Partilhar via


Controlo de acesso baseado em funções no Serviço de Créditos Ambientais (pré-visualização)

Importante

Algumas ou todas estas funcionalidades estão disponíveis como parte de uma versão de pré-visualização. O conteúdo e a funcionalidade estão sujeitos a alterações. Pode aceder ao ambiente de sandbox do Serviço de Créditos Ambientais (pré-visualização) para obter uma versão de avaliação de 30 dias. Para usar o Serviço de Créditos Ambientais (pré-visualização) num ambiente de produção, preencha o formulário de subscrição Serviço de Créditos Ambientais (pré-visualização).

O controlo de acesso baseado em funções permite controlar o acesso a diferentes operações na aplicação, com base nas permissões presentes nas funções atribuídas aos utilizadores na organização. Permite conceder e remover funções atribuídas aos utilizadores na organização para um maior controlo.

Cada organização do ecossistema de mercados ecológicos voluntários desempenha uma função específica, denominada função de mercado no Serviço de Créditos Ambientais (pré-visualização). Cada organização irá integrar os utilizadores no Serviço de Créditos Ambientais (pré-visualização) e atribuir funções de utilizador. Os recursos como projetos ou programas modulares, projetos de benefícios modulares, afirmações e tokens pertencem a uma organização, em vez de a um utilizador.

Atribuir funções de utilizador

Uma função de utilizador é definida como uma coleção de permissões que permite operações específicas na aplicação. Pode atribuir estas funções de utilizador a nível de uma organização ou a um nível de ativo no contexto de uma função de mercado específica. As seguintes funções de utilizador são suportadas por Serviço de Créditos Ambientais (pré-visualização):

Função do utilizador Permissões
Admin Um administrador pode efetuar todas as operações do plano de dados suportadas nos recursos associados, tais como criar, atualizar, ler e eliminar. Também podem efetuar operações de plano de gestão, como a integração de utilizadores na organização e a criação ou atualização de atribuições de funções para eles.
Contribuidor Um contribuidor pode efetuar todas as operações do plano de dados suportadas nos recursos associados, tais como criar, atualizar, ler e eliminar. Também recebem acesso de leitura a nível do plano de gestão.
Leitor Um leitor pode efetuar operações de leitura a nível do plano de dados associado e nos recursos a nível do plano de gestão.

Gerir funções a nível da organização no contexto de uma função de mercado

As seguintes funcionalidades são suportadas para controlo de acesso baseado em funções a nível da organização no contexto de um nível de função de mercado específico. Por exemplo, se uma organização operar como um comprador, tem uma função do mercado (comprador). A nível da organização, um utilizador nesta organização pode ter uma função de utilizador Administrador de Compradores, Contribuidor do Comprador ou Leitor do Comprador.

Uma organização pode ter várias funções de mercado. Por exemplo, se outra organização operar como um registo emitente e um mercado, tem duas funções do mercado. Um utilizador nesta organização poderá ter uma função Administrador de Fornecedores no contexto da função de mercado Fornecedor e uma função Leitor do Registo Emitente no contexto da função de registo emitente.

Gerir funções a nível do ativo

Pode gerir os privilégios de utilizador a um nível de ativos na organização. O administrador ou contribuidor a nível da organização pode criar novos ativos. O admin ao nível da organização também pode adicionar utilizadores ao recurso e atribuir-lhes funções.

  • Administrador no nível do ativo: um administrador no nível do ativo recebe a função de utente administrador em um escopo granular específico de um ativo na organização. Por exemplo, é atribuída a um utilizador uma função de administrador no âmbito do projeto de benefícios modulares na função de mercado de fornecedor de uma organização. Podem efetuar todas as operações de plano de dados suportadas no ativo, tais como ler e escrever. Também podem efetuar operações de plano de gestão, como a integração de utilizadores na organização no ativo específico do qual são administradores.

  • contribuinte de nível de ativo: um contribuinte de nível de ativo pode executar todas as operações de plano de dados suportadas no ativo, como ler e atualizar o ativo. Podem ler as atribuições de funções dos outros utilizadores ou grupos no âmbito desse ativo.

  • Leitor de nível de ativo: um Leitor de nível de ativo pode executar operações de leitura no ativo. Podem ler as atribuições de funções dos outros utilizadores ou grupos no âmbito desse ativo.

Nota

A hierarquia de acesso de cima para baixo será mantida. Por exemplo, se um utilizador tiver uma função de utilizador administrador na função de mercado de fornecedor no âmbito da organização, terá acesso a nível do administrador automaticamente em todos os ativos (como projetos ecológicos e projetos de benefícios modulares) para esse fornecedor. Se outro utilizador tiver acesso de administrador a nível dos ativos (por exemplo, num projeto ecológico), terá acesso a todos os ativos da sua responsabilidade.

Capacidades suportadas para o controlo de acesso baseado em funções

Pré-requisitos para usar a coleção Postman para APIs

Poderá definir a coleção do Postman com a configuração do ambiente das organizações e dos respectivos administradores da seguinte forma:

  • Defina os detalhes do utilizador nas diferentes variáveis (por exemplo: <marketRole>_admin_username) da coleção do Postman para diferentes funções de mercado que pretende utilizar, juntamente com as respetivas palavras-passe.

  • Crie um novo ambiente do Postman e mude para ele antes de executar quaisquer APIs na coleção.

  • Execute a pasta Configurar Organizações para a função de mercado específica que pretende utilizar, para configurar as propriedades da organização (e os respetivos administradores) no ambiente do Postman.

  • Execute a API Definições de função > Obter todas as Definição de Função para obter os detalhes de todas as definições de função de utilizador integradas no ambiente do Postman. A resposta da API de definição da função pode ser utilizada para conhecer os âmbitos atribuíveis que possam ser atribuídos aos utilizadores.

Adicionar utilizadores

Pode adicionar utilizadores e gerir as respetivas funções na organização mudando para o menu Definições na navegação esquerda.

Nota

Não pode adicionar um utilizador que já tenha sido adicionado.

  1. No ecrã Acesso de utilizador, selecione Adicionar utilizador.
  2. No painel Adicionar utilizador, introduza o Utilizador, selecione o Nível de acesso e, em seguida, selecione Guardar. Captura de ecrã da adição de um utilizador no painel Adicionar utilizador.

Via API:

Nota

A pasta Integrar utilizadores da coleção do Postman suporta a execução com um clique. No entanto, recomendamos que utilize APIs individuais para experimentar integrar utilizadores e familiarizar-se com as APIs.

  • Para qualquer pasta organizacional, tal como Fornecedor,, na pasta Integrar Utilizadores da coleção do Postman, configure a organização e o respetivo administrador ao chamar as APIs Obter detalhes da organização e Obter detalhes do Utilizador Administrador.

  • Para integrar um utilizador contribuidor, poderá verificar se a autorização necessária para a API corresponde ao utilizador administrador. A carga útil do pedido tenta adicionar um novo utilizador com a função de utilizador contribuidor, como a função de utilizador contribuidor do fornecedor. O envio do pedido integra o contribuidor.

  • Da mesma forma, pode integrar um utilizador leitor na organização com uma função de leitor correspondente, como a função de utilizador leitor do fornecedor.

Alterar atribuições de função

Depois de adicionar utilizadores, pode alterar a função de utilizador que lhe está atribuída.

Nota

Não pode editar o seu próprio acesso.

  1. No ecrã Acesso de utilizador, selecione os três pontos junto do utilizador e, em seguida, selecione Editar.
  2. No painel Editar acesso, selecione a nova função na lista pendente Nível de acesso e, em seguida, selecione Guardar. Captura de ecrã Editar acesso a remover um utilizador.

Via API:

  1. Navegue para a pasta Atribuições de Função na coleção.

  2. Utilize a API Criar atribuição de função num recurso. Por predefinição, a função de contribuidor do fornecedor é atribuída ao utilizador leitor do fornecedor através do token de acesso de administradores do fornecedor.

    Nota

    Este exemplo realça como a API para a atribuição de função funciona. Poderá atribuir uma função de utilizador diferente aos utilizadores a partir de diferentes organizações pelas respectivas contas de administrador. Pode alterar o URI do recurso do âmbito para um URI de recurso válido para a definição de função. Substitua as variáveis de ambiente no payload do pedido (roleDefinitionId e userId), altere o parâmetro do corpo do pedido resourceUri e altere a variável de ambiente de token de acesso de administrador para corresponder à respetiva conta de utilizador administrador.

    Você pode enviar a API de criação de atribuição de função com valores diferentes do identificador de definição de função (roleDefinitionId) a ser atribuído aos diferentes usuários na organização (userId) em um escopo diferente (resourceUri). Poderá alterar o cabeçalho de autorização para corresponder ao token de acesso do respetivo utilizador administrador.

    Os administradores da organização não podem atribuir funções de utente fora de sua organização e não podem atribuir funções a usuários fora de sua organização.

  3. Utilize a API Atualizar atribuição de função para atualizar um acesso de utilizador. Por exemplo, poderá elevar um utilizador para admin fornecedor. Certifique-se de que verifica roleassignment_id no parâmetro da API.

Eliminar atribuições de função

O utilizador administrador pode eliminar atribuições de funções existentes para os participantes, conforme necessário.

Nota

Não pode eliminar o seu próprio acesso.

  1. No ecrã Acesso de utilizador, selecione os três pontos junto do utilizador e, em seguida, selecione Editar.
  2. No painel Editar acesso, selecione Nenhum na lista pendente Nível de acesso e, em seguida, selecione Guardar. Captura de ecrã Editar acesso a remover um utilizador.

Via API:

  1. Configure a função de administrador correspondente à organização do utilizador cuja atribuição de função tem de ser eliminada.

  2. Navegue para a pasta Atribuições de Funções e selecione a API Eliminar Atribuição de Função.

  3. Introduza o roleassignment_id correto no Parâmetro da API.

  4. Chame DELETE /roleAssignments/{{roleassignment_id}} ao definir o cabeçalho de autorização com o token de acesso do utilizador administrador (as variáveis do ambiente do Postman podem ser utilizadas para experimentar utilizadores com diferentes funções de diferentes organizações).

Ver e alterar detalhes do perfil

Para ver os detalhes do seu perfil, selecione A minha conta na navegação esquerda.

Para editar as suas preferências, selecione o ícone Editar na secção Preferências e selecione a home page que pretende usar. A lista indicará as diferentes funções de mercado a que o utilizador com sessão atualmente iniciada tem acesso.

Captura de ecrã da edição de preferências.

Via API:

  1. Utilize a API POST /organizations/{organizationId}/users/{userId}/setMyDefaultMarketRole para alterar a função de mercado predefinida de um utilizador. O cabeçalho de autorização tem de utilizar o token de acesso do mesmo utilizador que foi aprovado no parâmetro de URL userId. O utilizador tem de ter algum acesso na nova função de mercado que seja predefinida.

Ver definições de funções

Um utilizador com qualquer função pode ver diferentes definições de funções.

Para ver todas as definições de funções através da API:

  1. Navegue para a pasta Definições de funções e selecione a API Obter todas as definições de funções.

  2. Chame GET /roleDefinitions ao definir o cabeçalho de autorização com o token de acesso do respetivo utilizador (as variáveis do ambiente do Postman podem ser utilizadas para experimentar utilizadores com diferentes funções de diferentes organizações).

Para ver todas as definições por ID:

  1. Navegue para a pasta Definições de funções e escolha a API Obter definição de função por ID.

  2. Chame GET /roleDefinitions/{{id}} ao definir o identificador da definição de função no URL do pedido e o cabeçalho de autorização com o token de acesso dos respetivos utilizadores (as variáveis do ambiente do Postman podem ser utilizadas para experimentar utilizadores com diferentes funções de diferentes organizações).

Ver utilizadores e funções atribuídas

Um utilizador com qualquer função pode ver os utilizadores da organização juntamente com as respetivas funções atribuídas.

  • Navegue para o ecrã Acesso de utilizador e veja que utilizadores têm acesso.

    Captura de ecrã do ecrã Acesso de utilizador a mostrar os utilizadores e as suas funções.

Via API:

  1. Navegue para a pasta Utilizadores.
  2. Chame Obter todos os utilizadores na minha organização ao definir o cabeçalho de autorização com o token de acesso do utilizador a partir da organização respetiva (as variáveis do ambiente do Postman podem ser utilizadas para experimentar utilizadores com diferentes funções de diferentes organizações).
  3. Navegue para a pasta Atribuições de função.
  4. Chame Obter todas as atribuições de função na minha função de mercado predefinida para obter as atribuições de função na função de mercado predefinida da identidade do chamador com base no parâmetro de consulta resourceUri.

Gerir controlos de acesso entre organizações para os seus recursos

O admin pode gerir o acesso de recursos entre organizações. Isto pode ser utilizado em vários cenários, por exemplo, se um fornecedor tivesse créditos pré-comprometidos para um comprador e não querem que outros compradores vejam o crédito. Outro exemplo são as inserções que serão utilizadas na mesma cadeia de valor.

Para suportar estes cenários, o Serviço de Créditos Ambientais (pré-visualização) tem as seguintes capacidades:

  • Um administrador pode gerir se quer que o ativo seja visível para todas as funções de mercado ou não. Por exemplo, um fornecedor que pretende utilizar os créditos para inserções pode optar por ocultar a visibilidade dos créditos de todos os compradores. Por predefinição, o ativo estará visível para todas as funções de mercado, que o administrador pode alternar.

  • Um administrador pode gerir se quer que o ativo seja visível para todas as organizações de uma função de mercado ou não. Por exemplo, um fornecedor pode ter créditos pré-comprometidos para um comprador. O administrador pode gerir a visibilidade para os créditos não serem visíveis para nenhum outro comprador, exceto o pretendido.

Por predefinição, os recursos, como projetos ecológicos, projetos de benefícios modulares e créditos, estarão visíveis para todas as organizações, os quais o admin pode alternar. O administrador pode definir uma política de acesso entre organizações para isto com diferentes níveis, de prioridade mais baixa para a prioridade mais alta, da seguinte forma:

  • Organizações: Uma política entre organizações em um nível de organização implica que o controle de acesso entre organizações seja aplicado a todos os ativos nas organizações.

  • Projetos ecológicos: Uma política transversal a um nível de projeto ecológico tem maior prioridade do que o camada anterior. Implica o controlo de acesso entre organizações no projeto ecológico específico e de todos os recursos nele. Se uma política entre organizações estiver definida a este nível, tem precedência sobre qualquer política definida ao nível da organização. Isto pode ser definido por um utilizador com acesso de administrador elegível no âmbito do projeto ecológico.

  • Projetos de benefícios modulares: Uma política interorganizacional em um nível de projeto de benefício modular tem maior prioridade do que as camadas anteriores. Implica o controlo de acesso entre organizações no projeto de benefícios modulares específico e de todos os recursos nele. Se uma política entre organizações estiver definida a este nível, tem precedência sobre qualquer política definida ao nível de uma das camadas acima. Isto pode ser definido por um utilizador com acesso de administrador elegível no âmbito do projeto de benefícios modulares.

  • Créditos: Uma política interorganizacional em um nível de crédito tem maior prioridade do que as camadas anteriores. Implica o controlo de acesso entre organizações no crédito específico. Se uma política entre organizações estiver definida a este nível, tem precedência sobre qualquer política definida ao nível de uma das camadas acima. Isto pode ser definido por um utilizador com acesso de administrador elegível no âmbito do projeto de benefícios modulares.

Nota

Os admins podem definir uma política entre organizações para os recursos de que são proprietários. Fornecedor e Comprador são as duas funções de mercado que podem definir políticas interorganizacionais. O fornecedor pode defini-lo em seus projetos ecológicos, projetos de benefícios modulares e créditos. O comprador pode defini-lo em seus créditos próprios. Quando chama as APIs, o cabeçalho x-ms-marketRole indica o serviço acerca do contexto da função de mercado em que o utilizador administrador as está a chamar.

Através de UX:

Atualmente, a partir de UX, o admin ao nível da organização pode definir a política entre organizações ao nível da organização.

  1. Selecione Acesso da organização na navegação esquerda.

  2. Selecione Editar para a organização que pretende alterar e atualize, conforme necessário.

    Captura de ecrã do ecrã Acesso da organização a mostrar alterações ao acesso entre organizações.

Via API:

  1. Navegue para a pasta Organizações no Postman e utilize a API Definir política de acesso entre organizações ao nível da organização para definir uma política ao nível da organização sob a função de mercado predefinida.
  2. Navegue para a pasta Criação de projeto ecológico no Postman e utilize a API Definir política de acesso no projeto ecológico para definir uma política ao nível específico do projeto ecológico.
  3. Navegue para a pasta Criação de projeto ecológico no Postman e utilize a API Definir política de acesso no MBP para definir uma política ao nível específico do projeto de benefícios modulares.
  4. Navegue para a pasta Créditos no Postman e utilize a API Definir política de acesso entre organizações para definir uma política ao nível específico do crédito.

Tirar partido dos grupos para gerir o acesso

Um administrador pode criar grupos, gerir os utilizadores num grupo e atribuir grupos com funções. Atualmente, esta funcionalidade é suportada apenas via APIs.

  • Criar um grupo de utilizadores e adicionar-lhe utilizadores:

    POST /organizations/{{organization_id}}/groups  
    
  • Obter todos os grupos de utilizador na organização:

    GET /organizations/{{organization_id}}/groups
    
  • Obter um grupo de utilizadores por ID:

    GET /organizations/{{organization_id}}/groups/{{group_id}} 
    
  • Obter utilizadores num grupo de utilizadores:

    GET /organizations/{{organization_id}}/groups/{{group_id}}/users  
    
  • Adicionar utilizadores a um grupo de utilizadores:

    POST /organizations/{{organization_id}}/groups/{{group_id}}/addUsers  
    
  • Eliminar um utilizador de um grupo de utilizadores:

    DELETE /organizations/{{organization_id}}/groups/{{group_id}}/users/{{user_id}}  
    
  • Integrar utilizadores num grupo de utilizadores:

    POST /organizations/{{organization_id}}/groups/{{group_id}}/addNewUsers  
    
  • Criar uma atribuição de função para um grupo de utilizadores:

    POST /roleAssignments  
    
  • Eliminar uma atribuição de função do grupo de utilizadores:

    DELETE /roleAssignments/{{roleAssignmentId}}  
    

Visão geral
do Serviço de Crédito Ambiental (pré-visualização) Glossário
do Serviço de Crédito Ambiental (pré-visualização) Visão geral da referência da API para o Serviço de Crédito Ambiental (pré-visualização)