Share via

Rechtenservice

  • Artikel

Toegangsbeheer is een kritieke functie voor elke service of resource. Met de rechtenservice kunt u bepalen wie uw Azure Data Manager for Energy-exemplaar kan gebruiken, wat ze kunnen zien of wijzigen en welke services of gegevens ze kunnen gebruiken.

Structuur en naamgeving van OSDU-groepen

Met de rechtenservice van Azure Data Manager for Energy kunt u groepen maken en lidmaatschappen van de groepen beheren. Een rechtengroep definieert machtigingen voor services of gegevensbronnen voor een specifieke gegevenspartitie in uw Azure Data Manager for Energy-exemplaar. Gebruikers die zijn toegevoegd aan een specifieke groep, krijgen de bijbehorende machtigingen. Alle groeps-id's (e-mailberichten) zijn van het formulier {groupType}.{serviceName|resourceName}.{permission}@{partition}.{domain}.

Er moeten verschillende groepen en gekoppelde gebruikersrechten worden ingesteld voor elke nieuwe gegevenspartitie, zelfs in hetzelfde Exemplaar van Azure Data Manager voor Energie.

Typen OSDU-groepen

De rechtenservice maakt drie gebruiksvoorbeelden mogelijk voor autorisatie:

Gegevensgroepen

  • Gegevensgroepen worden gebruikt om autorisatie voor gegevens in te schakelen.
  • De gegevensgroepen beginnen met het woord 'gegevens', zoals data.welldb.viewers en data.welldb.owners.
  • Afzonderlijke gebruikers worden toegevoegd aan de gegevensgroepen, die worden toegevoegd aan de ACL van afzonderlijke gegevensrecords om de gegevens in te schakelen viewer en owner te openen nadat de gegevens in het systeem zijn geladen.
  • Voor upload de gegevens moet u rechten hebben op verschillende OSDU-services, die tijdens het opnameproces worden gebruikt. De combinatie van OSDU-services is afhankelijk van de opnamemethode. Zie voor manifestopname bijvoorbeeld concepten voor op manifest gebaseerde opname om inzicht te krijgen in de OSDU-services die door API's worden gebruikt. De gebruiker hoeft geen deel uit te maken van de ACL om de gegevens te uploaden.

Servicegroepen

  • Servicegroepen worden gebruikt om autorisatie voor services in te schakelen.
  • De servicegroepen beginnen met het woord 'service', zoals service.storage.user en service.storage.admin.
  • De servicegroepen zijn vooraf gedefinieerd wanneer OSDU-services worden ingericht in elke gegevenspartitie van het Azure Data Manager for Energy-exemplaar.
  • Met deze groepen kunt viewereditoradmin u de OSDU-API's aanroepen die overeenkomen met de OSDU-services.

Gebruikersgroepen

  • Gebruikersgroepen worden gebruikt voor hiërarchische groepering van gebruikers- en servicegroepen.
  • De servicegroepen beginnen met het woord 'gebruikers', zoals users.datalake.viewers en users.datalake.editors.

Geneste hiërarchie

  • Als user_1 deel uitmaakt van een data_group_1 en data_group_1 als lid aan de user_group_1 wordt toegevoegd, controleert OSDU-code op het geneste lidmaatschap en autoriseert user_1 om toegang te krijgen tot de rechten voor user_group_1. Dit wordt uitgelegd in de OSDU-rechtencontrole-API en OSDU Group API ophalen.

  • U kunt afzonderlijke gebruikers toevoegen aan een user group. De user group wordt vervolgens toegevoegd aan een data group. De gegevensgroep wordt toegevoegd aan de ACL van de gegevensrecord. Het maakt abstractie mogelijk voor de gegevensgroepen, omdat afzonderlijke gebruikers niet één voor één hoeven te worden toegevoegd aan de gegevensgroep. In plaats daarvan kunt u gebruikers toevoegen aan de user group. Vervolgens kunt u de user group herhaaldelijk gebruiken voor meerdere data groups. De geneste structuur biedt schaalbaarheid voor het beheren van lidmaatschappen in OSDU.

Standaardgroepen

  • Sommige OSDU-groepen worden standaard gemaakt wanneer een gegevenspartitie wordt ingericht.
  • Gegevensgroepen van data.default.viewers en data.default.owners worden standaard gemaakt.
  • Servicegroepen voor het weergeven, bewerken en beheren van elke service, zoals service.entitlement.admin en service.legal.editor worden standaard gemaakt.
  • Gebruikersgroepen vanusers, users.datalake.viewers, , users.datalake.editors, en users.datalake.adminsusers.datalake.opsusers.data.root worden standaard gemaakt.
  • In de grafiek met standaardleden en groepen in bootstrapped OSDU-rechtengroepen worden de kolomkopgroepen weergegeven als lid van rijkoppen. Groep is bijvoorbeeld users lid van data.default.viewers en data.default.owners standaard. users.datalake.admins en users.datalake.ops lid zijn van service.entitlement.admin de groep.
  • Service-principal of de client-id of de app-id is de standaardeigenaar van alle groepen.

Eigenaardigheid van users@ groep

  • Er is één uitzondering op deze groepsnaamregel voor de groep 'gebruikers'. Het wordt gemaakt wanneer een nieuwe gegevenspartitie wordt ingericht en de naam volgt het patroon .users@{partition}.{domain}
  • Deze bevat de lijst met alle gebruikers met elk type toegang in een specifieke gegevenspartitie. Voordat u een nieuwe gebruiker toevoegt aan rechtengroepen, moet u de nieuwe gebruiker ook toevoegen aan de users@{partition}.{domain} groep.

Eigenaardigheid van users.data.root@ groep

  • users.data.root entitlement group is het standaardlid van alle gegevensgroepen wanneer groepen worden gemaakt. Als u gebruikers.data.root probeert te verwijderen uit een gegevensgroep, krijgt u een foutmelding omdat dit lidmaatschap wordt afgedwongen door OSDU.
  • users.data.root wordt automatisch de standaard- en permanente eigenaar van alle gegevensrecords wanneer de records worden gemaakt in het systeem, zoals wordt uitgelegd in OSDU, de toegangs-API voor eigenaars en OSDU-gebruikersgegevens van de hoofdcontrole-API valideren. Als gevolg hiervan controleert het systeem, ongeacht het OSDU-lidmaatschap van de gebruiker, of de gebruiker DataManager is, bijvoorbeeld een onderdeel van de data.root-groep, om toegang te verlenen tot de gegevensrecord.
  • Het standaardlidmaatschap in users.data.root is alleen het app-id lidmaatschap dat wordt gebruikt om het exemplaar in te stellen. U kunt andere gebruikers expliciet toevoegen aan deze groep om ze standaardtoegang te geven tot gegevensrecords.

Als voorbeeld in het scenario,

  • Een data_record_1 heeft 2 ACL's: ACL_1 en ACL_2.
  • User_1 is lid van ACL_1 en users.data.root.

Als u nu user_1 verwijdert uit ACL_1, blijft user_1 toegang hebben tot de data_record_1 via de groep users.data.root.

En als ACL_1 en ACL_2 worden verwijderd uit data_record_1, blijven users.data.root eigenaar van de gegevens. Hierdoor blijft de gegevensrecord altijd zwevend.

Onbekende OID

U ziet één onbekende OID in alle OSDU-groepen die standaard zijn toegevoegd. Deze OID verwijst naar een interne Azure Data Manager for Energy Instance ID die wordt gebruikt voor systeem-naar-systeemcommunicatie. Deze OID wordt uniek gemaakt voor elk exemplaar.

Gebruikers

Voor elke OSDU-groep kunt u een gebruiker toevoegen als eigenaar of lid:

  • Als u eigenaar bent van een OSDU-groep, kunt u de leden van die groep toevoegen of verwijderen of de groep verwijderen.
  • Als u lid bent van een OSDU-groep, kunt u de service of gegevens bekijken, bewerken of verwijderen, afhankelijk van het bereik van de OSDU-groep. Als u bijvoorbeeld lid bent van de service.legal.editor OSDU-groep, kunt u de API's aanroepen om de juridische service te wijzigen.

Notitie

Verwijder de EIGENAAR van een groep alleen als er een andere EIGENAAR is om de gebruikers te beheren.

Rechten-API's

Zie de SERVICE OSDU-rechten voor een volledige lijst met rechten-API-eindpunten. Een paar illustraties over het gebruik van Rechten-API's zijn beschikbaar in Gebruikers beheren.

Notitie

De OSDU-documentatie verwijst naar v1-eindpunten, maar de scripts in deze documentatie verwijzen naar v2-eindpunten, die werken en zijn gevalideerd.

OSDU® is een handelsmerk van The Open Group.

Volgende stappen

Zie voor de volgende stap:

U kunt ook gegevens opnemen in uw Azure Data Manager for Energy-exemplaar: