Megosztás a következőn keresztül:

Jogosultsági szolgáltatás

  • Cikk

A hozzáférés-kezelés minden szolgáltatáshoz vagy erőforráshoz kritikus fontosságú függvény. A jogosultsági szolgáltatással szabályozhatja, hogy ki használhatja az Azure Data Manager for Energy-példányt, mit láthat vagy módosíthat, és mely szolgáltatásokat vagy adatokat használhatja.

OSDU-csoportok felépítése és elnevezése

Az Azure Data Manager for Energy jogosultsági szolgáltatása lehetővé teszi csoportok létrehozását és a csoportok tagságainak kezelését. A jogosultsági csoportok az Azure Data Manager for Energy-példány adott adatpartíciójához tartozó szolgáltatásokra vagy adatforrásokra vonatkozó engedélyeket határoznak meg. Az adott csoporthoz hozzáadott felhasználók megkapják a társított engedélyeket. Az összes csoportazonosító (e-mail) az űrlapon {groupType}.{serviceName|resourceName}.{permission}@{partition}.{domain}található.

Minden új adatpartícióhoz különböző csoportokat és kapcsolódó felhasználói jogosultságokat kell beállítani, még ugyanabban az Azure Data Manager for Energy-példányban is.

OSDU-csoportok típusai

A jogosultsági szolgáltatás három használati esetet tesz lehetővé az engedélyezéshez:

Adatcsoportok

  • Az adatcsoportok az adatok engedélyezésére szolgálnak.
  • Az adatcsoportok az "adatok" szóval kezdődnek, például data.welldb.viewers és data.welldb.owners.
  • A rendszer egyéni felhasználókat ad hozzá az adatcsoportokhoz, amelyeket az egyes adatrekordok ACL-jében ad hozzá az adatok engedélyezéséhez viewer és owner eléréséhez az adatok betöltése után a rendszerbe.
  • Az adatokhoz upload rendelkeznie kell különböző OSDU-szolgáltatások jogosultságával, amelyeket a betöltési folyamat során használnak. Az OSDU-szolgáltatások kombinációja a betöltési módszertől függ. A jegyzékbetöltéshez például tekintse meg a Jegyzékalapú betöltési fogalmakat az API-k által használt OSDU-szolgáltatások megismeréséhez. A felhasználónak nem kell részt vennie az ACL-ben az adatok feltöltéséhez.

Szolgáltatáscsoportok

  • A szolgáltatáscsoportok a szolgáltatások engedélyezésének engedélyezésére szolgálnak.
  • A szolgáltatáscsoportok a "szolgáltatás" szóval kezdődnek, például service.storage.user és service.storage.admin.
  • A szolgáltatáscsoportok előre vannak definiálva , amikor az OSDU-szolgáltatások ki vannak építve az Azure Data Manager for Energy-példány minden adatpartíciójában.
  • Ezek a csoportok engedélyezik viewereditoraz OSDU-szolgáltatásoknak megfelelő OSDU API-k meghívását és admin elérését.

Felhasználói csoportok

  • A felhasználói csoportok a felhasználói és szolgáltatáscsoportok hierarchikus csoportosítására szolgálnak.
  • A szolgáltatáscsoportok a "felhasználók" szóval kezdődnek, például users.datalake.viewers és users.datalake.editors.

Beágyazott hierarchia

  • Ha user_1 egy data_group_1 része, és a data_group_1 tagként hozzáadja a user_group_1, az OSDU-kód ellenőrzi a beágyazott tagságot, és engedélyezi user_1 számára, hogy hozzáférjen a user_group_1 jogosultságaihoz. Ezt az OSDU jogosultság-ellenőrzési API és az OSDU Csoport API lekérése ismerteti.

  • Egyéni felhasználókat is hozzáadhat egy user groupadott felhasználóhoz. A user group rendszer ezután hozzáadja egy data group. A rendszer hozzáadja az adatcsoportot az adatrekord ACL-éhez. Ez lehetővé teszi az adatcsoportok absztrakcióját, mivel az egyes felhasználókat nem kell egyenként hozzáadni az adatcsoporthoz. Ehelyett hozzáadhat felhasználókat a user group. Ezután többször is használhatja a user group többhöz data groups. A beágyazott struktúra skálázhatóságot biztosít az OSDU-tagságok kezeléséhez.

