Aracılığıyla paylaş

Yetkilendirme hizmeti

  • Makale

Erişim yönetimi, herhangi bir hizmet veya kaynak için kritik bir işlevdir. Yetkilendirme hizmeti, Enerji için Azure Data Manager örneğinizi kimlerin kullanabileceğini, neler görebileceğini veya değiştirebileceğini ve hangi hizmetleri veya verileri kullanabileceğini denetlemenize olanak tanır.

OSDU grupları yapısı ve adlandırması

Enerji için Azure Data Manager yetkilendirme hizmeti, grupları oluşturmanıza ve grupların üyeliklerini yönetmenize olanak tanır. Yetkilendirme grubu, Enerji için Azure Data Manager örneğinizdeki belirli bir veri bölümü için hizmetler veya veri kaynakları üzerindeki izinleri tanımlar. Belirli bir gruba eklenen kullanıcılar ilişkili izinleri alır. Tüm grup tanımlayıcıları (e-postalar) biçimindedir {groupType}.{serviceName|resourceName}.{permission}@{partition}.{domain}.

Her yeni veri bölümü için, aynı Enerji için Azure Data Manager örneğinde bile farklı gruplar ve ilişkili kullanıcı yetkilendirmeleri ayarlanmalıdır.

OSDU grubu türleri

Yetkilendirme hizmeti yetkilendirme için üç kullanım örneğini etkinleştirir:

Veri grupları

  • Veri grupları, veriler için yetkilendirmeyi etkinleştirmek için kullanılır.
  • Veri grupları ve data.welldb.ownersgibi data.welldb.viewers "veri" sözcüğüyle başlar.
  • Veriler sisteme yüklendikten sonra verilerin etkinleştirilmesi viewer ve owner erişilebilmesi için tek tek veri kayıtlarının ACL'sine eklenen veri gruplarına tek tek kullanıcılar eklenir.
  • Verilere upload göre, alım işlemi sırasında kullanılan çeşitli OSDU hizmetlerinin yetkilendirmelerine sahip olmanız gerekir. OSDU hizmetlerinin birleşimi alım yöntemine bağlıdır. Örneğin, bildirim alımı için API'lerin kullandığı OSDU hizmetlerini anlamak için bkz . Bildirim tabanlı alma kavramları . Kullanıcının verileri karşıya yükleyebilmek için ACL'nin bir parçası olması gerekmez.

Hizmet grupları

  • Hizmet grupları, hizmetler için yetkilendirmeyi etkinleştirmek için kullanılır.
  • Hizmet grupları ve service.storage.admingibi service.storage.user "hizmet" sözcüğüyle başlar.
  • OSDU hizmetleri Enerji için Azure Data Manager örneğinin her veri bölümünde sağlandığında hizmet grupları önceden tanımlanmıştır .
  • Bu gruplar, OSDU hizmetlerine karşılık gelen OSDU API'lerini çağırmak için , editorve admin erişimini etkinleştirirviewer.

Kullanıcı grupları:

  • Kullanıcı grupları, kullanıcı ve hizmet gruplarının hiyerarşik gruplandırılması için kullanılır.
  • Hizmet grupları ve users.datalake.editorsgibi users.datalake.viewers "kullanıcılar" sözcüğüyle başlar.

İç içe hiyerarşi

  • user_1 bir data_group_1 parçasıysa ve data_group_1 user_group_1 üye olarak eklenirse, OSDU kodu iç içe üyeliği denetler ve user_1 user_group_1 yetkilendirmelerine erişme yetkisi sağlar. Bu, OSDU Yetkilendirme Denetimi API'sinde ve OSDU Alma Grubu API'sinde açıklanmıştır.

  • bir öğesine user grouptek tek kullanıcılar ekleyebilirsiniz. daha user group sonra öğesine data groupeklenir. Veri grubu, veri kaydının ACL'sine eklenir. Tek tek kullanıcıların veri grubuna tek tek eklenmesi gerekmediğinden veri grupları için soyutlama sağlar. Bunun yerine, öğesine user groupkullanıcı ekleyebilirsiniz. Ardından öğesini user group birden çok data groupsiçin tekrar tekrar kullanabilirsiniz. İç içe geçmiş yapı, OSDU'daki üyelikleri yönetmek için ölçeklenebilirlik sağlamaya yardımcı olur.

Varsayılan gruplar

  • Bir veri bölümü sağlandığında bazı OSDU grupları varsayılan olarak oluşturulur.
  • ve data.default.owners veri grupları data.default.viewers varsayılan olarak oluşturulur.
  • ve gibi service.entitlement.admin service.legal.editor her hizmeti görüntülemek, düzenlemek ve yönetecek hizmet grupları varsayılan olarak oluşturulur.
  • , , users.datalake.viewers, users.datalake.editors, users.datalake.admins, users.datalake.opsve users.data.root kullanıcı grupları usersvarsayılan olarak oluşturulur.
  • Önyüklenmiş OSDU yetkilendirme gruplarındaki varsayılan üye ve grupların grafiği, sütun üst bilgi gruplarını satır üst bilgilerinin üyesi olarak gösterir. Örneğin, users grup varsayılan olarak ve'nin data.default.owners data.default.viewers üyesidir. users.datalake.admins ve users.datalake.ops grubun üyesidir service.entitlement.admin .
  • Hizmet sorumlusu veya client-id veya app-id tüm grupların varsayılan sahibidir.

Grubun özelliği users@

  • "Kullanıcılar" grubu için bu grup adlandırma kuralının bir özel durumu vardır. Yeni bir veri bölümü sağlandığında oluşturulur ve adı desenine users@{partition}.{domain}uyar.
  • Belirli bir veri bölümünde her tür erişime sahip tüm kullanıcıların listesine sahiptir. Yetkilendirme gruplarına yeni bir kullanıcı eklemeden önce, yeni kullanıcıyı users@{partition}.{domain} da gruba eklemeniz gerekir.

Grubun özelliği users.data.root@

  • users.data.root yetkilendirme grubu, gruplar oluşturulduğunda tüm veri gruplarının varsayılan üyesidir. Herhangi bir veri grubundan users.data.root dosyasını kaldırmaya çalışırsanız, bu üyelik OSDU tarafından zorunlu kılındığından hata alırsınız.
  • users.data.root, kayıtlar OSDU doğrulama sahip erişim API'sinde ve OSDU kullanıcıları veri kök denetimi API'sinde açıklandığı gibi sistemde oluşturulduğunda tüm veri kayıtlarının varsayılan ve kalıcı sahibi olur. Sonuç olarak, kullanıcının OSDU üyeliğini denetlemenin yanı sıra sistem, veri kaydının erişimini değerlendirmek için kullanıcının "DataManager" (data.root grubunun bir parçası) olup olmadığını da denetler.
  • users.data.root dosyasındaki varsayılan üyelik yalnızca app-id örneği ayarlamak için kullanılan üyeliktir. Veri kayıtlarına varsayılan erişim vermek için diğer kullanıcıları bu gruba açıkça ekleyebilirsiniz.

Senaryoya örnek olarak,

  • bir data_record_1 2 ACL'ye sahiptir: ACL_1 ve ACL_2.
  • User_1, ACL_1 ve users.data.root'un bir üyesidir.

Şimdi ACL_1 user_1 kaldırırsanız, user_1 users.data.root grubu aracılığıyla data_record_1 erişimine sahip olmaya devam eder.

ACL_1 ve ACL_2 data_record_1'dan kaldırılırsa, users.data.root verilere sahip erişimine sahip olur. Bu, veri kaydının artık hale gelmesini engeller.

Bilinmeyen OID

Varsayılan olarak eklenen tüm OSDU gruplarında bilinmeyen bir OID görürsünüz. Bu OID, iç sistemden sistem iletişimi için kullanılan bir iç Enerji Veri Yöneticisi GUID'sine başvurur. Bu GUID her örnek için benzersiz olarak oluşturulur ve sistem tarafından sizin tarafınızdan silinmemesi veya kaldırılmaması için zorlanır.

Kullanıcılar

Her OSDU grubu için, bir kullanıcıyı SAHIP veya ÜYE olarak ekleyebilirsiniz:

  • OSDU grubunun SAHIBIyseniz, o grubun üyelerini ekleyebilir veya kaldırabilir ya da grubu silebilirsiniz.
  • OSDU grubunun ÜYESİyseniz, OSDU grubunun kapsamına bağlı olarak hizmeti veya verileri görüntüleyebilir, düzenleyebilir veya silebilirsiniz. Örneğin, OSDU grubunun ÜYESİyseniz service.legal.editor , hukuk hizmetini değiştirmek için API'leri çağırabilirsiniz.

Not

Kullanıcıları yönetecek başka bir OWNER yoksa grubun OWNER'ını silmeyin.

Yetkilendirme API'leri

Yetkilendirme API'si uç noktalarının tam listesi için bkz . OSDU yetkilendirme hizmeti. Yetkilendirme API'lerinin nasıl kullanılacağına yönelik birkaç çizim, Kullanıcıları yönetme bölümünde bulunabilir.

Not

OSDU belgeleri v1 uç noktalarını ifade eder, ancak bu belgede belirtilen betikler, çalışan ve başarıyla doğrulanmış v2 uç noktalarına başvurur.

OSDU®, Open Group'un ticari markasıdır.

Sonraki adımlar

Sonraki adım için bkz:

Ayrıca Verileri Enerji için Azure Data Manager örneğine de alabilirsiniz: