Berättigandetjänst
Åtkomsthantering är en viktig funktion för alla tjänster eller resurser. Med berättigandetjänsten kan du styra vem som kan använda din Azure Data Manager för Energy-instans, vad de kan se eller ändra och vilka tjänster eller data de kan använda.
STRUKTUR och namngivning av OSDU-grupper
Med berättigandetjänsten för Azure Data Manager for Energy kan du skapa grupper och hantera medlemskap i grupperna. En berättigandegrupp definierar behörigheter för tjänster eller datakällor för en specifik datapartition i din Azure Data Manager for Energy-instans. Användare som har lagts till i en specifik grupp hämtar de associerade behörigheterna. Alla gruppidentifierare (e-postmeddelanden) är av formuläret {groupType}.{serviceName|resourceName}.{permission}@{partition}.{domain}
.
Olika grupper och associerade användarrättigheter måste anges för varje ny datapartition, även i samma Azure Data Manager för Energy-instans.
Typer av OSDU-grupper
Rättighetstjänsten möjliggör tre användningsfall för auktorisering:
Datagrupper
- Datagrupper används för att aktivera auktorisering för data.
- Datagrupperna börjar med ordet "data", till exempel
data.welldb.viewers
ochdata.welldb.owners
. - Enskilda användare läggs till i datagrupperna, som läggs till i ACL för enskilda dataposter för att aktivera
viewer
ochowner
komma åt data när data har lästs in i systemet. - För
upload
data måste du ha rättigheter för olika OSDU-tjänster, som används under inmatningsprocessen. Kombinationen av OSDU-tjänster beror på metoden för inmatning. För manifestinmatning kan du till exempel läsa Manifestbaserade inmatningsbegrepp för att förstå DE OSDU-tjänster som API:er använde. Användaren behöver inte vara en del av ACL :en för att ladda upp data.
Tjänstgrupper
- Tjänstgrupper används för att aktivera auktorisering för tjänster.
- Tjänstgrupperna börjar med ordet "tjänst", till exempel
service.storage.user
ochservice.storage.admin
. - Tjänstgrupperna är fördefinierade när OSDU-tjänster etableras i varje datapartition i Azure Data Manager for Energy-instansen.
- Dessa grupper aktiverar
viewer
,editor
ochadmin
åtkomst för att anropa OSDU-API:er som motsvarar OSDU-tjänsterna.
Användargrupper
- Användargrupper används för hierarkisk gruppering av användar- och tjänstgrupper.
- Tjänstgrupperna börjar med ordet "användare", till exempel
users.datalake.viewers
ochusers.datalake.editors
.
Kapslad hierarki
Om user_1 ingår i en data_group_1 och data_group_1 läggs till som medlem i user_group_1, söker OSDU-koden efter det kapslade medlemskapet och ger user_1 åtkomst till berättigandena för user_group_1. Detta förklaras i API :et för berättigandekontroll i OSDU och OSDU:s hämtningsgrupps-API.
Du kan lägga till enskilda användare i en
user group
.user group
Läggs sedan till i endata group
. Datagruppen läggs till i ACL för dataposten. Det möjliggör abstraktion för datagrupperna eftersom enskilda användare inte behöver läggas till en i taget i datagruppen. I stället kan du lägga till användare iuser group
. Sedan kan du användauser group
upprepade gånger för fleradata groups
. Den kapslade strukturen hjälper till att ge skalbarhet för att hantera medlemskap i OSDU.
Standardgrupper
- Vissa OSDU-grupper skapas som standard när en datapartition etableras.
- Datagrupper av
data.default.viewers
ochdata.default.owners
skapas som standard. - Tjänstgrupper för att visa, redigera och administrera varje tjänst, till exempel
service.entitlement.admin
ochservice.legal.editor
skapas som standard. - Användargrupper av
users
,users.datalake.viewers
,users.datalake.editors
,users.datalake.admins
,users.datalake.ops
ochusers.data.root
skapas som standard. - Diagrammet med standardmedlemmar och grupper i Bootstrapped OSDU-berättigandegrupper visar kolumnrubrikgrupperna som medlem i radrubriker. Gruppen är till exempel
users
medlem idata.default.viewers
ochdata.default.owners
som standard.users.datalake.admins
ochusers.datalake.ops
är medlem iservice.entitlement.admin
gruppen. - Tjänstens huvudnamn eller
client-id
ellerapp-id
är standardägaren för alla grupper.
Egenhet i users@
grupp
- Det finns ett undantag från den här namngivningsregeln för gruppen "användare". Den skapas när en ny datapartition etableras och namnet följer mönstret
users@{partition}.{domain}
för . - Den innehåller en lista över alla användare med alla typer av åtkomst i en specifik datapartition. Innan du lägger till en ny användare i berättigandegrupper måste du också lägga till den nya användaren i
users@{partition}.{domain}
gruppen.
Egenhet i users.data.root@
grupp
- users.data.root-berättigandegrupp är standardmedlem i alla datagrupper när grupper skapas. Om du försöker ta bort users.data.root från en datagrupp får du ett felmeddelande eftersom det här medlemskapet tillämpas av OSDU.
- users.data.root blir automatiskt standard och permanent ägare av alla dataposter när posterna skapas i systemet enligt beskrivningen i OSDU verifierar api :et för ägaråtkomst och OSDU-användares datarotkontroll-API. Oavsett användarens OSDU-medlemskap kontrollerar systemet därför om användaren är "DataManager", dvs. en del av data.root-gruppen, för att bevilja åtkomst till dataposten.
- Standardmedlemskapet i users.data.root är bara
app-id
det som används för att konfigurera instansen. Du kan uttryckligen lägga till andra användare i den här gruppen för att ge dem standardåtkomst till dataposter.
Som ett exempel i scenariot
- En data_record_1 har två ACL:er: ACL_1 och ACL_2.
- User_1 är medlem i ACL_1 och users.data.root.
Om du nu tar bort user_1 från ACL_1 återstår user_1 att ha åtkomst till data_record_1 via users.data.root-gruppen.
Och om ACL_1 och ACL_2 tas bort från data_record_1 fortsätter users.data.root att ha ägaråtkomst till data. Detta förhindrar att dataposten blir överbliven någonsin.
Okänd OID
Du ser en okänd OID i alla OSDU-grupper som har lagts till som standard. Den här OID:en refererar till ett internt Azure Data Manager for Energy-instans-ID som används för system-till-systemkommunikation. Den här OID:en skapas unikt för varje instans.
Användare
För varje OSDU-grupp kan du lägga till en användare som ägare eller MEDLEM:
- Om du är ÄGARE till en OSDU-grupp kan du lägga till eller ta bort medlemmarna i gruppen eller ta bort gruppen.
- Om du är medlem i en OSDU-grupp kan du visa, redigera eller ta bort tjänsten eller data beroende på OSDU-gruppens omfång. Om du till exempel är medlem i
service.legal.editor
OSDU-gruppen kan du anropa API:erna för att ändra den juridiska tjänsten.
Kommentar
Ta inte bort ägaren till en grupp om det inte finns en annan ÄGARE för att hantera användarna.
Api:er för berättigande
En fullständig lista över api-slutpunkter för berättigande finns i OSDU-berättigandetjänsten. Några illustrationer av hur du använder berättigande-API:er finns i Hantera användare.
Kommentar
OSDU-dokumentationen refererar till v1-slutpunkter, men skripten som anges i den här dokumentationen refererar till v2-slutpunkter som fungerar och har verifierats.
OSDU® är ett varumärke som tillhör The Open Group.
Nästa steg
Nästa steg finns i:
Du kan också mata in data i din Azure Data Manager for Energy-instans: