Служба прав

Управление доступом является критической функцией для любой службы или ресурса. Служба управления доступом позволяет вам управлять тем, кто может пользоваться вашим экземпляром Azure Data Manager для энергетики, что они могут видеть или изменять, а также какие службы или данные они могут использовать.

Структура и именование групп OSDU

Служба прав Azure Data Manager для энергетики позволяет создавать группы и управлять членством в группах. Группа прав определяет разрешения на службы или источники данных для определенного раздела данных в экземпляре Azure Data Manager для энергетики. Пользователи, добавленные в определенную группу, получают связанные разрешения. Все идентификаторы групп (сообщения электронной почты) имеют форму {groupType}.{serviceName|resourceName}.{permission}@{partition}.{domain}.

Для каждого нового раздела данных необходимо задать отдельные группы и связанные с ними права пользователей, даже в одном экземпляре Azure Data Manager для Energy.

Типы групп OSDU

Сервис управления правами предоставляет три варианта использования для авторизации:

Группы данных

• Группы данных используются для включения авторизации для данных.
• Группы данных начинаются с слова "данные", например data.welldb.viewers и data.welldb.owners.
• Отдельные пользователи добавляются в группы данных, которые включаются в ACL отдельных записей данных для предоставления viewer и owner доступа к данным после их загрузки в системе.
• Чтобы загрузить данные, необходимо иметь права доступа различных служб OSDU, которые используются в процессе приема данных. Сочетание служб OSDU зависит от метода приема. Например, сведения о приеме манифеста см. в концепциях приема на основе манифеста , чтобы понять службы OSDU, используемые API. Пользователю не нужно быть частью ACL для отправки данных.

Группы служб

• Группы служб используются для включения авторизации для служб.
• Группы служб начинаются со слова "служба", например service.storage.user и service.storage.admin.
• Группы сервисов предопределяются при развертывании сервисов OSDU в каждом разделе данных экземпляра Azure Менеджера данных для энергетики.
• Эти группы позволяют viewer, editor и admin получить доступ к API OSDU, соответствующим службам OSDU.

Группы пользователей

• Группы пользователей используются для иерархической группировки групп пользователей и служб.
• Группы служб начинаются со слова "пользователи", например users.datalake.viewers и users.datalake.editors.

Вложенная иерархия

• Если user_1 является частью data_group_1 и data_group_1 добавляется в качестве члена в user_group_1, код OSDU проверяет наличие вложенного членства и авторизует user_1 для доступа к правам user_group_1. Это объясняется в API проверки прав OSDU и API извлечения группы OSDU.

• Вы можете добавить отдельных пользователей в объект user group. Затем добавляется user group в объект data group. Группа данных добавляется в ACL записи данных. Это позволяет абстрагировать группы данных, так как отдельные пользователи не должны добавляться по одному в группу данных. Вместо этого можно добавить пользователей в user group. Затем вы можете многократно использовать user group для нескольких data groups. Вложенная структура помогает обеспечить масштабируемость для управления членством в OSDU.

Группы по умолчанию

• Некоторые группы OSDU создаются по умолчанию при подготовке секции данных.
• Группы data.default.viewers данных и data.default.owners создаются по умолчанию.
• Группы служб для просмотра, редактирования и администрирования каждой службы, например service.entitlement.admin и service.legal.editor создаются по умолчанию.
• Группы пользователей users, , users.datalake.viewers, users.datalake.editorsusers.datalake.adminsusers.datalake.opsи users.data.root создаются по умолчанию.
• На диаграмме элементов и групп по умолчанию в группах прав OSDU начальной загрузки отображаются группы заголовков столбцов в качестве члена заголовков строк. Например, группа users по умолчанию является членом data.default.viewers и data.default.owners. users.datalake.admins и users.datalake.ops являются членами service.entitlement.admin группы.
• Субъект-служба или client-id или app-id является владельцем по умолчанию всех групп.

users@ Особенности группы

• Существует одно исключение из этого правила именования групп для группы "пользователи". Он создается при подготовке новой секции данных и ее имя следует шаблону users@{partition}.{domain}.
• Он содержит список всех пользователей с любым типом доступа в определенном разделе данных. Прежде чем добавить нового пользователя в любые группы прав, необходимо также добавить нового пользователя в группу users@{partition}.{domain} .

users.data.root@ Особенности группы

• Группа прав users.data.root является членом по умолчанию всех групп данных при создании групп. При попытке удалить users.data.root из любой группы данных возникает ошибка, так как это членство устанавливается OSDU.
• users.data.root автоматически становится владельцем всех записей данных по умолчанию и на постоянной основе при создании записей в системе, как описано в API проверки доступа владельца OSDU и корневом API проверки данных пользователей OSDU. В результате, наряду с проверкой членства OSDU пользователя, система также проверяет, является ли пользователь DataManager, т. е. частью группы data.root, для оценки доступа к записи данных.
• Членство по умолчанию в users.data.root включает только app-id, который используется для настройки экземпляра. Вы можете явно добавить других пользователей в эту группу, чтобы предоставить им доступ к записям данных по умолчанию.

В качестве примера в сценарии

• В data_record_1 есть 2 ACL: ACL_1 и ACL_2.
• User_1 является членом ACL_1 и users.data.root.

Теперь, если удалить user_1 из ACL_1, user_1 остается иметь доступ к data_record_1 через группу users.data.root.

И если ACL_1 и ACL_2 удаляются из data_record_1, users.data.root по-прежнему имеет доступ владельца к данным. Это сохраняет запись данных от того, чтобы стать потерянным.

Неизвестный OID

Вы увидите один неизвестный OID во всех группах OSDU, добавленных по умолчанию. Этот OID ссылается на идентификатор GUID, связанный с внутренним Azure Data Manager для Energy, который используется для связи между внутренними системами. Этот GUID создается уникальным для каждого экземпляра и системой запрещается его удаление или изменение вами.

Пользователи

Для каждой группы OSDU можно добавить пользователя в качестве владельца или участника:

• Если вы являетесь владельцем группы OSDU, можно добавить или удалить участников этой группы или удалить ее.
• Если вы являетесь участником группы OSDU, вы можете просматривать, изменять или удалять службу или данные в зависимости от области группы OSDU. Например, если вы являетесь членом группы service.legal.editor OSDU, вы можете воспользоваться API для изменения юридической службы.

API управления правами

Полный список конечных точек API прав см. в разделе "Служба прав OSDU". Несколько иллюстраций использования API прав доступны в разделе "Управление пользователями".

OSDU® — это товарный знак Open Group.

Дальнейшие действия

Для следующего шага см.:

• Управление пользователями
• Управление юридическими тегами
• Управление списками управления доступом

Вы также можете загружать данные в инстанцию Azure Data Manager for Energy.

• Руководство по обработке данных CSV с помощью анализатора
• Руководство по загрузке манифеста