Alapértelmezett csoportok

  • Egyes OSDU-csoportok alapértelmezés szerint létrejönnek egy adatpartíció kiépítésekor.
  • Az adatcsoportok data.default.viewers data.default.owners alapértelmezés szerint létrejönnek.
  • Az egyes szolgáltatások service.entitlement.admin service.legal.editor megtekintéséhez, szerkesztéséhez és felügyeletéhez alapértelmezés szerint létrehozott szolgáltatáscsoportok.
  • A , users.datalake.viewers, users.datalake.editors, users.datalake.adminsusers.datalake.opsusers.data.root , felhasználói csoportok usersalapértelmezés szerint létrejönnek.
  • A Bootstrapped OSDU jogosultságcsoportok alapértelmezett tagjainak és csoportjainak diagramja az oszlopfejléccsoportokat jeleníti meg a sorfejlécek tagjaként. A csoport például users alapértelmezés szerint tagja data.default.viewers és data.default.owners tagja is. users.datalake.admins csoport users.datalake.ops tagja service.entitlement.admin .
  • A szolgáltatásnév vagy client-id az app-id összes csoport alapértelmezett tulajdonosa.

A csoport sajátossága users@

  • A "felhasználók" csoportra vonatkozó csoportelnevezési szabály alól egyetlen kivétel van. Az új adatpartíció kiépítésekor jön létre, és a neve a következő mintát users@{partition}.{domain}követi: .
  • Az adott adatpartíciókban bármilyen típusú hozzáféréssel rendelkező felhasználók listáját tartalmazza. Mielőtt új felhasználót ad a jogosultsági csoportokhoz, az új felhasználót is hozzá kell adnia a users@{partition}.{domain} csoporthoz.

A csoport sajátossága users.data.root@

  • A users.data.root jogosultságcsoport a csoportok létrehozásakor az összes adatcsoport alapértelmezett tagja. Ha megpróbálja eltávolítani a users.data.root fájlokat bármely adatcsoportból, hibaüzenet jelenik meg, mivel ezt a tagságot az OSDU kényszeríti.
  • A users.data.root automatikusan az összes adatrekord alapértelmezett és állandó tulajdonosává válik, amikor a rekordok létrejönnek a rendszerben az OSDU-ban a tulajdonosi hozzáférési API és az OSDU-felhasználók adatgyökér-ellenőrzési API-jának ellenőrzése során. Ennek eredményeképpen a rendszer a felhasználó OSDU-tagságának ellenőrzése mellett azt is ellenőrzi, hogy a felhasználó "DataManager", azaz a data.root csoport része-e az adatrekordhoz való hozzáférés felméréséhez.
  • A users.data.root alapértelmezett tagsága csak a app-id példány beállítására szolgál. Más felhasználókat explicit módon is hozzáadhat ehhez a csoporthoz, hogy alapértelmezett hozzáférést biztosítson számukra az adatrekordokhoz.

Példaként a forgatókönyvben:

  • A data_record_1 2 ACL-sel rendelkezik: ACL_1 és ACL_2.
  • User_1 a ACL_1 és a users.data.root tagja.

Ha eltávolítja user_1 ACL_1, user_1 továbbra is hozzáférhet a data_record_1 a users.data.root csoporton keresztül.

Ha pedig ACL_1 és ACL_2 törlődik data_record_1, a users.data.root továbbra is tulajdonosi hozzáféréssel rendelkezik az adatokhoz. Ez megőrzi az adatrekordot attól, hogy valaha árva legyen.

Ismeretlen OID

Alapértelmezés szerint egy ismeretlen OID jelenik meg az összes OSDU-csoportban. Ez az OID egy belső Azure Data Manager for Energy GUID-ra hivatkozik, amelyet a rendszer belső rendszerkommunikációhoz használ. Ez a GUID egyedileg jön létre minden példányhoz, és a rendszer kényszeríti, hogy ön ne törölje vagy távolítsa el.

Felhasználók

Minden OSDU-csoporthoz hozzáadhat egy felhasználót TULAJDONOSként vagy TAGként:

  • Ha Ön egy OSDU-csoport tulajdonosa, hozzáadhatja vagy eltávolíthatja a csoport tagjait, vagy törölheti a csoportot.
  • Ha Ön OSDU-csoport tagja, az OSDU-csoport hatókörétől függően megtekintheti, szerkesztheti vagy törölheti a szolgáltatást vagy az adatokat. Ha például ön az service.legal.editor OSDU-csoport tagja, meghívhatja az API-kat a jogi szolgáltatás módosításához.

Feljegyzés

Ne törölje a csoport TULAJDONOSát, hacsak nincs másik TULAJDONOS a felhasználók kezeléséhez.

Jogosultsági API-k

A jogosultsági API-végpontok teljes listájáért tekintse meg az OSDU jogosultsági szolgáltatást. A Jogosultsági API-k használatának néhány illusztrációja a Felhasználók kezelése területen érhető el.

Feljegyzés

Az OSDU dokumentációja v1-végpontokra hivatkozik, de a dokumentációban feljegyzett szkriptek a v2 végpontokra vonatkoznak, amelyek működnek és sikeresen érvényesítve vannak.

Az OSDU® a The Open Group védjegye.

Következő lépések

A következő lépés:

Adatokat is betölthet az Azure Data Manager for Energy-példányba: