Usługa upoważnienia
Zarządzanie dostępem jest krytyczną funkcją dla dowolnej usługi lub zasobu. Usługa uprawnień umożliwia kontrolowanie, kto może korzystać z wystąpienia usługi Azure Data Manager for Energy, co może zobaczyć lub zmienić, oraz które usługi lub dane mogą z nich korzystać.
Struktura i nazewnictwo grup OSDU
Usługa upoważnienia usługi Azure Data Manager for Energy umożliwia tworzenie grup i zarządzanie członkostwem w grupach. Grupa uprawnień definiuje uprawnienia do usług lub źródeł danych dla określonej partycji danych w wystąpieniu usługi Azure Data Manager for Energy. Użytkownicy dodani do określonej grupy uzyskują skojarzone uprawnienia. Wszystkie identyfikatory grup (wiadomości e-mail) mają postać {groupType}.{serviceName|resourceName}.{permission}@{partition}.{domain}
.
Dla każdej nowej partycji danych należy ustawić różne grupy i skojarzone uprawnienia użytkowników, nawet w tym samym wystąpieniu usługi Azure Data Manager for Energy.
Typy grup OSDU
Usługa upoważnienia umożliwia trzy przypadki użycia autoryzacji:
Grupy danych
- Grupy danych służą do włączania autoryzacji dla danych.
- Grupy danych zaczynają się od słowa "data", takiego jak
data.welldb.viewers
idata.welldb.owners
. - Indywidualni użytkownicy są dodawani do grup danych, które są dodawane do listy ACL poszczególnych rekordów danych w celu włączenia
viewer
iowner
dostępu do danych po załadowaniu danych w systemie. - Do
upload
danych potrzebne są uprawnienia różnych usług OSDU, które są używane podczas procesu pozyskiwania. Połączenie usług OSDU zależy od metody pozyskiwania. Na przykład w przypadku pozyskiwania manifestu zobacz Pojęcia dotyczące pozyskiwania oparte na manifeście, aby zrozumieć usługi OSDU używane przez interfejsy API. Aby przekazać dane, użytkownik nie musi być częścią listy ACL .
Grupy usług
- Grupy usług są używane do włączania autoryzacji dla usług.
- Grupy usług zaczynają się od słowa "usługa", takiego jak
service.storage.user
iservice.storage.admin
. - Grupy usług są wstępnie zdefiniowane , gdy usługi OSDU są aprowizowane w każdej partycji danych wystąpienia usługi Azure Data Manager for Energy.
- Te grupy umożliwiają wywoływanie
viewer
editor
interfejsów API OSDU odpowiadających usługom OSDU orazadmin
dostęp do nich.
Grupy użytkowników
- Grupy użytkowników są używane do hierarchicznego grupowania grup użytkowników i usług.
- Grupy usług zaczynają się od słowa "użytkownicy", takiego jak
users.datalake.viewers
iusers.datalake.editors
.
Hierarchia zagnieżdżona
Jeśli user_1 jest częścią data_group_1 i data_group_1 jest dodawany jako członek do user_group_1, kod OSDU sprawdza członkostwo zagnieżdżone i autoryzuje user_1 dostępu do uprawnień dla user_group_1. Zostało to wyjaśnione w interfejsie API sprawdzania uprawnień OSDU i interfejsie API pobierania grupy OSDU.
Możesz dodać poszczególnych użytkowników do elementu
user group
. Elementuser group
jest następnie dodawany do elementudata group
. Grupa danych jest dodawana do listy ACL rekordu danych. Umożliwia abstrakcję dla grup danych, ponieważ do grupy danych nie trzeba dodawać pojedynczych użytkowników. Zamiast tego możesz dodać użytkowników do elementuuser group
. Następnie można użyćuser group
wielokrotnie dla wieludata groups
. Struktura zagnieżdżona pomaga zapewnić skalowalność do zarządzania członkostwem w jednostkach OSDU.
Domyślne grupy
- Niektóre grupy OSDU są tworzone domyślnie po aprowizacji partycji danych.
- Grupy
data.default.viewers
danych idata.default.owners
są domyślnie tworzone. - Grupy usług do wyświetlania, edytowania i administratora każdej usługi, takiej jak
service.entitlement.admin
iservice.legal.editor
są tworzone domyślnie. - Grupy użytkowników ,
users
,users.datalake.viewers
users.datalake.editors
,users.datalake.admins
,users.datalake.ops
iusers.data.root
są tworzone domyślnie. - Wykres domyślnych członków i grup w grupach uprawnień bootstrapped OSDU przedstawia grupy nagłówków kolumn jako składowe nagłówków wierszy. Na przykład
users
grupa jest domyślnie członkiemdata.default.viewers
idata.default.owners
.users.datalake.admins
iusers.datalake.ops
są członkamiservice.entitlement.admin
grupy. - Jednostka usługi lub lub
client-id
app-id
jest domyślnym właścicielem wszystkich grup.
Osobliwość users@
grupy
- Istnieje jeden wyjątek od tej reguły nazewnictwa grup dla grupy "użytkowników". Zostanie ona utworzona, gdy zostanie aprowizowana nowa partycja danych, a jej nazwa jest zgodna ze wzorcem .
users@{partition}.{domain}
- Zawiera listę wszystkich użytkowników z dowolnym typem dostępu w określonej partycji danych. Przed dodaniem nowego użytkownika do wszystkich grup uprawnień należy również dodać nowego użytkownika do
users@{partition}.{domain}
grupy.
Osobliwość users.data.root@
grupy
- users.data.root entitlement group jest domyślnym członkiem wszystkich grup danych podczas tworzenia grup. Jeśli spróbujesz usunąć element users.data.root z dowolnej grupy danych, wystąpi błąd, ponieważ to członkostwo jest wymuszane przez OSDU.
- użytkownik.data.root staje się automatycznie domyślnym i trwałym właścicielem wszystkich rekordów danych podczas tworzenia rekordów w systemie zgodnie z opisem w artykule OSDU validate owner access API and OSDU users data root check API (Weryfikowanie interfejsu API dostępu właściciela oSDU i interfejs API sprawdzania głównego danych użytkowników OSDU). W związku z tym, wraz z sprawdzeniem członkostwa użytkownika OSDU, system sprawdza również, czy użytkownik jest "DataManager", tj. częścią grupy data.root, aby ocenić dostęp do rekordu danych.
- Domyślne członkostwo w folderze users.data.root jest używane tylko
app-id
do konfigurowania wystąpienia. Możesz jawnie dodać innych użytkowników do tej grupy, aby przyznać im domyślny dostęp do rekordów danych.
Jako przykład w scenariuszu,
- Data_record_1 ma 2 listy ACL: ACL_1 i ACL_2.
- User_1 jest członkiem ACL_1 i users.data.root.
Teraz, jeśli usuniesz user_1 z ACL_1, user_1 pozostanie mieć dostęp do data_record_1 za pośrednictwem grupy users.data.root.
Jeśli ACL_1 i ACL_2 zostaną usunięte z data_record_1, użytkownik.data.root nadal ma dostęp właściciela do danych. Dzięki temu rekord danych zostanie nigdy oddzielony.
Nieznany OID
Zobaczysz jeden nieznany identyfikator OID we wszystkich grupach OSDU dodanych domyślnie. Ten identyfikator OID odnosi się do wewnętrznego identyfikatora GUID usługi Azure Data Manager for Energy, który jest używany w systemie wewnętrznym do komunikacji systemowej. Ten identyfikator GUID jest tworzony unikatowo dla każdego wystąpienia i jest wymuszany przez system, aby nie został usunięty ani usunięty przez Użytkownika.
Użytkownicy
Dla każdej grupy OSDU można dodać użytkownika jako WŁAŚCICIELA lub CZŁONKA:
- Jeśli jesteś właścicielem grupy OSDU, możesz dodać lub usunąć członków tej grupy lub usunąć grupę.
- Jeśli jesteś członkiem grupy OSDU, możesz wyświetlać, edytować lub usuwać usługę lub dane w zależności od zakresu grupy OSDU. Jeśli na przykład jesteś członkiem
service.legal.editor
grupy OSDU, możesz wywołać interfejsy API, aby zmienić usługę prawną.
Uwaga
Nie usuwaj właściciela grupy, chyba że istnieje inny właściciel do zarządzania użytkownikami.
Interfejsy API uprawnień
Aby uzyskać pełną listę punktów końcowych interfejsu API uprawnień, zobacz usługa upoważnienia OSDU. Kilka ilustracji dotyczących używania interfejsów API uprawnień jest dostępnych w temacie Zarządzanie użytkownikami.
Uwaga
Dokumentacja OSDU odnosi się do punktów końcowych w wersji 1, ale skrypty opisane w tej dokumentacji odnoszą się do punktów końcowych w wersji 2, które działają i zostały pomyślnie zweryfikowane.
OSDU® jest znakiem towarowym grupy Open.
Następne kroki
Aby zapoznać się z następnym krokiem, zobacz:
Możesz również pozyskiwać dane do wystąpienia usługi Azure Data Manager for Energy: