группы data.default.viewers данных и data.default.owners создаются по умолчанию.
• Группы служб для просмотра, редактирования и администрирования каждой службы, например service.entitlement.admin и service.legal.editor создаются по умолчанию.
• Группы пользователей users, , users.datalake.viewers, users.datalake.adminsusers.datalake.editorsusers.datalake.opsи users.data.root создаются по умолчанию.
• На диаграмме элементов и групп по умолчанию в группах прав OSDU начальной загрузки отображаются группы заголовков столбцов в качестве члена заголовков строк. Например, users группа входит в data.default.viewers группу и data.default.owners по умолчанию. users.datalake.admins и users.datalake.ops являются членами service.entitlement.admin группы.
• Субъект-служба или client-idapp-id владелец по умолчанию всех групп.

users@ Особенности группы

• Существует одно исключение из этого правила именования групп для группы "пользователи". Он создается при подготовке новой секции данных и ее имя следует шаблону users@{partition}.{domain}.
• Он содержит список всех пользователей с любым типом доступа в определенном разделе данных. Прежде чем добавить нового пользователя в любые группы прав, необходимо также добавить нового пользователя в группу users@{partition}.{domain} .

users.data.root@ Особенности группы

• Группа прав users.data.root является членом по умолчанию всех групп данных при создании групп. При попытке удалить users.data.root из любой группы данных возникает ошибка, так как это членство применяется OSDU.
• users.data.root автоматически становится автоматически владельцем всех записей данных по умолчанию и постоянным владельцем всех записей данных при создании записей в системе, как описано в статье OSDU, проверка доступа владельца API и корневого проверка API пользователей OSDU. В результате, независимо от членства OSDU пользователя, система проверка, если пользователь — DataManager, т. е. часть группы data.root, для предоставления доступа к записи данных.
• Членство по умолчанию в users.data.root — это только app-id то, что используется для настройки экземпляра. Вы можете явно добавить других пользователей в эту группу, чтобы предоставить им доступ к записям данных по умолчанию.

В качестве примера в сценарии

• В data_record_1 есть 2 списки управления доступом: ACL_1 и ACL_2.
• User_1 является членом ACL_1 и users.data.root.

Теперь, если удалить user_1 из ACL_1, user_1 остается иметь доступ к data_record_1 через группу users.data.root.

И если ACL_1 и ACL_2 удаляются из data_record_1, users.data.root по-прежнему имеет доступ владельца к данным. Это сохраняет запись данных от того, чтобы стать потерянным.

Неизвестный OID

Вы увидите один неизвестный идентификатор OID во всех группах OSDU, добавленных по умолчанию, этот OID ссылается на внутренний идентификатор экземпляра Azure Data Manager для энергетического экземпляра, который используется для системного обмена данными. Этот OID создается уникально для каждого экземпляра.

Пользователи

Для каждой группы OSDU можно добавить пользователя в качестве ВЛАДЕЛЬЦА или ME МБ ER:

• Если вы являетесь владельцем группы OSDU, можно добавить или удалить участников этой группы или удалить ее.
• Если вы являетесь me МБ ER группы OSDU, вы можете просматривать, изменять или удалять службу или данные в зависимости от область группы OSDU. Например, если вы являетесь ME МБ ER service.legal.editor группы OSDU, можно вызвать API для изменения юридической службы.

Примечание.

Не удаляйте владельца группы, если только не существует другого владельца для управления пользователями.

API-интерфейсы прав

Полный список конечных точек API прав см. в разделе "Служба прав OSDU". Несколько иллюстраций использования API прав доступны в разделе "Управление пользователями".

Примечание.

Документация ПО OSDU относится к конечным точкам версии 1, но скрипты, указанные в этой документации, относятся к конечным точкам версии 2, которые работают и успешно проверены.

OSDU® — это товарный знак Open Group.

Следующие шаги

На следующем шаге см. следующие сведения:

• Управление пользователями
• Управление юридическими тегами
• Управление списками управления доступом

Вы также можете получать данные в экземпляр Azure Data Manager для энергетики:

• Руководство по приему синтаксического анализа CSV
• Руководство по приему манифеста