Služba nároků
Správa přístupu je kritická funkce pro jakoukoli službu nebo prostředek. Služba nároků umožňuje řídit, kdo může používat Azure Data Manager pro energii, co může zobrazit nebo změnit a jaké služby nebo data můžou používat.
Struktura a pojmenování skupin OSDU
Služba nároků Azure Data Manageru pro energii umožňuje vytvářet skupiny a spravovat členství ve skupinách. Skupina nároků definuje oprávnění ke službám nebo zdrojům dat pro konkrétní datový oddíl ve vaší instanci Azure Data Manageru pro energii. Uživatelé přidaní do konkrétní skupiny získají přidružená oprávnění. Všechny identifikátory skupin (e-maily) jsou ve formuláři {groupType}.{serviceName|resourceName}.{permission}@{partition}.{domain}
.
Pro každý nový datový oddíl musí být nastaveny různé skupiny a přidružené uživatelské nároky, a to i ve stejném Azure Data Manageru pro energetickou instanci.
Typy skupin OSDU
Služba nároků umožňuje autorizaci třemi případy použití:
Skupiny dat
- Skupiny dat slouží k povolení autorizace dat.
- Skupiny dat začínají slovem "data", například
data.welldb.viewers
adata.welldb.owners
. - Jednotliví uživatelé se přidají do skupin dat, které se přidají do seznamu ACL jednotlivých datových záznamů, aby bylo možné povolit
viewer
aowner
získat přístup k datům po načtení dat v systému. - K
upload
datům musíte mít nároky na různé služby OSDU, které se používají během procesu příjmu dat. Kombinace služeb OSDU závisí na metodě příjmu dat. Například pro příjem manifestu si přečtěte koncepty příjmu dat založené na manifestu , abyste porozuměli službám OSDU, které rozhraní API používala. Uživatel nemusí být součástí seznamu ACL pro nahrání dat.
Skupiny služeb
- Skupiny služeb slouží k povolení autorizace pro služby.
- Skupiny služeb začínají slovem "služba", například
service.storage.user
aservice.storage.admin
. - Skupiny služeb jsou předdefinované při zřizování služeb OSDU v jednotlivých datových oddílech Azure Data Manageru pro energetické instance.
- Tyto skupiny umožňují
viewer
editor
aadmin
přístup k volání rozhraní API OSDU odpovídající službám OSDU.
Skupiny uživatelů
- Skupiny uživatelů se používají pro hierarchické seskupení uživatelů a skupin služeb.
- Skupiny služeb začínají slovem "users", například
users.datalake.viewers
ausers.datalake.editors
.
Vnořená hierarchie
Pokud je user_1 součástí data_group_1 a data_group_1 se do user_group_1 přidá jako člen, kód OSDU zkontroluje vnořené členství a autorizuje user_1 pro přístup k nárokům pro user_group_1. Toto je vysvětleno v rozhraní API pro kontrolu nároků OSDU a rozhraní API pro načtení skupiny OSDU.
Do souboru
user group
můžete přidat jednotlivé uživatele . Potéuser group
se přidá do .data group
Skupina dat se přidá do seznamu ACL datového záznamu. Umožňuje abstrakci pro skupiny dat, protože jednotliví uživatelé nemusí být do skupiny dat přidáni jeden po druhém. Místo toho můžete přidat uživatele do souboruuser group
. Pak můžete opakovaně použítuser group
vícedata groups
. Vnořená struktura pomáhá poskytovat škálovatelnost pro správu členství v OSDU.
Výchozí skupiny
- Některé skupiny OSDU se ve výchozím nastavení vytvářejí při zřizování datového oddílu.
- Ve výchozím nastavení se vytvářejí skupiny
data.default.viewers
dat adata.default.owners
jsou vytvořeny. - Skupiny služeb pro zobrazení, úpravu a správu jednotlivých služeb, jako
service.entitlement.admin
jsou aservice.legal.editor
které se vytvářejí ve výchozím nastavení. - Skupiny uživatelů ,
users
,users.datalake.viewers
users.datalake.editors
,users.datalake.admins
users.datalake.ops
, ausers.data.root
jsou vytvořeny ve výchozím nastavení. - Graf výchozích členů a skupin ve skupinách nároků OSDU bootstrapped zobrazuje skupiny záhlaví sloupců jako člen záhlaví řádků. Například
users
skupina je členemdata.default.viewers
adata.default.owners
ve výchozím nastavení.users.datalake.admins
ausers.datalake.ops
jsou členyservice.entitlement.admin
skupiny. - Instanční objekt nebo instanční objekt nebo
client-id
jeapp-id
výchozím vlastníkem všech skupin.
