Berechtigungsdienst
Die Zugriffsverwaltung ist eine wichtige Funktion für jeden Dienst oder jede Ressource. Mit dem Berechtigungsdienst können Sie steuern, wer Ihre Azure Data Manager for Energy-Instanz verwenden darf, was sie sehen oder ändern können und welche Dienste oder Daten sie verwenden können.
OSDU-Gruppenstruktur und -benennung
Mit dem Berechtigungsdienst von Azure Data Manager for Energy können Sie Gruppen erstellen und Mitgliedschaften der Gruppen verwalten. Eine Berechtigungsgruppe definiert Berechtigungen für Dienste oder Datenquellen für eine bestimmte Datenpartition in Ihrer Azure Data Manager for Energy-Instanz. Benutzende, die einer bestimmten Gruppe hinzufügt wurden, erhalten die zugeordneten Berechtigungen. Alle Gruppen-Bezeichner (E-Mails) weisen das Format {groupType}.{serviceName|resourceName}.{permission}@{partition}.{domain}
auf.
Für jede neue Datenpartition müssen unterschiedliche Gruppen und zugehörige Benutzerberechtigungen festgelegt werden, auch in der selben Azure Data Manager for Energy-Instanz.
Typen von OSDU-Gruppen
Der Berechtigungsdienst ermöglicht drei Anwendungsfälle für die Autorisierung:
Datengruppen
- Datengruppen werden verwendet, um die Autorisierung für Daten zu aktivieren.
- Die Datengruppen beginnen mit dem Wort „data“, z. B.
data.welldb.viewers
unddata.welldb.owners
. - Einzelne Benutzende werden den Datengruppen hinzugefügt, die in der ACL einzelner Datensätze hinzugefügt werden, um
viewer
- undowner
-Zugriff auf die Daten nach dem Laden der Daten im System zu ermöglichen. - Um für die Daten ein
upload
durchzuführen, müssen Sie über Berechtigungen verschiedener OSDU-Dienste verfügen, die während des Erfassungsvorgangs verwendet werden. Die Kombination von OSDU-Diensten hängt von der Erfassungsmethode ab. Informationen zum Erfassen von Manifesten finden Sie beispielsweise unter Manifestbasierte Erfassungskonzepte, um die verwendeten OSDU-Dienste zu verstehen. Benutzende müssen nicht Teil der ACL sein, um die Daten hochzuladen.
Dienstgruppen
- Dienstgruppen werden verwendet, um die Autorisierung für Dienste zu aktivieren.
- Die Dienstgruppen beginnen mit dem Wort „service“, z. B.
service.storage.user
undservice.storage.admin
. - Die Dienstgruppen sind vordefiniert, wenn OSDU-Dienste in jeder Datenpartition der Azure Data Manager for Energy-Instanz bereitgestellt werden.
- Diese Gruppen ermöglichen
viewer
-,editor
- undadmin
-Zugriff auf die OSDU-APIs, die den OSDU-Diensten entsprechen.
Benutzergruppen
- Benutzergruppen werden für die hierarchische Gruppierung von Benutzer- und Dienstgruppen verwendet.
- Die Dienstgruppen beginnen mit dem Wort „users“, z. B.
users.datalake.viewers
undusers.datalake.editors
.
Geschachtelte Hierarchie
Wenn user_1 Teil von data_group_1 ist und data_group_1 als Mitglied zu user_group_1 hinzugefügt wird, überprüft der OSDU-Code, ob die geschachtelte Mitgliedschaft vorhanden ist, und autorisiert user_1 für den Zugriff auf die Berechtigungen für user_group_1. Dies wird in der OSDU-API zum Überprüfen von Berechtigungen und OSDU-API zum Abrufen von Gruppen erläutert.
Sie können einzelne Benutzende zu einer
user group
hinzufügen. Dieuser group
wird dann einerdata group
hinzugefügt. Die Datengruppe wird der ACL des Datensatzes hinzugefügt. Dies ermöglicht die Abstraktion für die Datengruppen, da einzelne Benutzende der Datengruppe nicht einzeln hinzugefügt werden müssen. Stattdessen können Sie deruser group
Benutzende hinzufügen. Anschließend können Sie dieuser group
wiederholt für mehreredata groups
verwenden. Die geschachtelte Struktur unterstützt die Skalierbarkeit zum Verwalten von Mitgliedschaften in OSDU.
Standardgruppen
- Einige OSDU-Gruppen werden standardmäßig erstellt, wenn eine Datenpartition bereitgestellt wird.
- Datengruppen von
data.default.viewers
unddata.default.owners
werden standardmäßig erstellt. - Dienstgruppen zum Anzeigen, Bearbeiten und Verwalten jedes Diensts, z. B.
service.entitlement.admin
undservice.legal.editor
, werden standardmäßig erstellt. - Benutzergruppen von
users
,users.datalake.viewers
,users.datalake.editors
,users.datalake.admins
,users.datalake.ops
undusers.data.root
werden standardmäßig erstellt. - Das Diagramm der Standardmitglieder und -gruppen in OSDU-Berechtigungsgruppen, für die ein Bootstrapping-Vorgang ausgeführt wurde, zeigt die Spaltenüberschriftengruppen als Mitglied von Zeilenüberschriften an. Beispielsweise ist die Gruppe „
users
“ standardmäßig ein Mitglied vondata.default.viewers
unddata.default.owners
.users.datalake.admins
undusers.datalake.ops
sind Mitglieder der Gruppe „service.entitlement.admin
“. - Der Dienstprinzipal oder die
client-id
oder dieapp-id
ist der Standardbesitzer aller Gruppen.
Eigenheit der Gruppe „users@
“
- Es gibt eine Ausnahme dieser Gruppenbenennungsregel für die Gruppe „users“. Sie wird erstellt, wenn eine neue Datenpartition bereitgestellt wird, und ihr Name folgt dem Muster von
users@{partition}.{domain}
. - Sie enthält die Liste aller Benutzenden mit einem beliebigen Zugriffstyp in einer bestimmten Datenpartition. Bevor Sie beliebigen Berechtigungsgruppen neue Benutzende hinzufügen, müssen Sie die neuen Benutzenden auch der Gruppe „
users@{partition}.{domain}
“ hinzufügen.
Eigenheit der Gruppe „users.data.root@
“
- Die Berechtigungsgruppe „users.data.root“ ist das Standardmitglied aller Datengruppen, wenn Gruppen erstellt werden. Wenn Sie versuchen, users.data.root aus einer beliebigen Datengruppe zu entfernen, wird ein Fehler angezeigt, da diese Mitgliedschaft von OSDU erzwungen wird.
- users.data.root wird automatisch zum Standard- und dauerhaften Besitzer aller Datensätze, wenn die Datensätze im System erstellt werden, wie in der OSDU-API zum Überprüfen des Besitzerzugriffs und OSDU-API zum Überprüfen des Datenstamms von Benutzenden erläutert. Daher überprüft das System zusammen mit der Überprüfung der OSDU-Mitgliedschaft des Benutzers auch, ob der Benutzer "DataManager" ist, d. h. Teil der Data.root-Gruppe, um den Zugriff auf den Datensatz zu bewerten.
- Das Standardmitglied in users.data.root ist nur die
app-id
, die zum Einrichten der Instanz verwendet wird. Sie können dieser Gruppe explizit andere Benutzende hinzufügen, um ihnen Standardzugriff auf Datensätze zu gewähren.
Beispiel für das Szenario:
- Ein data_record_1 verfügt über 2 ACLs: ACL_1 und ACL_2.
- User_1 ist Mitglied von ACL_1 und users.data.root.
Wenn Sie nun user_1 aus ACL_1 entfernen, hat user_1 weiterhin Zugriff auf den data_record_1 über die Gruppe „users.data.root“.
Und wenn ACL_1 und ACL_2 aus dem„data_record_1 entfernt werden, hat users.data.root weiterhin Besitzerzugriff auf die Daten. Dadurch wird der Datensatz davor bewahrt, jemals verwaist zu werden.
Unbekannte OID
In allen OSDU-Gruppen, die standardmäßig hinzugefügt werden, wird eine unbekannte OID angezeigt. Diese OID bezieht sich auf eine interne Azure Data Manager for Energy-GUID, die für die interne Systemkommunikation verwendet wird. Diese GUID wird für jede Instanz eindeutig erstellt und vom System erzwungen. Sie können sie weder löschen noch entfernen.
Benutzer
Für jede OSDU-Gruppe können Sie einen Benutzenden bzw. eine Benutzende entweder als BESITZER bzw. BESITZERIN oder als MITGLIED hinzufügen:
- Wenn Sie ein BESITZER bzw. eine BESITZERIN einer OSDU-Gruppe sind, können Sie die Mitglieder dieser Gruppe hinzufügen oder entfernen oder die Gruppe löschen.
- Wenn Sie MITGLIED einer OSDU-Gruppe sind, können Sie den Dienst oder die Daten je nach Umfang der OSDU-Gruppe anzeigen, bearbeiten oder löschen. Wenn Sie beispielsweise MITGLIED der OSDU-Gruppe „
service.legal.editor
“ sind, können Sie die APIs aufrufen, um den Rechtsdienst zu ändern.
Hinweis
Löschen Sie nicht den BESITZER bzw. die BESITZERIN einer Gruppe, es sei denn, es gibt einen anderen BESITZER bzw. eine andere BESITZERIN, der bzw. die die Benutzenden verwaltet.
Berechtigungs-APIs
Eine vollständige Liste der Berechtigungs-API-Endpunkte finden Sie unter OSDU-Berechtigungsdienst. Einige Abbildungen zur Verwendung von Berechtigungs-APIs finden Sie unter Verwalten von Benutzenden.
Hinweis
Die OSDU-Dokumentation bezieht sich auf v1-Endpunkte, aber die in dieser Dokumentation aufgeführten Skripts beziehen sich auf v2-Endpunkte, die funktionieren und erfolgreich überprüft wurden.
OSDU® ist eine Marke von The Open Group.
Nächste Schritte
Informationen zu den nächsten Schritten erhalten Sie unter:
Sie können Daten auch in Ihrer Azure Data Manager for Energy-Instanz erfassen: