前言
为了确保数据库开发的安全性和可靠性,数据库开发工具的管控能力是至关重要的,建立一个完善的账号体系可以帮助开发团队实现对数据库开发工具的全面管控和监管,有效地避免各种数据安全等问题。
得益于分布式数据库的强大的可扩展性,数据量在快速增长,数据库实例数量在快速增长,行业的从业人员也在快速增长,但是不同角色并不是等比例增长。DBA需要管理越来越多的协同人数,这对数据库开发工具的账号管理系统提出了更高的要求。特别是针对于大规模团队协同的场景,企业通常已经建立员工的账号权限系统,作为一个数据库开发工具如何快速地对账号系统的集成,如何对不同账号、不同部门的人员进行自动化的账号权限管控,就成为了破题的关键。
如何快速集成企业级的账号体系?
随着管理制度的现代性,越来越多的企业已经开始建立自己的账号体系进行团队人员的管理,账号体系可以通过SSO的方式,基于一定的授权认证的协议,进行企业级所有应用的账号管控。熟知的有GitHub、GitLab、Google,开源应用比如CAS,企业级IM比如钉钉等。企业通过在建立统一的账号体系,打通了不同应用之间的壁垒,真正做到了同一个账号登录所有的企业应用。
随着ODC420版本的发布,对原本的SSO集成的能力做了产品级的优化,让一个DBA最快不到三分钟,就可以完成SSO系统的集成。
创建SSO应用
我们以GitHub的OAUTH服务为例,实际上ODC支持任意支持标准OAUTH2协议和OIDC协议的SSO服务的集成。
配置外部集成配置
在github的设置中创建一个SSO的应用,获取到对应的client ID 和 Client Secrets连同对应授权的Endpoint(不同应该参照各自的SSO服务的文档)填入ODC后,点击测试连接即可获取到当前登录人的登录信息的结构。
通过配置用户字段映射,选择odc的用户名和昵称怎么从SSO的账号体系中获取。外部集成增加了自定义的用户信息的字段的配置,通过解析JsonPath,来获取到所需要的字段。
为了更好的适配丰富多样的SSO服务,ODC针对OAUTH2和OIDC做了很多的兼容性配置,详细的配置可以参照官网的配置文档。
使用第三方登录
保存后配置后重新回到登录页面,即可通过GitHub的账号进行odc的登录了。
如何对账号进行自动权限管理?
仅仅对SSO集成仅仅解决的账号的创建和登录的问题,解决了账号体系搭建的第一块砖。最重要的就是要基于创建的账号自动进行相关的权限、资源的管理。真正做到人员的登录信息一改变,工具内的管控相关的权限也会自动进行相应的权限的赋予。
随着ODC的420的发布,原来的自动授权的能力也得到了增强。针对性的对存量的用户增加了 登陆成功、用户创建、用户修改 三个事件。 用户的信息在上述事件触发的时候,可以直接选择用户的属性进行判断,来决定是否赋予某个权限。比如上述例子中配置的工作区域、公司名称等相关字段进行比较判断。在同一个企业内,这些字段更有可能是部门、职级、角色等相关的字段。DBA可以根据自己企业的账号体系中的字段,进行自动权限规则的配置。
完成自动授权规则的获取之后,就可以为触发对应事件,并且符合相应的匹配规则的用户,就会被赋予相关的权限。这一切权限的赋予都会在用户登录的时候自动进行,做到了DBA一次配置之后,所有的账号权限的管理都可以自动进行,完成了账号集成到权限赋予的闭环。
关于ODC的权限体系,可以参照文章 DBA 日常:规模用户数据库访问权限管理,详细解释了ODC权限体系的建立和设计。