Specifika users@
skupiny
- Existuje jedna výjimka z tohoto pravidla pojmenování skupiny pro skupinu "uživatelé". Vytvoří se při zřízení nového datového oddílu a jeho název se řídí vzorem
users@{partition}.{domain}
. - Obsahuje seznam všech uživatelů s libovolným typem přístupu v konkrétním datovém oddílu. Než přidáte nového uživatele do skupin nároků, musíte do
users@{partition}.{domain}
skupiny přidat i nového uživatele.
Specifika users.data.root@
skupiny
- users.data.root entitlement group je výchozím členem všech skupin dat při vytváření skupin. Pokud se pokusíte odebrat uživatele.data.root z jakékoli skupiny dat, zobrazí se chyba, protože toto členství vynucuje OSDU.
- users.data.root se automaticky stane výchozím a trvalým vlastníkem všech datových záznamů, když se záznamy vytvoří v systému, jak je vysvětleno v rozhraní API pro ověřování přístupu vlastníka a rozhraní API pro kontrolu uživatele OSDU. V důsledku toho systém společně s kontrolou členství uživatele OSDU také zkontroluje, jestli je uživatel "DataManager", tj. součást skupiny data.root, a posoudí přístup k datovému záznamu.
- Výchozí členství v users.data.root je pouze
app-id
to, které se používá k nastavení instance. Do této skupiny můžete přidat další uživatele explicitně, aby měli výchozí přístup k datovým záznamům.
Jako příklad v tomto scénáři:
- Data_record_1 má 2 seznamy ACL: ACL_1 a ACL_2.
- User_1 je členem ACL_1 a users.data.root.
Když teď odeberete user_1 z ACL_1, user_1 zůstane přístup k data_record_1 prostřednictvím skupiny users.data.root.
A pokud ACL_1 a ACL_2 odeberou z data_record_1, uživatelé.data.root budou mít k datům nadále přístup vlastníka. Tím se datový záznam zachová před tím, než se stane osiřelým.
Neznámý identifikátor OID
Ve všech skupinách OSDU přidaných ve výchozím nastavení uvidíte jeden neznámý identifikátor OID. Tento identifikátor OID odkazuje na interní identifikátor GUID Azure Data Manageru pro energii, který se používá pro interní systém pro systémovou komunikaci. Tento identifikátor GUID se vytvoří jedinečně pro každou instanci a systém vynucuje, aby vás neodstranil ani neodstranil.
Uživatelé
Pro každou skupinu OSDU můžete přidat uživatele jako vlastníka nebo člena:
- Pokud jste vlastníkem skupiny OSDU, můžete přidat nebo odebrat členy této skupiny nebo skupinu odstranit.
- Pokud jste členem skupiny OSDU, můžete službu nebo data zobrazit, upravit nebo odstranit v závislosti na rozsahu skupiny OSDU. Pokud jste například členem
service.legal.editor
skupiny OSDU, můžete volat rozhraní API a změnit právní službu.
Poznámka:
Neodstraňujte vlastníka skupiny, pokud není k dispozici jiný VLASTNÍK pro správu uživatelů.
Rozhraní API pro nároky
Úplný seznam koncových bodů rozhraní API nároků najdete v tématu Služba nároků OSDU. Několik ilustrací použití rozhraní API nároků jsou k dispozici ve správě uživatelů.
Poznámka:
Dokumentace k OSDU odkazuje na koncové body v1, ale skripty uvedené v této dokumentaci odkazují na koncové body verze 2, které fungují a byly úspěšně ověřeny.
OSDU® je ochranná známka the Open Group.
Další kroky
Další krok najdete tady:
Data můžete také ingestovat do azure Data Manageru pro energetické instance: