Share via

خدمة الاستحقاق

  • مقالة

تعد إدارة الوصول وظيفة مهمة لأي خدمة أو مورد. تتيح لك خدمة الاستحقاق التحكم في من يمكنه استخدام Azure Data Manager لمثيل الطاقة، وما يمكنه رؤيته أو تغييره، والخدمات أو البيانات التي يمكنهم استخدامها.

بنية مجموعات OSDU وتسمية

تتيح لك خدمة الاستحقاق في Azure Data Manager for Energy إنشاء مجموعات وإدارة عضويات المجموعات. تحدد مجموعة الاستحقاق الأذونات على الخدمات أو مصادر البيانات لقسم بيانات معين في Azure Data Manager لمثيل الطاقة. يحصل المستخدمون الذين تمت إضافتهم إلى مجموعة معينة على الأذونات المقترنة. جميع معرفات المجموعة (رسائل البريد الإلكتروني) هي من النموذج {groupType}.{serviceName|resourceName}.{permission}@{partition}.{domain}.

يجب تعيين مجموعات مختلفة واستحقاقات المستخدم المقترنة لكل قسم بيانات جديد، حتى في نفس Azure Data Manager لمثيل الطاقة.

أنواع مجموعات OSDU

تتيح خدمة الاستحقاق ثلاث حالات استخدام للتخويل:

مجموعات البيانات

  • يتم استخدام مجموعات البيانات لتمكين التخويل للبيانات.
  • تبدأ مجموعات البيانات بكلمة "بيانات"، مثل data.welldb.viewers و data.welldb.owners.
  • تتم إضافة المستخدمين الفرديين إلى مجموعات البيانات، والتي تتم إضافتها في قائمة التحكم بالوصول لسجلات البيانات الفردية لتمكين viewer البيانات والوصول owner إليها بعد تحميل البيانات في النظام.
  • إلى upload البيانات، تحتاج إلى الحصول على استحقاقات خدمات OSDU المختلفة، والتي يتم استخدامها أثناء عملية الاستيعاب. يعتمد الجمع بين خدمات OSDU على طريقة الاستيعاب. على سبيل المثال، لاستيعاب البيان، راجع مفاهيم الاستيعاب المستندة إلى البيان لفهم خدمات OSDU التي استخدمتها واجهات برمجة التطبيقات. لا يحتاج المستخدم إلى أن يكون جزءا من قائمة التحكم بالوصول لتحميل البيانات.

مجموعات الخدمات

  • يتم استخدام مجموعات الخدمة لتمكين التخويل للخدمات.
  • تبدأ مجموعات الخدمة بكلمة "خدمة"، مثل service.storage.user و service.storage.admin.
  • يتم تعريف مجموعات الخدمة مسبقا عند توفير خدمات OSDU في كل قسم بيانات من Azure Data Manager لمثيل الطاقة.
  • تمكن viewerهذه المجموعات و editorو admin الوصول لاستدعاء واجهات برمجة تطبيقات OSDU المقابلة لخدمات OSDU.

مجموعات الاعضاء

  • تستخدم مجموعات المستخدمين في التجميع الهرمي لمجموعات المستخدمين والخدمات.
  • تبدأ مجموعات الخدمة بكلمة "المستخدمين"، مثل users.datalake.viewers و users.datalake.editors.

التسلسل الهرمي المتداخل

  • إذا كانت user_1 جزءا من data_group_1 وأضيفت data_group_1 كعضو في user_group_1، فإن رمز OSDU يتحقق من العضوية المتداخلة ويأذن user_1 بالوصول إلى استحقاقات user_group_1. يتم شرح ذلك في واجهة برمجة تطبيقات التحقق من استحقاق OSDU وواجهة برمجة تطبيقات استرداد مجموعة OSDU.

  • يمكنك إضافة مستخدمين فرديين إلى user group. user group ثم تتم إضافة إلى data group. تتم إضافة مجموعة البيانات إلى قائمة التحكم بالوصول لسجل البيانات. فهو يتيح التجريد لمجموعات البيانات لأن المستخدمين الفرديين لا يحتاجون إلى إضافتهم واحدا تلو الآخر إلى مجموعة البيانات. بدلا من ذلك، يمكنك إضافة مستخدمين إلى user group. ثم يمكنك استخدام user group بشكل متكرر لعدة data groups. تساعد البنية المتداخلة على توفير قابلية التوسع لإدارة العضويات في OSDU.

المجموعات الافتراضية

  • يتم إنشاء بعض مجموعات OSDU بشكل افتراضي عند توفير قسم بيانات.
  • يتم إنشاء مجموعات بيانات و data.default.viewersdata.default.owners بشكل افتراضي.
  • مجموعات الخدمات لعرض كل خدمة وتحريرها وإدارتها مثل service.entitlement.admin ويتم service.legal.editor إنشاؤها بشكل افتراضي.
  • يتم إنشاء مجموعات المستخدمين من usersو users.datalake.adminsusers.datalake.opsusers.datalake.viewersusers.datalake.editorsusers.data.root بشكل افتراضي.
  • يعرض مخطط الأعضاء والمجموعات الافتراضية في مجموعات استحقاق OSDU Bootstrapped مجموعات رؤوس الأعمدة كعضو في رؤوس الصفوف. على سبيل المثال، users المجموعة عضو في data.default.viewers و data.default.owners بشكل افتراضي. users.datalake.admins و users.datalake.ops هما عضوان في service.entitlement.admin المجموعة.
  • كيان الخدمة أو client-id أو app-id هو المالك الافتراضي لجميع المجموعات.

خصوصية users@ المجموعة

  • هناك استثناء واحد من قاعدة تسمية المجموعة هذه لمجموعة "المستخدمين". يتم إنشاؤه عند توفير قسم بيانات جديد ويتبع اسمه نمط users@{partition}.{domain}.
  • يحتوي على قائمة بجميع المستخدمين الذين لديهم أي نوع من الوصول في قسم بيانات معين. قبل إضافة مستخدم جديد إلى أي مجموعات استحقاق، تحتاج أيضا إلى إضافة المستخدم الجديد إلى users@{partition}.{domain} المجموعة.

خصوصية users.data.root@ المجموعة

  • مجموعة استحقاق users.data.root هي العضو الافتراضي لجميع مجموعات البيانات عند إنشاء المجموعات. إذا حاولت إزالة users.data.root من أي مجموعة بيانات، فستحصل على خطأ نظرا لفرض OSDU هذه العضوية.
  • يصبح users.data.root تلقائيا المالك الافتراضي والدائم لجميع سجلات البيانات عند إنشاء السجلات في النظام كما هو موضح في OSDU التحقق من صحة وصول المالك API ومستخدمي OSDU التحقق من جذر البيانات API. ونتيجة لذلك، بغض النظر عن عضوية OSDU للمستخدم، يتحقق النظام مما إذا كان المستخدم هو "DataManager"، أي جزء من مجموعة data.root، لمنح حق الوصول إلى سجل البيانات.
  • العضوية الافتراضية في users.data.root هي فقط app-id التي يتم استخدامها لإعداد المثيل. يمكنك إضافة مستخدمين آخرين بشكل صريح إلى هذه المجموعة لمنحهم حق الوصول الافتراضي إلى سجلات البيانات.

كمثال في السيناريو،

  • يحتوي data_record_1 على 2 ACLs: ACL_1 ACL_2.
  • User_1 هو عضو في ACL_1 وus users.data.root.

الآن إذا قمت بإزالة user_1 من ACL_1، يبقى user_1 الوصول إلى data_record_1 عبر users.data.root group.

وإذا تمت إزالة ACL_1 ACL_2 من data_record_1، فسيظل users.data.root يتمتع بوصول المالك للبيانات. هذا يحافظ على سجل البيانات من أن يصبح معزولا على الإطلاق.

OID غير معروف

سترى OID غير معروف واحد في جميع مجموعات OSDU المضافة بشكل افتراضي، يشير OID هذا إلى Azure Data Manager داخلي لمعرف مثيل الطاقة المستخدم لاتصال النظام. يتم إنشاء OID هذا بشكل فريد لكل مثيل.

المستخدمون

لكل مجموعة OSDU، يمكنك إضافة مستخدم إما كمالك أو عضو:

  • إذا كنت مالكا لمجموعة OSDU، يمكنك إضافة أعضاء تلك المجموعة أو إزالتهم أو حذف المجموعة.
  • إذا كنت عضوا في مجموعة OSDU، يمكنك عرض الخدمة أو البيانات أو تحريرها أو حذفها استنادا إلى نطاق مجموعة OSDU. على سبيل المثال، إذا كنت عضوا في service.legal.editor مجموعة OSDU، يمكنك استدعاء واجهات برمجة التطبيقات لتغيير الخدمة القانونية.

إشعار

لا تحذف مالك مجموعة ما لم يكن هناك مالك آخر لإدارة المستخدمين.

واجهات برمجة تطبيقات الاستحقاق

للحصول على قائمة كاملة بنقاط نهاية واجهة برمجة تطبيقات الاستحقاق، راجع خدمة استحقاق OSDU. تتوفر بعض الرسوم التوضيحية لكيفية استخدام واجهات برمجة تطبيقات الاستحقاق في إدارة المستخدمين.

إشعار

تشير وثائق OSDU إلى نقاط النهاية v1، ولكن البرامج النصية المذكورة في هذه الوثائق تشير إلى نقاط النهاية v2، والتي تعمل وتم التحقق من صحتها بنجاح.

OSDU® هي علامة تجارية للمجموعة المفتوحة.

الخطوات التالية

للخطوة التالية، راجع:

يمكنك أيضا استيعاب البيانات في Azure Data Manager لمثيل الطاقة: