Berättigandetjänst

Åtkomsthantering är en viktig funktion för alla tjänster eller resurser. Med berättigandetjänsten kan du styra vem som kan använda din Azure Data Manager för Energy-instans, vad de kan se eller ändra och vilka tjänster eller data de kan använda.

STRUKTUR och namngivning av OSDU-grupper

Med berättigandetjänsten för Azure Data Manager for Energy kan du skapa grupper och hantera medlemskap i grupperna. En berättigandegrupp definierar behörigheter för tjänster eller datakällor för en specifik datapartition i din Azure Data Manager for Energy-instans. Användare som har lagts till i en specifik grupp hämtar de associerade behörigheterna. Alla gruppidentifierare (e-postmeddelanden) är av formuläret {groupType}.{serviceName|resourceName}.{permission}@{partition}.{domain}.

Olika grupper och associerade användarrättigheter måste anges för varje ny datapartition, även i samma Azure Data Manager för Energy-instans.

Typer av OSDU-grupper

Rättighetstjänsten möjliggör tre användningsfall för auktorisering:

Datagrupper

• Datagrupper används för att aktivera auktorisering för data.
• Datagrupperna börjar med ordet "data", till exempel data.welldb.viewers och data.welldb.owners.
• Enskilda användare läggs till i datagrupperna, som läggs till i ACL för enskilda dataposter för att aktivera viewer och owner komma åt data när data har lästs in i systemet.
• För upload data måste du ha rättigheter för olika OSDU-tjänster, som används under inmatningsprocessen. Kombinationen av OSDU-tjänster beror på metoden för inmatning. För manifestinmatning kan du till exempel läsa Manifestbaserade inmatningsbegrepp för att förstå DE OSDU-tjänster som API:er använde. Användaren behöver inte vara en del av ACL :en för att ladda upp data.

Tjänstgrupper

• Tjänstgrupper används för att aktivera auktorisering för tjänster.
• Tjänstgrupperna börjar med ordet "tjänst", till exempel service.storage.user och service.storage.admin.
• Tjänstgrupperna är fördefinierade när OSDU-tjänster etableras i varje datapartition i Azure Data Manager for Energy-instansen.
• Dessa grupper aktiverar viewer, editoroch admin åtkomst för att anropa OSDU-API:er som motsvarar OSDU-tjänsterna.

Användargrupper

• Användargrupper används för hierarkisk gruppering av användar- och tjänstgrupper.
• Tjänstgrupperna börjar med ordet "användare", till exempel users.datalake.viewers och users.datalake.editors.

Kapslad hierarki

• Om user_1 ingår i en data_group_1 och data_group_1 läggs till som medlem i user_group_1, söker OSDU-koden efter det kapslade medlemskapet och ger user_1 åtkomst till berättigandena för user_group_1. Detta förklaras i API :et för berättigandekontroll i OSDU och OSDU:s hämtningsgrupps-API.

• Du kan lägga till enskilda användare i en user group. user group Läggs sedan till i en data group. Datagruppen läggs till i ACL för dataposten. Det möjliggör abstraktion för datagrupperna eftersom enskilda användare inte behöver läggas till en i taget i datagruppen. I stället kan du lägga till användare i user group. Sedan kan du använda user group upprepade gånger för flera data groups. Den kapslade strukturen hjälper till att ge skalbarhet för att hantera medlemskap i OSDU.

Standardgrupper

• Vissa OSDU-grupper skapas som standard när en datapartition etableras.
• Datagrupper av data.default.viewers och data.default.owners skapas som standard.
• Tjänstgrupper för att visa, redigera och administrera varje tjänst, till exempel service.entitlement.admin och service.legal.editor skapas som standard.
• Användargrupper av users, users.datalake.viewers, users.datalake.editors, users.datalake.admins, users.datalake.opsoch users.data.root skapas som standard.
• Diagrammet med standardmedlemmar och grupper i Bootstrapped OSDU-berättigandegrupper visar kolumnrubrikgrupperna som medlem i radrubriker. Gruppen är till exempel users medlem i data.default.viewers och data.default.owners som standard. users.datalake.admins och users.datalake.ops är medlem i service.entitlement.admin gruppen.
• Tjänstens huvudnamn eller client-id eller app-id är standardägaren för alla grupper.

Egenhet i users@ grupp

• Det finns ett undantag från den här namngivningsregeln för gruppen "användare". Den skapas när en ny datapartition etableras och namnet följer mönstret users@{partition}.{domain}för .
• Den innehåller en lista över alla användare med alla typer av åtkomst i en specifik datapartition. Innan du lägger till en ny användare i berättigandegrupper måste du också lägga till den nya användaren i users@{partition}.{domain} gruppen.

Egenhet i users.data.root@ grupp

• users.data.root-berättigandegrupp är standardmedlem i alla datagrupper när grupper skapas. Om du försöker ta bort users.data.root från en datagrupp får du ett felmeddelande eftersom det här medlemskapet tillämpas av OSDU.
• users.data.root blir automatiskt standard och permanent ägare av alla dataposter när posterna skapas i systemet enligt beskrivningen i OSDU verifierar api :et för ägaråtkomst och OSDU-användares datarotkontroll-API. Oavsett användarens OSDU-medlemskap kontrollerar systemet därför om användaren är "DataManager", dvs. en del av data.root-gruppen, för att bevilja åtkomst till dataposten.
• Standardmedlemskapet i users.data.root är bara app-id det som används för att konfigurera instansen. Du kan uttryckligen lägga till andra användare i den här gruppen för att ge dem standardåtkomst till dataposter.

Som ett exempel i scenariot

• En data_record_1 har två ACL:er: ACL_1 och ACL_2.
• User_1 är medlem i ACL_1 och users.data.root.

Om du nu tar bort user_1 från ACL_1 återstår user_1 att ha åtkomst till data_record_1 via users.data.root-gruppen.

Och om ACL_1 och ACL_2 tas bort från data_record_1 fortsätter users.data.root att ha ägaråtkomst till data. Detta förhindrar att dataposten blir överbliven någonsin.

Okänd OID

Du ser en okänd OID i alla OSDU-grupper som har lagts till som standard. Den här OID:en refererar till ett internt Azure Data Manager for Energy-instans-ID som används för system-till-systemkommunikation. Den här OID:en skapas unikt för varje instans.

Användare

För varje OSDU-grupp kan du lägga till en användare som ägare eller MEDLEM:

• Om du är ÄGARE till en OSDU-grupp kan du lägga till eller ta bort medlemmarna i gruppen eller ta bort gruppen.
• Om du är medlem i en OSDU-grupp kan du visa, redigera eller ta bort tjänsten eller data beroende på OSDU-gruppens omfång. Om du till exempel är medlem i service.legal.editor OSDU-gruppen kan du anropa API:erna för att ändra den juridiska tjänsten.

Kommentar

Ta inte bort ägaren till en grupp om det inte finns en annan ÄGARE för att hantera användarna.

Api:er för berättigande

En fullständig lista över api-slutpunkter för berättigande finns i OSDU-berättigandetjänsten. Några illustrationer av hur du använder berättigande-API:er finns i Hantera användare.

Kommentar

OSDU-dokumentationen refererar till v1-slutpunkter, men skripten som anges i den här dokumentationen refererar till v2-slutpunkter som fungerar och har verifierats.

OSDU® är ett varumärke som tillhör The Open Group.

Nästa steg

Nästa steg finns i:

• Hantera användare
• Hantera juridiska taggar
• Hantera ACL:er

Du kan också mata in data i din Azure Data Manager for Energy-instans:

• Självstudie om CSV-parserinmatning
• Självstudie om manifestinmatning