Berättigandetjänst

Åtkomsthantering är en viktig funktion för alla tjänster eller resurser. Med berättigandetjänsten kan du styra vem som kan använda din Azure Data Manager för Energy-instans, vad de kan se eller ändra och vilka tjänster eller data de kan använda.

STRUKTUR och namngivning av OSDU-grupper

Med berättigandetjänsten för Azure Data Manager for Energy kan du skapa grupper och hantera medlemskap i grupperna. En berättigandegrupp definierar behörigheter för tjänster eller datakällor för en specifik datapartition i din Azure Data Manager for Energy-instans. Användare som har lagts till i en specifik grupp hämtar de associerade behörigheterna. Alla gruppidentifierare (e-postmeddelanden) är av formuläret {groupType}.{serviceName|resourceName}.{permission}@{partition}.{domain}.

Olika grupper och associerade användarrättigheter måste anges för varje ny datapartition, även i samma Azure Data Manager för Energy-instans.

Typer av OSDU-grupper

Rättighetstjänsten möjliggör tre användningsfall för auktorisering:

Datagrupper

• Datagrupper används för att aktivera auktorisering för data.
• Datagrupperna börjar med ordet "data", till exempel data.welldb.viewers och data.welldb.owners.
• Enskilda användare läggs till i datagrupperna, som läggs till i ACL för enskilda dataposter för att aktivera viewer och owner komma åt data när data har lästs in i systemet.
• För upload data måste du ha rättigheter för olika OSDU-tjänster, som används under inmatningsprocessen. Kombinationen av OSDU-tjänster beror på metoden för inmatning. För manifestinmatning kan du till exempel läsa Manifestbaserade inmatningsbegrepp för att förstå DE OSDU-tjänster som API:er använde. Användaren behöver inte vara en del av ACL :en för att ladda upp data.

Tjänstgrupper

• Tjänstgrupper används för att aktivera auktorisering för tjänster.
• Tjänstgrupperna börjar med ordet "tjänst", till exempel service.storage.user och service.storage.admin.
• Tjänstgrupperna är fördefinierade när OSDU-tjänster etableras i varje datapartition i Azure Data Manager for Energy-instansen.
• Dessa grupper aktiverar viewer, editoroch admin åtkomst för att anropa OSDU-API:er som motsvarar OSDU-tjänsterna.

Användargrupper

• Användargrupper används för hierarkisk gruppering av användar- och tjänstgrupper.
• Tjänstgrupperna börjar med ordet "användare", till exempel users.datalake.viewers och users.datalake.editors.

Kapslad hierarki

• Om user_1 ingår i en data_group_1 och data_group_1 läggs till som medlem i user_group_1, söker OSDU-koden efter det kapslade medlemskapet och ger user_1 åtkomst till berättigandena för user_group_1. Detta förklaras i API :et för berättigandekontroll i OSDU och OSDU:s hämtningsgrupps-API.

• Du kan lägga till enskilda användare i en user group. user group Läggs sedan till i en data group. Datagruppen läggs till i ACL för dataposten. Det möjliggör abstraktion för datagrupperna eftersom enskilda användare inte behöver läggas till en i taget i datagruppen. I stället kan du lägga till användare i user group. Sedan kan du använda user group upprepade gånger för flera data groups. Den kapslade strukturen hjälper till att ge skalbarhet för att hantera medlemskap i OSDU.

Standardgrupper

• Vissa OSDU-grupper skapas som standard när en datapartition etableras.
• Datagrupper av data.default.viewers och data.default.owners skapas som standard.
• Tjänstgrupper för att visa, redigera och administrera varje tjänst, till exempel service.entitlement.admin och service.legal.editor skapas som standard.
• Användargrupper av users, users.datalake.viewers, users.datalake.editors, users.datalake.admins, users.datalake.opsoch users.data.root skapas som standard.
• Diagrammet med standardmedlemmar och grupper i Bootstrapped OSDU-berättigandegrupper visar kolumnrubrikgrupperna som medlem i radrubriker. Gruppen är till exempel users medlem i data.default.viewers och data.default.owners som standard. users.datalake.admins och users.datalake.ops är medlem i service.entitlement.admin gruppen.
• Tjänstens huvudnamn eller client-id eller app-id är standardägaren för alla grupper.

Egenhet i users@ grupp

• Det finns ett undantag från den här namngivningsregeln för gruppen "användare". Den skapas när en ny datapartition etableras och namnet följer mönstret users@{partition}.{domain}för .
• Den innehåller en lista över alla användare med alla typer av åtkomst i en specifik datapartition. Innan du lägger till en ny användare i berättigandegrupper måste du också lägga till den nya användaren i users@{partition}.{domain} gruppen.

Egenhet i users.data.root@ grupp

• users.data.root-berättigandegrupp är standardmedlem i alla datagrupper när grupper skapas. Om du försöker ta bort users.data.root från en datagrupp får du ett felmeddelande eftersom det här medlemskapet tillämpas av OSDU.
• users.data.root blir automatiskt standard och permanent ägare av alla dataposter när posterna skapas i systemet enligt beskrivningen i OSDU verifierar api :et för ägaråtkomst och OSDU-användares datarotkontroll-API. Det innebär att systemet, tillsammans med att kontrollera användarens OSDU-medlemskap, även kontrollerar om användaren är "DataManager", dvs. en del av data.root-gruppen, för att utvärdera åtkomsten till dataposten.
• Standardmedlemskapet i users.data.root är bara app-id det som används för att konfigurera instansen. Du kan uttryckligen lägga till andra användare i den här gruppen för att ge dem standardåtkomst till dataposter.

Som ett exempel i scenariot

• En data_record_1 har två ACL:er: ACL_1 och ACL_2.
• User_1 är medlem i ACL_1 och users.data.root.

Om du nu tar bort user_1 från ACL_1 återstår user_1 att ha åtkomst till data_record_1 via users.data.root-gruppen.

Och om ACL_1 och ACL_2 tas bort från data_record_1 fortsätter users.data.root att ha ägaråtkomst till data. Detta förhindrar att dataposten blir överbliven någonsin.

Okänd OID

Du ser en okänd OID i alla OSDU-grupper som lagts till som standard. Den här OID:en refererar till en intern Azure Data Manager for Energy GUID som används för internt system till systemkommunikation. Detta GUID skapas unikt för varje instans och framtvingas av systemet för att inte tas bort eller tas bort av dig.

Användare

För varje OSDU-grupp kan du lägga till en användare som ägare eller MEDLEM:

• Om du är ÄGARE till en OSDU-grupp kan du lägga till eller ta bort medlemmarna i gruppen eller ta bort gruppen.
• Om du är medlem i en OSDU-grupp kan du visa, redigera eller ta bort tjänsten eller data beroende på OSDU-gruppens omfång. Om du till exempel är medlem i service.legal.editor OSDU-gruppen kan du anropa API:erna för att ändra den juridiska tjänsten.

Kommentar

Ta inte bort ägaren till en grupp om det inte finns en annan ÄGARE för att hantera användarna.

Api:er för berättigande

En fullständig lista över api-slutpunkter för berättigande finns i OSDU-berättigandetjänsten. Några illustrationer av hur du använder berättigande-API:er finns i Hantera användare.

Kommentar

OSDU-dokumentationen refererar till v1-slutpunkter, men skripten som anges i den här dokumentationen refererar till v2-slutpunkter som fungerar och har verifierats.

OSDU® är ett varumärke som tillhör The Open Group.

Nästa steg

Nästa steg finns i:

• Hantera användare
• Hantera juridiska taggar
• Hantera ACL:er

Du kan också mata in data i din Azure Data Manager for Energy-instans:

• Självstudie om CSV-parserinmatning
• Självstudie om manifestinmatning