Share via

Rollenbasierte Zugriffssteuerung im Umwelt-Kreditservice (Vorschauversion)

  • Artikel

Microsoft Cloud for Sustainability Technical Summit, Mai 2024

Wichtig

Einige oder alle dieser Funktionen sind als Teil einer Vorschauversion verfügbar. Inhalt und Funktionalität können sich ändern. Sie können eine 30-tägige Testversion der Sandbox-Umgebung des Umwelt-Kreditservice (Vorschauversion) nutzen. Um sich für Umwelt-Kreditservice (Vorschauversion) in einer Produktionsumgebung anzumelden, gehen Sie zum Anmeldeformular für Umwelt-Kreditservice (Vorschauversion).

Die rollenbasierte Zugriffssteuerung lässt den Zugriff auf verschiedene Vorgänge in der Anwendung zu, basierend auf den Berechtigungen in den Rollen, die den Benutzern in der Organisation zugewiesen sind. Es lässt Ihnen zu, den Benutzern in der Organisation Rollen zuzuweisen und zu entziehen, um ein detailliertes Steuerelement zu erhalten.

Jede freiwillige ökologische Markt-Ökosystem-Organisation spielt eine bestimmte Rolle, die im Umwelt-Kreditservice (Vorschauversion) als Marktrolle bezeichnet wird. Jede Organisation führt das Onboarding der Benutzenden für Umwelt-Kreditservice (Vorschauversion) durch und weist ihnen Benutzerrollen zu. Ressourcen wie umweltfreundliche Projekte oder Programme, modulare Leistungsprojekte, Ansprüche und Token gehören zu einer Organisation und nicht zu einem Benutzer.

Benutzerrollen zuweisen

Eine Benutzerrolle ist definiert als eine Sammlung von Berechtigungen, die bestimmte Vorgänge in der Anwendung zulassen. Sie können diese Benutzerrollen auf Organisationsebene oder auf der Ebene einer Anlage im Rahmen einer bestimmten Marktrolle zuweisen. Die folgenden Benutzerrollen werden von Umwelt-Kreditservice (Vorschauversion) unterstützt:

Rolle des Benutzers Berechtigungen
Administrator Ein Admin kann alle unterstützten Vorgänge auf der Datenebene für die zugehörigen Ressourcen durchführen, z. B. Erstellen, Aktualisieren, Lesen und Löschen. Sie können auch Vorgänge auf der Verwaltungsebene durchführen, wie z.B. das Onboarding von Benutzern in der Organisation und das Erstellen oder Aktualisieren von Rollenzuweisungen für sie.
Mitwirkender Ein Mitwirkender kann alle unterstützten Geschäftsvorgänge auf der Datenebene für die zugehörigen Ressourcen durchführen, wie z.B. Erstellen, Aktualisieren, Lesen und Löschen. Sie erhalten außerdem Lesezugriff auf der Ebene der Verwaltungsebene.
Leser Ein Leser kann Lesevorgänge auf der zugehörigen Data-Plane-Ebene und auf der Management-Plane-Ebene Ressourcen durchführen.

Verwalten von Rollen auf Organisationsebene im Kontext einer Marktrolle

Die folgenden Funktionalitäten werden für die rollenbasierte Zugriffssteuerung auf Organisationsebene im Kontext einer bestimmten Marktrollenebene unterstützt. Wenn eine Organisation beispielsweise als Einkäufer tätig ist, verfügt sie über eine Marktrolle (Einkäufer). Auf der Ebene der Organisation könnte ein Benutzer in dieser Organisation die Benutzerrolle Buyer Admin, Buyer Contributor oder Buyer Reader haben.

Eine Organisation kann mehrere Marktrollen haben. Wenn eine andere Organisation zum Beispiel sowohl als ausstellende Registrierungsstelle als auch als Marketplace tätig ist, hat sie zwei Marktrollen. Ein Benutzer in dieser Organisation könnte eine Lieferant Admin-Rolle im Zusammenhang mit der Lieferant Market-Rolle und eine Issuing Registry Reader-Rolle im Zusammenhang mit der Issuing Registry-Rolle haben.

Rollen auf der Ebene der Anlagen verwalten

Sie können die Benutzerrechte auf der Ebene der Anlagen innerhalb der Organisation verwalten. Der Admin oder Mitwirkende auf Organisationsebene kann neue Anlagen erstellen. Der Admin auf Organisationsebene kann der Anlage auch Benutzer hinzufügen und ihnen Rollen zuweisen.

  • Asset-Level Admin: Einem Admin auf Anlagenebene wird die Benutzerrolle Admin für einen bestimmten Bereich einer Anlage in der Organisation zugewiesen. Zum Beispiel wird einem Benutzer im Bereich des modularen Leistungsprojekts in der Lieferantenmarktrolle einer Organisation eine Lieferanten-Admin-Rolle zugewiesen. Sie können alle unterstützten Vorgänge auf der Datenebene der Anlage durchführen, z.B. Lesen und Schreiben. Sie können auch Geschäftsvorgänge auf der Verwaltungsebene durchführen, wie z.B. das Onboarding von Benutzern in der Organisation für die Anlage, für die sie Admin sind.

  • Mitwirkender auf Anlagenebene: Ein Mitwirkender auf Asset-Ebene kann alle unterstützten Vorgänge auf der Datenebene der Anlage durchführen, wie z.B. das Lesen und Aktualisieren der Anlage. Sie können die Rollenzuweisungen der anderen Benutzer oder Gruppen im Bereich dieser Anlage lesen.

  • Asset-Level-Leser: Ein Asset-Level-Leser kann Geschäftsvorgänge mit der Anlage durchführen. Sie können die Rollenzuweisungen der anderen Benutzer oder Gruppen im Bereich dieser Anlage lesen.

Notiz

Die Top-Down-Zugriffshierarchie wird beibehalten. Wenn ein Benutzer beispielsweise eine Admin-Benutzerrolle in der Rolle „Lieferantenmarkt“ im Bereich „Organisation“ innehat, dann hat er automatisch Zugriff auf alle Anlagen (wie umweltfreundliche Projekte und modulare Leistungsprojekte) für diesen Lieferanten. Wenn ein anderer Benutzer über Admin-Zugriff auf Anlagenebene verfügt (z.B. auf ein umweltfreundliches Projekt), dann hat er Zugriff auf alle darunter liegenden Anlagen.

Unterstützte Funktionalitäten für rollenbasierte Zugriffssteuerung

Voraussetzungen für die Verwendung der Postman-Sammlung für APIs

Sie können die Postman Sammlung mit der Umgebungskonfiguration der Organisationen und ihrer Admins wie folgt festlegen:

  • Legen Sie die Benutzerdetails in den verschiedenen Variablen (z.B. <marketRole>_admin_username) der Postman Sammlung für die verschiedenen Marketingmitarbeiter*in fest, die Sie verwenden möchten, zusammen mit den jeweiligen Kennwörtern.

  • Erstellen Sie eine neue Postman Umgebung und wechseln Sie zu dieser, bevor Sie irgendwelche APIs in der Sammlung ausführen.

  • Führen Sie den Ordner Setup Organizations für die spezifische Marktrolle, die Sie verwenden möchten, aus, um die Eigenschaften der Organisation (und ihrer jeweiligen Admins) in der Postman Umgebung festzulegen.

  • Führen Sie die Rollendefinitionen > Get all Role Definitions API aus, um die Details aller integrierten Benutzerrollendefinitionen in der Postman Umgebung zu erhalten. Die Antwort der Rollendefinitions-API kann verwendet werden, um mehr über die zuweisbaren Bereiche zu erfahren, die den Benutzern zugewiesen werden können.

Benutzer hinzufügen

Sie können Benutzer hinzufügen und ihre Rollen innerhalb der Organisation verwalten, indem Sie im linken Navigationsbereich zum Menü Einstellungen wechseln.

Anmerkung

Sie können keinen bereits hinzugefügten Benutzer hinzufügen.

  1. Wählen Sie auf dem Bildschirm BenutzerzugriffBenutzer hinzufügen aus.
  2. Im Bereich Benutzer hinzufügen geben Sie Benutzer ein, wählen Sie Zugriffsebene und dann Speichern aus. Screenshot des Hinzufügens eines Benutzer im Bereich Benutzer hinzufügen

Über API:

Anmerkung

Der Ordner Onboarding Users der Postman Sammlung unterstützt die Ausführung mit einem Klick. Wir empfehlen Ihnen jedoch, einzelne APIs zu verwenden, um das Onboarding von Nutzern zu testen und sich mit den APIs vertraut zu machen.

  • Für einen beliebigen Organisationsordner, z.B. Lieferant, im Ordner Benutzer Onboarding der Postman Sammlung, legen Sie die Organisation und ihren Admin fest, indem Sie die Organisationsdetails abrufen und Admin Benutzerdetails abrufen APIs aufrufen.

  • Um einen mitwirkenden Benutzer zu onboarding, können Sie überprüfen, ob die für die API erforderliche Berechtigung dem Admin-Benutzer entspricht. Der Payload der Anfrage versucht, einen neuen Benutzer mit der integrierten Mitwirkenden-Benutzerrolle hinzuzufügen, z. B. die Mitwirkenden-Benutzerrolle für Lieferanten. Durch das Senden der Anfrage wird der Mitwirkende onboarding.

  • In ähnlicher Weise können Sie einen Leser-Benutzer in der Organisation mit der entsprechenden Leser-Rolle onboarding, z.B. die Rolle des Lieferanten-Leser-Benutzers.

Rollenzuweisungen ändern

Nachdem Sie Benutzer hinzugefügt haben, können Sie die ihnen zugewiesenen Benutzerrollen ändern.

Anmerkung

Sie können ihren eigenen Zugriff bearbeiten.

  1. Wählen Sie auf dem Bildschirm Benutzerzugriff die drei Punkte neben dem Benutzer und dann Bearbeiten aus.
  2. Wählen Sie im Bereich Zugriff bearbeiten die neue Rolle in der Dropdownliste Zugriffsebene und dann Speichern aus. Screenshot des Bildschirms „Zugriff bearbeiten“ zum Entfernen eines Benutzers

Über API:

  1. Navigieren Sie zu dem Ordner Rollenzuweisungen in der Sammlung.

  2. Verwenden Sie die Rollenzuweisung bei einer Anlage erstellen API. Standardmäßig wird die Rolle des mitwirkenden Lieferanten über den Zugriff des Lieferantenadmins dem Lieferantenleser zugewiesen.

    Anmerkung

    Dieses Beispiel verdeutlicht, wie die API für die Rollenzuweisung funktioniert. Sie können Benutzern aus verschiedenen Organisationen über die jeweiligen Admin-Konten eine andere Benutzerrolle zuweisen. Sie können den Ressourcen-URI des Bereichs in einen gültigen Bestands-URI für die Rollendefinition ändern. Dazu können Sie die Umgebungsvariablen im Payload der Anfrage (roleDefinitionId und userId) ändern Sie resourceUri im Anfragenkörper-Parameter, und die Umgebungsvariable für das Admin-Zugriffstoken so ändern, dass sie dem jeweiligen Admin-Benutzerkonto entspricht.

    Sie können die Rollenzuweisungserstellungs-API mit verschiedenen Werten der Rollendefinitionskennung Eigenschaft im Payload der Anfrage als (roleDefinitionId) senden, um sie den verschiedenen Benutzern in der Organisation zuzuweisen (userId) bei anderem Umfang (resourceUri). Sie können den Berechtigungskopf so ändern, dass er dem Zugriffs-Token des jeweiligen Admin-Benutzers entspricht.

    Organisationsadministratoren der Organisation kann keine Benutzerrollen außerhalb seiner Organisation zuweisen, und er kann keine Rollen an Benutzer außerhalb seiner Organisation zuweisen.

  3. Verwenden Sie die API Rollenzuweisung aktualisieren, um den Zugriff eines Benutzers zu aktualisieren. Beispielsweise können Sie einen Benutzer zum Lieferantenadministrator hochstufen. Achten Sie darauf, die roleassignment_id im API-Parameter zu überprüfen.

Rollenzuweisungen löschen

Der Admin-Benutzer kann bei Bedarf bestehende Rollenzuweisungen für Teilnehmer löschen.

Anmerkung

Sie können ihren eigenen Zugriff löschen.

  1. Wählen Sie auf dem Bildschirm Benutzerzugriff die drei Punkte neben dem Benutzer und dann Bearbeiten aus.
  2. Wählen Sie im Bereich Zugriff bearbeitenKeine in der Dropdownliste Zugriffsebene und dann Speichern aus. Screenshot des Bildschirms „Zugriff bearbeiten“ zum Entfernen eines Benutzers

Über API:

  1. Legen Sie die Admin-Rolle fest, die der Organisation des Benutzers entspricht, dessen Rollenzuweisung gelöscht werden soll.

  2. Navigieren Sie zum Ordner Rollenzuweisungen und wählen Sie die API Rollenzuweisung löschen.

  3. Geben Sie die korrekte Rollenzuweisung_id in den API-Parameter ein.

  4. Rufen Sie DELETE /roleAssignments/{{roleassignment_id}} auf, indem Sie den Autorisierungs-Header mit dem Zugriffs-Token des jeweiligen Admin-Benutzers festlegen (Variablen aus der Postman Umgebung können verwendet werden, um Benutzer mit verschiedenen Rollen aus verschiedenen Organisationen zu testen).

Profildetails anzeigen und ändern

Um Ihre Profildetails anzuzeigen, wählen Sie aus Mein Konto auf der linken Navigation.

Um Ihre Einstellungen zu bearbeiten, wählen Sie die Symbol Bearbeiten aus in der Abschnitt Einstellungen und wählen Sie die Startseite aus, die Sie verwenden möchten. Die Liste zeigt die verschiedenen Marktrollen an, auf die der aktuell angemeldete Benutzer Zugriff hat.

Screenshot der Bearbeitungspräferenzen

Über API:

  1. Verwenden Sie die POST /organizations/{organizationId}/users/{userId}/setMyDefaultMarketRole-API zum Wechseln der Standardmarktrolle eines Benutzers. Der Autorisierungsheader muss das Zugriffstoken des gleichen Benutzers verwenden, der in Benutzer-ID-URL-Parameter übergeben wird. Der Benutzer muss Zugriff auf die neue Marktrolle haben, die als Standard festgelegt ist.

Rollendefinitionen anzeigen

Ein Benutzer mit einer beliebigen Rolle kann verschiedene Rollendefinitionen einsehen.

So zeigen Sie alle Rollendefinitionen via API an:

  1. Navigieren Sie zum Ordner Rollendefinitionen und wählen Sie die Alle Rollendefinitionen abrufen API.

  2. Rufen Sie GET /roleDefinitions auf, indem Sie den Autorisierungs-Header mit dem Zugriffstoken des jeweiligen Benutzers festlegen (Variablen aus der Postman Umgebung können verwendet werden, um Benutzer mit verschiedenen Rollen aus verschiedenen Organisationen zu testen).

So zeigen Sie Rollendefinitionen nach ID an:

  1. Navigieren Sie zum Ordner Rollendefinitionen und wählen Sie die API Rollendefinition nach Id abrufen.

  2. Rufen Sie GET /roleDefinitions/{{id}} auf, indem Sie die Kennung der Rollendefinition in der Anfrage-URL und den Autorisierungs-Header mit dem jeweiligen Zugriffstoken des Benutzers festlegen (Variablen aus der Postman Umgebung können verwendet werden, um Benutzer mit verschiedenen Rollen aus verschiedenen Organisationen auszuprobieren).

Benutzer und zugewiesene Rollen anzeigen

Ein Benutzer mit einer beliebigen Rolle kann die Benutzer der Organisation mit den ihnen zugewiesenen Rollen anzeigen.

  • Navigieren Sie zum Benutzerzugriff-Bildschirm und sehen Sie sich die Benutzer an, die Zugriff haben.

    Screenshot des Benutzerzugriffsbildschirms mit Benutzern und ihren Rollen

Über API:

  1. Wechseln Sie zum Ordner Benutzer.
  2. Rufen Sie Alle Benutzer in meiner Organisation auf, indem Sie den Autorisierungs-Header mit dem Benutzer-Zugriffstoken der jeweiligen Organisation festlegen (Variablen aus der Postman Umgebung können verwendet werden, um Benutzer mit verschiedenen Rollen aus verschiedenen Organisationen zu testen).
  3. Navigieren Sie in den Ordner Rollenzuweisungen.
  4. Forderung Alle Rollenzuweisungen in meiner Standardmarktrolle abrufen, um die Rollenzuweisungen in der Standardmarktrolle der Anruferidentität basierend auf dem resourceUri-Abfrageparameter erhalten.

Organisationsübergreifende Zugriffskontrollen für Ihre Anlagen verwalten

Der Adminbenutzer kann den Zugriff auf eine Anlage organisationsübergreifend verwalten. Diese Funktion kann in verschiedenen Szenarien eingesetzt werden, z.B. wenn ein Lieferant einem Käufer Gutschriften im Voraus zugesagt hat und nicht möchte, dass andere Käufer diese Gutschriften sehen können. Ein weiteres Beispiel sind Einsätze, die innerhalb der gleichen Wertschöpfungskette verwendet werden sollen.

Um diese Szenarien zu unterstützen, verfügt Umwelt-Kreditservice (Vorschauversion) über die folgenden Funktionalitäten:

  • Ein Admin kann festlegen, ob die Anlage für alle Marketingmitarbeiter*innen sichtbar sein soll oder nicht. Ein Lieferant, der die Gutschriften für Einsätze verwenden möchte, kann zum Beispiel beschließen, die Sichtbarkeit der Gutschriften vor allen Käufern zu verbergen. Standardmäßig ist die Anlage für alle Marketingmitarbeiter*innen sichtbar, was der Admin umschalten kann.

  • Ein Admin kann festlegen, ob die Anlage für alle Organisationen einer Marktrolle sichtbar sein soll oder nicht. Ein Lieferant kann zum Beispiel Gutschriften an einen Käufer im Voraus zugesagt haben. Der Admin kann die Sichtbarkeit verwalten, so dass die Gutschriften für keinen anderen Käufer außer dem beabsichtigten sichtbar sind.

Standardmäßig sind die Anlagen wie ökologische Projekte, modulare Benefit-Projekte und Credits für alle Organisationen sichtbar, die der Administrator umschalten kann. Der Administrator kann dafür eine organisationsübergreifende Zugriffsrichtlinie auf verschiedenen Ebenen von der niedrigsten bis zur höchsten Priorität wie folgt festlegen:

  • Organisationen: Eine organisationsübergreifende Richtlinie auf Organisationsebene impliziert, dass die organisationsübergreifende Zugriffssteuerung auf alle Anlagen in den Organisationen angewendet wird.

  • Ökologische Projekte: Eine organisationsübergreifende Richtlinie auf ökologischer Projektebene hat eine höhere Priorität als die vorherige Ebene. Dies impliziert eine organisationsübergreifende Zugriffskontrolle auf das spezifische ökologische Projekt und alle darin enthaltenen Anlagen. Wenn auf dieser Ebene eine organisationsübergreifende Richtlinie festgelegt wird, hat sie Vorrang vor allen auf Organisationsebene festgelegten Richtlinien. Dies kann von einem Benutzer mit Administratorzugriff festgelegt werden, der im Rahmen des ökologischen Projekts berechtigt ist.

  • Modulare Leistungsprojekte: Eine organisationsübergreifende Richtlinie auf Modulare Leistungsprojektebene hat eine höhere Priorität als die vorherige Ebene. Dies impliziert eine organisationsübergreifende Zugriffskontrolle auf das spezifische modulare Leistungsprojekt und alle darin enthaltenen Anlagen. Wenn auf dieser Ebene eine organisationsübergreifende Richtlinie festgelegt wird, hat sie Vorrang über einem der obigen Ebenen festgelegten Richtlinien. Dies kann von einem Benutzer mit Administratorzugriff festgelegt werden, der im Rahmen des modularen Leistungsprojekts berechtigt ist.

  • Gutschriften: Eine organisationsübergreifende Richtlinie auf Gutschriftsebene hat eine höhere Priorität als die vorherige Ebene. Dies impliziert eine organisationsübergreifende Zugriffskontrolle auf das spezifische Guthaben. Wenn auf dieser Ebene eine organisationsübergreifende Richtlinie festgelegt wird, hat sie Vorrang über einem der obigen Ebenen festgelegten Richtlinien. Dies kann von einem Benutzer mit Administratorzugriff festgelegt werden, der im Rahmen des modularen Leistungsprojekts berechtigt ist.

Anmerkung

Administratoren können organisationsübergreifende Richtlinien für die Anlagen festlegen, die sie besitzen. Lieferant und Käufer sind die beiden Marktrollen, die organisationsübergreifende Richtlinien festlegen können. Der Lieferant kann es für seine ökologischen Projekte, modularen Leistungsprojekte und Gutschriften festlegen. Käufer kann es auf seine eigenen Gutschriften setzen. Beim Aufrufen der APIs gibt der Header x-ms-marketRole den Dienst über den Marktrollenkontext an, in dem der Administrator sie aufruft.

Über UX:

Derzeit kann der Administrator auf Organisationsebene von UX aus die organisationsübergreifende Richtlinie auf Organisationsebene festlegen.

  1. Wählen Sie im linken Navigationsbereich Organisationszugriff aus.

  2. Wählen Sie Bearbeiten für die Organisation aus, die Sie ändern und nach Bedarf aktualisieren möchten.

    Screenshot des Bildschirms „Organisationszugriff“ mit organisationsübergreifenden Zugriffsänderungen.

Über API:

  1. Navigieren Sie in Postman zum Ordner Organisationen und verwenden Sie die API Organisationsübergreifende Zugriffsrichtlinie auf Organisationsebene festlegen zum Festlegen der Richtlinie auf Organisationsebene unter der Standardmarktrolle.
  2. Navigieren Sie zum Ordner Ökologische Projekterstellung in Postman und verwenden Sie die API Organisationsübergreifende Zugriffsrichtlinie für ökologisches Projekt festlegen, um eine Richtlinie auf der Ebene des spezifischen ökologischen Projekts festzulegen.
  3. Navigieren Sie zum Ordner Ökologische Projekterstellung in Postman und verwenden Sie die API Organisationsübergreifende Zugriffsrichtlinie für MBP festlegen, um eine Richtlinie auf der Ebene des spezifischen ökologischen Projekts festzulegen.
  4. Navigieren Sie zum Ordner Guthaben in Postman und verwenden Sie die API Organisationsübergreifende Zugriffsrichtlinie für Guthaben festlegen, um eine Richtlinie auf der Ebene des spezifischen Guthabenlevels festzulegen.

Nutzen Sie Gruppen, um den Zugriff zu verwalten

Ein Admin kann Gruppen erstellen, die Benutzer einer Gruppe verwalten und den Gruppen mit Rollen zuweisen. Diese Funktion wird derzeit nur über APIs unterstützt.

  • Erstellen Sie eine Benutzergruppe und fügen Sie ihr Benutzer hinzu:

    POST /organizations/{{organization_id}}/groups

  • Alle Benutzergruppen in der Organisation abrufen:

    GET /organizations/{{organization_id}}/groups

  • Abrufen einer Benutzergruppe nach ID:

    GET /organizations/{{organization_id}}/groups/{{group_id}}

  • Abrufen von Benutzern in einer Benutzergruppe:

    GET /organizations/{{organization_id}}/groups/{{group_id}}/users

  • Fügen Sie Benutzer zu einer Benutzergruppe hinzu:

    POST /organizations/{{organization_id}}/groups/{{group_id}}/addUsers

  • Löschen Sie einen Benutzer aus einer Benutzergruppe:

    DELETE /organizations/{{organization_id}}/groups/{{group_id}}/users/{{user_id}}

  • Onboarding von Benutzern zu einer Benutzergruppe:

    POST /organizations/{{organization_id}}/groups/{{group_id}}/addNewUsers

  • Erstellen Sie eine Rollenzuweisung für eine Benutzergruppe:

    POST /roleAssignments

  • Löschen Sie eine Rollenzuweisung einer Benutzergruppe:

    DELETE /roleAssignments/{{roleAssignmentId}}

Siehe auch

Umwelt-Kreditservice (Vorschauversion) – Überblick
Umwelt-Kreditservice (Vorschauversion) – Glossar
API-Referenzübersicht für Umwelt-Kreditservice (Vorschauversion)