Dela via

Rollbaserad åtkomstkontroll i tjänsten Miljökrediter (förhandsversion)

  • Artikel

Microsoft Cloud for Sustainability-ikon. Microsoft Cloud for Sustainability - Kostnadsfri utvärderingsversion

Microsoft Cloud for Sustainability Technical Summit maj 2024

Viktigt

Några eller alla dessa funktioner ingår som en del av en förhandsversion. Innehållet och funktionerna kan komma att ändras. Du kan få åtkomst till Begränsat läge för tjänsten Miljökrediter (förhandsversion) i en 30-dagars utvärderingsversion. Om du vill använda tjänsten Miljökrediter (förhandsversion) i en produktionsmiljö slutför du registreringsformuläret för tjänsten Miljökrediter (förhandsversion).

Med rollbaserad åtkomstkontroll kan du kontrollera åtkomsten till olika åtgärder i programmet, baserat på behörigheterna för de roller som tilldelats användare i organisationen. Du kan tilldela och ta bort roller som tilldelats användare i organisationen för fin kontroll.

Varje frivillig ekologisk marknadsorganisation för ekosystem spelar en specifik roll kallad en marknadsroll i tjänsten Miljökrediter (förhandsversion). Varje organisation kommer att registrera användare i tjänsten Miljökrediter (förhandsversion) och tilldela användarroller. Resurser som ekologiska projekt eller program, projekt för modulär förmån, anspråk och tokens tillhör en organisation istället för en användare.

Tilldela användarroller

En användarroll definieras som en samling behörigheter som tillåter särskilda åtgärder i programmet. Du kan tilldela dessa användarroller på organisationsnivå eller på tillgångsnivå inom ramen för en specifik marknadsroll. Följande användarroller stöds av tjänsten Miljökrediter (förhandsversion):

Användarroll Behörigheter
Administratör En administratör kan utföra alla åtgärder som stöds för dataåtgärder på de associerade resurserna, till exempel skapa, uppdatera, läsa och ta bort. De kan också utföra hanteringsåtgärder, till exempel registrering av användare i organisationen och skapa eller uppdatera rolltilldelningar för dem.
Deltagare Deltagare kan utföra alla åtgärder som stöds för dataåtgärder på de associerade resurserna, till exempel skapa, uppdatera, läsa och ta bort. De får också läsbehörighet på ledningsnivå.
Läsare En Läsare kan utföra läsåtgärder på den associerade datanivån och på resurser på ledningsnivå.

Hantera roller på organisationsnivå för en marknadsroll

Följande funktioner stöds för rollbaserad åtkomstkontroll på organisationsnivå när det gäller specifika marknadsroller. Om en organisation till exempel är verksam som inköpare har den en marknadsroll (köparen). På organisationsnivå kan en användare på den här organisationen ha användarrollen köpare administratör, köpare deltagare eller köpare läsare.

En organisation kan ha flera marknadsroller. Om en annan organisation till exempel fungerar både som ett register och en marknadsplats, har den två marknadsroller. En användare i den här organisationen skulle kunna ha en roll som leverantörsadministratör i sammanhanget med leverantörsmarknadsrollen och en roll som utfärdande registerläsare i samband med rollen som utfärdande register.

Hantera roller på tillgångsnivå

Du kan hantera användarprivilegier på tillgångsnivå inom organisationen. En administratör på organisationsnivå eller en deltagare kan skapa nya tillgångar. Administratören på organisationsnivå kan också lägga till användare i tillgången och tilldela dem roller.

  • Administratör på tillgångsnivå: En administratör på resursnivå tilldelas administratörsanvändarrollen med en specifik detaljerad omfattning för en tillgång i organisationen. En användare tilldelas till exempel en leverantörsadministratörsroll i omfattningen av projekt för fördelar för leverantörer i en organisations marknadsroll. De kan utföra alla åtgärder som stöds för data för tillgången, till exempel läsa och skriva. De kan också utföra hanteringsåtgärder, till exempel registrering av användare i organisationen på den specifika tillgång som de är administratör för.

  • Tillgångsnivå för deltagare: En tillgångsnivå deltagare kan utföra alla dataåtgärder som stöds för tillgången, till exempel läsa och uppdatera tillgången. De kan läsa rolltilldelningarna för de andra användarna eller grupperna som finns där.

  • Läsare på tillgångsnivå: En tillgångsnivå Läsare kan utföra läsåtgärder för tillgången. De kan läsa rolltilldelningarna för de andra användarna eller grupperna som finns där.

Kommentar

Hierarkin för åtkomst uppifrån och ned bevaras. Om en användare till exempel har en administratörsanvändarroll i rollen som leverantörsmarknadsleverantör i organisationens omfattning, får användaren automatiskt åtkomst på administratörsnivå för alla tillgångar (t.ex. för projekt som är till nytta för leverantörer och projekt för företagsutveckling). Om en annan användare har administratörsbehörighet på tillgångsnivå (t.ex. för ett ekologiskt projekt) får användaren tillgång till alla tillgångar under det.

Funktioner som stöds för rollbaserad åtkomstkontroll

Förutsättningar för användning av Postman-samlingen för API:er

Du kan ställa in Postman-samlingen med miljökonfigurationen för organisationerna och deras administratörer enligt följande:

  • Ange användarinformationen i de olika variablerna (till exempel: <marketRole>_admin_username) i brevsamlingen för olika marknadsroller som du vill använda, tillsammans med deras respektive lösenord.

  • Skapa en ny Postman-miljö och växla till den innan några API:er i samlingen körs.

  • Kör mappen Konfigurera organisationer för den specifika marknadsroll du vill använda för att konfigurera egenskaperna för organisationen (och deras respektive administratörer) i Postman-miljön.

  • Kör rolldefinitionerna > hämta alla rolldefinitioner API för att få information om alla inbyggda användarrollsdefinitioner i Postman-miljön. Svaret från rolldefinitionens API kan användas för att lära dig mer om de tilldelningsbara omfattningar som kan tilldelas användarna.

Lägg till användare

Du kan lägga till användare och hantera deras roller inom organisationen genom att växla till menyn Inställningar i vänster navigering.

Kommentar

Du kan inte lägga till en användare som redan har lagts till.

  1. På skärmen Användaråtkomst välj Lägg till användare.
  2. I rutan Lägg till användare ange Användare, välj Åtkomstnivå och välj Spara. Skärmbild av hur du lägger till en användare i rutan Lägg till användare.

Via API:

Kommentar

Mappen Registrera användare i Postman-samlingen har stöd för enklickskörning. Men vi rekommenderar att du använder enskilda API:er för att prova registrera användare och bekanta dig med API:erna.

  • För alla organisationsmappar till exempel Leverantör, i mappen Registrera användare för Postman-samlingen, ställ in organisationen och dess administratör genom att ringa Hämta information om organisation och Få användarinformation för administration API:er.

  • Om du vill registrera deltagare användare måste du kontrollera att den autentisering som krävs för API:et motsvarar administratörsanvändare. Nyttolasten för förfrågan försöker lägga till en ny användare med den inbyggda deltagare, till exempel rollen leverantör deltagare användare. Om du skickar förfrågan om att registrera deltagare.

  • På samma sätt kan du registrera en läsare användare i organisationen med motsvarande roll för läsare, till exempel rollen leverantör läsare användare.

Ändra rolltilldelningar

När du har lagt till användare kan du ändra användarrollen som tilldelats dem.

Kommentar

Du kan inte redigera din egen åtkomst.

  1. På skärmen Användaråtkomst välj de tre prickarna bredvid användaren och välj Redigera.
  2. I rutan Redigera åtkomst välj den nya rollen i listrutan Åtkomstnivå och välj sedan Spara. Skärmbild på skärmen Redigera åtkomst som tar bort en användare.

Via API:

  1. Navigera till mappen Rolltilldelningar i samlingen.

  2. Använd API Skapa rolltilldelning som en tillgång. Som standard tilldelas deltagare rollen den leverantörsanvändare Läsare använder leverantörsadministratörerna åtkomsttoken.

    Kommentar

    Det här exemplet visar hur API för rolltilldelning fungerar. Du kan tilldela användare från olika organisationer en annan användarroll genom att ange administratörskonton. Du kan ändra resurs-URI för omfattningen till ett giltigt tillgångs-URI för rolldefinitionen. Ersätt miljövariablerna i förfrågans nyttolast (roleDefinitionId och userId), ändra begärandeparametrar för brödtext resourceUri och ändra miljövariabeln för administratörsåtkomst token så att den matchar respektive administratörsanvändarkonto.

    Du kan skicka API:et för skapande av rolltilldelning med olika värden för rolldefinitionsidentifieraren (roleDefinitionId) som ska tilldelas till de olika användarna i organisationen egenskap i begärans nyttolast som (userId) som en annan omfattning (resourceUri). Du kan ändra auktoriseringsrubrik så att den motsvarar respektive administratörsanvändares åtkomsttoken.

    Organisationsadministratören kan inte tilldela användarroller utanför organisationen och de kan inte tilldela roller till användare utanför organisationen.

  3. Använd Uppdatera rolltilldelning API för att uppdatera en användares åtkomst. Du kan till exempel upphöja en användare till leverantörsadministratör. Kontrollera att roleassignment_id i API-parametern.

Ta bort rolltilldelningar

Administratörsanvändaren kan ta bort befintliga rolltilldelningar för deltagarna efter behov.

Kommentar

Du kan inte ta bort din egen åtkomst.

  1. På skärmen Användaråtkomst välj de tre prickarna bredvid användaren och välj Redigera.
  2. I rutan Redigera åtkomst välj Ingen i listrutan Åtkomstnivå och välj Spara. Skärmbild på skärmen Redigera åtkomst som tar bort en användare.

Via API:

  1. Konfigurera administratörsrollen som motsvarar organisationen för användaren vars rolltilldelning måste tas bort.

  2. Navigera till mappen Rolltilldelningar och välj API för borttagning av rolltilldelning .

  3. Ange rätt roleassignment_id i API-parametern.

  4. Anropa DELETE /roleAssignments/{{roleassignment_id}} genom att ställa in behörighetsrubriken med respektive administratörsanvändares åtkomsttoken (variabler från Postman-miljön kan användas för att prova användare med olika roller från olika organisationer).

Visa och ändra profilinformation

Om du vill visa din profilinformation väljer du Mitt konto i den vänstra navigeringen.

Om du vill redigera dina inställningar markerar du ikonen Redigera i avsnittet Inställningar och väljer den startsida du vill använda. Listan visar vilka olika marknadsroller den inloggade användaren har.

Skärmbild på redigeringsinställningar.

Via API:

  1. Använd API POST /organizations/{organizationId}/users/{userId}/setMyDefaultMarketRole API för att växla en användares standardmarknadsroll Auktoriseringsrubriken måste använda åtkomsttoken för samma användares behörighet som skickades i URL-parametern userId . Användaren måste ha viss åtkomst till den nya marknadsrollen som standard.

Visa rolldefinitioner

En användare med valfri roll kan visa olika rolldefinitioner.

Att visa rolldefinitioner via API:

  1. Navigera till mappen Rolldefinitioner och välj API för Hämta alla rolldefinitioner .

  2. Anropa GET /roleDefinitions genom att ställa in behörighetsrubriken med respektive användares åtkomsttoken (variabler från Postman-miljön kan användas för att prova användare med olika roller från olika organisationer).

Att visa rolldefinitioner efter ID:

  1. Navigera till mappen Rolldefinitioner och välj API för Hämta rolldefinition efter Id .

  2. Anropa GET /roleDefinitions/{{id}} genom att ställa in rolldefinitionsidentifieraren i begäran-URL behörighetsrubriken med respektive användares åtkomsttoken (variabler från Postman-miljön kan användas för att prova användare med olika roller från olika organisationer).

Visa användare och tilldelade roller

En användare med valfri roll kan visa användare i organisationen tillsammans med deras tilldelade roller.

  • Navigera till åtkomstskärmen användaråtkomst och visa de användare som har åtkomst.

    Skärmbild på skärmen Användare som visar användare och deras roller.

Via API:

  1. Navigera till mappen Användare.
  2. Anropa Hämta alla användare i organisationen genom att ställa in behörighetsrubriken med användares åtkomsttoken från respektive organisation (variabler från Postman-miljön kan användas för att prova användare med olika roller från olika organisationer).
  3. Navigera till mappen Rolltilldelningar.
  4. Anropa Få alla rolltilldelningar i min standardmarknadsroll för att få rolltilldelningarna i standardmarknadsrollen för uppringarens identitet baserat på resourceUri frågeparameter.

Hantera åtkomstkontroller för flera organisationer för dina tillgångar

Administratörsanvändaren kan hantera åtkomst för tillgångar över organisationer. Detta kan användas i flera scenarier som om en leverantör hade försäkrade krediter till en köpare och de inte vill att andra köpare ska se krediten. Ett annat exempel är insatser som ska användas inom samma värdekedja.

För att kunna ge support åt dessa scenarier har tjänsten Miljökrediter (förhandsversion) följande funktioner:

  • En administratör kan hantera om han eller hon vill att tillgången ska vara synlig för alla marknadsroller eller inte. Till exempel kan en leverantör som vill använda krediterna för insättningar bestämma sig för att dölja krediternas synlighet för alla köpare. Som standard visas alla marknadsroller för tillgången, som administratören kan växla mellan.

  • En administratör kan hantera om han eller hon vill att tillgången till alla organisationer som har en marknadsroll eller inte. Till exempel kan en leverantör ha försäkrade krediter till en köpare. Administratören kan hantera synligheten så att krediter inte visas för andra köpare förutom den avsedda.

Som standard kan alla organisationer se tillgångar som giltigt projekt, projekt för förmånspoäng och krediter, som administratören kan växla mellan. Administratören kan ange en åtkomstpolicy för flera organisationer för detta på olika nivåer, från lägsta till högsta prioritet enligt följande:

  • Organisationer: En policy för flera organisationer på organisationsnivå förutsätter att åtkomstkontrollen för flera organisationer tillämpas för alla tillgångar i organisationerna.

  • Ekologiska projekt: En organisationsövergripande policy på ekologisk projektnivå har högre prioritet än föregående lager. Det förutsätter åtkomstkontroll för flera organisationer för det specifika projekt som är förser med arbete och alla tillgångar inom det. Om en policy för flera organisationer anges på den här nivån har den prioritet över alla policyer som anges på organisationsnivå. Detta kan anges av en användare med administratörsbehörighet som är berättigad till projektomfattningen.

  • Modulärt förmånsprojekt: En organisationsövergripande policy på modulärt förmånsprojektnivå har högre prioritet än föregående lager. Det förutsätter åtkomstkontroll för flera organisationer för det specifika modulära förmånsprojekt och alla tillgångar inom det. Om en policy för flera organisationer anges på den här nivån har den prioritet över alla policyer som anges på ett av ovanstående lager. Detta kan anges av en användare med administratörsbehörighet som är berättigad till projektomfattningen för modulär förmån.

  • Krediter: En organisationsövergripande policy på kreditnivå har högre prioritet än föregående lager. Det förutsätter åtkomstkontroll för flera organisationer för den specifika krediten. Om en policy för flera organisationer anges på den här nivån har den prioritet över alla policyer som anges på ett av ovanstående lager. Detta kan anges av en användare med administratörsbehörighet som är berättigad till projektomfattningen för modulär förmån.

Kommentar

Administratörer kan ange en policy för flera organisationer för de tillgångar de äger. Leverantör och Köpare är de två marknadsroller som kan sätta upp riktlinjer för flera organisationer över organisationen. Leverantören kan ange den baserat på deras projekt, projekt för fördelar och krediter. Köpare kan ange den på sina egna krediter. När du anropar API anger rubriken x-ms-marketRole tjänsten om i vilket sammanhang som administratörsanvändaren anropar den marknadsrollen.

Via UX:

Från UX kan administratören på organisationsnivå policy för närvarande ange en organisationsövergripande på organisationsnivå.

  1. Välj Organisationsåtkomst i vänstra navigeringen.

  2. Välj Redigera för den organisation du vill ändra och uppdatera vid behov.

    Skärmdump av skärmen för organisationsåtkomst som visar organisationsövergripande åtkomständringar.

Via API:

  1. Navigera till mappen Organisationer i Postman och använd API Ställ in organisationsövergripande policy på organisationsnivå för att ange en policy på organisationsnivå under standardmarknadsrollen.
  2. Navigera till mappen Skapande av ekologiska projekt i Postman och använd API Ange organisationsövergripande åtkomstpolicy för ekologiska projekt för att fastställa en policy på den specifika projektnivån.
  3. Navigera till mappen Skapande av ekologiska projekt i Postman och använd API Ange organisationsövergripande åtkomstpolicy för ekologiska projekt för att fastställa en policy på den specifika projektnivån för modulär förmån.
  4. Navigera till mappen Krediter i Postman och använd API Ange organisationsövergripande åtkomstpolicy för kredit för att fastställa en policy på den specifika kreditnivån.

Använda grupper för att hantera åtkomst

En administratör kan skapa grupper, hantera användarna i en grupp och tilldela roller till grupper. Den här funktionen stöds för närvarande endast via API:er.

  • Skapa en användargrupp och lägg till användare i den:

    POST /organizations/{{organization_id}}/groups

  • Hämta alla användargrupper i organisationen:

    GET /organizations/{{organization_id}}/groups

  • Skaffa en användargrupp efter ID:

    GET /organizations/{{organization_id}}/groups/{{group_id}}

  • Hämta användare i en användargrupp:

    GET /organizations/{{organization_id}}/groups/{{group_id}}/users

  • Lägg till användare i en användargrupp:

    POST /organizations/{{organization_id}}/groups/{{group_id}}/addUsers

  • Ta bort en användare från en användargrupp:

    DELETE /organizations/{{organization_id}}/groups/{{group_id}}/users/{{user_id}}

  • Registrering av användare till en användargrupp:

    POST /organizations/{{organization_id}}/groups/{{group_id}}/addNewUsers

  • Skapa en rolltilldelning för en användargrupp:

    POST /roleAssignments

  • Ta bort en tilldelning av en användargrupproll:

    DELETE /roleAssignments/{{roleAssignmentId}}

Se även

Översikt över tjänsten Miljökrediter (förhandsversion)
Ordlista för tjänsten Miljökrediter (förhandsversion)
Översikt över API-referens för tjänsten Miljökrediter (förhandsversion)

Microsoft Cloud for Sustainability-ikon.ProduktsidaRegistreringsikon.Kostnadsfri utvärderingsversionCommunity-ikon.Community